Archivo del sitio

Cloud Computing: privacidad en la empresa

En los siguientes puntos se presentan los diferentes aspectos que se han de tener en cuenta en el área de la privacidad del usuario de Cloud Computing:

a) Desde la perspectiva de los individuos que se conectan a la nube: maximizar el control de usuario individual, crear servicios anónimos para usuarios individuales, crear mecanismos para el uso de identidades múltiples y limitar la información de identidad y autenticación para transacciones de alto nivel.

b) Desde la perspectiva de los proveedores de cloud computing: anonimato de la información personal, cifrar datos si contienen información personal, compartimentar-aislar el procesamiento y almacenamiento de datos, controlar los identificadores únicos, gestionar explícitamente los requisitos de seguridad y privacidad entre los proveedores de servicios cloud computing.

c) Desde una perspectiva global: proporcionar un aviso adecuado sobre la privacidad, soportar el desarrollo de PET (Privacy Enhacing Technologies), utilizar la valoración del impacto de la privacidad y coordinar la aplicación de la privacidad y el cumplimiento a través de diferentes áreas jurisdiccionales (por ejemplo, cuando se pasa de un país europeo a un paraíso fiscal). Si los clientes emprenden procesos del tipo test de penetración no suele ser una buena opción en entornos outsourcing como cloud computing ya que el proveedor de la nube no puede distinguir nuestros test con un ataque real y además nuestros test de penetración pueden potencialmente impactar negativamente en otros usuarios de forma inaceptable.

Anuncios

Retos en seguridad del Cloud Computing

A continuación se enumeran los diferentes retos que el Cloud Computing tiene para mejorar en cuanto a la seguridad que ofrece a sus usuarios:

a) Necesidad de gestión del aislamiento.
b) El multi-arrendamiento.
c) Los retos del registro o logging.
d) Las cuestiones de propiedad de los datos.
e) Las garantías de calidad de servicio o QoS.
f) La dispersión de datos y las leyes de privacidad internacionales como por ejemplo la Directiva Europea de Protección de Datos y el Programa norteamericano Safe Harbor, la exposición de datos a gobiernos extranjeros y las citaciones de datos y las cuestiones de retención de datos.
g) La dependencia en supervisores seguros.
h) La atracción de todo tipo de atacantes debido al elevado valor del objetivo que es la “nube”.
i) La seguridad de sistemas operativos virtuales en la nube.
j) La posibilidad de fallos masivos.
k) Necesidades de cifrado en cloud computing: cifrado para el acceso a la interfaz de control de recursos de la red, cifrado administrativo de acceso a las instancias de sistemas operativos, cifrado de acceso a las aplicaciones, cifrado de los datos de las aplicaciones en reposo-almacenamiento y tránsito.
l) Seguridad de la nube pública en contraposición con la seguridad de la nube interna-privada.
m) Carencia de control de versión SaaS pública.
n) Problemas con el movimiento de PII (Personal Identificable Information) y datos sensibles a la nube (valoración del impacto de la privacidad).
o) Utilizar SLAs para obtener seguridad de nube (requisitos sugeridos para SLAs de nube, cuestiones relacionadas con análisis forense en cloud).
p) Planificación de contingencias y recuperación de desastres para implementaciones de nube.
q) Gestión de cumplimientos como SOX, PCI-DSS, HIPAA, FISMA, etc.
r) Auditorias por ejemplo del tipo SAS 70.

Principales componentes de la seguridad en el Cloud Computing de empresa

Los principales componentes del Cloud Computing desde la perspectiva de la seguridad para las empresas son:

a) Servicios de aprovisionamiento cloud.

Las ventajas principales que puede aportar son la rápida reconstitución de servicios, permite la disponibilidad (provisión en múltiples centros de datos de múltiples instancias) y las capacidades de honey-net avanzadas. El principal desafío identificado, el impacto de comprometer el servicio de aprovisionamiento.

b) Servicios de almacenamiento de datos cloud.

Las ventajas principales que puede aportar son la fragmentación y dispersión de datos, la replicación automatizada, la provisión de zonas de datos (por ejemplo por país), el cifrado en reposo y en tránsito y la retención automatizada de datos. Los principales desafíos identificados son la gestión del aislamiento y el multi-arrendamiento de datos, el controlador de almacenamiento (presenta un único punto de fallo en caso de verse comprometido) y la exposición de datos a posibles gobiernos extranjeros.

c) Infraestructura de procesamiento cloud.

Las ventajas principales que puede aportar son la capacidad para proteger masters y sacar imágenes seguras. En este caso, los principales desafíos identificados son el multi-arrendamiento de aplicaciones, la dependencia en los hipervisores y el aislamiento de procesos y los mecanismos de sandbox para aplicaciones.

d) Servicios de soporte cloud.

Las ventajas principales que puede aportar son los controles de seguridad bajo demanda, por ejemplo la autenticación, el logging, los firewalls, etc. Una vez más, los principales desafíos identificados son el riesgo adicional cuando se integra con aplicaciones del cliente, las necesidades de certificación y acreditación como aplicación separada y las actualizaciones de código.

e) Seguridad perimétrica y de red cloud.

Las ventajas principales que puede aportar son la protección contra la denegación de servicios distribuida o DDoS, las capacidades VLAN, la seguridad perimétrica como IAM/IDS/IPS, firewall, autenticación, etc. Por último, el principal desafío identificado es el de las zonas virtuales con movilidad de aplicaciones.

Atractivo del Cloud Computing para las Pymes

Las principales tendencias que nos muestran por qué resulta tan atractivo este modelo para las pymes son:

a) Coste por uso y sin problemas en la implantación.

Uno de los grandes beneficios de las aplicaciones de negocio basadas en cloud es el pago por uso. Son servicios que se pagan mensualmente, por lo que permiten a las empresas controlar los costes. Pueden empezar por un número reducido de licencias e ir aumentando o reduciéndolas en función de sus necesidades. Además, para su implantación no necesitan disponer en su plantilla de un equipo de TI. No obstante, según la evolución del negocio y sus requisitos pueden terminar optando por un modelo híbrido que combine la nube y on-premise.

b) Flexibilidad y facilidad de despliegue.

Las aplicaciones SaaS (Software-as-a-service) pueden ser suministradas y configuradas rápidamente con flujos de procesos, diferenciación de marca, campos adicionales, informes y otras especificidades. Un producto altamente configurable ofrece flexibilidad sin tener que dedicar el tiempo y el gasto de desarrollar nuevo código. Además, no requieren de inversiones adicionales en hardware o servidores, son escalables y no necesitan de una plantilla especializada en TI.

c) Facilidad de gestión y soluciones estandarizadas.

La ausencia de instalaciones de software o de infraestructura da como resultado una menor carga de trabajo para las pymes y su personal. Los empleados no se tienen que preocupar por realizar actualizaciones a nuevas versiones de software o de efectuar copias de seguridad. Los proveedores de apps gestionan esta parte de la ecuación en sus servidores y esas aplicaciones siempre están al día, de forma que los empleados antiguos y los nuevos siempre tendrán la misma versión de la aplicación.

d) Menos recursos de TI necesarios.

Las empresas que acaban de nacer normalmente operan con recursos de TI limitados. Las aplicaciones empresariales basadas en cloud mitigan esta cuestión. Como las pymes buscan constantemente vías para poner en marcha su estrategia y reducir gastos innecesarios, esas aplicaciones presentan un modelo atractivo para el suministro de software e infraestructura.

e) Soporte global.

Los proveedores de SaaS proporcionan diferentes precios según los niveles y acuerdos de servicio. De esta forma, se puede elegir el mejor paquete sin pagar de más o recibir menos de lo que se necesita. Además, a diferencia de las licencias de software tradicionales, incluye soporte global en la cuota de suscripción. Esto significa que también proporcionan actualizaciones y mantenimiento de producto, de forma que no hay costes ocultos o gastos adicionales y las empresas no se tienen que preocupar por el mantenimiento de hardware o los fallos.

f) Alta seguridad.

Para los Servicios basados en la nube, la disponibilidad de la red resulta crítica. Además, la seguridad y fiabilidad de la red está entre las mayores preocupaciones para las empresas que piensan en adoptar ese tipo de servicios. Cuando los datos importantes se trasladan offsite a un proveedor de servicio, la empresa necesita garantizar que el sitio es seguro. Los proveedores albergan sus aplicaciones en centros de datos de primera magnitud y con una gran capacidad, ventilación y prestaciones de seguridad. También emplean encriptación y lo último en protocolos de seguridad para garantizar la seguridad e integridad de los datos.

Cómo elegir un proveedor de Cloud Computing

La elección de un proveedor adecuado de la nube cobra especial relevancia en el mundo empresarial, ya que el desempeño de sus actividades básicas y la satisfacción de sus clientes en términos tanto de calidad como de rapidez y confidencialidad, dependerá en gran medida de ello.

Los criterios más importantes son los siguientes:

a) Legislación: Resulta imprescindible que el proveedor cuente con las acreditaciones y certificados de los organismos internacionales más reconocidos. A nivel nacional la LOPD (Ley Orgánica de Protección de Datos) es una de las más significativas.

b) Seguridad: La seguridad debe estar incorporada en todos sus sentidos como un elemento base en el despliegue de la infraestructura. Los accesos y virus deben de estar bajo control en todo momento y la posibilidad de contar con backups o copias de seguridad.

Otros elementos clave para determinar el grado de seguridad que ofrece el proveedor son los cortafuegos, herramientas para el control de código malicioso y los sistemas de detección y prevención de intrusiones, entre otros. Mucha información es especialmente crítica y, por ello, preocupa el lugar donde esté ubicada. Sin embargo, los centros de datos cuentan con unas medidas de seguridad más elevadas que las que suelen tener implantadas las empresas en sus instalaciones.

c) Disponibilidad: Para ofrecer garantías a la empresa de poder contar con un servicio continuado, es conveniente que los recursos se distribuyan en una plataforma informática redundada para asegurar siempre una alta disponibilidad.

d) Soporte: El equipo de soporte técnico también será fundamental a la hora de decidir uno u otro proveedor. La empresa debe considerar si desea contar con un soporte continuado y atención telefónica, o solo correo electrónico, y si va a tener acceso a un grupo de especialistas en caso de que lo necesite.

e) Integración: Además de todo lo expuesto anteriormente, los servicios ofrecidos por el proveedor deben estar completamente integrados.

Cloud Computing en la empresa

La situación actual de severa crisis económica ha despertado el interés general de las empresas por la computación en nube como un mecanismo más para reducir costes. No solo eso, sino que también reduce el tiempo para llevar un producto al mercado, consiguiendo así que nuevos servicios puedan estar disponibles lo antes posible.

¿Cómo ayuda el Cloud Computing a cada tipo de empresa?

MICROEMPRESAS, PYMES Y NUEVAS EMPRESAS

Esta nueva tecnología resulta especialmente interesante para las microempresas y las pymes, ya que ante la dificultad de acceder a capital, la nube les permite reducir sus inversiones en informática manteniendo su competitividad.

Las nuevas empresas también se ven beneficiadas por este fenómeno, debido a que están en una fase de rápido desarrollo y que saben que el modelo de computación en nube facilitará el ajuste de su capacidad informática al crecimiento de su actividad.
De esta manera, tanto las pymes como las empresas recién creadas pueden tener acceso a recursos compartidos que de otra forma no estarían a su alcance. Es decir, nuevos servicios que antes solo podían permitirse las grandes empresas.

Al mismo tiempo, la nube les permite convertir los gastos fijos en variables, conociendo mejor los costes reales de cada producto y minimizando los riesgos financieros en el lanzamiento de nuevos productos o servicios. Esto significa que el coste real de su producto es calculable desde el inicio, en lugar de tener que invertir para responder a una demanda que ni siquiera está garantizada.

 

GRANDES EMPRESAS

En cuanto a las grandes empresas, al tener generalmente mayor margen de maniobra con los recursos financieros, su mayor preocupación en lo que a la nube se refiere es la cesión de su información. Es decir, cómo gestionar el riesgo que supone mover sus operaciones de centros de datos a la nube. Por eso a menudo se opta por privatizar una parte de la nube donde se mantienen los datos y los procesos más sensibles. Por ejemplo, los datos de los clientes de un banco.

 

LA ADMINISTRACIÓN PÚBLICA

La administración pública es otra de las entidades interesadas en beneficiarse de las virtudes de la nube de Internet. Éstas se encuentran inmersas en un proceso de digitalización de los servicios ofrecidos a la ciudadanía. En este caso también la seguridad de la información es un tema prioritario y por ello se hace uso de partes privadas de la nube. Asimismo, las administraciones tendrán un papel fundamental en la evolución de la nube, ya que además de consumidores también son habilitadores o entes reguladores que deben fijar las reglas del juego de este nuevo mercado.

Además del ahorro de costes que puede suponer la utilización de la nube, la agilidad en la obtención de recursos es otra de sus claves, puesto que la presión por innovar de las empresas requiere poder disponer de servicios a la mayor brevedad. Otro aspecto relevante es la escalabilidad, porque si se quiere crecer en oferta, la empresa debe invertir más en sus recursos informáticos, o de lo contrario se podría llegar a colapsar el sistema.

En aquellos casos en los que las ventas tengan carácter estacional o promocional, lo cual implica picos y valles en el uso de los recursos, la flexibilidad en la disponibilidad de la nube permite amoldarse a la demanda real de los recursos. Así se evita el riesgo de que éstos queden infrautilizados durante los períodos menos productivos, y a la vez siendo capaz de soportar picos de trabajo imprevisibles.

OTROS BENEFICIOS PARA LAS EMPRESAS

Además del ahorro de costes que puede suponer la utilización de la nube, la agilidad en la obtención de recursos es otra de sus claves, puesto que la presión por innovar de las empresas requiere poder disponer de servicios a la mayor brevedad. Otro aspecto relevante es la escalabilidad, porque si se quiere crecer en oferta, la empresa debe invertir más en sus recursos informáticos, o de lo contrario se podría llegar a colapsar el sistema.

En aquellos casos en los que las ventas tengan carácter estacional o promocional, lo cual implica picos y valles en el uso de los recursos, la flexibilidad en la disponibilidad de la nube permite amoldarse a la demanda real de los recursos. Así se evita el riesgo de que éstos queden infrautilizados durante los períodos menos productivos, y a la vez siendo capaz de soportar picos de trabajo imprevisibles.

Tipos de nubes

En el Cloud Computing hay 4 diferentes tipos de nubes. A continuación se presentan las características de cada una de ellas: la nube pública, la comunitaria, la privada y la híbrida.

NUBE PÚBLICA

Una nube pública es una nube computacional mantenida y gestionada por terceras personas no vinculadas con la organización. En ellas los datos y los procesos de varios clientes se mezclan en los servidores, sistemas de almacenamiento e infraestructuras de la nube. Los usuarios finales de la nube no conocen qué trabajos de otros clientes pueden estar ejecutándose en el mismo servidor, red, sistemas de almacenamiento, etc.

NUBE COMUNITARIA
La infraestructura de nube se comparte por varias organizaciones y soporta una comunidad específica que tiene intereses compartidos (por ejemplo misión, requisitos de seguridad, política y consideraciones de cumplimiento). La pueden gestionar las organizaciones o una tercera parte y puede existir en local o fuera.

NUBE PRIVADA
Las nubes privadas son una buena opción para las compañías que necesitan alta protección de datos y ediciones a nivel de servicio. Las nubes privadas están en una infraestructura bajo demanda gestionada para un solo cliente que controla qué aplicaciones deben ejecutarse y dónde. Son propietarios del servidor, red, y disco y pueden decidir qué usuarios están autorizados a utilizar la infraestructura.

NUBE HÍBRIDA
Las nubes híbridas combinan la idea de nube pública y privada. El usuario es propietario de unas partes y comparte otras, aunque de una manera controlada. Esta opción, al menos inicialmente, estará reservada a aplicaciones simples sin condicionantes, que no requieran de ninguna sincronización o necesiten bases de datos complejas.