DE LAS OLIMPIADAS GRIEGAS A LAS DEL MUNDO MODERNO.ppt
Perspectiva ensayo cap 8
1. Capítulo 8
SEGURIDAD DE LA NUBE
La computación en la nube tiene características específicas que requieren evaluación de los
riesgos en áreas tales como integridad, recuperación y privacidad de los datos, así como en
asuntos legales en áreas como normativa de regulación (compliance) y auditoria de los sistemas de
seguridad de la información.
SEGURIDAD DE LOS SERVICIOS DE LA NUBE
La evaluación de riesgos y la revisión de la seguridad en la nube deben considerar en primer lugar
las opciones de despliegue de la nube (pública, privada e hibrida) y modelos de entrega de
servicios (SaaS, PaaS, IaaS). Estrechamente relacionada con los modelos anteriores estarán los
procesos relacionados con la virtualización, los cuales también consideraremos.
Trend Micro
Trend Micro, una de las grandes empresas proveedoras de seguridad informática del mundo,
público un informe en junio de 2011, donde destacaba que el 43% de las empresas han tenido
problemas de seguridad con sus proveedores de servicios basados en la nube. El informe se
elaboró después de entrevistar a 1.200 directores de información (CIO’s) y el tema central de las
encuestas y entrevistas fue cloud computing y la seguridad
Cisco
El informe de Cisco de noviembre de 2011. Cisco, primer fabricante del mundo de dispositivos y
redes de comunicación presento en Acapulco, México, en el mes de noviembre de 2011, el
informe: “Seguridad en la nube, el nuevo reto: Cisco”.1
Cisco anuncio su servicio de seguridad, ScanSafe Cloud Web que permite blindar la navegación
dentro de la nube y asegurar el almacenamiento de datos salvaguardando la información de los
usuarios.
Microsoft
Microsoft también está preocupado sobre la seguridad y disponibilidad de los datos que sus
clientes depositan en la nube, junto con los requerimientos globales de seguridad. Algunas
preguntas que cabría hacerse son: .que están haciendo los proveedores para poder mantener una
nube segura? .Están mis datos y los de mi empresa seguros en la nube? Es necesario que las
empresas proveedoras de la nube tengan numerosos controles de seguridad del estándar ISO.
ASEGURAMIENTO DE LOS DATOS EN LA NUBE
La seguridad física define el modo de controlar el acceso físico a los servidores que soportan su
infraestructura. La nube exige restricciones físicas de seguridad, teniendo presente que hay
servidores reales que funcionan en cualquier lugar. Cuando se selecciona un proveedor de la nube,
se debe conocer y entender sus protocolos físicos de seguridad y las cosas que necesitan hacerse
para asegurarse sus sistemas frente a vulnerabilidades físicas.
Control de los datos
La CSA edita una Guía parala seguridad en la nube en áreas críticas de atención en Cloud
Computing que enfatiza en 15 dominios de seguridad en la nube para un ciclo de vida de software
seguro. En estos dominios se abarca desde el marco de la arquitectura de la Nube hasta la gestión
del ciclo de
2. vida de la información, seguridad y recuperación de catástrofes, las operaciones en el centros
de datos, e incluso las respuestas ante incidencias, notificación y subsanación, así como la
seguridad de las aplicaciones, pasando por la gestión de acceso e identidades o la
virtualización. Estos dominios se refieren a la globalidad de la seguridad en la nube. Sin
embargo será preciso considerar dos aspectos fundamentales: la seguridad de los datos y la
seguridad del software.
Por esta razón será preciso considerar las tres áreas clave de temas relacionados con la
seguridad y privacidad de los datos (Hurwitz 2010: 76):
· Localización de sus datos
· Control de sus datos
· Transferencias seguras de sus datos
En la nube los datos corporativos que estaban previamente asegurados en el interior de su
cortafuego pueden ahora moverse hacia el exterior para alimentar a cualquier número de
aplicaciones y procesos. Los proveedores de la nube deben asegurar la seguridad y privacidad de
sus datos, pero son los directivos de la empresa los responsables últimos de velar por la protección
de los datos de la misma. Esta circunstancia implica que las regulaciones de los gobiernos y de la
industria que han sido creadas para proteger la información personal y del negocio se deben
aplicar tanto si están en sus propios servidores como si están gestionados o almacenados en un
proveedor externo
Localización de localización los datos en la nube
Una vez que sus datos están en la nube se puede no tener control sobre donde están localizados
sus datos,2 por lo que será preciso que el cliente tenga presente las siguientes consideraciones:
¾ Leyes específicas de los países Las leyes que gobiernan la protección de los datos difieren de la
posición donde estén situados físicamente los datos. Así, puede suceder que la protección legal de
los datos en su propio país puede no aplicarse si sus datos están alojados fuera de su país. Puede
ser que legalmente no tenga acceso total a ellos, sin que usted pueda controlarlos cuando los
necesite circunstancialmente.
¾ Transferencia de datos a través de fronteras. Una empresa que tenga carácter global con
presencia en otros países, ya sea con filiales o con clientes o socios en ellos, puede estar
preocupada por la transferencia de datos a través de las fronteras físicas de esos países al estar
obligada al cumplimiento de las leyes locales. Esta situación es especialmente sensible en el caso
de aplicación de la virtualización, cosa por otra parte normal en los centros de datos de la nube, ya
que el propio proveedor puede no conocer donde están almacenados los datos en un momento
determinado.
¾ Mezcla de datos. Incluso en situaciones en las cuales los datos residen en países que tienen
leyes similares e incluso con tratados de colaboración entre ellos, puede ocurrir que los datos
estén almacenados físicamente en bases de datos o almacenes de datos, junto con datos de otras
empresas, es decir, están “mezclados”. Evidentemente, este hecho puede producir situaciones
anómalas, ya que es factible que se produzcan ataques de virus a esas u otras empresas que
pudieran afectar a la nuestra.
¾ Usos secundarios de los datos. En los modelos, especialmente de nube publica, sus datos
pueden ser vulnerables a usos alternativos o secundarios de los proveedores de servicio, ya que si
no existen controles adecuados, sus datos pueden utilizarse para fines de marketing
(mercadotecnia) e incluso mezclados con datos de otras organizaciones para usos alternativos
3. Control de datos en la nube
Los controles incluyen las políticas de gobierno instituidas en el lugar para establecer que sus
datos pueden quedar asegurados. La integridad, fiabilidad y confidencialidad de sus datos deben
ser irreprochables tanto para el cliente como para el proveedor
Es necesario que la empresa conozca los niveles de control de los datos en la nube y los métodos
de auditoria sobre ellos. Algunas políticas de los diferentes tipos de control establecidos para
asegurar la precisión y la integridad de la entrada, salida y proceso de los datos, son:
Los controles de validación de entrada deben asegurar que toda la entrada de datos a
cualquier sistema o aplicación sea completa, precisa y aceptable.
Controles de los archivos para asegurarse que los datos se manipulan con precisión
en cualquier tipo de archivo tanto de datos estructurados como no estructurados
(audio, video, música, mensajes SMS, libros…)
Controles de acceso para asegurar que únicamente las personas que están
autorizadas para acceso a los datos pueden hacerlo; los datos sensibles deben ser así se
considera necesario.
Controles en la gestión de los cambios para asegurar que los datos no se pueden
modificar sin la autorización correspondiente.
Controles en la realización de copias de seguridad (backups) y en la recuperación de
datos. Una de las brechas de seguridad más frecuentes se producen durante las
realizaciones de las copias de seguridad y por ello es necesario mantener un control
estricto tanto físico como lógico en estos procesos.
Control en la destrucción de los datos para asegurar que cuando los datos se borran
de modo permanente, estos se eliminan de todos los lugares donde puedan estar
grabados, incluyendo las copias de seguridad y los sitios de almacenamiento
redundantes que se hayan creado.
Una solución muy recomendada, sobre todo en el caso de almacenamiento de datos, es elegir un
segundo proveedor y utilizar procedimientos automatizados de copias de seguridad de modo
regular (existen muchas soluciones incluso de código abierto y gratuitas) para asegurarse que
cualesquier datos actuales e históricos se pueden recuperar incluso si su proveedor de la nube
pudiese desaparecer por quiebra de la compañía o cualquier otra circunstancia anómala. Otras
soluciones recomendables consisten en cifrar sus copias de seguridad, así como cifrar todas las
comunicaciones de redes, sobre todo en lo relativo a datos sensibles.
Seguridad de los datos durante el transporte en la nube
En lo relativo al transporte de los datos, al menos se deben tener presentes los siguientes
principios en las directrices, con el objetivo de realizar un transporte seguro a través de Internet:
· Asegurarse que nadie puede interceptar sus datos cuando los mueve desde un punto
origen a un punto de destino en la nube.
· Asegurarse que ningún datos se filtra (malware, virus, etc.) desde cualquier
almacenamiento existente en la nube.
Normalmente los transportes de datos se producirán de diferentes formas. a) En un entorno
único de la nube; b) en la Internet publica entre una empresa y un proveedor de la nube; y c)
entre nubes. En esos casos deberá tener presente también los procesos de cifrado que se
4. puedan requerir. Un procedimiento común que se puede realizar en las empresas es recurrir a
utilizar sus redes virtuales privadas (VPN, Virtual Private Network) para gestionar la seguridad de
los datos durante su transporte en el entorno de la nube. Una red virtual privada incorporará dos
características fundamentales: Un cortafuegos (firewall) que actué como barrera entre la Internet
pública y cualquier red privada; y el cifrado para proteger sus datos sensibles ante ataques de
hackers de modo que solo el computador que envié los datos debe tener la clave para decodificar
los datos.
REQUISITOS EXIGIBLES AL PROVEEDOR RELATIVOS A
DATOS
Antes de firmar el contrato con el proveedor de la nube debe asegurarse que en el mismo y en el
acuerdo de nivel de servicios (SLA) correspondiente deben estar contemplados al menos los
siguientes compromisos (Hurwitz 2010: 85):
Integridad de los datos.
Cumplimiento de estándares y regulaciones propias de su negocio.
Pérdida de datos.
Planes de continuidad del negocio.
Tiempo de operación. Aunque su proveedor le señalara que sus datos estarán
disponibles el 99.999%3 del tiempo, se debe comprobar en el contrato y verificar si
este tiempo incluye las operaciones de mantenimiento.
Costes de almacenamiento de datos. Es muy importante verificar que incluye el
concepto “almacenamiento de datos”. Esta incluido el coste de mover los datos en la
nube. Existen costes ocultos de posibles integraciones de datos. .Cuanto costara
realmente almacenar sus datos? Debe enterarse de como el proveedor trata
realmente el almacenamiento de datos.
Terminación del contrato. Si el contrato se termina, .como se devuelven los datos? Si
está utilizando un proveedor de servicios de SaaS, por ejemplo CRM o paquete
ofimático, y se han creado datos durante las operaciones, .como se devolverán esos
datos? Algunas compañías simplemente le anunciaran que destruirán los datos no
reclamados; asegúrese cómo se destruyen y que no se quedan “flotando” en la nube.
Propiedad de los datos. .Quien dispondrá del uso de sus datos una vez estén en la
nube? Algunos proveedores de servicios pueden desear analizar sus datos para fines
estadísticos, mezclarlos con otros datos, etc. Son operaciones similares a las que se
hacen a diario en el comercio tradicional donde autorizamos a determinadas
empresas a que puedan utilizar todos o parte de nuestros datos con fines de
promociones publicitarias o similares.
Cambio de proveedores. Si se crean aplicaciones y datos con un proveedor y se
decide cambiar de proveedor, .cuales serán las dificultades para mover sus datos?
OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA NUBE
El desarrollo del software seguro se basa en la aplicación de principios de diseño de software
seguro que forman los principios fundamentales del aseguramiento del software. El
aseguramiento del software se define4 como: “los fundamentos que permiten tener confianza
justificada de que el software debe tener todas las propiedades requeridas para asegurar que
cuando dicho software se esté ejecutando deberá operar de modo fiable pese a la presencia de
fallos intencionales. En términos prácticos significa que el software debe ser capaz de resistir la
5. mayoría de los ataques, tolerar tantos ataques como sean posibles, contener los danos y
recuperar un nivel de ejecución normal tan pronto como sea posibles, después de que
cualesquiera ataques sean incapaces de resistir o tolerar”.
Se consideran los siguientes principios fundamentales: confidencialidad, integridad y
disponibilidad, conocidos como la Triada de la Seguridad, y los principios complementarios son:
autenticación, autorización, auditoria, responsabilidad (accountability) y privacidad.
Confidencialidad
Se refiere a la prevención de la divulgación (revelación) de información no autorizada tanto
intencionada como no intencionada. La confidencialidad en los sistemas de la nube se refieren a
las áreas de derechos propiedad intelectual, cobertura de canales, análisis de tráfico, cifrado e
inferencia.
La pérdida de la confidencialidad se puede producir de muchas maneras. Algunos de los
elementos de telecomunicaciones utilizados para asegurar la confidencialidad son:
Protocolos de seguridad de redes
Servicios de autenticación de claves
Servicios de cifrado (encriptación) de datos
La confidencialidad en un sistema en la nube se refiere a la protección de datos durante la
transferencia entre entidades. Una política de confidencialidad define los requisitos para asegurar
la propia confidencialidad de los datos previniendo la divulgación no autorizada de información
que se envía entre dos puntos finales
Integridad
La integridad es la garantía de que el mensaje enviado es el mensaje recibido y que el mensaje no
ha sido alterado intencionadamente o no. Esta seguridad de la integridad de los datos se debe
garantizar en el tránsito y en el almacenamiento de los datos. También se deben especificar
medios para recuperación a partir de errores detectados tales como borrados, inserciones o
modificaciones.
Los requerimientos para el cumplimiento de la integridad deben contemplar:
Validación del origen de los datos
Detección de la alteración de los datos
· Determinación de que el origen de los datos se ha cambiado
Algunos de los elementos utilizados para asegurar la integridad incluyen las siguientes
características:
Servicios de cortafuegos
Gestión de seguridad de las comunicaciones
Servicios de detección de intrusiones
El concepto de integridad de la información en la nube requiere el cumplimiento de esos
tres principios (Krutz 2010: 64):
Las modificaciones a los datos no pueden hacerse por procesos o personal no autorizado.
Las modificaciones no autorizadas no se hacen a los datos por personas o procesos
autorizados.
Los datos son consistentes interna o externamente; en otras palabras, la información
6. Disponibilidad
Una vez que se ha conseguido mantener la confidencialidad y la integridad de los datos del cliente,
se debe también asegurar la disponibilidad de sus datos. La disponibilidad asegura el acceso fiable
y a tiempo a los datos de la nube o a los recursos de computación por el personal apropiado. La
disponibilidad garantiza que los sistemas funcionen adecuadamente cuando se necesiten. Este
concepto garantiza que los servicios de seguridad de los sistemas de la nube trabajan en el orden
correcto
La disponibilidad asegura al personal apropiado el acceso fiable y a tiempo a datos de la nube o
recursos de computación en la nube. La disponibilidad garantiza que el sistema esta funcionando
adecuadamente cuando se necesite.
Consideraciones prácticas
Los tres principios o consideraciones fundamentales (confidencialidad, integridad y disponibilidad)
deben estar perfectamente reseñados en el acuerdo de nivel de servicios (SLA) que el proveedor
proporcione a sus clientes. Sin lugar a dudas, los acuerdos a nivel de servicios han ido
evolucionado desde posiciones débiles por la dificultad en ocasiones de cumplimiento por
razones, a veces ajenas, a los propios proveedores, pero consideramos que los grandes
proveedores tradicionales como IBM, Amazon, EMC… a nivel internacional o a niveles europeos
como la empresa alemana Strato, la empresa española Arsys, etc.
OTRAS CARACTERÍSTICAS IMPORTANTES
Identificación
Es el proceso mediante el cual los usuarios proporcionan sus identidades a un sistema. La
identificación se utiliza, principalmente, para control de acceso y es necesaria para la
autenticación y la autorización.
Autenticación
Es el proceso de verificación de evidencia de la identidad de un usuario.
Establece la identidad del usuario y asegura que los usuarios son quienes realmente dicen
ser.
Autorización
Se refiere a los derechos y privilegios garantizados a una persona o proceso que facilitan el acceso
a los recursos de la computadora y los activos de información. Una vez que la identidad de un
usuario y su autenticación se han establecido, los niveles de autorización determinan el grado o
alcance de los derechos del usuario en el sistema.
Auditoria
La auditoría de un sistema en la nube tiene características similares a la auditoria del ciclo de vida
de desarrollo del software y debe contemplar un plan de auditoria que al menos considere los
siguientes aspectos (Krutz 83):
Determinación del ámbito de la auditoria
Determinación de los objetivos de la auditoria
Responsabilidad
Es la capacidad de determinar las acciones y comportamiento de una persona dentro de un
sistema de nube e identificar a ese individuo particular.
Privacidad
7. El nivel de protección de la privacidad dada a un usuario en un sistema debe ser lo más alta
posible y conforme a las leyes de privacidad vigentes en el país en que resida el cliente.
CUMPLIMIENTO DE REGULACIONES Y ESTÁNDARES
La adopción de los servicios de la nube por una organización o empresa, presenta muchos retos y
desafíos. Cuando una organización migra a la nube para consumir servicios de ella y,
especialmente, servicios de la nube publica, mucha de la infraestructura de sus sistemas de
computación pasa a estar bajo el control de un proveedor de servicios de la nube (CSP, Cloud
Services Provider).
Implementación de políticas de seguridad
Las políticas de seguridad son el fundamento de una correcta implementación de seguridad.
A veces, las organizaciones implementan soluciones de seguridad sin crear primero los
fundamentos básicos de políticas, estándares, directrices y procedimientos, lo que provoca
centrarse en controles de seguridad ineficientes.
Las políticas de seguridad más usuales en las organizaciones son (Krutz 2010: 155):
Declaración de la dirección relativa a políticas de seguridad de la organización.
Políticas regulatorias
Políticas de asesoramiento
Políticas informativas
RIESGOS Y TIPOS DE SEGURIDAD
La seguridad de los sistemas de información se divide en dos grandes categorías: protección
de los activos (hardware, software e infraestructura de redes que constituyen un sistema de
TI) y protección de los datos. Hace unos años los activos eran considerados la parte más
valiosa del sistema y a su protección se dedicaban casi todos los esfuerzos para asegurarse
que no se hacía un uso no autorizado de los mismos.
Recuperación de desastres
Es el arte o el método de poder reanudar el funcionamiento normal de un sistema cuando se
enfrenta una organización a los escenarios de un desastre.
En general, el concepto de desastre se entiende como el evento que produce la interrupción
de las operaciones normales de un sistema. Un desastre no es solamente un ataque terrorista, un
huracán o un terremoto, es también que un proveedor de soluciones informáticas o un banco se
declare en quiebra. En el caso de desastres informáticos, los centros de la nube pueden ayudar
bastante a la recuperación del desastre.
Modelo de software tradicional
Las aplicaciones de software tradicionales están basadas en un modelo de costes de licencias,
soporte, mantenimiento y actualización por periodos de tiempo anuales, bianuales, trianuales, etc.
Los costes de las licencias se basan en métricas que por lo general no están alineadas con el uso de
las aplicaciones, sino con el coste del desarrollo del software, normalmente alto, y el periodo de
despliegue entre sus clientes
8. Administración de la identidad
La identificación y autenticación son los componentes clave de la mayoría de los sistemas de
control de acceso. La identificación es el acto de un usuario por el que entrega una identidad a un
sistema, normalmente en la forma de un nombre de usuario y una identificación de registro de
usuario (logon ID) al sistema. Los ID’s de usuarios deben ser únicos y no compartidos entre
diferentes personas. En muchas organizaciones los ID’s de usuarios siguen un conjunto de
estándares tales como primera inicial del nombre, seguida del primer apellido, primer nombre
seguido del primer apellido, etc. Con el objetivo de mejorar la seguridad y reducir la cantidad de
información disponible a los atacantes, un ID no debe contemplar el título del trabajo del usuario o
funciones que desempeña.
Control de acceso
Está conectado directamente a la gestión de identidad y es necesario para preservar la
confidencialidad, integridad y disponibilidad de los datos de la nube. Estos objetivos deben estar
declarados explícitamente en las políticas de seguridad de las organizaciones.
Los tres elementos que se deben considerar en la planificación y la implementación de los
mecanismos de control de acceso son: las amenazas al sistema, la vulnerabilidad del sistema
antes estas amenazas y los riesgos que las amenazas pueden provocar. Estos conceptos se
definen de la siguiente manera (Nahari 2011: 152):
Amenaza. Un evento o actividad que tiene el potencial de producir daño a los
sistemas de información o a las redes.
Vulnerabilidad. Una debilidad o carencia de una salvaguardia que puede ser explotada
por una amenaza, y producir daño a los sistemas de información o a las redes.
Riesgo. El potencial de daño o de perdida en un sistema de información o en la red; la
probabilidad de que se materialice una amenaza.
LA SEGURIDAD COMO SERVICIO (SECAAS)
Se trata de ofrecer la seguridad como un servicio y ayudar a los usuarios finales en la elección de
sus soluciones. CSA clasifica los servicios de seguridad en la nube en las siguientes categorías:
Gestión de identidades y acceso
Prevención de pérdida de datos
Seguridad en la Web
Seguridad para el correo electrónico
Evaluación de la seguridad
Gestión de intrusiones
Seguridad de la información y gestión de eventos
Cifrado
Continuidad del negocio y recuperación de desastres
Red de seguridad