MOOC.CloudComputing.

Implantacinymigracinaservicioscloud

5.Implantacinymigracinaservicioscloud

5.1.2.FijacindeObjetivoseIdentificacindeRiesgos(II).
Continuamos con el anlisis de aspectos que nos ayudana identificarriesgos,ysugestin,en
elprocesodeimplantacinymigracinaservicioscloud

COMPROMISODECONTROLENLAINTERFAZDEGESTIN
Las interfaces de gestin de cliente de un proveedor en nube pblico son accesibles a travs
de Internet, y canalizan el acceso a conjuntos de recursos ms grandes (que los proveedores
tradicionales de alojamiento), por lo que plantean un riesgo mayor, especialmente cuando son
combinadosconelaccesoremotoylasvulnerabilidadesdelnavegadordeweb.

LAPROTECCINDEDATOS
La computacin en nube plantea varios riesgos relativos a la proteccin de datos tanto para
clientes en nube como paraproveedoresen nube.Enalgunoscasos,puederesultardifcilpara
el cliente en nube comprobar de manera eficazlasprcticasdegestindedatosdelproveedor
en nube, y en consecuencia,tenerlacertezadequelosdatos songestionadosde conformidad
conlaley.Esteproblemaseveexacerbadoenloscasosdetransferenciasmltiplesdedatos.

Por otra parte, algunos proveedores en nube s proporcionan informacin sobre sus prcticas
de gestin de datos. Otros tambin ofrecen resmenes de certificacin sobre sus actividades
deprocesamientoyseguridaddedatosyloscontrolesdedatosaquesesometen.

SUPRESINDEDATOSINSEGURAOINCOMPLETA
Cuando se realiza una solicitud para suprimir un recurso en nube, al igual que sucede con la
mayora de sistemas operativos, en ocasiones el proceso no elimina definitivamentelosdatos.
En ocasiones, la supresin adecuada o puntual de los datos tambin resulta imposible (o no
deseable, desde la perspectiva del cliente), bien porque existen copias adicionales de datos
almacenadas pero no disponibles o porque el disco que va a ser destruido tambin incluye
datos de otros clientes. La multiprestacin y la reutilizacin de recursos de hardware
representanunriesgomayorparaelclientequelaopcindelhardwarededicado.

MIEMBROMALICIOSO
Aunque nosuelenproducirsehabitualmente,losdaoscausadospormiembros maliciososson,
confrecuencia,muchomsperjudiciales. Lasarquitecturasennubenecesitan ciertasfunciones
cuyoperfilderiesgoesmuyelevado. Algunosejemplossonlos administradoresdesistemasde

MOOC.CloudComputing.Implantacinymigracinaservicioscloud

proveedoresennubeylosproveedoresdeserviciosdeseguridadgestionada.

Los riesgos enumerados anteriormente no siguen un orden de criticidad concreto, sino que
simplemente constituyen algunos de los riesgos ms relevantes de la computacin en nube.
Los riesgos del uso de la computacin en nube deben ser comparados con los riesgos
derivadosdemantenerlassolucionestradicionales,comolosmodelosdesobremesa.

A menudo es posible, y en algunos casos recomendable, que el cliente en nube transfiera el

riesgoalproveedorennubesinembargo,notodoslosriesgospuedensertransferidos.

Si un riesgo provoca el fracaso de un negocio, perjuicios graves al renombre del mismo o

consecuencias legales, es muy difcil, y en ocasiones, imposible, que un tercero compense
estos daos. En ltima instancia, puede subcontratar la responsabilidad, pero no puede
subcontratarlaobligacinderendircuentas.

Para la gestin de estos riesgos podemos adoptar herramientas o procedimientos como los
siguientes:

AUDITORAYRECOGIDADEPRUEBAS
Si estamos en un caso de IaaS, esta permite la clonacin de mquinas virtuales bajo
demanda. En caso de supuesto incumplimiento de la seguridad, el cliente puede tomar una
imagen de una mquina virtual activa o de los componentes virtuales de la misma para
llevar a cabo un anlisis forense fuera de lnea, lo cual reduce el tiempo de espera para la
realizacinelanlisis.

ACTUALIZACIONESYOPCIONESMSPUNTUALES,EFECTIVASYEFICACES
Las imgenes por defecto de las mquinas virtuales y los mdulos de software utilizados por
los clientes pueden ser reforzados y actualizados previamente con los ltimos parches y
configuraciones de seguridad, conforme a procesos ajustados las API del servicio ennubede
la IaaS tambin permiten tomar imgenes de la infraestructura virtual de manera frecuente y
comparadaconunpuntoinicial

LA AUDITORA Y LOS ACUERDOS DE NIVEL DE SERVICIO OBLIGAN A GESTIONAR

MEJORELRIESGO
La frecuencia de las auditoras impuestas a los proveedores en nube tiende a exponer los
riesgos que, de otro modo, no habran sido identificados, con lo que tiene el mismo efecto
positivo.

MOOC.CloudComputing.Implantacinymigracinaservicioscloud

BENEFICIOSDELACONCENTRACINDERECURSOS
Aunque sin duda la concentracin de recursos tiene desventajas para la seguridad, posee el
beneficio evidente de abaratar la perimetrizacin y el control de acceso fsicos y permite una
aplicacin ms sencilla y econmicadeunapolticadeseguridadexhaustivayun control sobre
la gestin de datos, la administracin de parches, la gestin de incidentes y los procesos de
mantenimiento.

Referencias:

CloudComputing.Benefits,risksandrecommendationsforinformationsecurity.Pgs.
2122