Descripción de servicios en Cloud Computing y principales factores referidos a la seguridad a tener en cuenta cuando se considera la migración de servicios hacia la nube
[CSA] Introducción a la Seguridad en Cloud Computingcloudsa_arg
Presentación sobre "Introducción a la Seguridad en Cloud Computing" en las Primeras Jornadas sobre “Derecho, Tecnología y Sociedad”, organizadas por el Colegio de Abogados de La Plata.
[CSA] Introducción a la Seguridad en Cloud Computingcloudsa_arg
Presentación sobre "Introducción a la Seguridad en Cloud Computing" en las Primeras Jornadas sobre “Derecho, Tecnología y Sociedad”, organizadas por el Colegio de Abogados de La Plata.
Introducción a la Seguridad en Cloud Computing | CISObeat WebinarsCISObeat
Alfredo Alva brinda una introducción a Cloud Computing, donde nos habla del modelo de responsabilidad compartida y el enfoque de seguridad en proyectos que involucren sistemas cloud.
Derechos de Autor y Estrategias de Licenciamiento Sebastian Thuer
Módulo sobre estrategias de licenciamiento y derechos de autor. En el marco del curso de Diseño y Desarrollo de la Secretaría Académica de la Universidad Nacional de Río Cuarto.
Una propuesta que adopta el enfoque curricular de las competencias y su orientación de “competencia metodológica”, es decir, al servicio de los contenidos de las distintas áreas. Que procura ser suficientemente global – cinco grandes dimensiones - y suficientemente concreta – dividida en cinco capacidades cada una - para servir de punto de partida para prácticas y aplicaciones en las aulas, procurando evitar la prescripción o la alfabetización basada en habilidades.
Introducción a la Seguridad en Cloud Computing | CISObeat WebinarsCISObeat
Alfredo Alva brinda una introducción a Cloud Computing, donde nos habla del modelo de responsabilidad compartida y el enfoque de seguridad en proyectos que involucren sistemas cloud.
Derechos de Autor y Estrategias de Licenciamiento Sebastian Thuer
Módulo sobre estrategias de licenciamiento y derechos de autor. En el marco del curso de Diseño y Desarrollo de la Secretaría Académica de la Universidad Nacional de Río Cuarto.
Una propuesta que adopta el enfoque curricular de las competencias y su orientación de “competencia metodológica”, es decir, al servicio de los contenidos de las distintas áreas. Que procura ser suficientemente global – cinco grandes dimensiones - y suficientemente concreta – dividida en cinco capacidades cada una - para servir de punto de partida para prácticas y aplicaciones en las aulas, procurando evitar la prescripción o la alfabetización basada en habilidades.
Le journal 1 Ensemble Construisons Demain.
Parce que j'aime La Ville-aux-Dames, parce que je suis un maire au diapason de vos préoccupations, parce que je nous crois capables de relever ensemble le défi de l'avenir, je suis prêt à solliciter vos suffrages
-Resumen del capitulo 1 de Computación en la nube_Luis Joyanes Aguilar
-Universidad Nacional Autónoma de Honduras en el Valle de Sula UNAH-VS
-Carrera: Informática Administrativa
-Presentado por: David Salomón Sandobal
-Asignatura: Perspectiva de la Tecnología Informática
-Catedrático: Guillermo Brand
-II Periodo Académico 2016
-San Pedro Sula, Cortés, Honduras C.A.
Presentación donde se describe el estado actual del modelo Cloud Computing y cómo este modelo está cambiando la manera en que las empresas adquieren infraestructuras, plataformas de desarrollo y aplicaciones. Presentación realizada en el evento Cloud Computing Latin American Conference 2011 organizado por Channel Planet.
Los servicios de intermediación de cloud mejoran la visibilidad y la gestión ...Josefina Almorza Hidalgo
¿Se está planteando implementar el cloud híbrido? Es probable que
ya lo haya hecho, lo sepa o no. El cloud híbrido se fusiona en las
infraestructuras de TI tradicionales y clouds privados con una matriz
de entornos de cloud público específicos y escalables. Si se fija bien
en su organización, seguramente encontrará empleados que han
comprado funcionalidades de cloud público sin el consentimiento ni el
conocimiento del centro de TI.
Una pequeña descripción de lo que es la computación en la nube, sus características y sus posible retos y oportunidades que puede brindar esta a los usuarios como las empresas u organizaciones haci como también a los usuarios individuales.
Curso: Proyecto de sistemas de comunicación: 04 Cloud computing.
Dictado en la Universidad Tecnológica del Perú, Lima - Perú, ciclos 2011-3 (octubre/2011) y 2012-1 (abril/2012).
Se describe el avance del Phishing como amenaza Internacional en computadoras y móviles. Se explica el Protocolo de Segu-Info para luchar contra el Phishing.
La fuga de información como desafío en las empresas. Evitar la fuga de información se ha transformado en uno de los desafíos más importantes de los últimos tiempos para las organizaciones debido a factores internos y externos. Es necesario tomar las medidas de seguridad necesarios ante empleados infieles y/o descontentos que buscarán perjudicar a la organización y beneficiarse a sí mismos. Ante los incrementos y perfeccionamiento de los ataques externos y dirigidos es necesario contar con personal que piense como un atacante. La presentación hace un análisis de estos factores y de las formas de prevención para evitar fugas de información.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
2. Sobre Segu-Info y
Cristian Borghello
Cristian Borghello, es Licenciado en Sistemas,
desarrollador, Certified Information Systems Security
Professional (CISSP) y Microsoft MVP Security (Most
Valuable Professional).
Es Director de Segu-Info y se desempeña como
consultor independiente en Seguridad de la
Información.
Segu-Info es la comunidad más grande de habla
hispana sobre Seguridad de la Información.
Brinda información libre y gratuita sobre la temática
desde el año 2000.
3. Licencia de uso
Creative Commons 2.5
Ud. puede:
Copiar, distribuir, exhibir, y ejecutar la obra
Hacer obras derivadas
Bajo las siguientes condiciones:
Atribución. Debe atribuir la obra en la forma especificada por el autor
No Comercial. No puede usar esta obra con fines comerciales
Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre
esta obra, sólo podrá distribuir la obra derivada resultante bajo una
licencia idéntica a ésta
http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
5. Cloud Computing (CC)
Buzzword de moda
Nuevo modelo o
paradigma que permite
ofrecer servicios a través
de Internet (la nube)
6. Definición formal
• CC es un modelo que permite el acceso
bajo demanda a un conjunto compartido de
recursos informáticos configurables, de los
cuales se puede disponer rápidamente con
una gestión mínima de esfuerzos
• Promueve la disponibilidad y se compone
de distintas características, modelos de
servicio e implementación
Definición de Cloud Computing de NIST
http://bit.ly/d6J8pk
9. Barómetro de ISACA
• En 2010 utilizarán CC:
30% de las organizaciones en LA
25% de las organizaciones de EE.UU.
18% de las organizaciones europeas
• 41% de los profesionales de LA considera
que los riesgos de CC superan los beneficios
• 17% opina lo contrario
• 42% creen que los beneficios y los riesgos
están equilibrados
2010 ISACA IT Risk/Reward Barometer - Latin America Edition
http://bit.ly/aym1KF
10. Ventajas para el proveedor
Mayor número “Inmediatez”
de servicios del servicio
disponibles
Servicios
Ahorro en estándares y “sin
tecnología reinventar la rueda”
Mayor escalabilidad
Mayor adaptabilidad
de los servicios Unificación
ofrecidos/recibidos de sistemas
11. Ventajas para el cliente
Servicio Simplicidad de
disponible en implementación
cualquier lugar
Precios más
Integración ya flexibles
probada por la
industria Mayor
escalabilidad
Mínima cantidad de
tiempo fuera de Actualizaciones
servicio automáticas
12. Permite
centrarse en
el negocio
Menos riesgos y
ahorro de costes
e inversión
14. Arquitectura “As a Service”
IBM: Cloud Security Guidance
http://bit.ly/bDlhrf
15. Software as a Service
SaaS es la capa más alta y es una aplicación
que se ofrece como un servicio, que se
ejecuta en la infraestructura del proveedor y
es posible acceder a la aplicación desde
cualquier dispositivo y un navegador
16. Plataforma as a Service
PaaS encapsula y abstrae un ambiente de
desarrollo que contiene los lenguajes de
programación y las bases de datos. Es capaz
de brindar servicios a todas las fases del ciclo
de desarrollo de software
17. Infraestructura as a Service
IaaS entrega almacenamiento, conexiones,
poder de procesamiento y servicios de red
generalmente virtualizados para que el
cliente pueda disponer de ellos
18. Tipos de nube
Públicas: manejadas completamente por terceras
partes. El cliente no conoce qué servicios o
clientes se ejecutan en el entorno
Privadas: se ejecutan en una infraestructura a
demanda. El cliente controla el servidor, la red, el
espacio, las aplicaciones, los servicios y los
usuarios que pueden acceder
Comunitarias: son compartidas por varias
organizaciones con objetivos similares
Híbridas: combinan los modelos anteriores y
permiten configurar o escalar algunos servicios
19. “Creemos que CC representa la
plataforma para la próxima
generación de negocios”
Microsoft
“Pienso que CC es una de las
bases para la próxima
generación de computadoras”
Tim O’Reilly
20. “Hay restricciones en CC en Europa. No
va a matar el negocio, pero su evolución
será mas lenta comparada con EE.UU.”
Bob Lindsay
Director de privacidad de HP
“CC es una trampa destinada a obligar a
la gente a adquirir sistemas
propietarios, bloqueados, que costarán
más conforme pase el tiempo”
Richard Stallman
21. ¡PUFFF! Más
de lo mismo
¿No estamos siendo simplistas?
¿No olvidamos nada?
¿Son todas ventajas?
Todo lo que brilla ¿es oro?
23. Seguridad en la nube (I)
• La nube deja en manos del proveedor
la responsabilidad del almacenamiento
de datos y su control
• No se consideran la legislación, las
normas y las regulaciones
• La cadena de provisión de servicio no
es evaluada
• Los tres pilares (CID) de la Seguridad de
la Información pueden comprometerse
24. Seguridad en la nube (II)
• Existen problemas de Insiders
• Sistemas compartidos por distintos clientes
• Fallas “masivas” pueden dañar a múltiples
clientes
• Servicios compartidos son ¿vulnerabilidades
compartidas?
• Se conoce al proveedor por una interface
• No se conocen los activos del proveedor
• Riesgo del proveedor desconocido para el
cliente
25. Confidencialidad
• Verificar dónde se alojan los datos para
evitar problemas de ubicuidad legislación
internacional y geolocalización
• Conocer quién accede a la información
almacenada
• El cifrado debe realizarse en la información
almacenada, en tránsito y en backup
• Verificar si se retiene o se destruye la
información al finalizar el contrato con el
proveedor
27. Integridad
• Analizar quién puede acceder, modificar o
eliminar información del centro de datos
• Verificar si la información permanece o se
elimina logica/físicamente (remanencia)
• Posibilidad de que datos de distintos clientes
se “mezclen”
• Restore incorrecto, inconsistente o
incompleto
• Sistema de análisis de malware
29. Disponibilidad
• Los servicios no estarán disponibles 24x7
• Los proveedores ofrecen 99.999% de
disponibilidad (5,25 min./año sin servicio)
• Pueden existir ataques de DDoS (Distributed
Denial of Service)
• El servicio es SPOF (Single Point of Failure)
• Backup y restore no satisfactorio
Ej: Bitbucket (servicio provisto por EC2 de Amazon) estuvo 19
horas caído en octubre 2009
32. Virtualización
• Los riesgos asociados a CID son los mismos
que en sistemas físicos más los propios de la
virtualización
• La “mezcla” de máquinas virtuales de
diferente sensibilidad representa un riesgo
• Se debe analizar la seguridad por capas del
proveedor
33. Gestión de Riesgos
• No se conocen los activos
• No se conocen las amenazas
• Se pueden conocer algunas vulnerabilidades
(a través de la interface)
• No se puede medir el riesgo
• No se puede implementar controles y por lo
tanto se deben fortalecer las medidas
contractuales
34. El modelo de
Gestión de Riesgo
debe cambiar
Si antes no se evaluaba
el Riesgo
¿Ahora lo haremos?
35. Contratos
• Considerar la jurisdicción
• Evaluar la aplicabilidad de disposiciones
nacionales e internacionales
• Recolectar y revisar los requisitos legales y
normativos necesarios para ambas partes
• Evaluar si los términos del proveedor
cumplen los requisitos del cliente
• Estipular todo lo necesario en los SLA
(Service Level Agreement)
• Analizar el sistema de penalizaciones
36. Certificaciones y Compliance
• Los proveedores deberían contar con una
certificación de auditoría (SAS 70) al menos
• Se recomienda un SGSI y la certificación de ISO
27000 (sobre todo en servicios críticos)
• Verificar certificaciones internacionales de
continuidad de negocio como BS 25999
• Existen otras normas que pueden ser requeridas
(NIST, SOX, PCI, FISMA, HIPAA…)
• Próximamente la certificación Trusted Cloud
Initiative (13 dominios de seguridad)
38. Conclusiones (I)
• Ante la duda pensar estos servicios como
externos porque son más conocidos
(offshoring o outsourcing)
• Evaluar los contratos de servicio
• Evaluar que las políticas actuales de la
empresa coincidan con el proveedor
• Lograr la interacción entre legales y IT
• Parte de lo ahorrado debe invertirse en
examinar las capacidades del servicio de CC
39. Conclusiones (II)
• Lo importante no es el nombre (buzzword)
sino entender la transformación (revolución)
que implica el cambio
• Existen servicios que por su criticidad no
pueden ser trasladados a la nube
• Evaluar que aún no es posible garantizar el
cumplimiento normativo
• Requerir herramientas de administración
centralizadas
40. Conclusiones (III)
• Exigir el uso y aplicación de certificaciones y
estándares
• Se deben evaluar las decisiones de negocio
por sobre las decisiones del IT
• Tomar decisiones en base a la medición de
riesgos previa
41. No debemos permitir que
el “bajo” costo y la
“simplicidad” de CC no
nos permita ver la
tormenta en la nube
Analicemos los riesgos