Ensayo capitulo 8 seguridad de la nube
8
Universidad Nacional Autónoma De Honduras En El Valle De Sula Departamento: Lic. Informática Administrativa Asignatura: Perspectivas De La Tecnología Informática Alumno: Guillermo Brand Cuenta: 20102006217 Tema: Ensayo del Capítulo 8 Fecha: 18 de Septiembre de 2016
-
Upload
cesar-lara -
Category
Internet
-
view
83 -
download
0
Transcript of Ensayo capitulo 8 seguridad de la nube
Universidad Nacional Autónoma De Honduras
En El Valle De Sula
Departamento: Lic. Informática Administrativa
Asignatura: Perspectivas De La Tecnología Informática
Alumno: Guillermo Brand
Cuenta: 20102006217
Tema: Ensayo del Capítulo 8
Fecha: 18 de Septiembre de 2016
Lugar: San Pedro Sula, Cortes
SEGURIDAD DE LA NUBE
Una de las críticas más negativas a la nube es la relativa a la seguridad y el control de los datos dentro de la nube. Aparentemente las organizaciones tienen un control más rígido sobre los datos almacenados en su propia infraestructura que si los almacenan en la nube. Por otra parte, es necesario considerar sistemas de regulación y cumplimientos (compliance) legales. En realidad, la nube puede ser tan segura o incluso más que un centro de datos tradicional, aunque el método de enfocar la seguridad de la información sí que es radicalmente diferente.
Tecnologías como EC2 de Amazon o Google App Engine de Google, son ejemplos de servicios de Cloud Computing en las cuales se entregan a los clientes externos servicios de TI que utilizan tecnologías de Internet.
La seguridad y el control en la nube continúan percibiéndose como barreras para el cloud computing. Los directivos están principalmente preocupados por la seguridad y la calidad del servicio.
PROTECCIÓN DE DATOS
La nube es un modelo de computación que ofrece el uso de una serie de servicios, aplicaciones, datos, plataformas, infraestructuras, compuestas a su vez por recursos de computación, redes, servidores, almacenamiento, etc.
En una primera impresión, la abstracción del hardware que trae consigo la nube da la sensación de que el nivel de seguridad es más bajo que en los modelos tradicionales, ya que en algunos modelos de la nube la empresa cliente pierde el control de seguridad sobre dichos servicios.
SEGURIDAD DE LOS SERVICIOS DE LA NUBE
La evaluación de riesgos y la revisión de la seguridad en la nube deben considerar en primer lugar las opciones de despliegue de la nube (pública, privada e híbrida) y modelos de entrega de servicios (SaaS, PaaS, IaaS). Estrechamente relacionada con los modelos anteriores estarán los procesos relacionados con la virtualización, los cuales también consideraremos. Evidentemente, como sucede en el Plan General de Seguridad de la Información (PGSI), ninguna lista de controles de seguridad podrá cubrir todas las circunstancias, pero se deberá adoptar un enfoque basado en riesgos para moverse o migrar a la nube y seleccionar las opciones de seguridad. Los activos de despliegue en la nube se agrupan en dos grandes bloques: los datos y las aplicaciones.
INFORMES DE LA INDUSTRIA DE SOFTWARE
La importancia de la seguridad en la nube y la necesidad de afrontar los retos que ello supone, hace que los grandes proveedores de la nube y de seguridad publiquen frecuentemente informes sobre temas de seguridad. Citaremos algunos casos a manera de ejemplo.
Trend Micro
Trend Micro, una de las grandes empresas proveedoras de seguridad informática del mundo, publicó un informe en junio de 2011, donde destacaba que el 43% de las empresas han tenido problemas de seguridad con sus proveedores de servicios basados en la nube. El informe se elaboró después de entrevistar a 1.200 directores de información (CIO’s) y el tema central de las encuestas y entrevistas fue cloud computing y la seguridad. En el informe se destacaba que la adopción de la nube en las empresas se estaba llevando a buen ritmo.
Intel
Intel, el fabricante número 1 de chips del mundo, publicó el 25 de octubre de 2011 una guía para la seguridad en la nube “Seguridad
Cloud” (Cloud Security). En dicha guía Intel establece una serie de pasos para la protección de los servicios en la nube.
Cisco
El informe de Cisco de noviembre de 2011. Cisco, primer fabricante del mundo de dispositivos y redes de comunicación presentó en Acapulco, México, en el mes de noviembre de 2011, el informe: “Seguridad en la nube, el nuevo reto: Cisco”.
Microsoft
Microsoft también está preocupado sobre la seguridad y disponibilidad de los datos que sus clientes depositan en la nube, junto con los requerimientos globales de seguridad. Algunas preguntas que cabría hacerse son: ¿qué están haciendo los proveedores para poder mantener una nube segura? ¿Están mis datos y los de mi empresa seguros en la nube? Es necesario que las empresas proveedoras de la nube tengan numerosos controles de seguridad del estándar ISO.
ASEGURAMIENTO DE LOS DATOS EN LA NUBE
La seguridad física define el modo de controlar el acceso físico a los servidores que soportan su infraestructura. La nube exige restricciones físicas de seguridad, teniendo presente que hay servidores reales que funcionan en cualquier lugar.
REQUISITOS EXIGIBLES AL PROVEEDOR RELATIVOS A DATOS
Antes de firmar el contrato con el proveedor de la nube debe asegurarse que en el mismo y en el acuerdo de nivel de servicios (SLA) correspondiente deben estar contemplados al menos los siguientes compromisos (Hurwitz 2010: 85):
OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN EN LA NUBE
El desarrollo del software seguro se basa en la aplicación de principios de diseño de software seguro que forman los principios fundamentales del aseguramiento del software. El aseguramiento del
software se define como: “los fundamentos que permiten tener confianza justificada de que el software debe tener todas las propiedades requeridas para asegurar que cuando dicho software se esté ejecutando deberá operar de modo fiable pese a la presencia de fallos intencionales.
OTRAS CARACTERÍSTICAS IMPORTANTES
Existen otras propiedades o características complementarias de las anteriores que se aplican a todo tipo de taxonomías de seguridad, como es el caso de la tradicional seguridad de los sistemas de información y de los sistemas de computación en la nube.
Identificación Autenticación Autorización Auditoría Responsabilidad Privacidad
ASPECTOS SIGNIFICATIVOS EN LA SEGURIDAD EN LA NUBE
Las empresas y organizaciones que optan por la migración o movimiento hacia la nube deberán estudiar plenamente aquellos temas críticos relativos a la seguridad. Así se consideran al menos los siguientes aspectos:
Implicaciones legales, cumplimiento y conformidad con regulatorios y los estándares que son diferentes en la nube de los marcos legales y regulatorios del entorno tradicional.
No existe el perímetro de seguridad de la organización tradicional en la nube. La política de seguridad centrada en la seguridad perimetral no funciona en la nube incluso con aquellas nubes que soporten la seguridad tradicional del perímetro.
El almacenamiento de datos en la nube debe considerarse un perfil de alto riesgo.
Las tecnologías de virtualización como Xen, Citrix, o VMware tienen sus propias vulnerabilidades y por consiguiente se deben introducir pautas de comportamiento.
CUMPLIMIENTO DE REGULACIONES Y ESTÁNDARES
La adopción de los servicios de la nube por una organización o empresa, presenta muchos retos y desafíos. Cuando una organización migra a la nube para consumir servicios de ella y, especialmente, servicios de la nube pública, mucha de la infraestructura de sus sistemas de computación pasa a estar bajo el control de un proveedor de servicios de la nube (CSP CCSSPP CSP, Cloud Services Provider).
RIESGOS Y TIPOS DE SEGURIDAD
La seguridad de los sistemas de información se divide en dos grandes categorías: protección de los activos (hardware, software e infraestructura de redes que constituyen un sistema de TI) y protección de los datos. Hace unos años los activos eran considerados la parte más valiosa del sistema y a su protección se dedicaban casi todos los esfuerzos para asegurarse que no se hacía un uso no autorizado de los mismos.
ADMINISTRACIÓN DE LA IDENTIDAD Y CONTROL DE ACCESO
La administración (gestión) de la identidad y el control de acceso (IAM IIAAMM IAM, Identity and Access Management) son funciones fundamentales requeridas en la computación en nube segura y uno de los mejores métodos para la protección de su entorno.
ESTRATEGIAS DE SEGURIDAD
Las directrices de TI deben pensar en primer lugar sobre el impacto de la nube en la seguridad de la corporación. Si usted está pensando en crear una nube privada o potenciar una nube pública necesita establecer una estrategia de seguridad. Sin un entorno de seguridad adecuado ninguna organización debe implementar una solución en la nube. Esta decisión se debe adoptar en paralelo con el proceso de puesta en marcha del modelo elegido de nube.
SEGURIDAD DE LOS SERVICIOS DE LA NUBE
La evaluación de riesgos y la revisión de la seguridad en la nube deben considerar en primer lugar las opciones de despliegue de la nube (pública, privada e híbrida) y modelos de entrega de servicios (SaaS, PaaS, IaaS). Estrechamente vinculados con los modelos anteriores estarán los procesos relacionados con la virtualización y que también consideraremos. Evidentemente, como sucede en el Plan General de Seguridad de la Información, ninguna lista de controles de seguridad podrá cubrir todas las circunstancias, pero se deberá adoptar un enfoque basado en riesgos para moverse o migrar a la nube y seleccionar las opciones de seguridad.
