ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
Ensayo seguridad en la nube
1. UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS EN EL
VALLE DE SULA
Catedrático: Ing. Guillermo Brand
Asignatura: Perspectiva de la Tecnología Informática
Tema: Ensayo Seguridad de la Nube
Sección: 1900
Alumno No. De Cuenta
Omar Fernando Erazo Maldonado 20102001088
San Pedro Sula, Cortes
19 de septiembre del 2016
2. SEGURIDAD DE LA NUBE
Una de las críticas más negativas a la nube es la relativa a la seguridad y el control de los datos
dentro de la nube. La nube puede ser tan segura o incluso más que un centro de datos tradicional,
aunque el método de enfocar la seguridad de la información sí que es radicalmente diferente.
La seguridad y el control en la nube continúan percibiéndose como barreras para el cloud
computing. Los directivos están principalmente preocupados por la seguridad y la calidad del
servicio. Si usted está pensando en crear una nube privada o potenciar una nube pública, se necesita
tener una estrategia de seguridad. Sin un entorno de seguridad, ninguna organización debería
implementar una solución en la nube.
PROTECCIÓN DE DATOS
En una primera impresión, la abstracción del hardware que trae consigo la nube da la sensación de
que el nivel de seguridad es más bajo que en los modelos tradicionales, ya que en algunos modelos
de la nube la empresa cliente pierde el control de seguridad sobre dichos servicios. Sin embargo, si
las políticas de seguridad del proveedor están bien definidas y el cliente las ejecuta fielmente,
trabajar en la nube supondrá, normalmente, una mejora de seguridad.
Naturalmente, llevar toda la información a la nube significa “confiar en terceros la seguridad” y eso
se convierte en una de las preocupaciones de la empresa. Así, se plantean preguntas clave en la
estrategia de seguridad en la nube:
· ¿dónde estarán desplegados los datos?
· ¿con cuál protección?
· ¿quién es responsable de ellos?
La seguridad tiene que partir del cliente. Cuando una empresa quiere llevar sus datos a la nube,
debe indicar cuáles son sus preferencias. Conociendo sus necesidades el proveedor diseña un
servicio específico para la empresa.
Es evidente que las organizaciones creen tener un control más rígido sobre los datos almacenados
en su propia infraestructura que si los almacenan en la nube, por eso, una de las críticas más
negativas a la nube es la relativa a la seguridad y el control de los datos dentro de la misma.
La computación en la nube tiene características específicas que requieren evaluación de los riesgos
en áreas tales como integridad, recuperación y privacidad de los datos, así como en asuntos legales
en áreas como normativa de regulación (compliance) y auditoría de los sistemas de seguridad de la
información.
INFORMES DE LA INDUSTRIA DE SOFTWARE
La importancia de la seguridad en la nube y la necesidad de afrontar los retos que ello supone, hace
que los grandes proveedores de la nube y de seguridad publiquen frecuentemente informes sobre
temas de seguridad. Citaremos algunos casos a manera de ejemplo.
- Trend Micro
- Intel
- Cisco
- Microsoft
3. ASEGURAMIENTO DE LOS DATOS EN LA NUBE
Cuando se selecciona un proveedor de la nube, se debe conocer y entender sus protocolos físicos de
seguridad y las cosas que necesitan hacerse para asegurarse sus sistemas frente a vulnerabilidades
físicas.
Las empresas que han externalizado sus centros de datos en un proveedor de servicios gestionado
en la nube se encuentran con el problema de no conocer, normalmente, en qué servidores están
alojados sus datos. En verdad no existe tal problema si tenemos seguridad y fiabilidad en la empresa
que nos gestiona los datos, sin embargo, la carga emocional existirá siempre y será una limitación
que influirá directamente en la sensación de inseguridad de los datos.
Por otra parte, los datos almacenados en la nube se refieren esencialmente a los datos almacenados
en los servicios de IaaS y no a los datos asociados con la ejecución de una aplicación en la nube
tales como SaaS y PaaS.
La CSA edita una Guía para la seguridad en la nube en áreas críticas de atención en Cloud
Computing que enfatiza en 15 dominios de seguridad en la nube para un ciclo de vida de software
seguro. En estos dominios se abarca desde el marco de la arquitectura de la Nube hasta la gestión
del ciclo de vida de la información, seguridad y recuperación de catástrofes, las operaciones en el
centro de datos, e incluso las respuestas ante incidencias, notificación y subsanación, así como la
seguridad de las aplicaciones, pasando por la gestión de acceso e identidades o la virtualización.
Por esta razón será preciso considerar las tres áreas clave de temas relacionados con la seguridad y
privacidad de los datos (Hurwitz 2010: 76):
· Localización de sus datos
· Control de sus datos
· Transferencias seguras de sus datos
Los proveedores de la nube deben asegurar la seguridad y privacidad de sus datos, pero son los
directivos de la empresa los responsables últimos de velar por la protección de los datos de la
misma. Esta circunstancia implica que las regulaciones de los gobiernos y de la industria que han
sido creadas para proteger la información personal y del negocio se deben aplicar tanto si están en
sus propios servidores como si están gestionados o almacenados en un proveedor externo.
Localización de los datos en la nube
Una vez que sus datos están en la nube se puede no tener control sobre dónde están localizados sus
datos, por lo que será preciso que el cliente tenga presente las siguientes consideraciones:
- Leyes específicas de los países.
- Transferencia de datos a través de fronteras.
- Mezcla de datos.
- Usos secundarios de los datos.
Control de datos en la nube
La integridad, fiabilidad y confidencialidad de sus datos deben ser irreprochables tanto para el
cliente como para el proveedor.
Es necesario que la empresa conozca los niveles de control de los datos en la nube y los métodos de
auditoría sobre ellos. Algunas políticas de los diferentes tipos de control establecidos para asegurar
la precisión y la integridad de la entrada, salida y proceso de los datos, son:
4. · Los controles de validación de entrada deben asegurar que toda la entrada de datos a cualquier
sistema o aplicación sea completa, precisa y aceptable.
· Controles de los archivos para asegurarse que los datos se manipulan con precisión en cualquier
tipo de archivo tanto de datos estructurados como no estructurados (audio, video, música, mensajes
SMS, libros…)
· Controles de acceso para asegurar que únicamente las personas que están autorizadas para acceso
a los datos pueden hacerlo; los datos sensibles deben ser protegidos en el almacenamiento y
transferencias, por lo que pueden ser cifrados si así se considera necesario.
· Controles en la gestión de los cambios para asegurar que los datos no se pueden
modificar sin la autorización correspondiente.
· Controles en la realización de copias de seguridad (backups) y en la recuperación de datos. Una de
las brechas de seguridad más frecuentes se produce durante las realizaciones de las copias de
seguridad y por ello es necesario mantener un control estricto tanto físico como lógico en estos
procesos.
· Control en la destrucción de los datos para asegurar que cuando los datos se borran de modo
permanente, éstos se eliminan de todos los lugares donde puedan estar grabados, incluyendo las
copias de seguridad y los sitios de almacenamiento redundantes que se hayan creado.
Antes de firmar el contrato con el proveedor de la nube debe asegurarse que en el mismo y en el
acuerdo de nivel de servicios (SLA) correspondiente deben estar contemplados al menos los
siguientes compromisos (Hurwitz 2010: 85):
· Integridad de los datos.
· Cumplimiento de estándares y regulaciones propias de su negocio.
· Pérdida de datos.
· Planes de continuidad del negocio.
· Tiempo de operación. Aunque su proveedor le señalara que sus datos estarán disponibles el
99.999%3 del tiempo, se debe comprobar en el contrato y verificar si este tiempo incluye las
operaciones de mantenimiento.
· Costes de almacenamiento de datos. Es muy importante verificar qué incluye el concepto
“almacenamiento de datos”. Está incluido el coste de mover los datos en la nube. Existen costes
ocultos de posibles integraciones de datos. ¿Cuánto costará realmente almacenar sus datos? Debe
enterarse de cómo el proveedor trata realmente el almacenamiento de datos.
· Terminación del contrato. Si el contrato se termina, ¿cómo se devuelven los datos? Si está
utilizando un proveedor de servicios de SaaS, por ejemplo CRM o paquete ofimático, y se han
creado datos durante las operaciones, ¿cómo se devolverán esos datos? Algunas compañías
simplemente le anunciarán que destruirán los datos no reclamados; asegúrese cómo se destruyen y
que no se quedan “flotando” en la nube.
5. · Propiedad de los datos. ¿Quién dispondrá del uso de sus datos una vez estén en la nube? Algunos
proveedores de servicios pueden desear analizar sus datos para fines estadísticos, mezclarlos con
otros datos, etc. Son operaciones similares a las que se hacen a diario en el comercio tradicional
donde autorizamos a determinadas empresas a que puedan utilizar todos o parte de nuestros datos
con fines de promociones publicitarias o similares.
· Cambio de proveedores. Si se crean aplicaciones y datos con un proveedor y se decide cambiar de
proveedor, ¿cuáles serán las dificultades para mover sus datos? En otras palabras, ¿cómo son de
interoperables los servicios? Es posible que algunos de estos vendedores tengan API’s (interfaces
de programación de aplicaciones) propietarias que pueden ser técnicamente difíciles de cambiar. Es
importante que el cliente conozca estos términos antes de cerrar el acuerdo.
Las empresas y organizaciones que optan por la migración o movimiento hacia la nube deberán
estudiar plenamente aquellos temas críticos relativos a la seguridad. Así se consideran al menos los
siguientes aspectos:
· Implicaciones legales, cumplimiento y conformidad con regulatorios y los estándares que son
diferentes en la nube de los marcos legales y regulatorios del entorno tradicional.
· No existe el perímetro de seguridad de la organización tradicional en la nube. La política de
seguridad centrada en la seguridad perimetral no funciona en la nube incluso con aquellas nubes
que soporten la seguridad tradicional del perímetro.
· El almacenamiento de datos en la nube debe considerarse un perfil de alto riesgo.
· Las tecnologías de virtualización como Xen, Citrix, o VMware tienen sus propias vulnerabilidades
y por consiguiente se deben introducir pautas de comportamiento.
A medida que la computación en nube se vuelve un modelo más importante para la empresa, la
nube será necesariamente una parte muy crítica de la infraestructura global de seguridad. ¿Cuáles
serán los objetivos y factores que se deberán tener en cuenta en la seguridad en la nube?
Evidentemente, como ya se ha comentado y de modo prioritario: la protección de los datos, a los
que añadiremos desde la perspectiva de la computación en nube, la protección de las aplicaciones
proporcionadas por los proveedores o las desarrolladas por los consumidores o clientes.