1. Universidad Nacional Autónoma De Honduras
En El Valle De Sula
Departamento: Lic. Informática Administrativa
Asignatura: Perspectivas De La Tecnología Informática
Alumno: Guillermo Brand
Cuenta: 20102006217
Tema: Ensayo del Capítulo 8
Fecha: 18 de Septiembre de 2016
Lugar: San Pedro Sula, Cortes
2. SEGURIDAD DE LA NUBE
Una de las críticas más negativas a la nube es la relativa a la seguridad y el
control de los datos dentro de la nube. Aparentemente las organizaciones tienen
un control más rígido sobre los datos almacenados en su propia infraestructura
que si los almacenan en la nube. Por otra parte, es necesario considerar sistemas
de regulación y cumplimientos (compliance) legales. En realidad, la nube puede
ser tan segura o incluso más que un centro de datos tradicional, aunque el
método de enfocar la seguridad de la información sí que es radicalmente
diferente.
Tecnologías como EC2 de Amazon o Google App Engine de Google, son
ejemplos de servicios de Cloud Computing en las cuales se entregan a los
clientes externos servicios de TI que utilizan tecnologías de Internet.
La seguridad y el control en la nube continúan percibiéndose como barreras
para el cloud computing. Los directivos están principalmente preocupados por
la seguridad y la calidad del servicio.
PROTECCIÓN DE DATOS
La nube es un modelo de computación que ofrece el uso de una serie de
servicios, aplicaciones, datos, plataformas, infraestructuras, compuestas a su
vez por recursos de computación, redes, servidores, almacenamiento, etc.
En una primera impresión, la abstracción del hardware que trae consigo la nube
da la sensación de que el nivel de seguridad es más bajo que en los modelos
tradicionales, ya que en algunos modelos de la nube la empresa cliente pierde el
control de seguridad sobre dichos servicios.
3. SEGURIDAD DE LOS SERVICIOS DE LA NUBE
La evaluación de riesgos y la revisión de la seguridad en la nube deben
considerar en primer lugar las opciones de despliegue de la nube (pública,
privada e híbrida) y modelos de entrega de servicios (SaaS, PaaS, IaaS).
Estrechamente relacionada con los modelos anteriores estarán los procesos
relacionados con la virtualización, los cuales también consideraremos.
Evidentemente, como sucede en el Plan General de Seguridad de la Información
(PGSI), ninguna lista de controles de seguridad podrá cubrir todas las
circunstancias, pero se deberá adoptar un enfoque basado en riesgos para
moverse o migrar a la nube y seleccionar las opciones de seguridad. Los activos
de despliegue en la nube se agrupan en dos grandes bloques: los datos y las
aplicaciones.
INFORMES DE LA INDUSTRIA DE SOFTWARE
La importancia de la seguridad en la nube y la necesidad de afrontar los retos
que ello supone, hace que los grandes proveedores de la nube y de seguridad
publiquen frecuentemente informes sobre temas de seguridad. Citaremos
algunos casos a manera de ejemplo.
Trend Micro
Trend Micro, una de las grandes empresas proveedoras de seguridad
informática del mundo, publicó un informe en junio de 2011, donde destacaba
que el 43% de las empresas han tenido problemas de seguridad con sus
proveedores de servicios basados en la nube. El informe se elaboró después de
entrevistar a 1.200 directores de información (CIO’s) y el tema central de las
encuestas y entrevistas fue cloud computing y la seguridad. En el informe se
destacaba que la adopción de la nube en las empresas se estaba llevando a buen
ritmo.
4. Intel
Intel, el fabricante número 1 de chips del mundo, publicó el 25 de octubre de
2011 una guía para la seguridad en la nube “Seguridad Cloud” (Cloud
Security). En dicha guía Intel establece una serie de pasos para la protección de
los servicios en la nube.
Cisco
El informe de Cisco de noviembre de 2011. Cisco, primer fabricante del mundo
de dispositivos y redes de comunicación presentó en Acapulco, México, en el
mes de noviembre de 2011, el informe: “Seguridad en la nube, el nuevo reto:
Cisco”.
Microsoft
Microsoft también está preocupado sobre la seguridad y disponibilidad de los
datos que sus clientes depositan en la nube, junto con los requerimientos
globales de seguridad. Algunas preguntas que cabría hacerse son: ¿qué están
haciendo los proveedores para poder mantener una nube segura? ¿Están mis
datos y los de mi empresa seguros en la nube? Es necesario que las empresas
proveedoras de la nube tengan numerosos controles de seguridad del estándar
ISO.
ASEGURAMIENTO DE LOS DATOS EN LA NUBE
La seguridad física define el modo de controlar el acceso físico a los servidores
que soportan su infraestructura. La nube exige restricciones físicas de
seguridad, teniendo presente que hay servidores reales que funcionan en
cualquier lugar.
REQUISITOS EXIGIBLES AL PROVEEDOR RELATIVOS A DATOS
Antes de firmar el contrato con el proveedor de la nube debe asegurarse que en
el mismo y en el acuerdo de nivel de servicios (SLA) correspondiente deben
estar contemplados al menos los siguientes compromisos (Hurwitz 2010: 85):
5. OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA NUBE
El desarrollo del software seguro se basa en la aplicación de principios de
diseño de software seguro que forman los principios fundamentales del
aseguramiento del software. El aseguramiento del software se define como: “los
fundamentos que permiten tener confianza justificada de que el software debe
tener todas las propiedades requeridas para asegurar que cuando dicho
software se esté ejecutando deberá operar de modo fiable pese a la presencia de
fallos intencionales.
OTRAS CARACTERÍSTICAS IMPORTANTES
Existen otras propiedades o características complementarias de las anteriores
que se aplican a todo tipo de taxonomías de seguridad, como es el caso de la
tradicional seguridad de los sistemas de información y de los sistemas de
computación en la nube.
Identificación
Autenticación
Autorización
Auditoría
Responsabilidad
Privacidad
ASPECTOS SIGNIFICATIVOS EN LA SEGURIDAD EN LA NUBE
Las empresas y organizaciones que optan por la migración o movimiento hacia
la nube deberán estudiar plenamente aquellos temas críticos relativos a la
seguridad. Así se consideran al menos los siguientes aspectos:
Implicaciones legales, cumplimiento y conformidad con regulatorios y
los estándares que son diferentes en la nube de los marcos legales y
regulatorios del entorno tradicional.
6. No existe el perímetro de seguridad de la organización tradicional en la
nube. La política de seguridad centrada en la seguridad perimetral no
funciona en la nube incluso con aquellas nubes que soporten la
seguridad tradicional del perímetro.
El almacenamiento de datos en la nube debe considerarse un perfil de
alto riesgo.
Las tecnologías de virtualización como Xen, Citrix, o VMware tienen sus
propias vulnerabilidades y por consiguiente se deben introducir pautas
de comportamiento.
CUMPLIMIENTO DE REGULACIONES Y ESTÁNDARES
La adopción de los servicios de la nube por una organización o empresa,
presenta muchos retos y desafíos. Cuando una organización migra a la nube
para consumir servicios de ella y, especialmente, servicios de la nube pública,
mucha de la infraestructura de sus sistemas de computación pasa a estar bajo el
control de un proveedor de servicios de la nube (CSP CCSSPP CSP, Cloud
Services Provider).
RIESGOS Y TIPOS DE SEGURIDAD
La seguridad de los sistemas de información se divide en dos grandes
categorías: protección de los activos (hardware, software e infraestructura de
redes que constituyen un sistema de TI) y protección de los datos. Hace unos
años los activos eran considerados la parte más valiosa del sistema y a su
protección se dedicaban casi todos los esfuerzos para asegurarse que no se hacía
un uso no autorizado de los mismos.
ADMINISTRACIÓN DE LA IDENTIDAD Y CONTROL DE ACCESO
La administración (gestión) de la identidad y el control de acceso (IAM
IIAAMM IAM, Identity and Access Management) son funciones fundamentales
requeridas en la computación en nube segura y uno de los mejores métodos
para la protección de su entorno.
7. ESTRATEGIAS DE SEGURIDAD
Las directrices de TI deben pensar en primer lugar sobre el impacto de la nube
en la seguridad de la corporación. Si usted está pensando en crear una nube
privada o potenciar una nube pública necesita establecer una estrategia de
seguridad. Sin un entorno de seguridad adecuado ninguna organización debe
implementar una solución en la nube. Esta decisión se debe adoptar en paralelo
con el proceso de puesta en marcha del modelo elegido de nube.
SEGURIDAD DE LOS SERVICIOS DE LA NUBE
La evaluación de riesgos y la revisión de la seguridad en la nube deben
considerar en primer lugar las opciones de despliegue de la nube (pública,
privada e híbrida) y modelos de entrega de servicios (SaaS, PaaS, IaaS).
Estrechamente vinculados con los modelos anteriores estarán los procesos
relacionados con la virtualización y que también consideraremos.
Evidentemente, como sucede en el Plan General de Seguridad de la
Información, ninguna lista de controles de seguridad podrá cubrir todas las
circunstancias, pero se deberá adoptar un enfoque basado en riesgos para
moverse o migrar a la nube y seleccionar las opciones de seguridad.