SlideShare una empresa de Scribd logo

Capítulo 8 Seguridad de la nube

Descargar como DOCX, PDF
E
Edwin Ruiz

Este documento trata sobre la seguridad de la información en la nube. Discuten los principales riesgos de seguridad como la integridad, privacidad y disponibilidad de los datos. También cubre temas como la autenticación, autorización, auditoría, confidencialidad e integridad de los datos. Resalta la importancia de que los proveedores de la nube tengan sólidos controles de seguridad y políticas claras sobre la protección y el uso de la información de los clientes.

Educación
1 de 7
SEGURIDAD DE LA NUBE La computaciónennube tienecaracterísticasespecíficas querequierenevaluaciónde los riesgosen áreas tales como integridad, recuperación y privacidad de los datos, así como asuntos legales en áreas talescomo la normativade regulación(compliance) yauditoríade lossistemasde seguridad de la información. Tecnologías como EC2 de Amazon o Google App Engine de Google, son ejemplos de servicios de Cloud Computing en las cuales se entregan a los clientes externos servicios de TI que utilizan tecnologías de Internet. PROTECCIÓN DE DATOS La nube,como yaconoce el lector,esunmodelode computaciónque ofrece el usode una serie de servicios, aplicaciones, datos, plataformas, infraestructuras, compuestas a su vez por recursos de computación,redes,servidores,almacenamiento,etc.Enunaprimera impresión,laabstraccióndel hardware que trae consigolanube da la sensaciónde que el nivel de seguridadesmásbajoque en losmodelostradicionales,yaqueenalgunosmodelos delanubelaempresacliente pierde elcontrol de seguridadsobre dichosservicios.Sin embargo,si laspolíticas de seguridaddel proveedorestán bien definidas y el cliente las ejecuta fielmente, trabajar en la nube supondrá, normalmente, una mejora de seguridad. Así, se plantean preguntas clave en la estrategia de seguridad en la nube: 1. ¿dónde estarán desplegados los datos? 2. ¿con cuál protección? 3. ¿quién es responsable de ellos? Los grandesproveedoresde lanube tienenrespuestaclaraparala tercera pregunta:el responsable de los datos es el cliente (personal o empresa). IBM llama a este tipo de seguridad “Secure by design”,odichode otro modo“seguridadpersonalizada”.El concepto pretendeque el entornosea el resultado de la interacción entre proveedor y empresa receptora de servicios. SEGURIDAD DE LOS SERVICIOS DE LA NUBE La evaluación de riesgos y la revisiónde la seguridad en la nube deben considerar en primer lugar lasopcionesde desplieguede lanube (pública,privadae híbrida) ymodelosde entregade servicios (SaaS, PaaS, IaaS). Estrechamente relacionada con los modelos anteriores estarán los procesos relacionadosconlavirtualización,loscualestambién consideraremos.Evidentemente,comosucede en el Plan General de Seguridad de la Información (PGSI), ninguna lista de controles de seguridad podrá cubrir todas las circunstancias, pero se deberá adoptar un enfoque basado en riesgos para moverse omigrara la nube yseleccionarlasopcionesde seguridad.Losactivosde despliegueenla nube se agrupan en dos grandes bloques: los datos y las aplicaciones. INFORMESDE LA INDUSTRIA DE SOFTWARE La importanciade laseguridadenlanube ylanecesidadde afrontarlosretosque ello supone,hace que los grandesproveedoresde lanube y de seguridadpubliquen frecuentemente informessobre temas de seguridad. Citaremos algunos casos a manera de ejemplo.
Trend Micro Trend Micro, una de las grandes empresas proveedoras de seguridad informática del mundo, publicó un informe en junio de 2011, donde destacaba que el 43% de las empresas han tenido problemasde seguridadconsusproveedoresde serviciosbasadosenlanube.El informese elaboró despuésde entrevistara1.200 directoresde información(CIO’s) yel tema central de las encuestas y entrevistasfue cloudcomputingyla seguridad.Enel informe se destacabaque la adopciónde la nube en las empresas se estaba llevando a buen ritmo. Cisco El informe de Cisco de noviembre de 2011. Cisco, primer fabricante del mundo de dispositivos y redesde comunicaciónpresentóenAcapulco,México,enel mesde noviembre de 2011, el informe: “Seguridad en la nube, el nuevo reto: Cisco”. Cisco anunció su servicio de seguridad, ScanSafe Cloud Web que permite blindar la navegación dentro de la nube y asegurar el almacenamiento de datos salvaguardando la información de los usuarios. Microsoft Microsofttambiénestápreocupadosobrelaseguridadydisponibilidadde losdatosque sus clientes depositan en la nube, juntocon los requerimientos globales de seguridad. Algunas preguntas que cabría hacerse son: ¿qué están haciendo los proveedores para poder mantener una nube segura? ¿Están mis datos y los de mi empresa seguros en la nube? Es necesario que las empresas proveedoras de la nube tengan numerosos controles de seguridad del estándar ISO. Es importante tener en cuenta que existen muchas medidas de seguridad que Microsoft implementa, y también se preocupa sobre las reglas básicas de privacidad en el desarrollo de cualquier programa de software: 1. Privacidad pordiseño:toda lainformaciónobtenidade losusuariosdebe serparaun propósitoenparticular.Cuandose trata de informaciónsensible,se deben tomarmedidas de seguridadadicionales. 2. Privacidad pordefecto:Microsoftsiempre pide autorizaciónalosusuariospara utilizaro transmitirinformaciónsensible.Unavezautorizada,lainformaciónes protegidapor mecanismosde autenticaciónylistasde control de acceso. 3. Privacidad en la implementación:Microsoftrevelasusmecanismosde privacidadasus clientesempresarialesparaque éstospuedanadaptaresasmedidasasus propias necesidades. 4. Comunicación:constante publicaciónde documentossobre novedades relacionadasconla privacidad. Microsoftse mantiene alavanguardiaencuantoa lasleyesde seguridad,ycontinúaaplicandolos estándaresanivel mundial.Lascaracterísticasde losproductosque ofrece Microsoftenla nube se puedenconsultarenel sitio Cloud Power.
ASEGURAMIENTO DE LOS DATOS EN LA NUBE La seguridad física define el modo de controlar el acceso físico a los servidores que soportan su infraestructura. La nube exige restricciones físicas de seguridad, teniendo presente que hay servidoresrealesque funcionanencualquierlugar.Cuandose selecciona unproveedorde lanube, se debe conocer y entender sus protocolos físicosde seguridad y las cosas que necesitan hacerse para asegurarse sus sistemas frente a vulnerabilidades físicas. Control de los datos El gran abismo existente entre los centros de datos tradicionales y los de la nube reside en la posición de sus datos en los servidores. Las empresas que han externalizadosus centros de datos enun proveedorde serviciosgestionadoenlanube se encuentranconel problemade no conocer, normalmente, en qué servidores están alojados sus datos. En verdad no existe tal problema si tenemos seguridad y fiabilidad en la empresa que nos gestiona los datos, sin embargo, la carga emocional existirá siempre y será una limitación que influirá directamente en la sensación de inseguridad de los datos. Porotra parte,losdatosalmacenadosenlanubese refierenesencialmentealosdatos almacenados enlosserviciosde IaaSynoalosdatosasociadosconlaejecuciónde unaaplicaciónenlanube tales como SaaS y PaaS. Por estarazón seráprecisoconsiderarlastresáreasclave de temasrelacionadosconla seguridad y privacidadde losdatos(Hurwitz2010: 76):  Localizaciónde susdatos  Control de sus datos  Transferencias seguras de sus datos REQUISITOS EXIGIBLES AL PROVEEDOR RELATIVOSA DATOS Antesde firmarel contrato con el proveedorde lanube debe asegurarse que enel mismoy enel acuerdode nivel de servicios(SLA) correspondiente debenestarcontempladosal menoslossiguientescompromisos(Hurwitz 2010: 85):  Integridad delos datos.  Cumplimiento deestándaresy regulacionespropiasdesu negocio.  Pérdida de datos.  Planesde continuidad delnegocio.  Tiempo deoperación.Aunque suproveedorle señalaraque susdatosestarándisponibles el 99.999% del tiempo,se debe comprobarenel contratoyverificarsi este tiempoincluye lasoperacionesde mantenimiento.  Costes de almacenamiento de datos. Es muy importante verificar qué incluye el concepto “almacenamientode datos”. Está incluido el coste de mover los datos en la nube. Existen costes ocultos de posibles integraciones de datos. ¿Cuánto costará realmente almacenar sus datos? Debe enterarse de cómo el proveedor trata realmente el almacenamiento de datos.
 Terminación del contrato. Si el contrato se termina,¿cómose devuelvenlosdatos?Si está utilizando un proveedor de servicios de SaaS, por ejemplo, CRMo paquete ofimático, y se han creado datos durante las operaciones, ¿cómo se devolverán esos datos? Algunas compañías simplemente le anunciarán que destruirán losdatos no reclamados;asegúrese cómo se destruyen y que no se quedan “flotando” en la nube.  Propiedad de los datos. ¿Quién dispondrá del uso de sus datos una vez estén en la nube? Algunosproveedoresde serviciospuedendesearanalizarsus datospara fines estadísticos, mezclarlosconotros datos,etc. Son operacionessimilaresalas que se hacen a diarioenel comercio tradicional donde autorizamos a determinadas empresas a que puedan utilizar todos o parte de nuestros datos con fines de promociones publicitarias o similares. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA NUBE El desarrollodel softwaresegurose basaenlaaplicaciónde principiosde diseñode softwareseguro que forman los principios fundamentales del aseguramiento del software. El seguramiento del software se define como: “los fundamentos que permiten tener confianza justificada de que el softwaredebe tenertodaslaspropiedadesrequeridasparaasegurarque cuandodicho softwarese esté ejecutando deberá operar de modo fiable pese a la presencia de fallos intencionales. En términos prácticos significa que el software debe ser capaz de resistir la mayoría de los ataques, tolerar tantos ataques como sean posibles, contener los daños y recuperar un nivel de ejecución normal tan pronto como sea posibles, después de que cualesquiera ataques sean incapaces de resistir o tolerar”. Los principiosfundamentalesque soportanel aseguramientode lossistemasde informaciónenla nube son, engeneral,similaresalosestablecidosparalas Tecnologíasde la Información,perocon las características de la Nube. Se consideran los siguientes principios fundamentales: confidencialidad, integridad y disponibilidad, conocidos como la Triada de la Seguridad, y los principios complementarios son: autenticación, autorización, auditoría, responsabilidad (accountability) y privacidad. Confidencialidad La confidencialidad se refiere a la prevención de la divulgación (revelación) de información no autorizada tanto intencionada como no intencionada. Las confidencialidades en los sistemasde la nube se refieren a las áreas de derechos propiedad intelectual, cobertura de canales, análisis de tráfico, cifrado e inferencia. Integridad La integridadesla garantía de que el mensaje enviadoesel mensaje recibidoyque el mensaje no ha sido alterado intencionadamente o no. Esta seguridad de la integridad de los datos se debe garantizarenel tránsitoyenel almacenamientode losdatos.Tambiénse debenespecificarmedios pararecuperaciónapartirde erroresdetectadostalescomo borrados,insercionesomodificaciones. Los medios para proteger la integridadde la información incluyen políticas de control de acceso y decisiones respecto a quién o quiénes puedentransmitir y recibir datos y cuál información puede ser intercambiada.
Los requerimientosparael cumplimientode laintegridaddebencontemplar:  Validacióndel origende losdatos  Detecciónde laalteraciónde losdatos  Determinación de que el origen de los datos se ha cambiado OTRAS CARACTERÍSTICAS IMPORTANTES Existen otras propiedades o características complementarias de las anteriores que se aplican a todo tipo de taxonomías de seguridad, como es el caso de la tradicional seguridad de los sistemas de información y de los sistemas de computación en la nube. Identificación Es el proceso mediante el cual los usuarios proporcionan sus identidades a un sistema. La identificaciónse utiliza,principalmente,paracontrol de accesoy esnecesariapara laautenticación y la autorización. Autenticación La autenticación esel procesode verificaciónde evidenciade laidentidadde unusuario. Establece la identidad del usuario y asegura que los usuarios son quienes realmente dicen ser. Por ejemplo, un procesocomún de autenticaciónde un usuarioexige presentarsu identidad(IDdel usuario) en el registrode entrada(login)de lapantallade unacomputadora yacontinuacióndebeproporcionar una contraseña (password). El sistema autentica (autentifica) al usuario verificando que la contraseña que ha introducido corresponde con la identidad (ID) presentada por el usuario; dicho de otra manera, se trata de establecer la identidad del usuario y asegurar que los usuarios son quienes dicen realmente que son. La autenticaciónde unusuariose basa,sobre todo,envariosconceptosprácticos:  Un conceptoo términoque conoce el usuario,como unnúmerode identificaciónpersonal (PIN) o una contraseña.  Alguna cosa que tiene el usuario, como una tarjeta inteligente o una tarjeta de crédito o similar.  Alguna cosa física tal como una huella o la exploración de la retina del ojo.  Autenticación de comportamiento (teclear nombre u otras frases en el teclado). Autorización La autorización se refiere a los derechos y privilegios garantizados a una persona o proceso que facilitan el acceso a los recursos de la computadora y los activos de información. Una vez que la identidad de un usuario y su autenticación se han establecido, los niveles de autorización determinan el grado o alcance de los derechos del usuario en el sistema. Auditoría La auditoría de un sistema en la nube tiene características similares a la auditoría del ciclo de vida de desarrollo del software y debe contemplar un plan de auditoría que al menos considere los siguientes aspectos (Krutz 83):  Determinación del ámbito de la auditoría  Determinación de los objetivos de la auditoría
 Validación del plan de auditoría  Identificación de recursos necesarios Responsabilidad La responsabilidad (en inglés, accountability) es la capacidad de determinar las acciones y comportamiento de una persona dentro de un sistema de nube e identificar a ese individuo particular. Los trazos (trails) y conexiones (logs) soportan la responsabilidad y se pueden utilizar para conducir los estudios post mórtem a fin de analizar los eventos históricos y los individuos o procesos asociados con esos eventos. La responsabilidad está relacionada con el concepto de no repudio. Privacidad El nivel de protecciónde laprivacidaddadaaun usuarioenun sistemadebe serlomásalta posible y conforme a las leyes de privacidad vigentes en el país en que resida el cliente. La privacidad no sólogarantizael nivel de confidencialidadde losdatosde unaempresa,sino que tambiéngarantiza el nivel de privacidadde losdatosque se hanutilizadopor el operador.Porlaimportanciadeltema en la computación en nube, se dedica un capítulo en exclusiva al análisis de la privacidad. ASPECTOS SIGNIFICATIVOSEN LA SEGURIDAD EN LA NUBE Las empresas y organizacionesque optan por la migración o movimiento hacia la nube deberán estudiarplenamenteaquellostemascríticosrelativosalaseguridad.Asíse consideranal menoslos siguientes aspectos:  Implicaciones legales, cumplimiento y conformidad con regulatorios y los estándares que son diferentes en la nube de los marcos legales y regulatorios del entorno tradicional.  Noexiste el perímetrode seguridadde laorganizacióntradicional enlanube.La políticade seguridadcentradaenla seguridadperimetral nofuncionaenlanube inclusocon aquellas nubes que soporten la seguridad tradicional del perímetro.  El almacenamiento de datos en la nube debe considerarse un perfil de alto riesgo.  Las tecnologías de virtualización como Xen, Citrix, o VMware tienen sus propias vulnerabilidades y por consiguiente se deben introducir pautas de comportamiento. CUMPLIMIENTO DE REGULACIONES Y ESTÁNDARES La adopción de los servicios de la nube por una organizacióno empresa, presenta muchos retos y desafíos.Cuandounaorganizaciónmigraalanube paraconsumirservicios de ellay, especialmente, servicios de la nube pública, mucha de la infraestructura de sus sistemas de computación pasa a estar bajo el control de un proveedor de servicios de la nube (CSPCSPCSPCSP, Cloud Services Provider). Muchos de estosretospueden serafrontadosmedianteiniciativasde gestiónde la seguridad.Estas iniciativas requerirán delinear claramente la oferta de servicios del proveedor, así como la responsabilidadtantodel proveedor(quepodríaonotenertodala responsabilidadde lagestiónde la seguridad,yaque podríasera su vezcliente de otro proveedormayor) comodel funcionamiento de la organización que actúa con el rol de cliente.
RIESGOSY TIPOS DE SEGURIDAD La seguridadde lossistemasde informaciónse divideendosgrandescategorías: protección de los activos (hardware, software e infraestructura de redes que constituyen un sistema de TI) y protección de los datos. Hace unos años los activos eran considerados la parte más valiosa del sistemaya su protecciónse dedicabancasi todoslosesfuerzosparaasegurarse que nose hacía un uso no autorizado de los mismos. Hoy día, naturalmente, ha cambiado esa situación y la mayoría de las organizaciones y empresas reconocen que el factor crítico de los sistemas de información es la protección de los datos que requierenunesfuerzoconsiderableygran parte de laatenciónde los proyectos de seguridadde la información. ADMINISTRACIÓN DE LA IDENTIDAD Y CONTROLDE ACCESO La administración (gestión) de la identidad y el control de acceso (IAMIAMIAMIAM, Identity and AccessManagement) sonfuncionesfundamentalesrequeridasenlacomputaciónennube seguray uno de los mejores métodos para la protección de su entorno. Dado que la nube implica comparticiónyvirtualizaciónde recursosfísicospormúltiplesusuariosinternos,espreciso conocer quiénes tienen acceso y a cuáles servicios. El objetivo principal de la administración de la identidad es la gestión de la información de dicha identidadpersonal (IP) de modoque el accesoalosrecursosde computación, aplicaciones,datosy servicios sea controladoadecuadamente. La administraciónde la identidades una de las áreas de la seguridad de TI que ofrece beneficios importantes en la reducción del riesgo de las violaciones (breaches) de seguridad. ESTRATEGIAS DE SEGURIDAD Las directricesde TIdebenpensarenprimerlugarsobre el impactode lanube enla seguridadde la corporación. Si usted está pensando en crear una nube privada o potenciar una nube pública necesita establecer una estrategia de seguridad. Sin un entorno de seguridad adecuado ninguna organizacióndebe implementarunasoluciónenlanube.Esta decisiónse debe adoptarenparalelo con el proceso de puesta en marcha del modelo elegido de nube. Inclusoaunque suorganizacióntengayaunaestrategiade seguridadbiendiseñada, deberáafrontar una estrategia complementaria para su paso a la nube y deberá tener presente los diferentes modelosexistentesde computaciónenlanubeyexaminarcuál o cuálesse adaptanmejorasuactual estrategia de seguridad de TI. SEGURIDAD DE LOS SERVICIOS DE LA NUBE La evaluación de riesgos y la revisiónde la seguridad en la nube deben considerar en primer lugar lasopcionesde desplieguede lanube (pública,privadae híbrida) ymodelosde entrega de servicios (SaaS, PaaS, IaaS). Estrechamente vinculados con los modelos anteriores estarán los procesos relacionadosconla virtualizaciónyque tambiénconsideraremos. Evidentemente,comosucede en el Plan General de Seguridad de la Información, ninguna lista de controles de seguridad podrá cubrir todas las circunstancias, pero se deberá adoptar un enfoque basadoenriesgosparamoverse omigraralanube yseleccionarlasopcionesde seguridad. Losactivosde despliegueenla nubese agrupanendosgrandesbloques:losdatosylas aplicaciones.

Recomendados

Tecnologia de Nube
Tecnologia de NubeTecnologia de Nube
Tecnologia de Nubemairod1002
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completaMaxwell Kenshin
 
Cloud computing PPT
Cloud computing PPTCloud computing PPT
Cloud computing PPTPSG College Of Technology
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
azure-security-overview-slideshare-180419183626.pdf
azure-security-overview-slideshare-180419183626.pdfazure-security-overview-slideshare-180419183626.pdf
azure-security-overview-slideshare-180419183626.pdfBenAissaTaher1
 
Sistemas Operativos: Tendencias, Hardware, Software, Memoria Fija
Sistemas Operativos: Tendencias, Hardware, Software, Memoria FijaSistemas Operativos: Tendencias, Hardware, Software, Memoria Fija
Sistemas Operativos: Tendencias, Hardware, Software, Memoria FijaStudent A
 
Cloud Security
Cloud SecurityCloud Security
Cloud SecurityAWS User Group Bengaluru
 
Module 5-cloud computing-SECURITY IN THE CLOUD
Module 5-cloud computing-SECURITY IN THE CLOUDModule 5-cloud computing-SECURITY IN THE CLOUD
Module 5-cloud computing-SECURITY IN THE CLOUDSweta Kumari Barnwal
 

Recomendados

Tecnologia de Nube
Tecnologia de NubeTecnologia de Nube
Tecnologia de Nubemairod1002
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completaMaxwell Kenshin
 
Cloud computing PPT
Cloud computing PPTCloud computing PPT
Cloud computing PPTPSG College Of Technology
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
azure-security-overview-slideshare-180419183626.pdf
azure-security-overview-slideshare-180419183626.pdfazure-security-overview-slideshare-180419183626.pdf
azure-security-overview-slideshare-180419183626.pdfBenAissaTaher1
 
Sistemas Operativos: Tendencias, Hardware, Software, Memoria Fija
Sistemas Operativos: Tendencias, Hardware, Software, Memoria FijaSistemas Operativos: Tendencias, Hardware, Software, Memoria Fija
Sistemas Operativos: Tendencias, Hardware, Software, Memoria FijaStudent A
 
Cloud Security
Cloud SecurityCloud Security
Cloud SecurityAWS User Group Bengaluru
 
Module 5-cloud computing-SECURITY IN THE CLOUD
Module 5-cloud computing-SECURITY IN THE CLOUDModule 5-cloud computing-SECURITY IN THE CLOUD
Module 5-cloud computing-SECURITY IN THE CLOUDSweta Kumari Barnwal
 
What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...
What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...
What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...Simplilearn
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityNinh Nguyen
 
Controladores de dominio_de_redes_windows
Controladores de dominio_de_redes_windowsControladores de dominio_de_redes_windows
Controladores de dominio_de_redes_windowsPedro Hernandez
 
Cloud computing
Cloud computingCloud computing
Cloud computingcommunication-eg
 
Sistemas Operativos Gestion de E/S y Planificacion de Disco
Sistemas Operativos Gestion de E/S y Planificacion de DiscoSistemas Operativos Gestion de E/S y Planificacion de Disco
Sistemas Operativos Gestion de E/S y Planificacion de DiscoVictor Prieto
 
Cloud computing security issues and challenges
Cloud computing security issues and challengesCloud computing security issues and challenges
Cloud computing security issues and challengesDheeraj Negi
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticakyaalena
 
Cloud Security (Domain1- 5)
Cloud Security (Domain1- 5)Cloud Security (Domain1- 5)
Cloud Security (Domain1- 5)Maganathin Veeraragaloo
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
seguridad de computo en la nube
seguridad de computo en la nubeseguridad de computo en la nube
seguridad de computo en la nubemargarita torres
 
Apresentação cloud computing
Apresentação cloud computingApresentação cloud computing
Apresentação cloud computingVictor Queiroga
 
Modelos de los sistemas distribuidos
Modelos de los sistemas distribuidosModelos de los sistemas distribuidos
Modelos de los sistemas distribuidosMargarita Labastida
 
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Privileged Access Management - Unsticking Your PAM Program - CIS 2015Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Privileged Access Management - Unsticking Your PAM Program - CIS 2015Lance Peterman
 
Azure Security Overview
Azure Security OverviewAzure Security Overview
Azure Security OverviewAllen Brokken
 
Cloud computing
Cloud computingCloud computing
Cloud computingAnkita Khadatkar
 
00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx
00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx
00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptxDuyVo750289
 
Security management
Security managementSecurity management
Security managementDean Iacovelli
 
Novedades Windows Server 2016 TP5
Novedades Windows Server 2016 TP5Novedades Windows Server 2016 TP5
Novedades Windows Server 2016 TP5Ivan Martinez
 
Azure role based access control (rbac)
Azure role based access control (rbac)Azure role based access control (rbac)
Azure role based access control (rbac)Srikanth Kappagantula
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 

Más contenido relacionado

La actualidad más candente

What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...
What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...
What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...Simplilearn
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing SecurityNinh Nguyen
 
Controladores de dominio_de_redes_windows
Controladores de dominio_de_redes_windowsControladores de dominio_de_redes_windows
Controladores de dominio_de_redes_windowsPedro Hernandez
 
Sistemas Operativos Gestion de E/S y Planificacion de Disco
Sistemas Operativos Gestion de E/S y Planificacion de DiscoSistemas Operativos Gestion de E/S y Planificacion de Disco
Sistemas Operativos Gestion de E/S y Planificacion de DiscoVictor Prieto
 
Cloud computing security issues and challenges
Cloud computing security issues and challengesCloud computing security issues and challenges
Cloud computing security issues and challengesDheeraj Negi
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticakyaalena
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
seguridad de computo en la nube
seguridad de computo en la nubeseguridad de computo en la nube
seguridad de computo en la nubemargarita torres
 
Apresentação cloud computing
Apresentação cloud computingApresentação cloud computing
Apresentação cloud computingVictor Queiroga
 
Modelos de los sistemas distribuidos
Modelos de los sistemas distribuidosModelos de los sistemas distribuidos
Modelos de los sistemas distribuidosMargarita Labastida
 
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Privileged Access Management - Unsticking Your PAM Program - CIS 2015Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Privileged Access Management - Unsticking Your PAM Program - CIS 2015Lance Peterman
 
Azure Security Overview
Azure Security OverviewAzure Security Overview
Azure Security OverviewAllen Brokken
 
00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx
00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx
00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptxDuyVo750289
 
Novedades Windows Server 2016 TP5
Novedades Windows Server 2016 TP5Novedades Windows Server 2016 TP5
Novedades Windows Server 2016 TP5Ivan Martinez
 
Azure role based access control (rbac)
Azure role based access control (rbac)Azure role based access control (rbac)
Azure role based access control (rbac)Srikanth Kappagantula
 

La actualidad más candente (20)

What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...
What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...
What Is Cloud Computing? | Cloud Computing For Beginners | Cloud Computing Tr...
 
Cloud Computing Security
Cloud Computing SecurityCloud Computing Security
Cloud Computing Security
 
Controladores de dominio_de_redes_windows
Controladores de dominio_de_redes_windowsControladores de dominio_de_redes_windows
Controladores de dominio_de_redes_windows
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Sistemas Operativos Gestion de E/S y Planificacion de Disco
Sistemas Operativos Gestion de E/S y Planificacion de DiscoSistemas Operativos Gestion de E/S y Planificacion de Disco
Sistemas Operativos Gestion de E/S y Planificacion de Disco
 
Cloud computing security issues and challenges
Cloud computing security issues and challengesCloud computing security issues and challenges
Cloud computing security issues and challenges
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Cloud Security (Domain1- 5)
Cloud Security (Domain1- 5)Cloud Security (Domain1- 5)
Cloud Security (Domain1- 5)
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
seguridad de computo en la nube
seguridad de computo en la nubeseguridad de computo en la nube
seguridad de computo en la nube
 
Apresentação cloud computing
Apresentação cloud computingApresentação cloud computing
Apresentação cloud computing
 
Modelos de los sistemas distribuidos
Modelos de los sistemas distribuidosModelos de los sistemas distribuidos
Modelos de los sistemas distribuidos
 
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Privileged Access Management - Unsticking Your PAM Program - CIS 2015Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
 
Azure Security Overview
Azure Security OverviewAzure Security Overview
Azure Security Overview
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx
00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx
00 - Microsoft 365 Digital Workforce Workshop - Delivery Guide.pptx
 
Security management
Security managementSecurity management
Security management
 
Novedades Windows Server 2016 TP5
Novedades Windows Server 2016 TP5Novedades Windows Server 2016 TP5
Novedades Windows Server 2016 TP5
 
Azure role based access control (rbac)
Azure role based access control (rbac)Azure role based access control (rbac)
Azure role based access control (rbac)
 

Similar a Capítulo 8 Seguridad de la nube

Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Ensayo de Seguridad en la nube
Ensayo de Seguridad en la nubeEnsayo de Seguridad en la nube
Ensayo de Seguridad en la nubemarizza6808
 
Ensayo seguridad en la nube
Ensayo seguridad en la nubeEnsayo seguridad en la nube
Ensayo seguridad en la nubeoerazo6808
 
Perspectiva ensayo cap 8
Perspectiva ensayo cap 8Perspectiva ensayo cap 8
Perspectiva ensayo cap 8Gary Carvajal
 
Whitepaper 5 maneras de mejorar la Seguridad en el Cloud
Whitepaper 5 maneras de mejorar la Seguridad en el Cloud Whitepaper 5 maneras de mejorar la Seguridad en el Cloud
Whitepaper 5 maneras de mejorar la Seguridad en el Cloud Arsys
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesFabián Descalzo
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nubeCade Soluciones
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Cisco Service Provider Mobility
 
Trabajo de word informatica- Victor Ulices Vargas,
Trabajo de word informatica- Victor Ulices Vargas, Trabajo de word informatica- Victor Ulices Vargas,
Trabajo de word informatica- Victor Ulices Vargas, VictorVargas217
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Supere los desafíos de la protección de los datos en cualquier parte .pdf
Supere los desafíos de la protección de los datos en cualquier parte .pdfSupere los desafíos de la protección de los datos en cualquier parte .pdf
Supere los desafíos de la protección de los datos en cualquier parte .pdfJuanRodriguez833796
 
White paper mejorar-seguridad-cloud
White paper mejorar-seguridad-cloudWhite paper mejorar-seguridad-cloud
White paper mejorar-seguridad-cloudArsys
 
Csa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCsa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCSA Argentina
 

Similar a Capítulo 8 Seguridad de la nube (20)

Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Ensayo de Seguridad en la nube
Ensayo de Seguridad en la nubeEnsayo de Seguridad en la nube
Ensayo de Seguridad en la nube
 
Ensayo seguridad en la nube
Ensayo seguridad en la nubeEnsayo seguridad en la nube
Ensayo seguridad en la nube
 
Perspectiva ensayo cap 8
Perspectiva ensayo cap 8Perspectiva ensayo cap 8
Perspectiva ensayo cap 8
 
Whitepaper 5 maneras de mejorar la Seguridad en el Cloud
Whitepaper 5 maneras de mejorar la Seguridad en el Cloud Whitepaper 5 maneras de mejorar la Seguridad en el Cloud
Whitepaper 5 maneras de mejorar la Seguridad en el Cloud
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubes
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nube
 
Foro kodak
Foro kodakForo kodak
Foro kodak
 
Red en nube ventajas y desventajas
Red en nube ventajas y desventajasRed en nube ventajas y desventajas
Red en nube ventajas y desventajas
 
La era de los controles
La era de los controlesLa era de los controles
La era de los controles
 
Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)Seguridad inalámbrica en contexto (also available in English)
Seguridad inalámbrica en contexto (also available in English)
 
Trabajo de word informatica- Victor Ulices Vargas,
Trabajo de word informatica- Victor Ulices Vargas, Trabajo de word informatica- Victor Ulices Vargas,
Trabajo de word informatica- Victor Ulices Vargas,
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
SEGURIDAD EN LA NUBE.pptx
SEGURIDAD EN LA NUBE.pptxSEGURIDAD EN LA NUBE.pptx
SEGURIDAD EN LA NUBE.pptx
 
Supere los desafíos de la protección de los datos en cualquier parte .pdf
Supere los desafíos de la protección de los datos en cualquier parte .pdfSupere los desafíos de la protección de los datos en cualquier parte .pdf
Supere los desafíos de la protección de los datos en cualquier parte .pdf
 
White paper mejorar-seguridad-cloud
White paper mejorar-seguridad-cloudWhite paper mejorar-seguridad-cloud
White paper mejorar-seguridad-cloud
 
Trabajo
TrabajoTrabajo
Trabajo
 
Csa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCsa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercado
 

Último

RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfFundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfsamyarrocha1
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfAlfredoRamirez953210
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...JAVIER SOLIS NOYOLA
 
TEST DE RAVEN es un test conocido para la personalidad.pdf
TEST DE RAVEN es un test conocido para la personalidad.pdfTEST DE RAVEN es un test conocido para la personalidad.pdf
TEST DE RAVEN es un test conocido para la personalidad.pdfDannyTola1
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxOscarEduardoSanchezC
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfvictorbeltuce
 
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIATRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIAAbelardoVelaAlbrecht1
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxMartín Ramírez
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 

Último (20)

RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdfTema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
Tema 7.- E-COMMERCE SISTEMAS DE INFORMACION.pdf
 
Fundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdfFundamentos y Principios de Psicopedagogía..pdf
Fundamentos y Principios de Psicopedagogía..pdf
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
 
TEST DE RAVEN es un test conocido para la personalidad.pdf
TEST DE RAVEN es un test conocido para la personalidad.pdfTEST DE RAVEN es un test conocido para la personalidad.pdf
TEST DE RAVEN es un test conocido para la personalidad.pdf
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
 
TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
 
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIATRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptxc3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
c3.hu3.p1.p2.El ser humano y el sentido de su existencia.pptx
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 

Capítulo 8 Seguridad de la nube

  • 1. SEGURIDAD DE LA NUBE La computaciónennube tienecaracterísticasespecíficas querequierenevaluaciónde los riesgosen áreas tales como integridad, recuperación y privacidad de los datos, así como asuntos legales en áreas talescomo la normativade regulación(compliance) yauditoríade lossistemasde seguridad de la información. Tecnologías como EC2 de Amazon o Google App Engine de Google, son ejemplos de servicios de Cloud Computing en las cuales se entregan a los clientes externos servicios de TI que utilizan tecnologías de Internet. PROTECCIÓN DE DATOS La nube,como yaconoce el lector,esunmodelode computaciónque ofrece el usode una serie de servicios, aplicaciones, datos, plataformas, infraestructuras, compuestas a su vez por recursos de computación,redes,servidores,almacenamiento,etc.Enunaprimera impresión,laabstraccióndel hardware que trae consigolanube da la sensaciónde que el nivel de seguridadesmásbajoque en losmodelostradicionales,yaqueenalgunosmodelos delanubelaempresacliente pierde elcontrol de seguridadsobre dichosservicios.Sin embargo,si laspolíticas de seguridaddel proveedorestán bien definidas y el cliente las ejecuta fielmente, trabajar en la nube supondrá, normalmente, una mejora de seguridad. Así, se plantean preguntas clave en la estrategia de seguridad en la nube: 1. ¿dónde estarán desplegados los datos? 2. ¿con cuál protección? 3. ¿quién es responsable de ellos? Los grandesproveedoresde lanube tienenrespuestaclaraparala tercera pregunta:el responsable de los datos es el cliente (personal o empresa). IBM llama a este tipo de seguridad “Secure by design”,odichode otro modo“seguridadpersonalizada”.El concepto pretendeque el entornosea el resultado de la interacción entre proveedor y empresa receptora de servicios. SEGURIDAD DE LOS SERVICIOS DE LA NUBE La evaluación de riesgos y la revisiónde la seguridad en la nube deben considerar en primer lugar lasopcionesde desplieguede lanube (pública,privadae híbrida) ymodelosde entregade servicios (SaaS, PaaS, IaaS). Estrechamente relacionada con los modelos anteriores estarán los procesos relacionadosconlavirtualización,loscualestambién consideraremos.Evidentemente,comosucede en el Plan General de Seguridad de la Información (PGSI), ninguna lista de controles de seguridad podrá cubrir todas las circunstancias, pero se deberá adoptar un enfoque basado en riesgos para moverse omigrara la nube yseleccionarlasopcionesde seguridad.Losactivosde despliegueenla nube se agrupan en dos grandes bloques: los datos y las aplicaciones. INFORMESDE LA INDUSTRIA DE SOFTWARE La importanciade laseguridadenlanube ylanecesidadde afrontarlosretosque ello supone,hace que los grandesproveedoresde lanube y de seguridadpubliquen frecuentemente informessobre temas de seguridad. Citaremos algunos casos a manera de ejemplo.
  • 2. Trend Micro Trend Micro, una de las grandes empresas proveedoras de seguridad informática del mundo, publicó un informe en junio de 2011, donde destacaba que el 43% de las empresas han tenido problemasde seguridadconsusproveedoresde serviciosbasadosenlanube.El informese elaboró despuésde entrevistara1.200 directoresde información(CIO’s) yel tema central de las encuestas y entrevistasfue cloudcomputingyla seguridad.Enel informe se destacabaque la adopciónde la nube en las empresas se estaba llevando a buen ritmo. Cisco El informe de Cisco de noviembre de 2011. Cisco, primer fabricante del mundo de dispositivos y redesde comunicaciónpresentóenAcapulco,México,enel mesde noviembre de 2011, el informe: “Seguridad en la nube, el nuevo reto: Cisco”. Cisco anunció su servicio de seguridad, ScanSafe Cloud Web que permite blindar la navegación dentro de la nube y asegurar el almacenamiento de datos salvaguardando la información de los usuarios. Microsoft Microsofttambiénestápreocupadosobrelaseguridadydisponibilidadde losdatosque sus clientes depositan en la nube, juntocon los requerimientos globales de seguridad. Algunas preguntas que cabría hacerse son: ¿qué están haciendo los proveedores para poder mantener una nube segura? ¿Están mis datos y los de mi empresa seguros en la nube? Es necesario que las empresas proveedoras de la nube tengan numerosos controles de seguridad del estándar ISO. Es importante tener en cuenta que existen muchas medidas de seguridad que Microsoft implementa, y también se preocupa sobre las reglas básicas de privacidad en el desarrollo de cualquier programa de software: 1. Privacidad pordiseño:toda lainformaciónobtenidade losusuariosdebe serparaun propósitoenparticular.Cuandose trata de informaciónsensible,se deben tomarmedidas de seguridadadicionales. 2. Privacidad pordefecto:Microsoftsiempre pide autorizaciónalosusuariospara utilizaro transmitirinformaciónsensible.Unavezautorizada,lainformaciónes protegidapor mecanismosde autenticaciónylistasde control de acceso. 3. Privacidad en la implementación:Microsoftrevelasusmecanismosde privacidadasus clientesempresarialesparaque éstospuedanadaptaresasmedidasasus propias necesidades. 4. Comunicación:constante publicaciónde documentossobre novedades relacionadasconla privacidad. Microsoftse mantiene alavanguardiaencuantoa lasleyesde seguridad,ycontinúaaplicandolos estándaresanivel mundial.Lascaracterísticasde losproductosque ofrece Microsoftenla nube se puedenconsultarenel sitio Cloud Power.
  • 3. ASEGURAMIENTO DE LOS DATOS EN LA NUBE La seguridad física define el modo de controlar el acceso físico a los servidores que soportan su infraestructura. La nube exige restricciones físicas de seguridad, teniendo presente que hay servidoresrealesque funcionanencualquierlugar.Cuandose selecciona unproveedorde lanube, se debe conocer y entender sus protocolos físicosde seguridad y las cosas que necesitan hacerse para asegurarse sus sistemas frente a vulnerabilidades físicas. Control de los datos El gran abismo existente entre los centros de datos tradicionales y los de la nube reside en la posición de sus datos en los servidores. Las empresas que han externalizadosus centros de datos enun proveedorde serviciosgestionadoenlanube se encuentranconel problemade no conocer, normalmente, en qué servidores están alojados sus datos. En verdad no existe tal problema si tenemos seguridad y fiabilidad en la empresa que nos gestiona los datos, sin embargo, la carga emocional existirá siempre y será una limitación que influirá directamente en la sensación de inseguridad de los datos. Porotra parte,losdatosalmacenadosenlanubese refierenesencialmentealosdatos almacenados enlosserviciosde IaaSynoalosdatosasociadosconlaejecuciónde unaaplicaciónenlanube tales como SaaS y PaaS. Por estarazón seráprecisoconsiderarlastresáreasclave de temasrelacionadosconla seguridad y privacidadde losdatos(Hurwitz2010: 76):  Localizaciónde susdatos  Control de sus datos  Transferencias seguras de sus datos REQUISITOS EXIGIBLES AL PROVEEDOR RELATIVOSA DATOS Antesde firmarel contrato con el proveedorde lanube debe asegurarse que enel mismoy enel acuerdode nivel de servicios(SLA) correspondiente debenestarcontempladosal menoslossiguientescompromisos(Hurwitz 2010: 85):  Integridad delos datos.  Cumplimiento deestándaresy regulacionespropiasdesu negocio.  Pérdida de datos.  Planesde continuidad delnegocio.  Tiempo deoperación.Aunque suproveedorle señalaraque susdatosestarándisponibles el 99.999% del tiempo,se debe comprobarenel contratoyverificarsi este tiempoincluye lasoperacionesde mantenimiento.  Costes de almacenamiento de datos. Es muy importante verificar qué incluye el concepto “almacenamientode datos”. Está incluido el coste de mover los datos en la nube. Existen costes ocultos de posibles integraciones de datos. ¿Cuánto costará realmente almacenar sus datos? Debe enterarse de cómo el proveedor trata realmente el almacenamiento de datos.
  • 4.  Terminación del contrato. Si el contrato se termina,¿cómose devuelvenlosdatos?Si está utilizando un proveedor de servicios de SaaS, por ejemplo, CRMo paquete ofimático, y se han creado datos durante las operaciones, ¿cómo se devolverán esos datos? Algunas compañías simplemente le anunciarán que destruirán losdatos no reclamados;asegúrese cómo se destruyen y que no se quedan “flotando” en la nube.  Propiedad de los datos. ¿Quién dispondrá del uso de sus datos una vez estén en la nube? Algunosproveedoresde serviciospuedendesearanalizarsus datospara fines estadísticos, mezclarlosconotros datos,etc. Son operacionessimilaresalas que se hacen a diarioenel comercio tradicional donde autorizamos a determinadas empresas a que puedan utilizar todos o parte de nuestros datos con fines de promociones publicitarias o similares. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA NUBE El desarrollodel softwaresegurose basaenlaaplicaciónde principiosde diseñode softwareseguro que forman los principios fundamentales del aseguramiento del software. El seguramiento del software se define como: “los fundamentos que permiten tener confianza justificada de que el softwaredebe tenertodaslaspropiedadesrequeridasparaasegurarque cuandodicho softwarese esté ejecutando deberá operar de modo fiable pese a la presencia de fallos intencionales. En términos prácticos significa que el software debe ser capaz de resistir la mayoría de los ataques, tolerar tantos ataques como sean posibles, contener los daños y recuperar un nivel de ejecución normal tan pronto como sea posibles, después de que cualesquiera ataques sean incapaces de resistir o tolerar”. Los principiosfundamentalesque soportanel aseguramientode lossistemasde informaciónenla nube son, engeneral,similaresalosestablecidosparalas Tecnologíasde la Información,perocon las características de la Nube. Se consideran los siguientes principios fundamentales: confidencialidad, integridad y disponibilidad, conocidos como la Triada de la Seguridad, y los principios complementarios son: autenticación, autorización, auditoría, responsabilidad (accountability) y privacidad. Confidencialidad La confidencialidad se refiere a la prevención de la divulgación (revelación) de información no autorizada tanto intencionada como no intencionada. Las confidencialidades en los sistemasde la nube se refieren a las áreas de derechos propiedad intelectual, cobertura de canales, análisis de tráfico, cifrado e inferencia. Integridad La integridadesla garantía de que el mensaje enviadoesel mensaje recibidoyque el mensaje no ha sido alterado intencionadamente o no. Esta seguridad de la integridad de los datos se debe garantizarenel tránsitoyenel almacenamientode losdatos.Tambiénse debenespecificarmedios pararecuperaciónapartirde erroresdetectadostalescomo borrados,insercionesomodificaciones. Los medios para proteger la integridadde la información incluyen políticas de control de acceso y decisiones respecto a quién o quiénes puedentransmitir y recibir datos y cuál información puede ser intercambiada.
  • 5. Los requerimientosparael cumplimientode laintegridaddebencontemplar:  Validacióndel origende losdatos  Detecciónde laalteraciónde losdatos  Determinación de que el origen de los datos se ha cambiado OTRAS CARACTERÍSTICAS IMPORTANTES Existen otras propiedades o características complementarias de las anteriores que se aplican a todo tipo de taxonomías de seguridad, como es el caso de la tradicional seguridad de los sistemas de información y de los sistemas de computación en la nube. Identificación Es el proceso mediante el cual los usuarios proporcionan sus identidades a un sistema. La identificaciónse utiliza,principalmente,paracontrol de accesoy esnecesariapara laautenticación y la autorización. Autenticación La autenticación esel procesode verificaciónde evidenciade laidentidadde unusuario. Establece la identidad del usuario y asegura que los usuarios son quienes realmente dicen ser. Por ejemplo, un procesocomún de autenticaciónde un usuarioexige presentarsu identidad(IDdel usuario) en el registrode entrada(login)de lapantallade unacomputadora yacontinuacióndebeproporcionar una contraseña (password). El sistema autentica (autentifica) al usuario verificando que la contraseña que ha introducido corresponde con la identidad (ID) presentada por el usuario; dicho de otra manera, se trata de establecer la identidad del usuario y asegurar que los usuarios son quienes dicen realmente que son. La autenticaciónde unusuariose basa,sobre todo,envariosconceptosprácticos:  Un conceptoo términoque conoce el usuario,como unnúmerode identificaciónpersonal (PIN) o una contraseña.  Alguna cosa que tiene el usuario, como una tarjeta inteligente o una tarjeta de crédito o similar.  Alguna cosa física tal como una huella o la exploración de la retina del ojo.  Autenticación de comportamiento (teclear nombre u otras frases en el teclado). Autorización La autorización se refiere a los derechos y privilegios garantizados a una persona o proceso que facilitan el acceso a los recursos de la computadora y los activos de información. Una vez que la identidad de un usuario y su autenticación se han establecido, los niveles de autorización determinan el grado o alcance de los derechos del usuario en el sistema. Auditoría La auditoría de un sistema en la nube tiene características similares a la auditoría del ciclo de vida de desarrollo del software y debe contemplar un plan de auditoría que al menos considere los siguientes aspectos (Krutz 83):  Determinación del ámbito de la auditoría  Determinación de los objetivos de la auditoría
  • 6.  Validación del plan de auditoría  Identificación de recursos necesarios Responsabilidad La responsabilidad (en inglés, accountability) es la capacidad de determinar las acciones y comportamiento de una persona dentro de un sistema de nube e identificar a ese individuo particular. Los trazos (trails) y conexiones (logs) soportan la responsabilidad y se pueden utilizar para conducir los estudios post mórtem a fin de analizar los eventos históricos y los individuos o procesos asociados con esos eventos. La responsabilidad está relacionada con el concepto de no repudio. Privacidad El nivel de protecciónde laprivacidaddadaaun usuarioenun sistemadebe serlomásalta posible y conforme a las leyes de privacidad vigentes en el país en que resida el cliente. La privacidad no sólogarantizael nivel de confidencialidadde losdatosde unaempresa,sino que tambiéngarantiza el nivel de privacidadde losdatosque se hanutilizadopor el operador.Porlaimportanciadeltema en la computación en nube, se dedica un capítulo en exclusiva al análisis de la privacidad. ASPECTOS SIGNIFICATIVOSEN LA SEGURIDAD EN LA NUBE Las empresas y organizacionesque optan por la migración o movimiento hacia la nube deberán estudiarplenamenteaquellostemascríticosrelativosalaseguridad.Asíse consideranal menoslos siguientes aspectos:  Implicaciones legales, cumplimiento y conformidad con regulatorios y los estándares que son diferentes en la nube de los marcos legales y regulatorios del entorno tradicional.  Noexiste el perímetrode seguridadde laorganizacióntradicional enlanube.La políticade seguridadcentradaenla seguridadperimetral nofuncionaenlanube inclusocon aquellas nubes que soporten la seguridad tradicional del perímetro.  El almacenamiento de datos en la nube debe considerarse un perfil de alto riesgo.  Las tecnologías de virtualización como Xen, Citrix, o VMware tienen sus propias vulnerabilidades y por consiguiente se deben introducir pautas de comportamiento. CUMPLIMIENTO DE REGULACIONES Y ESTÁNDARES La adopción de los servicios de la nube por una organizacióno empresa, presenta muchos retos y desafíos.Cuandounaorganizaciónmigraalanube paraconsumirservicios de ellay, especialmente, servicios de la nube pública, mucha de la infraestructura de sus sistemas de computación pasa a estar bajo el control de un proveedor de servicios de la nube (CSPCSPCSPCSP, Cloud Services Provider). Muchos de estosretospueden serafrontadosmedianteiniciativasde gestiónde la seguridad.Estas iniciativas requerirán delinear claramente la oferta de servicios del proveedor, así como la responsabilidadtantodel proveedor(quepodríaonotenertodala responsabilidadde lagestiónde la seguridad,yaque podríasera su vezcliente de otro proveedormayor) comodel funcionamiento de la organización que actúa con el rol de cliente.
  • 7. RIESGOSY TIPOS DE SEGURIDAD La seguridadde lossistemasde informaciónse divideendosgrandescategorías: protección de los activos (hardware, software e infraestructura de redes que constituyen un sistema de TI) y protección de los datos. Hace unos años los activos eran considerados la parte más valiosa del sistemaya su protecciónse dedicabancasi todoslosesfuerzosparaasegurarse que nose hacía un uso no autorizado de los mismos. Hoy día, naturalmente, ha cambiado esa situación y la mayoría de las organizaciones y empresas reconocen que el factor crítico de los sistemas de información es la protección de los datos que requierenunesfuerzoconsiderableygran parte de laatenciónde los proyectos de seguridadde la información. ADMINISTRACIÓN DE LA IDENTIDAD Y CONTROLDE ACCESO La administración (gestión) de la identidad y el control de acceso (IAMIAMIAMIAM, Identity and AccessManagement) sonfuncionesfundamentalesrequeridasenlacomputaciónennube seguray uno de los mejores métodos para la protección de su entorno. Dado que la nube implica comparticiónyvirtualizaciónde recursosfísicospormúltiplesusuariosinternos,espreciso conocer quiénes tienen acceso y a cuáles servicios. El objetivo principal de la administración de la identidad es la gestión de la información de dicha identidadpersonal (IP) de modoque el accesoalosrecursosde computación, aplicaciones,datosy servicios sea controladoadecuadamente. La administraciónde la identidades una de las áreas de la seguridad de TI que ofrece beneficios importantes en la reducción del riesgo de las violaciones (breaches) de seguridad. ESTRATEGIAS DE SEGURIDAD Las directricesde TIdebenpensarenprimerlugarsobre el impactode lanube enla seguridadde la corporación. Si usted está pensando en crear una nube privada o potenciar una nube pública necesita establecer una estrategia de seguridad. Sin un entorno de seguridad adecuado ninguna organizacióndebe implementarunasoluciónenlanube.Esta decisiónse debe adoptarenparalelo con el proceso de puesta en marcha del modelo elegido de nube. Inclusoaunque suorganizacióntengayaunaestrategiade seguridadbiendiseñada, deberáafrontar una estrategia complementaria para su paso a la nube y deberá tener presente los diferentes modelosexistentesde computaciónenlanubeyexaminarcuál o cuálesse adaptanmejorasuactual estrategia de seguridad de TI. SEGURIDAD DE LOS SERVICIOS DE LA NUBE La evaluación de riesgos y la revisiónde la seguridad en la nube deben considerar en primer lugar lasopcionesde desplieguede lanube (pública,privadae híbrida) ymodelosde entrega de servicios (SaaS, PaaS, IaaS). Estrechamente vinculados con los modelos anteriores estarán los procesos relacionadosconla virtualizaciónyque tambiénconsideraremos. Evidentemente,comosucede en el Plan General de Seguridad de la Información, ninguna lista de controles de seguridad podrá cubrir todas las circunstancias, pero se deberá adoptar un enfoque basadoenriesgosparamoverse omigraralanube yseleccionarlasopcionesde seguridad. Losactivosde despliegueenla nubese agrupanendosgrandesbloques:losdatosylas aplicaciones.