Andrs Hilaca

N8K

Auditora de seguridad de los datos y la infraestructura en entornos de computacin en la nube.

Resumen
La computacin en nube se ha convertido en uno de los paradigmas de TI dominantes de la poca
actual: llenando la necesidad de los usuarios de las capacidades dinmicas y de alta capacidad de
computacin en diversas aplicaciones, tales como la inteligencia de negocio y archivado de datos.
A pesar de su crecimiento significativo, todava hay algunos obstculos para la adopcin ms
generalizada de los servicios de computacin en nube. Uno de los principales retos para la
computacin en nube, y que ha hecho que muchas organizaciones dudan en adoptar soluciones
en la nube es la seguridad y especficamente la falta de capacidad de auditora. Examinando la
auditora de computacin en la nube desde tres perspectivas: auditora de usuario,
requerimientos, los enfoques tcnicos para la auditora de seguridad y las capacidades del
proveedor de servicios de nube actuales para cumplir con los requisitos de auditora. Los
requisitos de auditora de usuario se dividen adems en la auditora de seguridad de la
infraestructura de datos y auditora de seguridad. Muchos de los requisitos de auditora de
infraestructura son impulsados por la necesidad de lograr el cumplimiento con las normas de
seguridad de TI. Mientras que la mayora de los riesgos son fciles de superar con la cooperacin
de la CSP unos pocos, como la gestin de parches pueden presentar retos en funcin de las
necesidades del usuario y proveedor de la infraestructura y configuracin. Asuntos de auditora de
datos incluyen confidencialidad, integridad, restos de datos, la procedencia de los datos y el linaje
de datos. Hay una serie de enfoques aplicables en cada una de estas reas, que puedan servir las
necesidades de auditora de datos de usuarios de servicios de nube con la excepcin de restos
datos que parece ser un problema abierto dentro de las ofertas de nube pblica. Mientras que la
mayora de los principales proveedores de la nube han comenzado a proporcionar significantes
detalles acerca de su propia infraestructura interna de seguridad y cumplimiento, nico examinar
cuidadosamente de preguntas con respecto a cmo los usuarios de las ofertas de nube pblicas
tambin podran lograr el cumplimiento de las normas. Por desgracia, entre los proveedores de la
nube encuestados no encontramos soluciones para cualquier auditora de seguridad de datos de
usuario. Sin embargo, debido a que el mercado de servicios en la nube es impulsado y formado
por las demandas del cliente, si tales caractersticas de auditora se convierten en un elemento
diferenciador de servicios crticos para un nmero suficiente de clientes, entonces es probable que
los CSP comience a ofrecerles.
Requisitos de usuario para la auditora de seguridad en la nube
Dividimos el amplio mbito de la auditora informtica de la seguridad de la nube con respecto a
las necesidades de los usuarios en dos sub- reas: infraestructura de seguridad y la auditora de
datos.
Las preocupaciones de auditora infraestructura hacer frente a los sistemas que se utilizan para
procesar los datos y los controles de seguridad que se encuentran en el lugar para proteger esos

Andrs Hilaca

N8K

sistemas. Las preocupaciones de auditora de datos tienen que ver con la preservacin de los
datos en s: su confidencialidad, integridad y disponibilidad.
Tcnicas para la seguridad de los datos
-

Confidencialidad e integridad de los datos: la criptografa es una herramienta que se utiliza

con frecuencia para asegurar los datos con confidencialidad, privacidad e integridad.
Residuos de datos: los residuos de los datos en la nube ha recibido muy poca atencin en
comparacin con las otras preocupaciones de seguridad del usuario.
Procedencia de los datos.

Metodologas implementadas y hallazgos

-

Segn las necesidades de los usuarios con respecto a la nube se divide la auditora
informtica en dos sub- reas: infraestructura de seguridad, y los datos de auditora.

Dos de los estndares ms utilizados e importantes para la seguridad de la infraestructura

de la empresa son estndar de seguridad de la Organizacin Internacional de
Normalizacin (ISO 27001) Organizacin Internacional de Normalizacin (ISO) (ND) y la
tarjeta de la Industria de Pagos Data Security Standard (PCI DSS) Normas PCI Consejo de
Seguridad (2010 ).

Se requiere una mayor documentacin para la separacin eficaz de la red, la cooperacin

del proveedor de servicios de la nube (CSP) para permitir el acceso a sus diagramas de
arquitectura de red

La gestin de parches de vulnerabilidad podra ser manejado si las mquinas individuales

son responsables de tirar sus propias actualizaciones con el servicio proporcionado por un
sistema operativo especfico.

La criptografa es una herramienta que se utiliza con frecuencia para asegurar los datos
con confidencialidad, privacidad e integridad

Las tcnicas y sistemas de procedencias de datos junto con una taxonoma de procedencia
de una lgica centrada en cuatro aspectos principales: el sujeto de los datos de
procedencia (es decir, datos o proceso), la representacin de los datos, su
almacenamiento y difusin

Palabras claves

Andrs Hilaca
-

N8K

Paradigmas de TI.
Preservacin de los datos.
CID (Confidencialidad, Integridad y Disponibilidad).
Seguridad de la nube.
Cumplimiento de las normas

Conclusiones
El uso de la computacin en la nube a pesar que se ha esparcido a nivel mundial an tiene
obstculos para poder ser aceptada por las organizaciones debido al riesgo que se presentan en el
mbito de seguridad a pesar que para ello se estn implementando mtodos, tcnicas basadas en
normas Internacionales de estandarizacin en la Tecnologa de la informacin, ya que ayuda a las
organizaciones por sus muchos beneficios y al desarrollo de nuevos servicios.