Este documento trata sobre la seguridad de la computación en la nube. Explica que la seguridad en la nube se refiere a políticas, tecnologías y controles para proteger datos, aplicaciones e infraestructura en la nube. También describe los principales problemas de seguridad que enfrentan proveedores y clientes de servicios en la nube, así como los tipos de controles de seguridad utilizados y las dimensiones que se deben considerar para la seguridad en la nube.
2. Seguridad de cómputo en la nube
La seguridad de cómputo en la
nube o simplemente seguridad en la
nube es un sub-dominio de
la seguridad informática, seguridad
de redes y más
ampliamente, seguridad de
información. Se refiere a una amplia
gama de políticas, tecnologías y
formas de control destinadas a
proteger datos, aplicaciones y la
infraestructura asociada a
la computación en la nube.
3. Problemas de seguridad asociados a la nube
Hay varios problemas de seguridad asociados con
la computación en la nube, sin embargo, se
dividen en dos grandes categorías: problemas a los
que se enfrentan los proveedores de la nube
(organizaciones que proveen software, plataforma,
o Infraestructura como servicio a través de la
nube) y problemas de seguridad enfrentados por
los clientes(compañías y organizaciones que
utilizan la aplicación o almacenan información en
la nube.
4. Controles de seguridad en la nube
Estos controles se utilizan para resguardar cualquier debilidad en el sistema y
reducen el efecto de los ataques. A pesar de que hay muchos tipos de controles
detrás una arquitectura en la nube, usualmente se pueden encontrar en una de
las siguientes categorías:
Controles preventivos: Los controles preventivos refuerzan el sistema en
contra de incidentes, generalmente reduciendo o eliminando vulnerabilidades.
Controles disuasivos: Estos controles están destinados a reducir los ataques en
un sistema en la nube.
Controles de detección: Los controles de detección están destinados a detector
y reaccionar adecuadamente a cualquier incidente que ocurra.
Controles correctivos: Los controles correctivos reducen las consecuencias de
un incidente, normalmente limitando el daño. Su efecto ocurre durante o
después de un ataque.
5. Dimensiones de la seguridad en la nube
Generalmente se recomienda que
los controles de seguridad de
información sean seleccionados e
implementados de acuerdo y en
proporción a los riesgos,
típicamente evaluando las
amenazas, vulnerabilidades y sus
impactos.
6. Seguridad y privacidad
Identificar gestión: Cada empresa tiene su propio sistema de gestión de
identidad para controlar el acceso a la información y recursos de computadoras.
Seguridad física: Los proveedores de nube aseguran el hardware de manera
física(servidores, routers, cables, etc.) contra acceso no autorizado,
interferencia, robo, incendios, inundaciones, etc.
Seguridad personal: Varias preocupaciones de seguridad relacionadas a las TI y
otros profesionales, asociadas con los servicios de nube son típicamente
manejadas a través de programas realizados antes, durante y después de el
proceso de contratación de nuevo personal como programas de entrenamiento.
Privacidad: Los proveedores aseguran que todos los datos críticos (números de
tarjeta de crédito, por ejemplo) sean enmascarados o encriptados y que solo
usuarios autorizados tengan acceso a la información en su totalidad.
7. Problemas legales y contractuales
Además de los problemas de seguridad y
conformidad mencionados anteriormente,
los proveedores de servicio de nube y sus
clientes deben negociar términos acerca de
responsabilidad (estipulando cómo deben
resolverse los incidentes que involucren
pérdida de datos o que comprometan los
mismos ), por ejemplo, propiedad
intelectual, y término de servicio (cuando
la información y aplicaciones son
regresadas al cliente).