Professional Documents
Culture Documents
en la nube
Contenidos
- Intruduccin
- Qu es el Cloud Computing?
- Caractersticas, Beneficios y Desventajas
- Tipos bsicos de servicios Cloud
- Otros usos de la Nube: The Pirate Bay
- Cloud, un caldo de cultivo para las botnets
- Tecnologas hbridas y el cloud
- Ventajas y caractersticas de la cloud hbrida
- Almacenar datos de forma local o en la nube
- La seguridad de los datos inquieta a empresas en el entorno cloud
- Fronteras del cloud computing
- Cloud Personal
- Proteccin de infraestructuras
- Consejos para migrar un proyecto a la nube
- Delincuencia en la nube y otras cuestiones de Seguridad
- Un lugar para esconderse
- Robando secretos
- La "llave maestra" de los hackers
- SoMoClo (Social, Mvil, Cloud)
- Cifrado en la Nube. Soluciones de Cifrado
- Qu utilidad tiene la nube para los estudiantes?
Relacionados: Dropbox y Seguridad en la Empresa, Proteccin Bsica de la Empresa, Metadatos , DLP: Data Loss Prevention,
Prevencin de la prdida de datos , Proteccin Bsica del Internauta,Rootkit, Spyware, Scam, Hoax, Phishing, Pharming e
Ingenieria Social, Robo de identidad y Phishing , Botnets: Redes Zombies
Tags: e-bussines, data lake, big data, pyme, cloud computing, somoclo, malware, botnet, virus, spyware, rootkit, firewall,
ciberespionaje, phishing, smishing, spoofing, BYOD, keylogger
Introduccin
Big data, cloud storage, Internet de las cosas, social business, parece que los directivos de las
compaas tienen que estar continuamente aprendiendo el significado de nuevos conceptos y
tecnologas que se revelan esenciales a la hora de tomar decisiones.
Pero no solo ellos. El mundo entero ya es usuario de las TIC. Se dira adems que a las empresas de
tecnologa les gusta complicar las cosas con tanto nuevo palabro tcnico tecnolgico.
La verdad es que en este sector todo evoluciona tan deprisa que a los que trabajamos en l nos cuesta
mantener el ritmo. Pero no hay ms remedio que hacerlo, visto el ritmo en las tendencias que marcan
las multinacionales tecnolgicas en todo el mundo, pues todos nos jugamos mucho en ello.
Recientemente han surgido nuevos conceptos con matices
de importancia distintivos, a los que el mundo empresarial y
gubernamental estan prestando especial atencin.
Uno de ellos es el data lake o, en espaol, lago de datos, que
llega para dar respuesta a uno de los desafos ms
importantes al que tienen que hacer frente todo tipo de
organizaciones: la gestin de la informacin. Ni es el ltimo
trmino, ni lo ser.
Otro trmino del que queremos llamar especialmente la atencin en esta introduccin, es el Big Data,
concepto que se emplea para referirse a los grandes volmenes de informacin que se registran y
almacenan permanentemente en todo el mundo, as como a los sistemas y las herramientas que sirven
para analizar y extraer valor de esta informacin.
La relacin y el inters entre el Big Data y el Cloud computing resulta evidente. Si el valor de la
informacin producida por los intereses generales del pblico consumidor y sus datos de identidad no
van a estar tan solo en sus dispositivos u hogares, sino en la nube pblica, obviamente se transforman
en datos cotizados.
Otro aspecto que nos parece necesario remarcar es el de la Ingeniera social, dado que constituye una
herramienta de muchas posibilidades para el interesado en usarla, ya no solo con la informacin
generada por el pblico (y muchas otras), sino porque esta accesible por estarlo en la nube,
Cierto es que, como para casi todo en la vida, los fines ticos para los que analizar y manipular
informacin pueden tener lado bueno y malo. Losciberdelincuentes saben mucho de eso. Pues la
ingeniera social, no solo es herramienta de anlisis de informacin en la nube, sino de ataque directo
al usuario.
Usuarios? Muchos. Dispositivos? Millones (50.000 millones de ellos interconectados para mediados de
siglo). Datos? Millones de Zetabytes. De quien? Bsicamente del internauta, pero no los nicos.
Baste esta introduccin para magnificar la importancia del hecho de que tanto empresarios como
directivos, jefes de departamentos, empleados y usuarios domsticos deben mantenerse al da,
reciclarse e instruirse, mxime teniendo en cuenta el exponencial ritmo de crecimiento de todo tipos
deciberamenazas y ciberataques, sobre todo tipo de plataformas, administraciones, organismos
pblicos y privados, y con tantos incautos desconocedores pero usuarios de las tecnologas al fin y al
cabo.
Qu es el Cloud Computing?
Qu permite?
El cambio paradigmtico que ofrece computacin en nube es que permite aumentar el nmero de
servicios basados en la red.
Esto genera beneficios tanto para los proveedores, que pueden ofrecer, de forma ms rpida y
eficiente, un mayor nmero de servicios, como para los usuarios que tienen la posibilidad de acceder a
ellos, disfrutando de la transparencia e inmediatez del sistema y de un modelo de pago por consumo.
El Cloud Computing permite evitar algunas complicaciones porque no hay que gestionar el hardware ni
el software: eso es responsabilidad de un proveedor experimentado. La infraestructura compartida
hace que funcione como una utilidad: solo paga por lo que necesita, las actualizaciones son
automticas y la ampliacin o reduccin del servicio comprende un proceso sencillo.
Las aplicaciones basadas en la Nube pueden implementarse y ejecutarse en cuestin de das o
semanas y cuestan menos. Con una aplicacin de la Nube, slo tiene que abrir un explorador,
registrarse, personalizar la aplicacin y empezar a usarla.
Desambiguacin del trmino Cloud Computing
Muchas empresas, como Google por ejemplo, estn muy enfocada en el Cloud Computing, y cada
vez ms empresas.
Hay que pensar que Google naci en la nube, y tiene productos como Gmail (2004) Documents o
Calendar, que son aplicaciones que se ejecutan en la nube.
Pero no es la nica empresa. Google Apps , Amazon EC2, eyeOS, Microsoft Azure, Ubuntu One,
Microsoft (el rey de las aplicaciones empresariales), Salesforce, empiezan a preparar productos,
sistemas operativos que desde el ordenador, los propios datacenters o la misma nube, sean seguros,
eficientes, eficaces y atractivos en definitiva para las empresas.
Estas proveen aplicaciones comunes de negocios en lnea accesibles desde un navegador de internet
como por ejemplo Firefox Internet Explorer, mientras el software y los datos se almacenan en los
servidores. Los clientes acceden a esos servicios a travs de la Web2.0 , banda ancha.
Es un modelo tecnolgico que permite el acceso ubicuo, adaptado y bajo demanda en red a un
conjunto compartido de recursos de computacin configurables compartidos (por ejemplo: redes,
servidores, equipos de almacenamiento, aplicaciones y servicios), que pueden ser rpidamente
aprovisionados y liberados con un esfuerzo de gestin reducido o interaccin mnima con el proveedor
del servicio.
La computacin en la nube es conocida tambin bajo los trminos servicios en la nube, informtica en
la nube, nube de cmputo o nube de conceptos. Es lo que todos llevamos haciendo desde hace tiempo
en la web 2.0.
En este tipo de computacin todo lo que puede ofrecer un sistema informtico se ofrece como servicio,
de modo que los usuarios puedan acceder a los servicios disponibles "en la nube de Internet" sin
conocimientos (o, al menos sin ser expertos) en la gestin de los recursos que usan.
Segn el IEEE Computer Society, es un paradigma en el que la informacin se almacena de manera
permanente en servidores de Internet y se enva a cachs temporales de cliente, lo que incluye
equipos de escritorio, centros de ocio, porttiles, etc.
Durante la era del PC, Microsoft Windows y Intel (Wintel) fueron los dueos de la gestin empresarial,
hoy, cuando la potencia fsica, la capacidad de las infraestructuras de banda ancha ya resulta
suficiente, son varios los que intentan repartirse el pastel de la Cloud, el SaaS (software as a service,
software como servicio) o una tendencia que forma parte de la Empresa 2.0.
Las empresas estn ejecutando todo tipo de aplicaciones en la Nube, como la gestin de
las relaciones con los clientes (CRM), recursos humanos, contabilidad, etc.
Algunas de las empresas ms importantes del mundo han pasado sus aplicaciones a la Nube despus
de comprobar rigurosamente la seguridad y la fiabilidad que la infraestructura del proveedor del
servicio sea satisfactoria, dado que existe y reina un clima de incertidumbre, duda y riesgo, ms an
para los usuarios internautas de a pie.
Caractersticas:
Pago por uso: Una de las caractersticas principales de las soluciones cloud es el modelo de facturacin
basado en el consumo, es decir, el pago que debe abonar el cliente vara en funcin del uso que se realiza
Beneficios
Integracin probada de servicios Red. Por su naturaleza, la tecnologa de cloud computing se puede
integrar con mucha mayor facilidad y rapidez con el resto de sus aplicaciones empresariales (tanto
software tradicional como Cloud Computing basado en infraestructuras), ya sean desarrolladas de manera
interna o externa.
Prestacin de servicios a nivel mundial. Las infraestructuras de cloud computing proporcionan mayor
capacidad de adaptacin, recuperacin de desastres completa y reduccin al mnimo de los tiempos de
inactividad.
Permite al proveedor de contenidos o servicios en la nube prescindir de instalar cualquier tipo de
hardware, ya que ste es provisto por el proveedor de la infraestructura o la plataforma en la nube. La
belleza de la tecnologa de cloud computing es su simplicidad y el hecho de que requiera mucha menor
Desventajas
que tienen en comn el que confan en Internet para satisfacer las necesidades de cmputo de los
usuarios.
Los datos "sensibles" del negocio no residen en las instalaciones de las empresas, lo que podra
generar un contexto de alta vulnerabilidad para la sustraccin o robo de informacin.
La confiabilidad de los servicios depende de la "salud" tecnolgica y financiera de los proveedores de
servicios en nube.
Empresas emergentes o alianzas entre empresas podran crear un ambiente propicio para el
monopolio y el crecimiento exagerado en los servicios.
La disponibilidad de servicios altamente especializados podra tardar meses hasta que sean factibles
de ser desplegados en la red.
La madurez funcional de las aplicaciones hace que continuamente estn modificando sus interfaces,
por lo cual la curva de aprendizaje en empresas de orientacin no tecnolgica tenga unas pendientes
significativas, as como su consumo automtico por aplicaciones.
Escalabilidad a largo plazo. A medida que ms usuarios empiecen a compartir la infraestructura de la
nube, la sobrecarga en los servidores de los proveedores aumentar, si la empresa no posee un
esquema de crecimiento ptimo puede llevar a degradaciones en el servicio o jitter altos.
Uno depende de que el proveedor tenga una buena poltica y preserve los datos, aunque pueden
hacerse backups peridicos al disco dura de nuestra computadora.
Si se corta nuestra internet, estaremos en apuros. Esta es una clara desventaja, pero podremos salvar
este problema si contamos con dispositivos que nos ofrezcan una va alternativa de conexin, como por
ejemplo una conexin wifi. Sino nos tendremos que trasladar al bar vecino donde nos ofrezcan internet.
Tambin existe la posibilidad de trabajar offline.
La privacidad y seguridad de nuestros datos, es otro problema. La informacin de la empresa debe
recorrer diferentes nodos para llegar a su destino, cada uno de ellos (y sus canales) son un foco de
inseguridad. Si se utilizan protocolos seguros, HTTPS por ejemplo, la velocidad total disminuye debido a
la sobrecarga que estos requieren. Pero si nos ponemos a pensar, esto ya lo solemos hacer cuando
usamos gmail, hotmail, etc. Y creo el acceso con contraseas y sectores de seguridad con protocolo
https, hacen el tema bastante acotado.
Ejemplos:
Sacar fotos con tu cmara digital, pasarlas al ordenador, subirlas a internet en Picasa o Flickr por
ejemplo y enserselas a tus amigos a travs de tu mvil o cualquier otro ordenador conectado a la red.
Crear una hoja de clculo compartida para organizar las bodas de oro de los abuelos. 35 miembros de
una familia pueden acceder y editar a travs de sus ordenadores y mviles la misma hoja de clculo que
tiene la informacin de quin asistir, quin se encarga de qu, presupuestos y enlaces de inters.
En una fiesta fin de ao, a travs de la Blackberry actualizar tu perfil de Facebook diciendo dnde ests,
qu estas haciendo y subir fotos que acabas de sacar, permitiendo comunicar esta informacin a todos
tus amigos en tiempo real.
En un restaurante acceder a una pgina de guas locales como Yelp.com y comentar en tiempo real tu
experiencia en el restaurante, corregir cualquier informacin que est mal e incluso aadir contenido
A su vez, si hablamos de IaaS podemos encontrar tres tipos de Cloud Computing, dependiendo de si el
servicio es dentro de una empresa, en ese caso es privado, sino el servicio es pblico y por ltimo
tenemos una combinacin de estos dos llamado mixto.
Algunas opiniones
Hugh Macleod:
el cloud computing es la verdadera batalla importante en este momento en la escena tecnolgica: las
compaas que dominen la nube sern los verdaderos actores del futuro, con esquemas de
concentracin muy importantes debido a la misma naturaleza de la actividad
- Cules son las ventajas de la nube para un usuario y para una empresa?
- Son muchas, tienes siempre acceso, desde cualquier dispositivo, ests donde ests y los archivos
estn ms seguros, siempre estn en la nube y los puedes recuperar, por ejemplo, si se te quema la
casa ya no tienes que salvar el ordenador en primer lugar. Otra gran ventaja es que las aplicaciones
como en la nube como gmail siempre estn actualizadas, el usuario no se tiene que preocupar. Y una
caractersticas de las ms importantes es poder colaborar en la edicin de documentos.
Por ejemplo, mi hermana quera que revisara su Currculum Vitae, as que creamos un documento en
Google Docs, donde trabajbamos las dos en la ltima versin del documento. Otro ejemplo, mi marido
y yo usamos un Google Calendar compartido para poder planear vacaciones y saber las citas y planes
que tenemos cada uno. Google hace la vida de sus usuarios ms fcil con sus aplicaciones para
trabajar en la nube.
Los fundadores de "The pirate bay", uno de los portales principales del mundo con enlaces a
contenidos P2P, fueroncondenados a finales de 2010 por la Corte de Apelacin de Svea en Estocolmo,
por ser cmplices de un delito contra la ley de derechos de autor (Gottfrid Svartholm Warg fue
condenado a tres aos y medio de crcel, fugado a Camboya pero detenido y extraditado a Suecia en
2012).
En Marzo de 2015, un juez en Espaa ordenaba el bloqueo del portal. Para muchos, la industria
cultural acababa de ganar una nueva batalla en su particular lucha contra la piratera en Espaa.
La resolucin tena una especial relevancia porque se trataba del primer bloqueo de una web dedicada
al pirateo de msica y otros contenidos en Espaa al amparo de la llamada Ley Sinde.
Previamente el bloqueo ya se haba producido con anterioridad por otros 13 pases, la mayora
europeos.
Este auto se sumaba a otras medidas ejemplares dentro de la nueva Ley de Propiedad Intelectual
(LPI), en vigor desde enero de 2015.
'The Pirate Bay' no se dio por vencido y quiso llevar sus servidores al cielo para evitar las leyes
antipiratera, mediante vehculos areos equipados con transmisores de radio modernos que flotarn a
varios kilmetros de altura.
El rpido desarrollo de nuevas tecnologas cada vez ms pequeas y baratas como el diminuto
Raspberry Pi hacen que este tipo de infraestructura sea posible.
Entre los cambios que intent realizar la compaa tambin se encontraba la sustitucin de los
conocidos archivos torrent por otros llamados magnets, ms sencillos de manejar tanto para la propia
web como para los usuarios debido a que utilizan menos ancho de banda que los archivos torrent.
Se trata de un estndar que vincula los archivos por su contenido, a travs de etiquetas de metadatos,
y no por su ubicacin. De esta manera, no era necesario que los servidores permanecieran en
constante funcionamiento. La alternativa lgica era la nube y el cloud computing.
La batalla se hizo evidente y, cuando menos, curiosa:
Usuarios interesados en compartir y consumir (hasta
partidos que ayudaron: el partido pirata noruego y el
cataln), artistas y creadores interesados en proteger sus
derechos de autor y la propiedad de sus obras, policias y
legislaciones escrutando las minuciosidades legales para
imponer ley y orden y de trasfondo tecnologas como
Raspberry Pi y la computacin en la nube.
Desde sus inicios all por el ao 2004, ha tenido que mudarse en varias ocasiones. Durante los ltimos
aos, era el partido pirata sueco el que haba estado proporcionando ayuda a The Pirate Bay, pero ha
dejado de hacerlo ante las presiones de grupos anti-piratera.
De hecho, Right Alliance, un grupo local que cuenta con el apoyo de la industria del entretenimiento,
haba dado un ultimtum al partido pirata sueco: O dejaban de prestar asistencia a The Pirate Bay, o se
enfrentaran a una larga y costosa demanda judicial.
Antes de que se cumpliera el plazo, el partido pirata sueco ha pasado el testigo a sus homlogos en
Espaa y en Noruega. As, desde entonces, The Pirate Bay se ha escindido en dos partes para
encontrar un puerto franco en el partido pirata cataln y en el partido pirata noruego.
El objetivo es que la transicin se produjera sin interrupciones de servicio. La eleccin de esos dos
pases no es casual.
Para The Pirate Bay, Espaa ofreca un entorno favorable para los sitios de intercambio de ficheros. A
pesar de la entrada en vigor de la ley Sinde-Wert, hasta la fecha poqusimos sitios han sido
clausurados previas quejas a la Comisin de Propiedad Intelectual.
Adems, segn la legislacin espaola, un sitio como The Pirate Bay que slo ofreca enlaces P2P era
legal.
La decisin de decantarse por Noruega se deba a un fallo judicial. La IFPI (asociacin internacional de
las discogrficas) y varios estudios de cine llevaban intentando desde 2009 que los tribunales
noruegos obligaran al proveedor de acceso de Internet Telenor a bloquear The Pirate Bay. Finalmente,
los jueces noruegos rechazaron la apelacin por carecer de base legal.
En un comunicado, el partido Pirates de Catalunya confirm en su momento que, junto al partido pirata
noruego, acababan de tomar el relevo de los suecos, asumiendo la infraestructura necesaria para que
The Pirate Bay siga en lnea.
La declaracin aada que los primeros en funcionar son los piratas noruegos, mientras que Pirates de
Catalunya est ultimando los preparativos.
A mediados de octubre de 2012, The Pirate Bay acometa un importante cambio de
infraestructuras trasladndose a la nube.
Desde entonces, el famoso sitio especializado en BitTorrent sirve a sus usuarios desde varios
proveedores de alojamiento en la nube desperdigados por todo el mundo.
Con eso no slo ahorraba costes, sino que adems se blindaba contra los registros de la polica.
Mudndose a la nube, poda saltar rpidamente de pas en pas. Los servidores ni siquiera estn
alojados en el mismo proveedor, ni en el mismo continente.
Ms complicaciones a la actuacin policial, de la mano de la tecnologa y del cloud computing, como
comentabamos al principio de este artculo.
(Relacionadas)
Los experimentos consistan en enviar diferente tipo de trfico malicioso desde mquinas
virtuales controladas de manera remoto a una serie de servidores que se encargan de ejecutar
servicios comunes, como HTTP, FTP y SMTP.
En uno de los casos, los servicios que se ejecutaban en el servidor de destino fueron inaccesibles
desde Internet, pero el servidor estaba localizado en un entorno de red tpico, por detrs de un firewall
y un sistema de deteccin de intrusiones.
El objetivo de esta prueba en particular, explica la compaa en un post, era ver cmo el proveedor de
cloud respondera a la presencia de trfico de salida malicioso originado en su red.
Otra prueba consisti en poner ese servidor dentro de una mquina virtual del mismo proveedor con el
fin de ver si el proveedor detectara trfico malicioso enviado a travs de su propia red interna.
En una tercera prueba el servidor se ejecutaba dentro de una mquina virtual en un proveedor de
cloud diferente para probar cmo ese proveedor gestionara la entrada de trfico malicioso.
En todos los casos se enviaron paquetes de red deformes, se realizaron escneres de red agresivos,
se envi malware a la vctima, se ejecutaron ataques de denegacin de servicio, ataques contra
contraseas FTP de fuerza bruta, ataques de inyeccin SQL y otros.
En uno de los casos las actividades maliciosas se realizaron durante 48 horas con el objetivo de ver si
un gran volumen de trfico y la duracin del ataque provocaban una respuesta por parte del proveedor
del cloud.
Los resultados indican que los cibercriminales podran crear y utilizar botnets que funcionaran en
mquinas virtuales, y adems de una manera sencilla.
Stratsec asegura que las botnets seran relativamente fciles de crear y administrar si se tiene el API
del proveedor de cloud.
Adems, llevara menos tiempo crear una botnet en la nube porque replicar las mquinas virtuales es
ms rpido, seran ms estables y ms efectivas, porque incrementar la capacidad y ancho de banda
disponible es menos costoso.
Con un presupuesto de siete dlares y unas especificaciones de hardware mnimas, es posible
crear botnets basadas en cloud con decenas de miles de mquinas virtuales, dice la consultora de
seguridad.
2013 fue el Ao del Cloud. A punto de entrar en 2016 (ya ha llovido mucho), las cosas han
evolucionado en este ampo casi a marchas forzadas.
A finales de 2014 y segn una encuesta de Capgemini a 450 CIOs de organizaciones de todo el
mundo, ms del 75% de las empresas cuentaban ya por entonces con una estrategia de adopcin
cloud y un 80% disponan ya de un cierto grado de madurez.
Y si alguien no lo tiene claro, ya vamos aclarando el panorama, disipando las dudas y sobre todo
desmitificando las leyendas urbanas sobre la fiabilidad y seguridad de la nube infinita que nos cede su
espacio y nos garantiza proteccin y tranquilidad.
Como al personal de casi todas las empresas se les ha
pedido hacer ms con menos, los departamentos de TI
deben desempear mltiples roles en la coordinacin de las
actividades relacionadas con las TI, por lo que el cloud
computing est impulsando el cambio a otro nivel.
Recientemente Gartner ha llevado a cabo una encuesta que
ha revelado el nacimiento de un nuevo rol, el degestor de los
servicios de la nube interna (CBS, Cloud Brokerage
Services), ya que las organizaciones se estn dando cuenta
de que tienen la responsabilidad de ayudar a mejorar la provisin y el consumo de servicios cloud, de
por s distribuidos, heterogneos y a menudo complejos, para sus usuarios internos y partners de
negocio externos.
Las organizaciones se estn convirtiendo en brkers o agentes intermediarios de un conjunto de
servicios TI alojados en parte internamente, y en parte externamente, es decir, como unas TI hbridas.
Como intermediarias, las organizaciones pueden ofrecer a sus clientes internos el precio, la capacidad
y la velocidad de aprovisionamiento de la nube externa, y la proteccin y seguridad de la nube interna.
Las empresas encuentran ventajas y desventajas en la nube pblica.
Como puntos negativos destacan una seguridad escasa o no federada, falta de integracin con las
herramientas de administracin, ausencia de controles de acceso a datos de la empresa y
cumplimiento de normas.
Este ltimo punto supone una preocupacin importante, pues las sanciones se han agravado y el
legislador ha empezado a castigar los malos comportamientos.
(Ver Tendencias cercanas y futuras 2015)
Muchos proveedores cloud son conscientes de los problemas anteriores. Su solucin pasa por la
utilizacin de herramientas federadas que permiten gestionar la seguridad, la administracin de los
sistemas y de los datos como si fuesen parte de la cloud privada, a pesar de estar en la pblica.
Estas soluciones federadas tambin proporcionan la capacidad para garantizar que los datos o
aplicaciones ubicados en la nube pblica cumplan con la normativa.
Los principales retos para empresas de cualquier tamao son crear
la nube privada y luego integrarla con la nube pblica elegida. A
pesar de la nueva generacin de herramientas federadas, esto no
ser fcil pues hay determinadas premisas de negocio a respetar
as como cambios en la manera en la que el software se disea.
Aqu es donde los integradores de sistemas y los distribuidores
encontrarn una base de clientes en bsqueda de prestaciones y
servicios profesionales.
Correctamente configurada, la nube hbrida ofrece muchos beneficios: acuerdos de nivel de servicio
(SLA) mejorados, capacidad de escalar una aplicacin a cientos de servidores, capacidad de llevar a
cabo tipos de computacin muy especfica, como big data o test de aplicaciones.
Sin embargo, los beneficios ms importantes de la nube hbrida son la reduccin de costes y una mejor
gestin en el control de las TI.
En resumen, la cloud hbrida ofrece la flexibilidad y ahorro de costes de la cloud pblica, adems de la
seguridad y proteccin de datos de la privada. La principal desventaja es que se trata de la solucin
ms compleja de gestionar. Integrar la cloud privada con la pblica requiere de un expertise
especializado.
Pero las soluciones de ciberseguridad a los datos y servicios en la nube deben abarcar mucho ms que el
email (hosting web, mitigacin DDoS, fondo documentaletc.).
Al margen de la citada gua, de otros acuerdos entre multinacionales y de otras consideraciones, he aqu
una pequea referencia de los aspectos fundamentales sobre ciberseguridad en la nube:
1- Seguridad de la organizacin, gobierno y gestin de riesgos: Cmo gestiona el proveedor de la nube
los riesgos de seguridad de las redes y las comunicaciones relacionadas con el servicio en la nube?
2- Responsabilidades de seguridad: Qu tareas e incidentes de seguridad se llevan a cabo y son
mitigados por el proveedor, y cuales de estos estn bajo la responsabilidad del cliente?
3- Contingencias y copias de seguridad: Cmo se mantiene el servicio en la nube ante un desastre que
afecte al centro de datos o a las conexiones y, de qu datos y donde se realiza la copia de seguridad?
4- Aspectos legales y contractuales: Garantiza el servicio en la nube las cuestiones legales o
contractuales?
5- Seguridad del personal: De qu manera asegura el proveedor que el personal trabaja de forma
segura?
6- Control de Acceso: Cmo se protegen los datos o procesos del cliente de accesos fsicos y lgicos no
autorizados?
7- Seguridad del software: Qu parte de la seguridad del software es responsabilidad del proveedor y
cual de los clientes?
8- Interfaces de programacin de usuarios, gestin y aplicacin: Cmo se protege el acceso a la interfaz
grfica y APIs y dispone de medidas de seguridad adicionales para administradores / roles con mayor
privilegio (bajo el lado del cliente)?
9- Monitorizacin y Registro: Cmo puede el cliente monitorizar el servicio, qu registros se almacenan,
y cmo pueden ser accedidos, por ejemplo, cuando el cliente necesita analizar un incidente?
10- Interoperabilidad y portabilidad: Bajo qu estndares se asegura que el servicio en la nube sea
portable e interoperable?
11- Escala, tamao y costos: Cmo se gestiona el incremento de consumo o picos en el servicio, y a
quien corresponden los costes?
12- Cumplimiento de la legislacin nacional / extranjera: Qu normativas y legislaciones nacionales se
aplican?
Adicionalmente en este otro artculo se destacan los principales aspectos a analizar en el paso a cloud, as
como qu puntos a abordar en cada una de ellas, tanto desde el punto de vista del cumplimiento en
materia de proteccin de datos de carcter personal en Espaa, como desde la seguridad.
Relacionado:
Los servicios avanzados de proteccin IT basados en la Nube impulsan un cambio en el concepto de
ciberseguridad.
Segn un estudio de Jaspersoft, la seguridad de los datos sigue inquietando a las empresas. La
compaa se ha basado en la ltima encuesta del sector BI para concluir que el 75% de los
encuestados nombr la seguridad como una de sus principales preocupaciones.
En el segundo y tercer puesto de la lista de preocupaciones se encuentran la propiedad de los datos
(62%) y la fiabilidad de la nube (59%).
Por otro lado, ms de la mitad de los encuestados (55%) utiliza tecnologa de BI SaaS para
proporcionar servicios a usuarios externos, generalmente dentro de otra aplicacin, mientras que el
46% la usa para ofrecrselos a usuarios internos y a dispositivos mviles.
En contrapartida, menos de la mitad (46%) de los encuestados considera que es difcil trasladar los
datos a la nube y desde ella en un entorno de BI SaaS.
En la encuesta se han analizado los entornos SaaS (software como servicio) y PaaS (Plataforma como
servicio), segn sus resultados, ms de un tercio de los encuestados (39%) utilizan aplicaciones SaaS
que no influyen en funciones embebidas de informes, cuadros de mando y anlisis.
Para compensar estos datos, cada vez ms compaa se apoyan en las BI SaaS: el 31% de los
encuestados ya utiliza esta tecnologa, y otro 33% tiene previsto implementarla en el transcurso de los
prximos dos aos. De ellos el 14% de los encuestados ya utilizan soluciones PaaS y en la nube e
incorporan funciones de BI directamente en sus aplicaciones.
Adems, casi la mitad de las organizaciones (45%) utilizar
tecnologa PaaS en el transcurso de los prximos dos aos.
Adems, las empresas destacaron la agilidad para
implementar BI SaaS (67%) y PaaS (67%) de forma rpida
como una de las tres ventajas ms importantes de las
soluciones en la nube.
Menos de la mitad de los encuestados nombraron el ahorro
de dinero como una de las tres principales ventajas.
A pesar de ser relativamente nueva, la tecnologa PaaS ya est dejando huella, afirma Jim Bell, CMO
de Jaspersoft.
Si adems tenemos en cuenta que ms del 60% de las aplicaciones SaaS de las organizaciones no
incluye funcionalidad de BI, es evidente que existe una demanda importante de funciones de BI tanto
para aplicaciones PaaS como SaaS.
Afortunadamente, se est creando una nueva generacin de aplicaciones en la nube con funcionalidad
de BI integrada.
En esta encuestas tambin se desvel que el 45% afirma que o bien ya utiliza soluciones PaaS, o bien
tiene previsto hacerlo en los prximos 24 meses.
Adems se revela tambin que las principales ventajas de la tecnologa PaaS son la capacidad de
crear e implementar aplicaciones o servicios de forma todava ms rpida (67%) y el ahorro de costes
(55%).
Asimismo, resulta interesante comprobar que en la industria de la BI se est dando mayor prioridad a
la agilidad que al ahorro de costes. Ello nos hace pensar que se podra estar produciendo un cambio
en las prioridades con respecto a los resultados. La llegada de aplicaciones en la nube con funciones
de BI integradas permitir a las organizaciones disfrutar de tecnologa de BI cada vez ms moderna y
flexible sin necesidad de crear ni suministrar ellos mismos las aplicaciones aade Bell.
Son muchos los efectos que se suceden cuando surge algo nuevo, ya sea algo que aparece de
repente o algo que poco a poco ha ido tomando forma. Estas reacciones siempre van de la total
aceptacin sin reservas hasta el rechazo. Los extremos nunca son buenos.
Puede que esta frase parezca un total clich, pero no por eso es menos cierta. Ninguna novedad
tecnolgica es ideal al 100%, pero tampoco es un atentado contra nuestra persona.
Aqu hablamos del cloud, una tecnologa que podra decirse que empez con sistemas sencillos, tales
como Dropbox y que ahora alcanza soluciones globales y totales para empresas.
En los entornos corporativos, las organizaciones se cuidan mucho de tener asegurados todos sus
contenidos e informacin empresarial, es su razn de existir y no es para menos que la cuiden y que
no dejen un efecto al azar.
En los sistemas cloud corporativos se trabaja a fondo en aspectos como la seguridad y el rendimiento,
pero que pasa cuando hablamos a nivel usuario? ya sea por dejadez, por no saber del tema o por
que nos fiamos completamente, muy pocos usuarios suelen repasar las condiciones a las que se
- Es siempre barata. Cuando hablamos de subir un nuestras fotos personales, albergar algunos
archivos importantes este tipo de procesos no suelen tener mucho coste para los proveedores, por lo
que se suelen proporcionar de manera gratuita.
Pero cuando se trata de una carga continua, en la que es necesaria una estandarizacin y
automatizacin de sistemas internos, lo que se llama nube privada, la cosa se complica un poco.
Pasa lo mismo que cuando compramos un coche, si se trata de uno que solo vayamos a utilizar
algunos fines de semana, es lgico que no invirtamos mucho en el, pero que pasa si es nuestro
medio de trabajo?
Buscaremos algo eficiente, que no gaste mucho, que est a todo riesgo y que optimice nuestros
ingresos. Si an as optamos por la opcin gratuita, por que estamos empezando, por que no
entedemos mucho, por que no sabemos si es rentable veremos como al subir mucha informacin al
al que tiene que accederse a diario desde diferentes dispositivos, diferentes personas y trabajar con
ella, modificarla, borrarla y crear nueva, todo se realentiza, a los servidores gratuitos les cuestas y los
errores se multiplican y tardan en arreglarse.
Vale, se puede seguir sin la opcin de pago ms eficiente, pero gastaremos tiempo, y el tiempo en un
negocio, de todas todas es dinero.
- No se queda obsoleto. En muchas ocasiones cuando se compra uno de estos productos, se hace de
manera mensual o anual, pagando siempre por adelantado. Es muy importante probar antes el
servicio, comprobar que realmente es lo que estamos buscando, por que si no podemos quedarnos
atrapados durante un ao en un servicio que no funciona.
Siempre sabes cuanto va a costar. Esto puede ser algo verdadero para servicios como el de
Salesforce (aunque hay que recordar que los gastos se pagan una vez al ao y con antelacin), pero
cuando se utilizan plataformas como la de EC2 o Azure, a veces se caen en clculos complejos, que a
veces puede quedarse fuera de los presupuestos de la empresa.
Siempre es seguro y funciona bien. Si, los servicios de renombre en la nube administran los servicios
que ofrecen lo mejor que pueden ya que si no lo hace as no podr mantenerse en el negocio. Sin
embargo los clientes de estos servios son vctimas jugosas para los hackers, por lo que hay que
asegurarse muy muy bien a la hora de elegir un proveedor y de que ste se haya preocupado de los
problemas de seguridad.
Siempre funciona. Los fallos ms frecuentes que sufren los servicios en la nube, vienen derivados de
los fallos a la conexin a Internet, cuando se est tratando de acceder a ellos. Pero hasta los ms
grandes como Amazon han tenido fallos en el sistema.
Puedes volver a salir sin ningn esfuerzo. Hay muchas diferencias entre los sistemas que ofrecen
servicios en la nube, Azure y OpenStack, aunque ms trabajosas, son ms tiles a la hora de utilizarlas
desde sistemas externos.
Cloud Personal
Tiene Usted un perfil en DropBox, Slideshare?Su empresa trabaja con Google Enterprise u otros
servicios empresariales en la nube?.
Entonces ser habitual cargar informacin y almacenarla en un entorno virtual. Podr acceder a sus
archivos desde el ordenador, el tablet o su smartphone. Usted est en la nube.
Algunos tipos de nubes personales estn ganando fuerza. Un tipo se refiere al uso exclusivo de una
persona, no un negocio, son las nubes pblicas / privadas.
Otro tipo cubre las nubes que hay en un hogar o un negocio y son administrados por una persona, son
lasnubes privadas / personales.
Proteccin de infraestructuras
(Ver tambin Infraestructuras Crticas)
Desde el punto de vista de la seguridad, la concentracin de datos es una navaja de doble filo. Los
grandes proveedores pueden ofrecer una seguridad de vanguardia y una continuidad comercial mediante
la distribucin de costes entre un gran nmero de clientes. No obstante, si se produjera una interrupcin
en el servicio o una violacin de la seguridad, entonces el impacto sera mayor y afectara a la vez a un
gran nmero de organizaciones y ciudadanos.
la informtica en la nube es una realidad y, por lo tanto, debemos estar preparados para prevenir fallos
de servicio y ciberataques en los servicios de nube.
Uno de los factores que hace reticentes a las empresas a migrar a la nube es la seguridad. Muchas
compaas piensa que las soluciones cloud pueden ser inseguras.
Sin embargo, simplemente es necesario elegir bien para que la proteccin sea igual o mejor que la de
tecnologas tradicionales.
Para ayudar a las empresas y sus partners a saber qu criterios de seguridad son necesarios para
entrar en una nube protegida, se puede seguir este declogo de consejos para migrar un proyecto con
garantas de seguridad cubiertas.
1. No todas las nubes son iguales. Aunque el concepto es similar, no todas las nubes y servicios
concebidos para la nube estn diseados y desarrollados de la misma forma. Es muy recomendable
analizar todos los detalles de cualquier propuesta de un proveedor.
2. Conoce dnde est y cmo es tu cloud. La nube no es
etrea, sino que est ubicada en un sitio fsico. Saber
dnde est, poder acceder a ella o conocer a la gente
que est detrs de la gestin evita muchos sustos en el
futuro y facilita muchas de las operaciones del da a da.
Es importante ofrecer a los clientes un entorno de cloud
basado en un datacenter que cuenta con las mximas
medidas de seguridad lgicas y fsicas.
3. La seguridad es un requisito, no un aadido. En cuestiones tan sensibles como la salvaguardia de
documentacin crtica de la empresa, resulta obvio que la seguridad no es una funcionalidad extra a
aadir y negociar, sino que por defecto, un buen servicio en la nube debe garantizar el control, gestin y
acceso a los datos y aplicaciones bajo estrictas normas de seguridad y acorde a los permisos establecidos
por el cliente para interferir en su entorno cloud o en los diferentes niveles de opciones que haya
configurado.
4. Una buena seguridad cloud obliga a una buena seguridad in house. No hay que olvidar que en los
proyectos de infraestructura y de servicios cloud, el compromiso de seguridad debe de ser doble. No tiene
sentido exigir al proveedor entornos seguros de acceso y trabajo y descuidar las polticas internas de
seguridad de la empresa.
5. Las personas siguen siendo un elemento crtico. Las tecnologas hacen el trabajo, pero el diseo y
aplicacin de las medidas de seguridad las hacen las personas.
Las economas de escala permiten a los proveedores de servicios en la nube contar con autnticos
expertos de seguridad que aportan mucho valor y experiencia, sobre todo, teniendo en cuenta que
histricamente muchos de los fallos de seguridad son por errores humanos.
6. Recuerda que la seguridad es multiplataforma. El acceso a la nube es ubicuo y multiplataforma. Segn
las necesidades de cada empleado o departamento acceder a una hora u otra, desde una red fija o una
red pblica, o desde un dispositivo u otro.
Una buena poltica de seguridad no debe de descuidar ninguna de estas vas y proponer siempre la
existencia de dos redes separadas, aquella que tiene conexin con el exterior, dotada de direccionamiento
IP pblico, y una red privada con direccionamiento privado que es de uso exclusivamente interno.
7. Apuesta por estndares de mercado. Siempre es ms sencillo trabajar con tecnologas y productos
estndares del mercado que acotarse a desarrollos muy especficos o de nicho. La migracin e integracin
de equipos, o incluso la replicacin de entornos y sistemas ser ms rpida y sencilla trabajando con
estndares de mercado.
8. Revisa el cumplimiento legal. Un buen proveedor de cloud no slo debe ofrecer las mximas garantas
de seguridad, sino que debe cumplir con las normativas legales en materia de proteccin de datos, como
puede ser en Espaa la LOPD para salvaguardar la confidencialidad y la seguridad de la informacin. Por
eso es importante contar con personal cualificado que monitorice cualquier incidencia y que notifique y
solucione en tiempo real cualquier infraccin de seguridad.
9. Exige garantas de alta disponibilidad y redundancia. Contar con nubes redundantes datacenters en
diversas localizaciones- no slo garantiza la disponibilidad permanente del servicio en cuestiones de red,
almacenamiento y nodos de computacin, sino que aade un grado extra de seguridad.
10. En seguridad y en cloud no te la juegues. En realidad las amenazas de seguridad en los entornos en
la nube no son diferentes a los que existen en el modelo tradicional. Lo que s que resulta crtico es la
confianza y credibilidad que puede aportar una empresa un proveedor de este tipo de soluciones. Hay
que tener en cuenta que la empresa est exponiendo informacin sensible a un tercero por lo que hay
que tener absoluta garanta de que tanto en entornos de cloud pblica, como privada o mixta se
garantiza la gestin y administracin de permisos y accesos.
Pero estas noticias no resultan nada tranquilizadoras, por no entrar en asuntos ms serios como
la ciberguerra, cuando cada vez ms compaas planean guardar al menos partes de sus datos en clic
"la nube", como se denomina a la prctica de almacenar informacin en la red en lugar de en el disco
duro de la computadora local.
En Reino Unido, por ejemplo, casi siete de cada 10 compaas estn planeando usar "la nube", segn
un estudio de la consultora Axios.
Y cuantas ms empresas sigan ese camino, ms frecuentes sern las filtraciones como las padecidas
por Sony, explic Alex Hudson, de BBC Click.
"Cada vez tenemos una mejor idea del potencial de la computacin en la nube, pero tambin de
sus vulnerabilidades", le dijo por su parte el ministro del Interior de Australia, Brendan O'Connor, a la
Asociacin Internacional de Profesionales de la Seguridad.
Y, en opinin de O'Connor, si los criminales son lo suficientemente inteligentes tambin pueden
esconder informacin ah.
Robando secretos
Segn Hudson, los cibercriminales tambin estn usando la nube para mejorar su capacidad para
robar secretos informticos.
Y es que, para proteger la informacin que se guarda en la nube, los datos por lo general son
"encriptados" (es decir, cifrados) con cierta regularidad.
Hasta hace muy poco tiempo esto haca necesario contar con una supercomputadora para regresar los
datos a un estado en el que se pudieran usar. Pero ahora internet mismo le ofrece a los criminales la
posibilidad de aumentar significativamente su capacidad de procesamiento para hacer el descifrado
cada vez ms rpido, fcil y barato.
"Incluso si la informacin sobre nuestras tarjetas de crdito
est cifrada, hay programas que permiten descifrarla si
cuentan con suficiente poder de procesamiento", le dijo a
la BBC William Beer, director del departamento de
seguridad de Prix Price Waterhouse Cooper.
"Y la nube puede proporcionar una inmensa capacidad de
procesamiento... La irona es que estn usando las tarjetas
de crdito robadas para pagar por esa capacidad", agreg.
El investigador alemn en temas de seguridad informtica
Thoma Roth ha probado este sistema. Roth us una
tcnica de "fuerza bruta", que antes hubiera requerido de
una supercomputadora, para hackear redes
inalmbricas cifradas.
"Esta tcnica permite probar 400,000 contraseas
diferentes por segundo. Es algo as como golpear la puerta hasta que esta se abre. No se necesitan
habilidades especiales de hacker", explic Hudson.
Y Roth lo hizo usando un servicio de computacin en nube que slo cuesta unos pocos dlares por
hora: el Elastic Cloud Computing (EC2) de Amazon.
Segn este gigante se trabaja permanentemente para garantizar que sus servicios no son empleados
para actividades ilegales.
Pero aunque Roth no hizo la prueba con fines ilcitos, y poda haber usado cualquier otro proveedor, la
tcnica tambin podra ser empleada, en principio, para descifrar la informacin de las tarjetas de
crdito.
Y el investigador alemn afirma haber experimentado con velocidades que le permitiran probar un
milln de contraseas por segundo.
Lo que ms asusta a otros, sin embargo, es que los criminales que usan la nube tambin son muy
difciles de rastrear.
Y es que la mayora de las compaas que manejan informacin financiera tienen estndares muy
estrictos de seguridad.
"Todo se resume a qu tan bueno es el sistema
de encriptado", explica Mark Bowerman, portavoz de
Accin contra el Fraude Financiero, el grupo que coordina
las iniciativas de seguridad del sector en el Reino Unido.
"Incluso teniendo supercomputadoras, o el poder de
cientos de miles de computadoras conectadas en red, si el
encriptado es lo suficientemente fuerte se necesitaran
aos para poder romper nuestras contraseas", asegur.
Pero, desafortunadamente, muchas personas tienen la
costumbre de utilizar la misma contrasea para varios
servicios.
"Y, por eso, una vez que un hacker se aduea de un correo electrnico, esa es como una llave maestra
para todo lo dems", explic Rik Ferguson, de la compaa de seguridad Trend Micro.
"Por eso, la gente debera de ser ms cuidadosa con sus contraseas y emplear contraseas
diferentes para cada cuenta en lnea", recomienda en consultor en seguridad informtica Graham
Cluley.
De lo contrario, podramos estar aumentando el riesgo de caernos de la nube, incluso si nuestro banco
es una garanta de seguridad.
(Ver documento ampliado sobre Hacking, Hacking tico, Hacktivismo y Seguridad Empresarial)
SoMoClo (Social, Mvil, Cloud). Es hora de que las empresas reconozcan esta realidad.
Si eres un estudiante universitario escuchando msica en streaming desde tu telfono inteligente preadaptado a tus gustos; un director de marketing preocupado por saber cul es el producto de moda; o
bien eres un viajero preocupado por el precio de un billete de avin, SoMoClo est influyendo en tu
comportamiento y en tu toma de decisiones.
Desde el advenimiento de las redes sociales, la posibilidad de compartir ficheros online y las tiendas
de aplicaciones, desde el acceso al email de trabajo en los aparatos personales (tendencia
denominada Bring Your Own Device, o BYOD) y desde que descubrimos que, gracias a las
aplicaciones sociales con GPS, podemos ver recomendaciones de restaurantes en una nueva ciudad a
travs del telfono mvil, estamos viviendo en el mundo SoMoClo.
Es hora de que las empresas reconozcan esta realidad y que determinen una estrategia, antes de que
sus propios empleados decidan por ellas.
De hecho, los empleados ya estn introduciendo en las oficinas, trayendo sus propios telfonos
inteligentes antes de que la compaa les proporcione uno, accediendo a Facebook y a Twitter en
horas laborales para estar al da de lo que pasa en su sector y para ver qu hacen los competidores,
utilizandoalmacenamiento online (Cloud Storage) para guardar y acceder a los documentos
corporativos desde casa sin tener que utilizar la red privada virtual (VPN). Todo esto son cosas que no
se pueden evitar hoy en da.
Pero ahora, con la explosin de Big Data a la vista (ms de 2,4 quintillones de nuevos bytes cada da),
las organizaciones necesitan repensar sus comportamientos dirigidos a consumidores offline para
disear una estrategia que incluya a los consumidores online.
Como muchas otras tendencias tecnolgicas, SoMoClo necesita ser integrada en la empresa.
Esto representa el prximo captulo de la transformacin
de Internet, y su correspondiente estandarizacin,
haciendo ms flexibles la entrega de servicios y
expandiendo el alcance y la colaboracin a nuevos niveles
de productividad.
Esto significa que las empresas necesitan empezar a mirar
a estas tres tendencias como si fueran una sola: cloud es
el modo de entrega, social es el servicio compartido y
mvil representa el acceso ubicuo.
En esencia, conforman las tres patas de un trpode, pero
deben ser vistas como una entidad ya que es lo que les da
su fuerza, con cloud como elemento crtico que permite escalar y ser gestionado a lo largo de toda la
empresa.
Incluso, SoMoClo est ayudando a las empresas a incrementar su productividad, capacidad de
respuesta y eficiencia. SoMoClo es verdaderamente la convergencia de lo digital y la infraestructura
fsica con una nivel de entrada muy bajo, que permite nivelar el campo de juego de tal forma que una
empresa start-up pequea y que est empezando, puede tener el mismo alcance global que una
multinacional.
Cuando una empresa decide adoptar la estrategia SoMoClo, es importante tener en cuenta:
- Las recomendaciones funcionan mejor que las restricciones. Aunque muchas compaas bloquean sitios
como Facebook en la red corporativa para evitar su uso en horas de trabajo, suele ser ms efectivo
permitir el acceso pero ser claro en las guas de uso sobre las redes sociales, indicando que aunque
tambin pueden ser tiles en la vida personal, tambin sirve como herramienta de marketing y
comunicacin del negocio.
- Una buena seguridad es clave para que la proliferacin de la tendencia Bring Your Own Device (BYOD)
sea efectiva.
Las herramientas de seguridad inteligente como el anlisis de datos son la clave para que la estrategia
BYOD se lleve a cabo de manera ptima.
Estas herramientas pueden reconocer y dar aviso de actividad no deseada, como puede ser la
correspondancia con pases con los que la empresa no hace negocios, un empleado de una divisin
bajndose informacin de otra divisin, etc.
- Tener en mente el buen estado moral de los empleados para alcanzar una buena productividad. Ms y
ms compaas, muchas de las cules han sido reconocidas como mejor lugar para trabajar entienden
el valor de que su plantilla sea mvil, particularmente para encontrar un equilibro entre el trabajo y la
vida personal.
Para lo bueno y lo malo, las horas de trabajo y las horas de estar en casa ya no son algo blanco y negro.
Debido a la globalizacin muchos empleados pueden tener que trabajar en horas fuera de su horario
laboral lo que ha de ser compensado con movilidad y flexibilidad.
- Dibujar la lnea antes de comprometer informacin del cliente. Mientras la libertad personal y la
flexibilidad son importantes para los empleados, los empleadores deben entender que mantener la
integridad de la informacin confidencial es su responsabilidad.
Por ello, las empresas deben tener una estrategia de movilidad y social que asegure la confidencial de la
informacin que as lo requiera.
- Aprovechar SoMoClo para maximizar tu potencial de marketing. SoMoClo brinda a las empresas un
montn de nuevas oportunidades de marketing a travs de los medios sociales y de las aplicaciones
mviles alojadas en la nube. La clave est en saber aprovecharlas.
Teniendo estos consejos en cuenta y adoptando una estrategia corporativa para aprovechar las nuevas
tendencias que vienen de la mano de los medios sociales, los terminales mviles y la informtica en la
nube, su empresa tendr una mayor capacidad para dar salida a las innovaciones y a la colaboracin,
de una manera segura.
Reconociendo la oportunidad de negocio y tomando las acciones necesarias de gestin, el negocio
evolucionar para abrazar la convergencia de tres de las ms importantes tendencias tecnolgicas de
la actualidad: un tres por uno dnde el conjunto de las partes es ms grande que la suma de cada una
de ellas.
(Ver documento ampliado sobre Big Data)
Cuando hablamos de cifrado de datos, no solo nos referimos al cifrado de la informacin que
manejamos a diario en nuestros servidores o equipos o en la nube, sino tambin de nuestras copias de
seguridad.
Qu pasara si perdemos una cinta de copias o que nos la roban? Si no est cifrada, pues sera no
solo como perder una caja fuerte, sino como perder una caja fuerte con la puerta abierta. Si estas
cintas estuviesen cifradas, que pasara? La respuesta es muy simple nada! Sin acceso a las claves
de cifrado, es casi imposible recuperar los datos.
Los beneficios de la tecnologa cloud, de la nube, son incuestionables, segn
algunos. Ahorro significativo de costes gracias a la externalizacin de la
infraestructura informtica y de personal tcnico relacionado y
aprovechamiento de una economa de escala proporcionada por el proveedor
del servicio en la nube.
Pero el riesgo ms importante est en las mismas oficinas o sedes centrales. Muchos tienen sus datos
alojados en servidores sin ningn tipo deencriptacin, con copias de seguridad sin cifrar, y sin ninguna
poltica de transporte de archivos de una forma segura.
Estas empresas son las mismas que temen migrar hacia la nube.
En un mundo que se mueve hacia la virtualizacin y la nube, la necesidad de cifrado es, sin lugar a
duda, importante. Es imprescindible para que las empresas mantengan el control sobre sus datos,
sobre todo en entornos en la nube.
Hay una preocupacin generalizada sobre esta migracin
de datos, la gran mayora creen que sus datos estn ms
seguros en sus propios CPDs.
Expertos en seguridad han debatido sobre las nuevas
amenazas para la seguridad informtica, con especial
atencin al cloud computing y aseguran que para utilizar
de forma responsable y segura este tipo de servicios, lo
mejor es utilizar un sistema de cifrado de datos en los
documentos, de forma que aunque se vulneren las
medidas de seguridad del sitio o se pierdan los documentos, estos estn protegidos.
Un correcto sistema de cifrado garantiza la privacidad de los datos, y al mismo tiempo hace que sea
posible aprovechar los beneficios de infraestructuras como servicios y as reducir costes de complejos
y caros centros de datos propios.
Manteniendo el control de las claves de encriptacin, mantendremos el control sobre los datos, aunque
estos estn viajando por la red o en estado de reposo en la nube.
Muchos de estos riesgos pueden reducirse significativamente mediante el uso de cifrado. El cifrado
implica una capa adicional de seguridad robusta que nos permitir mantener la confidencialidad de
nuestros datos, y en muchos casos, el cumplimiento con la legislacin vigente en materia de datos
sensibles (especialmente de datos personales).
Las soluciones de cifrado deberan seguir dos principios fundamentales que son la eficiencia y la
transparencia. Eficiencia para que los algoritmos de cifrado no afecten significativamente al
rendimiento de sus servicios y transparencia para que estos no sufran grandes cambios al ser
Esta gua tiene como objetivo identificar los requisitos que un organismo debe solicitar a un prestador
de servicios cloud computing para que la contratacin de sus servicios est alineada con el Esquema
Nacional de Seguridad (ENS) y con la Ley Orgnica de Proteccin de Datos (LOPD).
Es una gua interesante para documentarnos sobre la migracin a tecnologa cloud especialmente para
administraciones pblicas y teniendo en cuenta el marco normativo del Esquema Nacional de
Seguridad.
La otra gua de referencia, la de la Agencia Espaola de Proteccin de
Datos (AEPD) es ms completa pero se centra en la LOPD. Sin
embargo, esta gua profundiza mucho ms en los requisitos del ENS.
Inicialmente esta gua describe lo que es la tecnologa cloud y sus
caractersticas detalladamente haciendo uso de la definicin del NIST,
una de las ms aceptadas. Tambin describe los distintos modelos de
despliegue y los distintos modelos de servicio.
Modelos de despliegue:
-
Nube
Nube
Nube
Nube
pblica
privada
comunitaria
hbrida
Modelos de servicio:
- IaaS
- PaaS
- SaaS
Como muchos otros artculos y papers cae en algunas generalizaciones que deben ser analizadas ms
detalladamente.
En alguno de ellos se dice que "la caracterstica principal del cloud computing es la accesibilidad de la
informacin" ya que con "una conexin a Internet y un navegador web se posibilita el acceso a los
servicios alojados en la nube".
Esto es cierto para la nube pblica pero no necesariamente para otros tipos de modelos de despliegue.
Generalmente el modelo de cloud computing permite reducir costes a la organizacin con respecto al
modelo de servicio y alojamiento tradicional.
Estos ahorros de costes deben analizarse minuciosamente ya que aunque la migracin a la nube
puede aportarnos ventajas puede que en ocasiones suponga un incremento de costes.
Son tres los modelos fundamentales en el campo del cloud computing: Infraestructura como Servicio
(Iaas, Infrastructure as a Service), Plataforma como Servicio (PaaS, Platform as a Service) y Software
como Servicio (SaaS, Software as a Service).
Son abreviaturas que se utilizan para referirse a servicios, plataforma e infraestructura, y aaS
significa como un servicio.
Un punto importante en la informtica son las soluciones cliente-servidor, pero actualmente cada vez
nos encontramos con ms sistemas que nos ofrecen una solucin web.
A pesar de que hay claras diferencias entre los servicios de cloud computing, cada uno de ellos est
especialmente diseado para satisfacer las necesidades ms comunes.
Sin embargo, lo ms importante es que si una empresa tiene la oportunidad de ampliar su negocio en
la nube, en sus servicios encontrar beneficios y ventajas, y una importante disminucin en el
presupuesto de tecnologa.
Una breve introduccin de cada uno:
* Saas o software como un servicio: Se ha utilizado desde hace varios aos. Por ejemplo, el correo
electrnico es un tipo de SaaS. Hoy en da este tipo de modelo de cloud computing ha tenido una gran
popularidad por todos los beneficios y ventajas que nos proporcionan.
Unas de las ventajas de utilizar SaaS es que no hay que administrar un servidor local. Es un modelo
de distribucion de software en el que la compaia de tecnologa de informacion y computacin (IT), se
encarga de proveer el servicio de mantenimiento, operacin diaria y soporte del software utilizado por
el cliente.
En otras palabras, el cliente no necesita descargar programas o adquirir licencias para poder acceder a
las diversas aplicaciones o manipular los datos que ste necesita, ya que dichos datos se encuentran
almacenados en un servidor central colocado en la empresa que provee los servicios, y no en la
compaia del cliente.
* PaaS o plataforma como servicio: A pesar de que la plataforma como servicio no es tan popular como
el SaaS, este est ganando popularidad en la nube.
Esta plataforma es muy importante para los desarrolladores y empresas que trabajan con aplicaciones.
Hay empresas que ofrecen PaaS y slo requiere que los desarrolladores elijan el tipo de plataforma
que quieren para sus aplicaciones, de tal manera que no haya que preocuparse por los servidores, su
mantenimiento, los problemas de seguridad y cualquier otra cosa.
Al igual que todos los servicios cloud, PaaS proporciona acceso a recursos informticos situados en un
entorno virtualizado, la "nube" (cloud), a travs de una conexin pblica, que suele ser internet. PaaS
es un modelo probado para ejecutar aplicaciones sin el inconveniente de mantener la infraestructura
de hardware y software en la empresa.
Empresas de cualquier magnitud han adoptado soluciones de PaaS por su simplicidad, flexibilidad y
fiabilidad, que siempre cuentan con las ltimas funciones sin la molestia de tener que actualizarlas
constantemente.
* IaaS o infraestructura como servicio: La infraestructura como un servicio es una de las ltimas
tendencias en cloud computing, que hace la vida ms fcil a las empresas y negocios, una empresa
que ofrece este sistema proporciona el equipamiento tecnolgico necesario para apoyar las
operaciones.
Por ejemplo, esa empresa puede proporcionar soluciones de red, servidores, hardware y todo lo
necesario para apoyar un proyecto, de este modo, un cliente solo paga por la infraestructura que
quiere externalizar, por ejemplo, si su empresa necesita una virtualizacin de escritorio, solamente hay
que pagar por este servicio sin tener un servidor propio.
Proporciona acceso a recursos informticos situados en un entorno virtualizado, la "nube" (cloud), a
travs de una conexin pblica, que suele ser internet. En el caso de IaaS, los recursos informticos
ofrecidos consisten, en particular, en hardware virtualizado, o, en otras palabras, infraestructura de
procesamiento.
Relacionadas:
IaaS, PaaS, SaaS, Nubes Privadas y Pblicas e ITaaS
Gestin de Riesgos
Describe una metodologa bsica de anlisis de riesgos relacionados con la migracin al cloud. El
Incumplimiento normativo.
Incumplimiento contractual.
Problemas en migracin de datos.
Omisin de notificacin de incidencias.
Borrado inseguro.
Mal uso de recursos.
Concluye con el concepto de que los riesgos residuales (los que quedan una vez se tienen en cuenta
las salvaguardas o controles de seguridad en la organizacin) deben ser aceptables para la
organizacin o de lo contrario hacer uso de estos servicios no sera viable.
Este apartado se debera desarrollar mucho ms ya que analizar correctamente el riesgo de utilizar
servicios cloud computing es la clave para un uso eficiente y eficaz de los mismos.
Esta gua tambin insiste en la importancia de unos buenos contratos con el prestador del servicio
cloud computing donde se establezcan requisitos contracturales necesarios para cumplir con el ENS y
la LOPD as como acuerdos de nivel de servicio que garanticen la calidad del servicio.
Se indican una serie de puntos que deben contemplarse en los modelos contractuales que usen las
administraciones pblicas para contratar estos servicios:
-
Medios Alternativos
Segn el nivel de los datos sea MEDIO o ALTO segn el Esquema Nacional de Seguridad puede ser
necesario que el prestador del servicio disponga de medios alternativos en caso de desastre, un plan de
continuidad de negocio y evidencias de las pruebas del mismo.
Ms informacin:
http://www.aspectosprofesionales.info/2013/02/resumen-cada-vez-mas-los-negocios.html
http://www.altonivel.com.mx/23956-big-data-una-nueva-forma-de-analizar-al-mundo.html
http://jboadac.com/2012/12/04/big-data-y-fidelizacion-5-claves/
http://isragarcia.es/big-data-un-gran-reto-para-la-humanidad
Relacionados DLP y Cifrado en la nube:
http://www.trendmicro.es/productos/data-loss-prevention/
http://www.symantec.com/es/es/data-loss-prevention
http://www.mydlp.com/
https://code.google.com/p/opendlp/
http://pfsense.org/
http://multicomp.com.mx/seguridad-informatica/sonicwall/
http://www.webtitan.com/
http://www.sophos.com/es-es/your-needs/features/cloud-encryption/products.aspx
https://www.aerofs.com/
http://www.safenet-inc.com/cloud/hsm/crypto-hypervisor/