INDICE

Resumen
Introducción
Antecedentes
1. GENERALIDADES SOBRE CLOUD COMPUTING
1.1 Concepto
1.2 Objetivo de Cloud Computing
1.3 Beneficios
1.4 Arquitectura de referencia en Cloud Computing
1.5 Características de los servicios de Cloud Computing
1.6 Clasificación de los servicios de Cloud Computing
1.6.1 Por el modelo de servicio
1.6.2 Por la titularidad de la infraestructura
1.7 Servicios de Cloud Computing
1.7.1 Aplicaciones como servicio (SaaS)
1.7.2 Plataforma como servicio(PaaS)
1.7.3 Infraestructura como servicio (IaaS)
2 Tecnología de Cloud Computing
2.2 Virtualización
2.2.1 ¿En qué se diferencia la virtualización del ‘cloud computing’?
3. Objetivos
4. Limitantes
5. Aspectos de seguridad
5.1. Activos
5.2. Amenazas
5.3. Vulnerabilidades
5.4. Salvaguardias
5.5. Normativa de seguridad
7. Mercado de las nuevas tecnologías
8.Casos de éxito
9.Conclusiones
Anexos
Resumen

Realizamos este informe debido a la necesidad de brindar mayor información acerca de cloud
computing. El presente informe contiene un análisis del conjunto de servicios denominados
Cloud Computing con la finalidad de brindar mayor información sobre esta tecnología e
interpretarla para poder demostrar su importancia a nivel empresarial.
Las empresas actualmente requieren la justificación de sus inversiones en caso de nuevas
tecnologías, la implementación de servicios de cloud computing pueden traer grandes
retornos de inversión.
Nuestro grupo de trabajo realizo el informe y análisis acerca de la cloud computing y
esperamos que pueda servir de apoyo para cualquier persona interesada.

2
Introducción

Actualmente los paradigmas y cambios de las tecnologías brindan grandes cambios los cuales
pueden entenderse ventajas estratégicas en una organización si son correctamente
aprovechadas. Un paradigma importante es la Cloud Computing, la capacidad de usar servicios
por medio de internet y repositorios de datos en línea. Es independiente del rubro del negocio
y se ajusta a las diferentes necesidades del cliente. Esta nueva tecnología es capaz de cambiar
la forma de cómo se manejan los servicios de Ti por lo que en las siguientes páginas se
describirá a mayor detalle.

El Cloud Computing o computación en la nube, es un modelo de prestación de servicios

informáticos de reciente creación, producto de la evolución de muchas tecnologías, que
permite ofrecer la informática (aplicaciones, infraestructura y almacenamiento) como un
servicio disponible a través de Internet. Se trata de un modelo disruptivo que combina el
avance de la computación, con el poder de Internet y de las economías de escala.

3
Antecedentes

Ya por 1997, Steve Jobs arrojó luz sobre este fenómeno con las siguientes palabras: “Gran
parte del tremendo impacto de usar ordenadores en la actualidad, es su utilización no sólo
para ejecutar tareas de computación intensivas, sino su utilización como una ventana de
comunicación para para acceder a estas tareas de computación intensivas. Nunca he visto algo
más poderoso que ésta computación combinada con la tecnología de red que ahora tenemos
(refiriéndose a Internet, que se encontraba aún en una etapa temprana)... Y, yo sólo quiero
centrarme en algo que está muy cerca de mí, que es vivir en un mundo conectado a alta
velocidad para hacer mi trabajo todos los días. Pregunto: ¿cuántos de ustedes gestionan el
almacenamiento en sus propios equipos? ¿Cuántos de ustedes hacen copias de seguridad, por
ejemplo? ¿Cuántos han tenido un accidente con esos equipos en los últimos tres años...? De
acuerdo, permítanme describir el mundo en el que vivo. Hace unos 8 años, teníamos redes de
alta velocidad conectadas a nuestros ordenadores obsoletos. Y gracias a que estábamos
usando NFS, fuimos capaces de sacar toda la información fuera de nuestros ordenadores y de
ponerla en un servidor. El software lo hizo de forma completamente transparente, y debido a
que el servidor tenía una gran cantidad de memoria RAM , en algunos casos, era de hecho más
rápido obtener información desde el servidor, que desde el disco duro local (...) Pero lo que
fue realmente notable, fue que la organización pudo contratar a un profesional para respaldar
ese servidor cada noche, y pudo darse el lujo de gastar un poco más en ese servidor, así que tal
vez tenía discos redundantes, y también fuentes de alimentación redundantes. En los últimos 7
años, ¿saben cuántas veces he perdido algún dato personal? Cero. ¿Saben cuántas veces he
hecho una copia de seguridad de mi equipo? Cero. Tengo computadoras de Apple, en Next, en
Pixar y en casa, inicio una sesión con mi usuario y obtengo acceso a mi información, esté
donde esté. Nada se encuentra guardado en mi disco duro. Y el Giga‐Internet vendrá, y hará
que sea aún más rápido acceder a la información en el servidor (...) Y no me importa cómo se
hace, no me importa lo que hay en la caja está en el otro extremo (...) una de mis esperanzas
es que Apple (...) pueda hacer esto una realidad fácil y disponible para cualquiera”.

Según Arenas R, Nathaly en su tesis afirma lo siguiente:

El Cloud Computing forma parte de la realidad tecnológica en la que vivimos y será el

protagonista del contexto informático corporativo, educativo y gubernamental en los próximos
años. Los movimientos internacionales de datos forman, sin duda, parte de esta realidad
tecnológica. (2017, p. 236)

4
Por lo que la computación en la nube es un término general que se refiere a la prestación de
servicios alojados a través de Internet. Se trata de una tecnología avanzada que hace que
todos los archivos, programas e información estén almacenados en Internet, como en
una “nube”, siendo completamente irrelevante las capacidades de almacenaje de los
ordenadores instalados por el cliente y prescindiendo así de los discos duros.

Según GOMEZ, Fernando Fons, afirma lo siguiente:

El cloud computing ha llegado para quedarse, se trata de una industria ya madura que
como hemos documentado aporta importantes beneficios micro y macro. También
sociales. Se demuestra como los usuarios actuales valoran positivamente el resultado
del servicio. De los modelos de entrega de servicios del cloud computing hemos
seleccionado el de SaaS sobre cloud pública como el más idóneo para las pymes. La
computación en la nube tiene problemas pero son minimizables y en todo caso no
invalidan la solución.(p.117)

El autor afirma que la cloud computing es una industria que ya tiene presencia debido a sus
grandes contribuciones y recomienda el Saas o el software como servicio para las pymes y que
las actuales debilidades de este modelo de negocio no contrarrestan las soluciones que logran
brindar.

El gran aumento del uso de la computación en la nube tanto para usuarios normales como
para el sector empresarial ha causado que se empiezan a notar empresas especialmente
orientadas de brindar el servicio de computación en la nube o Cloud Computing, una de estas
empresas surgió el 2011 en España, pero en el 2013 apareció en Perú, la empresa denominada
Gigas que suministra servicios de Cloud Computing de la Comisión Europea superando a
empresas como Amazon y Microsoft. En el 2014 la empresa Gigas comenzó la promoción de la
computación en la nube en diversas empresas en el Perú, una de las grandes estrategias para
lograr que las empresas interesadas apliquen esta tecnología era mostrarle la inversión y las
grandes ganancias y beneficios que generaba. Actualmente existe constante aumento de
inversión de esta tecnología y sigue en aumento en américa latina.

5
 1. GENERALIDADES SOBRE CLOUD COMPUTING

1.1 Concepto

Cloud Computing según Grance ha sido definido por el National Institute of Standards and
Technology (NIST) como “Un modelo para habilitar acceso conveniente por demanda a un
conjunto compartido de recursos computacionales configurables, por ejemplo, redes,
servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente
provisionados y liberados con un esfuerzo mínimo de administración o de interacción con el
proveedor de servicios” (2011 P.6)

Por su parte, la Cloud Security Alliance (CSA), organización internacional de referencia en

materia de seguridad en el ámbito del Cloud Computing, ha asumido también esta definición

1.2 Objetivo de Cloud Computing

Los objetivos del Cloud Computing son fundamentalmente

 El aprovechamiento de economías de escalabilidad

 El incremento de la flexibilidad de los recursos de tecnologías de la información (TI) de
las organizaciones.

La nube permite el aprovechamiento de las economías de escala que se pueden generar, por
parte de operadores que prestan servicios estandarizados a un gran número de clientes,
pudiendo disminuir los costes de los servicios que ofrecen. Asimismo, la flexibilidad del modelo
permite a las organizaciones escalar rápidamente en función de sus necesidades, dotándolas
así de una enorme capacidad de procesamiento, almacenamiento y gestión, sin necesidad de
instalar servidores localmente y sin tener que añadir equipamiento, o contratar personal para
operarlo, pagando según un modelo de cálculo que se basa en el uso (capacidad o número de
usuarios)

1.3 Beneficios

Para algunos, la computación en nube es una de las mayores revoluciones tecnológicas de los
últimos tiempos. Para otros, es solamente la evolución un conjunto de tecnologías destinadas
que permiten ofrecer la computación como un servicio más a través de Internet. En su
expresión más simple, el Cloud Computing es una nueva forma de entregar recursos de
computación a través de Internet. Los sistemas de Cloud Computing tienen su anclaje en
enormes colecciones de servidores que, gracias al software que los une, trabajan como un

6
único cerebro capaz de dispersar los distintos trabajos de forma eficiente. La nube estandariza
y comparte recursos, automatizando muchas de las tareas de mantenimiento realizadas que
tradicionalmente se han hecho de forma manual. Debido a que existe menos desperdicio de
recursos y más flexibilidad, la computación como un todo resulta mucho más potente que la
suma de sus distintos componentes.

Desde una perspectiva económica, gracias a las economías de escala inherente a la nube, ha
visto la luz una computación más avanzada, barata y en algunos casos más segura, que puede
alquilarse como un servicio, sin tener que adquirir la propiedad de las distintas partes y asumir
los costes de operación y mantenimiento

1.4 Arquitectura de referencia en Cloud Computing

Cloud Computing es un nuevo modelo de prestación de servicios, no es una nueva tecnología

per se, este nuevo modelo está claramente orientado a la escalabilidad, es decir, poder
atender una demanda muy fuerte en la prestación de un servicio, pero de manera muy directa,
inmediata en el tiempo, con un impacto en la gestión y en el coste que es casi plano, esta
orientación a la escalabilidad lo que provocará es que el usuario final perciba que todo
funciona, todo va rápido, todo es fácil y por lo tanto su experiencia como usuario es mucho
más gratificante. A pesar de que no es una nueva tecnología, es conveniente explicar los
fundamentos tecnológicos que los proveedores de Cloud están tomando comúnmente. Como
principios tecnológicos es necesaria una fuerte capa de virtualización de infraestructura
(servidores, almacenamiento, comunicaciones etc.). Una capacidad muy avanzada en cuanto a
aprovisionamiento de recursos IT, orquestación de esos recursos y una orientación a servicios,
diría que SOA es el alma de Cloud Computing y nos permitirá dar esa escalabilidad tan agresiva,
por ello se implementará también una elasticidad, tanto en el modelo como en la
infraestructura. Por último es muy importante destacar la necesidad de una estandarización de
los servicios, cuando más estandarizada sea nuestra infraestructura, más sencillo será todo .

7
 1.5 Características de los servicios de Cloud Computing

Las características del Cloud Computing giran principalmente en torno a cinco aspectos:
recursos compartidos, escalabilidad masiva, elasticidad, pago por uso, y posibilidad de
autoservicio por parte del usuario.
Según NIST, los servicios en la nube contienen cinco características esenciales que
ejemplifican sus similitudes y diferencias con otros modelos de computación tradicionales, a
saber:

a) Autoservicio a la carta y amplio acceso a la red

La nube permite al usuario abastecerse unilateralmente de capacidades de computación según

sus necesidades, de forma automática, y sin requerir la interacción humana con el proveedor.
Las capacidades de computación están disponibles en Internet, y puede acceder a ellas a
través de mecanismos estándar (p.ej., teléfonos móviles, portátiles y PDAs).

b) Reservas de recursos en común

Los recursos computacionales del proveedor se ponen en reservas comunes para que puedan
ser utilizados por múltiples consumidores, en el caso de que hayan elegido el modelo de nube
pública (que es el modelo de nube disruptivo por excelencia). Estos recursos físicos y virtuales,
son asignados dinámicamente y reasignados en función de la demanda de los consumidores.
Existe un sentido de independencia de la ubicación física en que el cliente generalmente no
tiene control o conocimiento sobre la ubicación exacta de los recursos suministrados, aunque
se puede especificar una ubicación a un nivel más alto de abstracción (p.ej. país, región, o
grupos de centro de datos). Algunos ejemplos de recursos son: almacenamiento,
procesamiento, memoria, ancho de banda de la red y máquinas virtuales.

c) Rapidez y elasticidad

Las capacidades de computación pueden suministrarse de manera rápida y elástica, en algunos

casos de manera automática, para poder realizar el redimensionado correspondiente
rápidamente. Para el consumidor, las capacidades disponibles para abastecerse a menudo
aparecen como ilimitadas y pueden adquirirse en cualquier cantidad y en cualquier momento.

8
d) Servicio supervisado

Los sistemas de nube controlan y optimizan el uso de los recursos de manera automática
utilizando una capacidad de evaluación en algún nivel de abstracción adecuado para el tipo de
servicio (p.ej., almacenamiento, procesamiento, ancho de banda, y cuentas de usuario activas).
El uso de recursos puede seguirse, controlarse y notificarse fácilmente, lo que aporta
transparencia tanto para el proveedor como para el consumidor del servicio utilizado

1.6 Clasificación de los servicios de Cloud Computing

Los servicios en la nube pueden clasificarse atendiendo al modelo de servicio y también

atendiendo a la titularidad de la infraestructura sobre la que están desplegados estos servicios.

1.6.1 Por el modelo de servicio

Atendiendo al modelo de servicios prestados (según se ofrezcan software, plataformas o

infraestructuras) la clasificación es la siguiente:

a) Aplicaciones en modo servicio

Bajo este modelo mejor conocido como por su denominación en inglés, Software as a Service
(SaaS) el proveedor permite el acceso a aplicaciones que están ejecutándose en su
infraestructura Cloud, en consecuencia, el término SaaS se refiere a aquellas aplicaciones
“consumidas” por el usuario a través de Internet y cuyo pago está condicionado por el uso
efectivo de las mismas, sin la adquisición previa de una licencia

b) Plataforma como un servicio

Bajo este modelo mejor conocido por su denominación en inglés, Platform as a Service (PaaS)
el usuario tiene la capacidad de desarrollar aplicaciones sobre la infraestructura del proveedor
utilizando herramientas y lenguajes de programación cuyo mantenimiento está a cargo de
dicho proveedor. PaaS implica que el usuario no ostenta la gestión ni el control de elementos
como la infraestructura base, los servidores, los sistemas operativos o el almacenamiento,
pero que tiene el control sobre la configuración de las aplicaciones desarrolladas y la
posibilidad de solicitar las configuraciones propias del entorno host. Al igual que en SaaS, tanto
la propia aplicación, como los datos, residen en la plataforma del proveedor de Cloud.

9
 c) Infraestructura como un servicio

Bajo este modelo mejor conocido por su denominación en inglés, como Infrastructure as a
Service (Iaas) el proveedor proporciona servicios de procesamiento, almacenamiento, redes y
otros recursos fundamentales, donde el usuario puede desarrollar y ejecutar aplicaciones. El
usuario no gestiona ni controla la infraestructura base pero sí que tiene control sobre los
sistemas operativos, el almacenamiento, las aplicaciones desarrolladas y posibilidad de
seleccionar elementos de red (firewalls, balanceadores, etc.). Evidentemente en el modelo
IaaS, las aplicaciones y los datos residen también en la plataforma del proveedor de Cloud.

1.6.2 Por la titularidad de la infraestructura

Atendiendo a la titularidad de la infraestructura de Cloud, se pueden distinguir tres tipos, a

saber:31Privada, Pública, Comunitaria e Híbrida.

a) Pública

Es aquel tipo de Cloud en el cual la infraestructura y los recursos lógicos que forman parte del
entorno se encuentran disponibles al público en general a través de Internet. Suele ser
propiedad de un proveedor que gestiona la infraestructura y el servicio o servicios que se
ofrecen, aunque puede haber nubes públicas que se basan en infraestructuras de terceros.

b) Privada

Este tipo de infraestructuras Cloud se crean con los recursos propios de la empresa que lo
implanta, generalmente con la ayuda de empresas especializadas en el despliegue de este tipo
de tecnologías.

c) Comunitaria

Una nube comunitaria se da cuando dos o más organizaciones forman una alianza para
implementar una infraestructura Cloud orientada a objetivos similares y con un marco de
seguridad y privacidad común.

10
 d) Híbrida

Este es un término amplio que implica la utilización conjunta de varias infraestructuras Cloud
de cualquiera de los tres tipos anteriores, que se mantienen como entidades separadas, pero
que a su vez se encuentran unidas por la tecnología estandarizada o propietaria,
proporcionando una portabilidad de datos y aplicaciones.

1.7 Servicios de Cloud Computing

1.7.1 Aplicaciones como servicio (SaaS)

El proveedor suministra un software que se procesa y utiliza una infraestructura y
recursos en la nube, estas aplicaciones se utilización mediante la conexión a internet.

a) Ventajas y desventajas

 Las desventajas es que usuario no tiene control sobre ellas, aunque en

algunos casos se le permite realizar algunas configuraciones
 La ventaja de Saas es que se elimina la necesidad al cliente de instalar la
aplicación en sus propios computadores, evitando asumir los costos de
soporte y el mantenimiento de hardware y software.

11
 1.7.2 Plataforma como servicio(PaaS)

El cliente utiliza una plataforma con herramientas que utiliza recursos e

infraestructura en la nube, pero se brinda acceso a la configuración del entorno al
cliente. Pero los datos y la aplicación residen en la nube.

a) Ventajas y desventajas
 Las ventajas de los PaaS son que permite niveles más altos de
programación con una complejidad extremadamente reducida; el
desarrollo general de la aplicación puede ser más eficaz, ya que se tiene
una infraestructura built-in; y el mantenimiento y mejora de la
aplicación es más sencillo También puede ser útil en situaciones en las
que varios desarrolladores están trabajando en un mismo proyecto y
que implican a partes que no están ubicadas cerca unas de otras.
 Una desventaja de PaaS es que es posible que los desarrolladores no
pueden utilizar todas las herramientas convencionales (bases de datos
relacionales, con joins irrestrictos, por ejemplo). Otra posible desventaja
es estar cerrado en una cierta plataforma. Sin embargo, la mayoría de
los PaaS están relativamente libres9

12
 1.7.3 Infraestructura como servicio (IaaS)
El proveedor suministra una infraestructura para que el cliente pueda utilizar
herramientas, aplicaciones, el procesamiento, la red, etc. El cliente no controla la
arquitectura base, pero puede configurar elementos de red y el sistema operativo
que se utiliza.

a) Ventajas y desventajas
 Pérdidas de datos/fuga
 Tener datos en la Nube tiene numerosas ventajas, pero pueden ser
comprometidos de diferentes maneras. Pueden ser modificados o
borrados sin un backup, pueden ser desvinculados de su contexto o
accedidos por gente no autorizada.
 Dificultad de valorar la fiabilidad de los proveedores
 Si los proveedores Cloud son parte de nuestra sociedad, visto de manera
estadística, alguien de su personal o algún subcontratado podría no ser
alguien de fiar. Es por esto que se deben tomar buenos procedimientos
de investigación de antecedentes de recursos humanos, políticas y
procedimientos de seguridad de la información fuertes.

13
2 Tecnología de Cloud Computing
2.2 Virtualización

En pocas palabras, consiste en la creación, a través de software, de una versión virtual de

algún recurso tecnológico. Se trata de la tecnología que sustenta el cloud computing.

El software de virtualización permite ejecutar múltiples sistemas operativos y varias

aplicaciones en el mismo servidor y al mismo tiempo permite a las empresa reducir los costes
de TI al mismo tiempo que aumenta la eficiencia, la utilización y la flexibilidad de su hardware
existente.

La tecnología detrás de la virtualización se conoce como monitor de máquina virtual. Este

sistema “separa” el ordenador de la infraestructura física. La virtualización crea servidores,
estaciones de trabajo, almacenamiento y otros sistemas independientes de la capa de
hardware físico.

2.2.1 ¿En que se diferencia la virtualización del ‘cloud computing’?

La diferencia esencial entre la virtualización y cloud computing es que con la virtualización el

software manipula al hardware, mientras que cloud computingconsiste en el servicio
resultante de tal manipulación.

“Virtualización es un elemento fundamental del cloud computing y ayuda a darle valor al cloud
computing”, según explica Mike Adams, director de marketing de producto
en VMware. “El cloud computing consiste en la entrega de recursos informáticos compartidos a través
de software o datos y que son entregados como un servicio de demanda a través de Internet”, continúa.

La mayor parte de la confusión se produce debido a que la virtualización y el cloud

computing caminan de la mano en muchas ocasiones, pero proporcionan servicios diferentes,
es el caso de las nubes privadas. En muchas ocasiones un servicio cloudproporciona productos
de virtualización que ofrecen servicios de cloud computing.Rick Philps, vicepresidente
soluciones en Weidenhammer, explica que “la diferencia es que la
verdadera cloud proporciona capacidad de autoservicio, la elasticidad, la gestión automatizada,
escalabilidad y servicio de pago sobre la marcha que no es inherente en la virtualización.”

2.3 Data Center

Data center, una instalación de almacenamiento y procesamiento de datos

administrada por una TI interna departamento o arrendado fuera del sitio.

14
 Cloud Computing, por lo general, un servicio fuera de las instalaciones que ofrece
acceso bajo demanda a un grupo compartido de recursos informáticos configurables.
Estos recursos pueden ser rápidamente aprovisionado y lanzado con un esfuerzo de
gestión mínimo.

3. Objetivos

 Para dispensar el hardware

Uno de los motivos: la computación en la nube dispensa el hardware. Cuando una empresa
proporciona su propio software, debe ocuparse de los servidores. Estos servidores requieren
un suministro de energía exclusivo y piezas de reemplazo. También es necesario configurarlos
y supervisarlos en caso de que tengan problemas de rendimiento y requieran expertos de
guardia para solucionarlos.

Cuando el software es basado en la nube, esas preocupaciones y los costos fluctuantes – y

potencialmente altos – con infraestructura desaparecen sustancialmente, pues los costos son
previsibles. El proveedor de computación en la nube es responsable por lidiar con esas
preocupaciones. Es su trabajo asegurar que el proceso sea tranquilo e ininterrumpido a cambio
de un costo de software fijo y razonable.

 Para lograr mayor seguridad

La computación en la nube es extremadamente segura, muchas veces superando los niveles de

seguridad de la computación tradicional, permitiendo que las empresas atraigan y mantengan
un equipo de seguridad cibernética de alta calidad (en comparación con empleados de TI en
las instalaciones). Ella también permite implementar prácticas y tecnologías de seguridad de
punta, orientadas por una visión más amplia de los patrones globales de amenazas en relación
a aquellas de la mayoría de los gobiernos locales. Con decenas o centenas de usuarios
posiblemente en riesgo de exposición a programas maliciosos, mantener las organizaciones
seguras puede ser muy caro.

 Para colocar la computación en un mismo nivel

La computación en la nube tiene la capacidad de poner todos en el mismo nivel. No importa si

usted tiene decenas o millares de usuarios en la plataforma, la computación en la nube
democratiza la aplicación de software corporativo. Con flexibilidad para aumentar o reducir lo

15
que el cliente comparte en el pool rápidamente, algunas veces de modo automático, el usuario
final, por lo general, no necesita saber lo que ocurre en la nube. El usuario necesita tan solo
iniciar la sesión y trabajar en la

 Flexibilidad de los recursos de tecnologías de información

La capacidad de utilización los recursos de tecnologías de información sin necesidad de gastar

por la infraestructura o costos adicionales que pueda tener, enfocándose en lo primordial que
es su utilización.

 Reducción de costos

La búsqueda de optimización de recursos en las empresas, brindando un atrayente para que

muchas empresas puedan optar por la utilización de Cloud Computing por ser una ventaja
estratégica y capaz de brindar valor a una organización.

El uso de la nube supone la tercerización de utilización de servicios, por lo que no se

requiere que la empresa realice grandes inversiones para instalación, equipos,
servidores, medios, etc. Los cuales empresas externas se encargan de darle soporte y
mantenimiento, evitando tener cambios importantes en la inversión por el servicio,
considerándose como una inversión estable y con grandes posibilidades de retorno.

4. Limitantes

 La centralización de las aplicaciones y el almacenamiento de los datos origina una

interdependencia de los proveedores de servicios.
 La disponibilidad de las aplicaciones está sujeta a la disponibilidad de acceso a Internet.
 La confiabilidad de los servicios depende de la "salud" tecnológica y financiera de los
proveedores de servicios en nube. Empresas emergentes o alianzas entre empresas
podrían crear un ambiente propicio para el monopolio y el crecimiento exagerado en
los servicios.
 La disponibilidad de servicios altamente especializados podría tardar meses o incluso
años para que sean factibles de ser desplegados en la red.

16
  La madurez funcional de las aplicaciones hace que continuamente estén modificando
sus interfaces, por lo cual la curva de aprendizaje en empresas de orientación no
tecnológica tenga unas pendientes significativas, así como su consumo automático por
aplicaciones.
 Seguridad. La información de la empresa debe recorrer diferentes nodos para llegar a
su destino, cada uno de ellos (y sus canales) son un foco de inseguridad. Si se utilizan
protocolos seguros, HTTPS por ejemplo, la velocidad total disminuye debido a la
sobrecarga que estos requieren.
 Escalabilidad a largo plazo. A medida que más usuarios empiecen a compartir la
infraestructura de la nube, la sobrecarga en los servidores de los proveedores
aumentará, si la empresa no posee un esquema de crecimiento óptimo puede llevar a
degradaciones en el servicio o altos niveles de jitter.

5. Aspectos de seguridad

5.1 Principios para la protección de la nube:

seguridad de la identidad, la información y la infraestructura La cloud computing pública

requiere un modelo de seguridad que reconcilie la escalabilidad y la tenencia múltiple con la
necesidad de confianza. A medida que las empresas trasladan sus ambientes informáticos con
las identidades, la información y la infraestructura a la nube, deben estar dispuestas a
renunciar a cierto nivel de control. Para hacerlo, deben confiar en los sistemas y los
proveedores de nubes, y verificar los procesos y los eventos de nubes. Entre los componentes
básicos importantes de la confianza y de las relaciones de verificación, se incluyen el control de
acceso, la seguridad de los datos, el cumplimiento de normas y la administración de eventos;
todos ellos son elementos de seguridad bien comprendidos por los departamentos de TI
actuales, implementados con productos y tecnologías existentes, y extensibles a la nube.

5.1.1 Seguridad de la identidad

La administración de identidades end-to-end, los servicios de autenticación de otros

fabricantes y la identidad federada se convertirán en un elemento clave de la seguridad de la
nube. La seguridad de la identidad preserva la integridad y la confidencialidad de los datos y
las aplicaciones, a la vez que ofrece acceso de disponibilidad inmediata a los usuarios
adecuados. El soporte para estas capacidades de administración de identidades de usuarios y
componentes de la infraestructura será un requerimiento importante para cloud computing, y
la identidad deberá administrarse de manera que cree confianza.

17
– Autenticación sólida:

cloud computing debe ir más allá de la autenticación débil de nombres de usuario y

contraseñas si pretende brindar soporte a la empresa. Esto significa adoptar técnicas y
tecnologías que ya son estándar en el área de TI empresarial, como la autenticación sólida
(autenticación de múltiples factores con tecnología de contraseña de un solo uso), la
federación dentro de las empresas y entre estas, y la autenticación basada en riesgos que mide
el historial de comportamiento, el contexto actual y otros factores que permiten evaluar el
nivel de riesgo de la solicitud de un usuario. Niveles adicionales de autenticación serán
fundamentales para cumplir con los acuerdos de nivel de servicio de seguridad; y el uso de un
modelo de autenticación basado en riesgos que sea transparente en gran medida para los
usuarios reducirá la necesidad de una federación más amplia de controles de acceso.

– Autorización más granular:

la autorización puede ser general en una empresa o, incluso, en una nube privada. No obstante,
para manejar datos delicados y requerimientos de cumplimiento de normas, las nubes públicas
necesitarán capacidades de autorización granular (como controles basados en funciones e
IRM) que puedan ser persistentes en toda la infraestructura de nube y el ciclo de vida de los
datos.

5.1.2 Seguridad de la información

En el data center tradicional, los controles sobre el acceso físico, el acceso a hardware y
software, y los controles de identidad se combinan para la protección de los datos. En la nube,
esa barrera de protección que garantiza la seguridad de la infraestructura se disipa. Para
compensar, la seguridad deberá estar centrada en la información. Los datos necesitan que su
propia seguridad se traslade con ellos y los proteja. Se requerirá.

– Aislamiento de datos:

en situaciones de tenencia múltiple, será necesario mantener los datos de manera segura para
protegerlos cuando varios clientes usen recursos compartidos. La virtualización, la encriptación
y el control de acceso serán excelentes herramientas que permitirán distintos grados de
separación entre las corporaciones, las comunidades de interés y los usuarios. En el futuro
cercano, el aislamiento de datos será más importante y ejecutable para IAAS de lo que quizá
será para PAAS y SAAS.

– Seguridad de datos más granular:

18
a medida que la confidencialidad de la información aumenta, la granularidad de la
implementación de la clasificación de los datos debe aumentar. En los ambientes de data
center actuales, la granularidad del control de acceso basado en funciones a nivel de grupos de
usuarios o unidades de negocios es aceptable en la mayoría de los casos porque la información
permanece dentro del control de la empresa. Para la información en la nube, los datos
delicados requerirán seguridad a nivel de archivos, campos o incluso bloques para satisfacer
las demandas de seguridad y cumplimiento de normas.

– Seguridad de datos coherente:

habrá una necesidad evidente de contar con protección de contenido basada en políticas para
satisfacer las necesidades propias de la empresa y las directivas de políticas reglamentarias.
Para algunas categorías de datos, la seguridad centrada en la información necesitará
encriptación en transmisión y en reposo, además de administración en la nube y en todo el
ciclo de vida de los datos Clasificación eficaz de datos: cloud computing impone un
intercambio de recursos entre el alto rendimiento y los requerimientos de mayor seguridad
sólida. La clasificación de los datos es una herramienta fundamental para equilibrar esa
ecuación. Las empresas necesitarán saber qué datos son importantes y dónde están ubicados
como requerimiento previo para tomar decisiones relacionadas con el costo/beneficio del
rendimiento, además de garantizar el enfoque en las áreas más críticas para los
procedimientos de prevención de pérdida de datos.

– Administración de derechos de información:

se suele tratar a IRM como un componente de identidad, una forma de establecer controles
generales sobre qué usuarios tienen acceso a los datos. No obstante, la seguridad centrada en
los datos más granular requiere que las políticas y los mecanismos de control sobre el
almacenamiento y el uso de información estén asociados directamente con la información en
sí.

– Buen manejo y control y cumplimiento de normas:

un requerimiento clave del buen manejo y control y el cumplimiento de normas de la

información corporativa es la creación de información de administración y validación; se
realiza el monitoreo y la auditoría del estado de seguridad de la información con capacidades
de registro. Aquí, no solo es importante documentar el acceso y la denegación de acceso a los
datos, sino también garantizar que los sistemas de TI estén configurados para cumplir con las
especificaciones de seguridad y no se hayan alterado. La expansión de las políticas de

19
retención para el cumplimiento de normas y políticas de datos también se convertirá en una
capacidad esencial de la nube. Básicamente, las infraestructuras de cloud computing deben
tener la capacidad de verificar que se administren los datos según las reglamentaciones locales
e internacionales correspondientes (como PCI y HIPAA) con controles adecuados, recopilación
de logs y creación de informes. Los datos delicados en la nube requerirán seguridad granular,
que debe mantenerse de manera consistente durante todo el ciclo de vida de los datos.
Seguridad de la infraestructura La infraestructura base para una nube debe ser
inherentemente segura, ya sea una nube privada o pública, o un servicio SAAS, PAAS o IAAS. Se
requerirá.

– Seguridad inherente de componentes:

la nube debe estar diseñada para ser segura, creada con componentes inherentemente
seguros, implementada y aprovisionada de manera segura con interfaces sólidas a otros
componentes y, finalmente, soportada de manera segura con procesos de evaluación de
vulnerabilidades y administración de cambios que producen información de administración y
seguridades de nivel de servicio que crean confianza. Para estos componentes implementados
de manera flexible, la identificación mediante la huella digital del dispositivo para garantizar la
seguridad de la configuración y el estado también será un elemento de seguridad importante,
al igual que lo es para los datos y las identidades en sí.

– Seguridad de interfaz más granular:

los puntos en el sistema en los que se presentan intervenciones (usuario a red, servidor a
aplicación) requieren políticas y controles de seguridad granulares que garanticen consistencia
y responsabilidad. Aquí, el sistema end-toend debe ser patentado, un estándar de facto o una
federación de proveedores que ofrezca políticas de seguridad implementadas de manera
consistente.

– Administración del ciclo de vida de los recursos:

el aspecto económico de cloud computing está basado en la tenencia múltiple y en el uso

compartido de recursos. A medida que las necesidades y los requerimientos de un Cliente se
modifican, un proveedor de servicios debe ofrecer y desactivar esos recursos (ancho de banda,
servidores, almacenamiento y seguridad) según corresponda. Este proceso del ciclo de vida
debe administrarse en relación con la responsabilidad para crear confianza

20
5.1.4 Amenazas

La Cloud Security Alliance se define como una organización internacional sin ánimo de lucro
para promover el uso de mejores prácticas para garantizar la seguridad en cloud. En marzo del
2010 publicó un informe «Top Threats to Cloud Computing V1.0» sobre las siete mayores
amenazas de la infraestructuras cloud, con el propósito de asistir a las organizaciones en la
toma de decisiones y en la adopción de estrategias que incluyan cloud computing. Estas
amenazas se actualizan regularmente buscando el consenso de los expertos. A continuación,
se resumen las amenazas descritas en este informe.

A) Abuso y mal uso del cloud computing

Esta amenaza afecta principalmente a los modelos de servicio IaaS y PaaS y se relaciona con un
registro de acceso a estas infraestructuras/plataformas poco restrictivo. Es decir, cualquiera
con una tarjeta de crédito válida puede acceder al servicio, con la consecuente proliferación de
spammers, creadores de código malicioso y otros criminales que utilizan la nube como centro
de operaciones.

Ejemplos:

 IaaS que han albergado la Zeus Botnet

 Botnets que han alojado sus centros de control en infraestructuras cloud
 rangos completos de direcciones de infraestructuras cloud bloqueadas por envío de
correo basura

Recomendaciones:

 implementar un sistema de registro de acceso más restrictivo

 coordinar y monitorizar el fraude en tarjetas de crédito
 monitorizar el trafico de clientes para la detección de posibles actividades ilícitas
 comprobar las listas negras públicas para identificar si los rangos IP de la
infraestructura han entrado en ellas

B) Interfaces y API poco seguros

Generalmente los proveedores de servicios en la nube ofrecen una serie de interfaces y API
(del inglés, Application Programming Interface) para controlar e interactuar con los recursos.
De este modo, toda la organización, el control, la provisión y la monitorización de los servicios

21
cloud se realiza a través de estos API o interfaces. Dado que todo (autenticación, acceso,
cifrado de datos, etc.) se realiza a través de estas herramientas, se hace necesario que los
interfaces estén diseñados de forma segura, evitando así los problemas de seguridad, tanto los
que son intencionados como los que se producen de forma accidental.

Ejemplos:

 permitir acceso anónimo, reutilización de tokens, autenticación sin cifrar, etc.

 limitaciones a la hora de gestión de logs (registros de actividad) y monitorización

Recomendaciones:

 analizar los problemas de seguridad de las interfaces de los proveedores de servicio

 asegurarse que la autenticación y los controles de acceso se implementan teniendo en
cuenta el cifrado de los datos

C) Amenaza interna

Como en todos los sistemas de información, la amenaza que suponen los propios usuarios es
una de las más importantes, dado que tienen acceso de forma natural a los datos y
aplicaciones de la empresa. En un entorno cloud esto no es en absoluto diferente ya que se
pueden desencadenar igualmente incidentes de seguridad provocados por empleados
descontentos y accidentes por error o desconocimiento. Además, en muchos casos, es el
propio proveedor del servicio el que gestiona las altas y bajas de los usuarios, produciéndose
brechas de seguridad cuando el consumidor del servicio no informa al proveedor de las bajas
de personal en la empresa. Como es lógico, estos incidentes repercuten de forma importante
en la imagen de la empresa y en los activos que son gestionados. Los proveedores de servicio
deberán proveer a los consumidores del servicio de medios y métodos para el control de las
amenazas internas.

Recomendaciones:

 especificar cláusulas legales y de confidencialidad en los contratos laborales

 determinar los posibles problemas en los procesos de notificación

22
 D) Problemas derivados de las tecnologías compartidas

Esta amenaza afecta a los modelos IaaS, ya que en un modelo de Infraestructura como
Servicio los componentes físicos (CPU, GPU, etc.) no fueron diseñados específicamente para
una arquitectura de aplicaciones compartidas. Se han dado casos en los que los hipervisores de
virtualización podían acceder a los recursos físicos del anfitrión provocando, de esta forma,
incidentes de seguridad. Para evitar este tipo de incidentes se recomienda implementar una
defensa en profundidad con especial atención a los recursos de computación, almacenamiento
y red. Además, se ha de generar una buena estrategia de seguridad que gestione
correctamente los recursos para que las actividades de un usuario no puedan interferir en las
del resto.

Ejemplos:

 exploits o malware que consiguen acceder a los recursos del equipo anfitrión de la
virtualización

Recomendaciones:

 diseñar buenas prácticas para la instalación y configuración

 monitorizar los entornos para detectar cambios no deseados en las configuraciones o
la actividad
 proporcionar autenticación fuerte y control de acceso para el acceso de
administración
 adecuar los acuerdos de nivel de servicio para controlar el parcheado y la corrección
de vulnerabilidades

E) Pérdida o fuga de información

Existen muchas formas en las que los datos se pueden ver comprometidos. Por ejemplo, el
borrado o modificación de datos sin tener una copia de seguridad de los originales, supone una
pérdida de datos. En la nube, aumenta el riesgo de que los datos se vean comprometidos ya
que el número de interacciones entre ellos se multiplica debido a la propia arquitectura de la
misma. Esto deriva en pérdida de imagen de la compañía, daños económicos y, si se trata de
fugas, problemas legales, infracciones de normas, etc.

Ejemplos:

23
  mal uso de las claves de cifrado y de software
 autenticación, autorización y auditoria débil

Recomendaciones:

 implementar API potentes para el control de acceso

 proteger el tránsito de datos mediante el cifrado de los mismos
 analizar la protección de datos tanto en tiempo de diseño como en tiempo de
ejecución
 proporcionar mecanismos potentes para la generación de claves, el almacenamiento y
la destrucción de la información
 definir, por contrato, la destrucción de los datos antes de que los medios de
almacenamiento sean eliminados de la infraestructura, así como la política de copias
de seguridad

F) Secuestro de sesión o servicio

En un entorno en la nube, si un atacante obtiene las credenciales de un usuario del entorno

puede acceder a actividades y transacciones, manipular datos, devolver información falsificada
o redirigir a los clientes a sitios maliciosos.

Recomendaciones:

 prohibir, mediante políticas, compartir credenciales entre usuarios y servicios

 aplicar técnicas de autenticación de doble factor siempre que sea posible
 monitorizar las sesiones en busca de actividades inusuales

G) Riesgos por desconocimiento

Uno de los pilares de las infraestructuras cloud es reducir la cantidad de software y hardware
que tienen que adquirir y mantener las compañías, para así poder centrarse en el negocio. Esto,
si bien repercute en ahorros de costes tanto económicos como operacionales, no puede ser
motivo para el deterioro de la seguridad por falta de conocimiento de esta infraestructura.
Para asistir en la toma de decisiones sobre las medidas de seguridad que se han de implantar
en un entorno cloud es conveniente conocer, al menos en parte, la información técnica de la

24
plataforma. Datos como con quién se comparte la infraestructura o los intentos de acceso no
autorizados pueden resultar muy importantes a la hora de decidir la estrategia de seguridad.
La carencia de información de este tipo puede derivar en brechas de seguridad desconocidas
por el afectado.

Recomendaciones:

 tener acceso a los logs (registros de actividad) de aplicaciones y datos

 estar al corriente, total o parcialmente, de los detalles de la infraestructura
 monitorizar y recibir alertas sobre el uso de información crítica

5.1.5 RIESGOS DETECTADOS POR GARTNER Gartner S.A. es una compañía de investigación y
consultoría de tecnologías de la información, con sede en Stamford, Connecticut, Estados
Unidos. Se conocía como Grupo Gartner hasta 2001. Gartner tiene como clientes a grandes
empresas, agencias de gobierno, empresas tecnológicas y agencias de inversión. Fue fundada
en 1979, tiene actualmente 4.000 socios y dispone de 1.200 analistas y consultores con
presencia en 75 países por todo el mundo. Desde su posición de analista de las tecnologías de
la información, también ha realizado recientemente el informe «Assessing the Security Risks of
Cloud Computing» sobre los principales riesgos en cloud computing. A continuación, se incluye
un extracto de las recomendaciones y buenas prácticas del citado informe.

A) Accesos de usuarios con privilegios

El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la empresa

conlleva un riesgo inherente, ya que es posible que estos servicios externos sorteen los
controles físicos, lógicos y humanos siendo, por este motivo, necesario conocer quién maneja
dichos datos. Por tanto, se hace obligatorio consensuar con el proveedor los usuarios que
tendrán acceso a esos datos, para minimizar así los riesgos de que haya usuarios con elevados
privilegios que no deberían tener acceso a los datos.

B) Cumplimento normativo

Los clientes son en última instancia responsables de la seguridad e integridad de sus datos,
aunque estos se encuentren fuera de las instalaciones y gestionados por un proveedor de
servicios cloud. Los prestadores de servicios tradicionales se hallan sujetos a auditorías
externas y certificaciones de seguridad, por lo tanto los proveedores de servicios en la nube

25
también deben acogerse a este tipo de prácticas. Si se negasen a este tipo de auditorías no se
les debería confiar los datos sensibles de la empresa.

C) Localización de los datos

Al utilizar entornos en la nube no se conoce de forma exacta en qué país están alojados. Se
debe consultar con los proveedores cuál es el marco regulatorio aplicable al almacenamiento y
procesado de datos, siendo una buena práctica cerrar un acuerdo con el proveedor para que el
tratamiento de los datos se subyugue al marco legal del país del suscriptor del servicio.

D) Aislamiento de datos

Los datos en los entornos cloud comparten infraestructura con datos de otros clientes. El
proveedor debe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado de
los datos es una buena práctica, pero el problema es cómo aislar los datos cuando se
encuentran en reposo ya que el cifrado, cuando no se hace uso de los datos, puede resultar
una operación costosa. El prestador del servicio debe garantizar que los datos en reposo
estarán correctamente aislados y que los procedimientos de cifrado de la información se
realizarán por personal experimentado, ya que el cifrado de los datos mal realizado también
puede producir problemas con la disponibilidad de los datos o incluso la pérdida de los mismos.

E) Recuperación

Los proveedores de servicio deben tener una política de recuperación de datos en caso de
desastre. Asimismo, es muy recomendable que los datos sean replicados en múltiples
infraestructuras para evitar que sean vulnerables a un fallo general. Se debe exigir a los
proveedores los datos sobre la viabilidad de una recuperación completa y el tiempo que podría
tardar.

F) Soporte investigativo

La investigación de actividades ilegales en entornos cloud puede ser una actividad casi
imposible, porque los datos y logs (registros de actividad) de múltiples clientes pueden estar
juntos e incluso desperdigados por una gran cantidad de equipos y centros de datos. Lo
recomendable será que el proveedor garantice que los logs y los datos de los incidentes se
gestionan de una forma centralizada.

26
 G) Viabilidad a largo plazo

En un entorno ideal un proveedor de servicios cloud siempre permanecerá en el mercado

dando un servicio de calidad y con una disponibilidad completa, pero el mercado es cambiante
y cabe la posibilidad de que el proveedor sea comprado o absorbido por alguno con mayores
recursos. El cliente debe asegurarse que podrá recuperar sus datos aún en el caso de que el
proveedor sea comprado o absorbido por otro o bien contemplar la posibilidad de que los
datos puedan ser migrados a la nueva infraestructura.

5.1.6 ASPECTOS CLAVE DE SEGURIDAD EN CLOUD

Según NIST El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National
Institute of Standards and Technology) es una agencia de la Administración de Tecnología del
Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la
innovación y la competencia industrial en Estados Unidos mediante avances en metrología,
normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida. En
este sentido, también ha publicado recientemente un borrador de una de sus guías
«Guidelines on Security and Privacy in Public Cloud Computing» en las que propone unos
refuerzos de seguridad centrándose en una clasificación particular. Se resume a continuación.

A) . Gobernanza

La gobernanza implica el control y la supervisión de las políticas, los procedimientos y los

estándares para el desarrollo de aplicaciones, así como el diseño, la implementación, las
pruebas y la monitorización de los servicios distribuidos. El cloud, por su diversidad de servicios
y su amplia disponibilidad, amplifica la necesidad de una buena gobernanza. Garantizar que los
sistemas son seguros y que los riesgos están gestionados es un reto en cualquier entorno cloud.
Es un requisito de seguridad instalar adecuadamente los mecanismos y herramientas de
auditoría para determinar cómo se almacenan los datos, cómo se protegen y cómo se utilizan
tanto para validar los servicios y como para verificar el cumplimiento de las políticas. Por otra
parte, se ha de prestar especial atención a los roles y las responsabilidades involucrados en la
gestión de riesgos. Es muy recomendable poner en marcha un programa de gestión de riesgos
que sea suficientemente flexible para tratar con un entorno de riesgos variables y en continua
evolución.

B) . Cumplimiento

27
El cumplimiento obliga a la conformidad con especificaciones estándares, normas o leyes
establecidas. La legislación y normativa relativa a privacidad y seguridad varía mucho según los
países con diferencias, en ocasiones, a nivel nacional, regional o local haciendo muy
complicado el cumplimiento en cloud computing.

 Ubicación de los datos

Uno de los principales problemas de los servicios en cloud computing es la ausencia de

información acerca de cómo se ha implantado la infraestructura, por lo cual el suscriptor no
tiene prácticamente información de cómo y dónde son almacenados los datos ni de cómo se
protegen los mismos. La posesión de certificaciones de seguridad o la realización de auditorías
externas por parte del proveedor mitiga, en parte, el problema aunque tampoco es una
solución. Cuando la información se mueve por diferentes países, sus marcos legales y
regulatorios cambian y esto, obviamente, afecta a la forma de tratar los datos. Por ejemplo, las
leyes de protección de datos imponen obligaciones adicionales a los procedimientos de
manejo y procesamiento de datos que se transfieren a EEUU.

La principal preocupación del cumplimiento radica en conocer los límites en los que deja de
aplicar la legislación del país que recoge los datos y comienza a aplicar la legislación del país
destino de los mismos así como si la legislación en el destino supone algún riesgo o beneficio
adicional. Por lo general aplican las salvaguardas técnicas, físicas y administrativas, como los
controles de acceso.

 Investigación electrónica

La investigación electrónica se ocupa de la identificación, la recolección, el procesamiento, el

análisis y la producción de los documentos en la fase de descubrimiento de un procedimiento
judicial. Las organizaciones también tienen obligaciones para la preservación y la generación
de los documentos, tales como cumplir con las auditorías y solicitudes de información. Estos
documentos no sólo incluyen correos electrónicos, adjuntos del correo y otros datos
almacenados en los sistemas, sino también metadatos como fechas de creación y modificación.
Las capacidades de un proveedor cloud y las herramientas de investigación disponibles pueden
dificultar el cumplimiento de las obligaciones de la organización. Por ejemplo, si los elementos
de almacenamiento de un proveedor no guardan los metadatos originales y suceden daños
intencionados (borrado de datos, pérdida, alteración material o bloqueo de evidencias que son
básicas para la investigación) la carencia de estos metadatos tiene un impacto negativo en la
investigación.

28
3.3.3. Confianza

En cloud computing la organización cede el control directo de muchos aspectos de la seguridad

confiriendo un nivel de confianza sin precedentes al proveedor de cloud.

 Acceso desde dentro

Los datos almacenados fuera de los límites de una organización están protegidos por
cortafuegos y otros controles de seguridad que conllevan en sí mismos un nivel de riesgo
inherente. Las amenazas internas son un problema conocido por la mayoría de las
organizaciones y aunque su nombre no lo refleje aplica también en los servicios cloud. Estas
amenazas pueden ser provocadas tanto por los antiguos como por los actuales empleados así
como por las empresas asociadas, las asistencias técnicas y otros actores que reciben acceso a
las redes corporativas y datos para facilitar las operaciones. Los incidentes pueden ser tanto
intencionados como no intencionados y de muy diversos tipos incluyendo fraude, sabotaje de
los recursos de información, robo de información confidencial. Al traspasar los datos a un
entorno cloud operado por un proveedor, las amenazas internas se extienden no sólo al
personal del proveedor sino también a los consumidores del servicio. Un ejemplo de esto se
demostró por una denegación de servicio realizada por un atacante interno. El ataque fue
realizado por un suscriptor que creó 20 cuentas y lanzó una instancia de máquina virtual por
cada una de ellas, a su vez cada una de estas cuentas seguía creando 20 cuentas cada una
haciendo que el crecimiento exponencial llevase los recursos a los límites de fallo.

 Propiedad de los datos

Cuando se establece un contrato con un proveedor se deben definir de forma clara los
derechos sobre los datos y así crear un primer marco de confianza. Existe una controversia
importante en torno a los términos ambiguos que utilizan las redes sociales en sus políticas de
privacidad y propiedad de los datos. El contrato debe establecer de una forma clara que la
organización mantiene la propiedad de todos sus datos, pero también debe asegurar que el
proveedor no adquiere derechos o licencias a través de los acuerdos para usar los datos en su
propio beneficio.

 Servicios complejos

Los servicios cloud en sí mismos suelen estar formados por la colaboración y unión de otros
servicios. El nivel de disponibilidad de un servicio cloud depende de la disponibilidad de los
servicios que lo componen. Aquellos servicios que dependan de terceros para su

29
funcionamiento deben considerar el establecimiento de un marco de control con dichos
terceros para definir las responsabilidades y las obligaciones, así como los remedios para los
posibles fallos.

Las garantías de responsabilidad y rendimiento pueden convertirse en un problema serio en

servicios complejos. Un ejemplo de esto es una red social que suscribía servicios de
almacenamiento en la nube y cerró por perder el acceso a gran cantidad de datos de 20.000
suscriptores. El problema fue que los datos antiguos, las nuevas aplicaciones y las bases de
datos se encontraban en diferentes proveedores de servicios cloud.

 Visibilidad

La migración a servicios cloud públicos cede el control de los sistemas de seguridad a los
proveedores que operan los datos de la organización. La administración, los procedimientos y
los controles usados en el cloud deben guardar cierta analogía con los implantados en la
propia organización interna para evitar posibles agujeros de seguridad.

Los proveedores de cloud suelen ser bastante celosos para dar los detalles de sus políticas de
seguridad y privacidad, ya que dicha información podría ser utilizada para realizar un ataque.
Por lo general, los detalles de la red y los niveles de monitorización de los sistemas no forman
parte de los acuerdos de servicio.

La transparencia de la forma en la que los proveedores operan es un asunto vital para la

supervisión de los sistemas de seguridad y privacidad de una organización. Para asegurar que
las políticas se cumplen durante el ciclo de vida de los sistemas, los acuerdos de servicio deben
incluir algunas cláusulas para obtener visibilidad de los controles de seguridad y los procesos
empleados por los proveedores. Lo ideal sería que la organización tuviese el control sobre
ciertos aspectos tales como la definición de los límites que lanzan alertas, los niveles de detalle
de los informes, etc. para que se adecúen a las necesidades de la empresa.

 Gestión de riesgos

Con los servicios basados en cloud muchos componentes de los sistemas de información
quedan fuera del control directo de la organización suscriptora. Mucha gente se siente mejor
con un riesgo siempre y cuando tengan mayor control sobre los procesos y los equipos
involucrados.

La gestión de riesgos es el proceso de identificar y valorar los riesgos realizando los pasos
necesarios para reducirlos a un nivel asumible. Los sistemas cloud públicos requieren, al igual

30
que los sistemas tradicionales, que los riesgos sean gestionados a lo largo de su ciclo de vida.
Valorar y gestionar riesgos en sistemas que utilizan servicios cloud puede llegar a ser un
desafío.

Para llevarlo a la práctica, la organización debe confirmar que los controles de seguridad están
implementados correctamente y cumplen con los requisitos de seguridad de la empresa. El
establecimiento de un nivel de confianza depende del grado de control que una organización
esté dispuesta a delegar en el proveedor para que sea éste el que implemente los controles de
seguridad necesarios para la protección de los datos y las aplicaciones de la organización, así
como las pruebas de la efectividad de dichos controles. Si el nivel de confianza baja por debajo
de las expectativas y la organización no puede aplicar medidas correctivas, ésta debe decidirse
entre la aceptación de un riesgo mayor o el rechazo del servicio.

5.2. RECOMENDACIONES DE SEGURIDAD SEGÚN

NIST Según el informe del NIST, estás son las buenas prácticas generales por área.

Área Recomendación
Gobernanza Implantar políticas y estándares en la provisión de servicios
cloud. Establecer mecanismos de auditoría y herramientas
para que se sigan las políticas de la organización durante el
ciclo de vida.
Cumplimiento Entender los distintos tipos de leyes y regulaciones y su
impacto potencial en los entornos cloud. Revisar y valorar las
medidas del proveedor con respecto a las necesidades de la
organización.
Confianza Incorporar mecanismos en el contrato que permitan controlar
los procesos y controles de privacidad empleados por el
proveedor.
Arquitectura Comprender las tecnologías que sustentan la infraestructura
del proveedor para comprender las implicaciones de
privacidad y seguridad de los controles técnicos
Identidad y control de Asegurar las salvaguardas necesarias para hacer seguras la

31
acceso
Aislamiento de software
Disponibilidad
Respuesta a incidentes
autenticación, la autorización y las funciones de control de
acceso.
Entender la virtualización y otras técnicas de aislamiento que
el proveedor emplee y valorar los riesgos implicados
Asegurarse que durante una interrupción prolongada del
servicio, las operaciones críticas se pueden reanudar
inmediatamente y todo el resto de operaciones, en un tiempo
prudente.
Entender y negociar los contratos de los proveedores así como
los procedimientos para la respuesta a incidentes requeridos
por la organización.

7. Mercado de las nuevas tecnologías

Informe del cuadrante mágico de Gartner de 2018: Agentes de seguridad de

acceso a la nube

“Proofpoint Cloud App Security Broker (PCASB) permite desplegar servicios en la nube
con total confianza. Con PCASB puede proteger aplicaciones como Microsoft Office
365, Google G Suite o Box, entre otras. Nuestro enfoque basado en las personas le
ofrece una visibilidad y un control inigualables de sus apps en la nube.

En el informe del cuadrante mágico de Gartner de 2018, Proofpoint ha sido nombrado

Visionario en la categoría de Agentes de seguridad de acceso a la nube, por su
capacidad de ejecución y amplitud de visión.”

32
8.Casos de éxito

Bitaglass

Bitaglass fue fundada en Enero del 2013 y se convirtió en Agente de Seguridad de

Acceso a la Nube en Enero del 2014.Enfocados en el descubrimiento de datos sensibles,
su clasificación y protección incluyendo también varias capacidades de gestión y
protección de la documentación, con métodos como marcas de agua y cifrado que
admite funciones de búsqueda y clasificación en aplicaciones SaaS

Fortalezas

 Las calificaciones de confianza prevalecen en toda la interfaz de usuario. Las

políticas de acceso pueden verse influenciadas por los niveles de confianza de
33
 los usuarios, de los servicios en la nube y de las aplicaciones de terceros a las
que se otorga acceso a los servicios.
 Para el acceso basado en navegador a las aplicaciones en la nube, la máquina
virtual AJAX ahora incluye un modo de aprendizaje automático. A través de
esto, es posible usar Bitglass para la visibilidad en línea y el control de la
mayoría de las aplicaciones SaaS existentes sin el uso de complementos
personalizados
 Las políticas pueden aplicar marcas de agua a los documentos mientras se
procesan en línea. Las marcas de agua permiten el seguimiento granular del
contenido para todos los dispositivos, para el desplazamiento de contenido
hacia y desde todos los servicios de nube administrados, y pueden refinar las
decisiones tomadas por otras políticas.
 Las políticas de DLP (Data Loss Prevention o Prevención de fuga de datos)
pueden incluir acciones de administración de derechos digitales empresariales
(EDRM) que extienden la protección a los datos almacenados fuera de las
aplicaciones SaaS como enlaces a archivos HTML de solo lectura que requieren
autenticación o como objetos locales encriptados
 Bitglass ofrece un amplio conjunto de capacidades de CSPM, muchas de ellas
con remediación guiada o automática basada en los puntos de referencia del
Centro para la Seguridad de Internet (CIS) que pueden personalizarse aún más
según sea necesario.

Precaución

 El único atributo ajustable por el cliente en la base de datos de riesgo en la

nube de Bitglass es la importancia relativa de la certificación de un tercero.
 Las capacidades de Bitglass CSPM no se extienden a la modificación directa de
los controles de seguridad nativos de la aplicación SaaS. IaaS CSPM para
Microsoft Azure es menos maduro que para Amazon Web Services (AWS).
 Bitglass no puede asignar o consumir plantillas de protección de información de
Azure; su capacidad de EDRM es totalmente autónoma
 Si bien su presencia ha mejorado desde el año pasado, Bitglass no se menciona
con tanta frecuencia durante las consultas de los clientes como las otras en el
mercado de CASB.

McAfee

En enero de 2018, McAfee cerró su adquisición de Skyhigh Networks, aumentando así

su cartera de seguridad existente de DLP, SWG, sandbox de red y más. Skyhigh se
fundó en diciembre de 2011 y comenzó a enviar un CASB en enero de 2013. McAfee

34
Skyhigh Security Cloud fue uno de los primeros productos de CASB en crear conciencia
sobre la TI desde la sombra.

Fortalezas

 McAfee proporciona un panel de control integral con varias vistas de análisis de

seguridad en la nube y recomendaciones de remediación, algunas de las cuales
se pueden automatizar. Las soluciones pueden configurar acciones en firewalls
de red, SWG y productos de seguridad de punto final.
 McAfee ha realizado mejoras considerables en los mecanismos para investigar
los recursos compartidos abiertos, incluido un gráfico de visualización que
mapea las conexiones entre objetos. La función Lightning Link se engancha a los
eventos compartidos y aplica acciones a los disparadores antes de que se
complete el activador, lo que hace que el control basado en API se comporte
casi en tiempo real.
 Los mecanismos para lograr una visibilidad y un control efectivos sobre el
contenido sensible han sido una de las mejoras clave desde la iteración anterior
de este Cuadrante Mágico de CASB. El producto ofrece varias opciones para
detectar, etiquetar y reaccionar a información confidencial en dispositivos
administrados y no administrados, en servicios de nube autorizados y no
autorizados.
 La creación de políticas DLP para aplicaciones personalizadas no requiere
codificación; una extensión de grabación observa el comportamiento a medida
que se ejerce la aplicación y encuentra elementos de la aplicación (campos,
variables, archivos) que se pueden usar en los selectores de DLP.
 McAfee ofrece amplias capacidades de CSPM que exceden las de incluso
algunos proveedores de CSPM puros. Incluye audición sólida y análisis de
cumplimiento, además de múltiples opciones para la reparación manual
automática y guiada.

Precauciones

 La configuración de los mensajes de error para guiar a los usuarios hacia las
aplicaciones autorizadas requiere el uso de un proxy web separado.
 Aunque Lightning Link puede capturar y detener el intercambio no permitido
en tiempo real a través de API, los usuarios no siempre reciben una notificación
dentro de la aplicación de que el comportamiento estaba bloqueado.
 Los clientes de McAfee ahora deben lidiar con dos motores DLP en todo el
tejido Skyhigh. No está claro, cuando se trabaja con DLP, qué motor realizará el
escaneo y la aplicación o cómo los dos pueden sincronizar las políticas.

35
  La ejecución de McAfee a través de adquisiciones ha sido irregular. Si bien
Skyhigh Security Cloud no parece estar afectado ahora, se recomienda a los
clientes que monitoreen la situación de posible degradación y ejecución del
servicio en relación con los compromisos de la hoja de ruta.

CipherCloud

CipherCloud se fundó en octubre de 2010 y ha estado enviando un producto CASB

desde marzo de 2011. Inicialmente, CipherCloud enfatizó el cifrado y la tokenización
de datos estructurados en los servicios de nube empresariales populares a través de
una puerta de enlace local. Desde entonces, ha agregado más visibilidad y control
basados en la nube de un conjunto más amplio de aplicaciones SaaS que procesan y
almacenan datos estructurados y no estructurados. El cifrado y la tokenización siguen
siendo un caso de uso estratégico para CipherCloud, que puede integrarse con
productos de administración de claves locales, DLP y auditoría y protección centradas
en datos (DCAP). Su implementación principal es un proxy inverso para aplicaciones
SaaS populares; también es compatible con las implementaciones de proxy hacia
adelante y la inspección de API de algunas aplicaciones en la nube que permiten una
cobertura multimodo más completa. Para las capacidades de CSPM, CipherCloud usa
tecnología OEM de un proveedor de CSPM y expone esto a través de la consola de
CipherCloud.

Fortalezas

 CipherCloud DLP ha mejorado mucho este año y ahora incluye selectores para
la coincidencia exacta de datos, huellas digitales de documentos mediante la
carga de un corpus de contenido y reconocimiento óptico de caracteres (OCR)
en las imágenes.
 Además de cifrar los datos antes de la entrega a las aplicaciones SaaS y al
mismo tiempo preservar la funcionalidad parcial de la aplicación, CipherCloud
también puede administrar claves para los mecanismos de cifrado nativos de
SaaS; Estos se pueden almacenar en CipherCloud o en un servidor de
administración de claves compatible con KMIP.
 El conector predeterminado de cualquier aplicación de CipherCloud detecta
comportamientos comunes en las aplicaciones SaaS, simplificando el proceso
requerido para incorporar algunas nuevas aplicaciones personalizadas en el
CASB.
 Se ha mejorado la interfaz y el flujo de trabajo para crear nuevas políticas es
fácil de entender y administrar.

36
Prevenciones

 En comparación con la competencia, los controles de acceso adaptativo de

CipherCloud no son tan sofisticados y se aplican solo al inicio de una conexión;
La evaluación continua de riesgos durante una sesión está menos desarrollada.
 La modificación del conector predeterminado de cualquier aplicación puede
requerir proveedores o servicios profesionales para aplicaciones personalizadas
complejas. No hay modo de autoaprendizaje disponible.
 CipherCloud no tiene el nivel de conocimiento del mercado como otros
proveedores de CASB y rara vez aparece en las listas cortas competitivas o en la
consulta de clientes de Gartner.

Cisco

En 2016, Cisco adquirió API-only CASB Cloudlock y lo incorporó en una oferta más
grande llamada Umbrella. Umbrella incluye varias ofertas relacionadas de seguridad
basadas en la nube y en la nube, que representan la estrategia de crecimiento de Cisco
a través de la adquisición en lugar del desarrollo orgánico. La estrategia da como
resultado una gama de productos que ofrecen capacidades de seguridad tradicionales
desde la nube y productos que brindan servicios de seguridad nativos de la nube pero
que aún no están completamente integrados en la oferta unificada única que Cisco ha
sido prometedora. Los planes de Cisco para convertir a Umbrella en una pasarela de
Internet segura (SIG) siguen en gran medida en desarrollo por ahora. Otros productos
de Cisco que podrían aumentar la visibilidad de Cloudlock, como el agente VPN de
AnyConnect y la aplicación Duo MFA recientemente adquirida, aún no están
integrados. Los clientes de todos los productos de seguridad de Cisco, incluido
Cloudlock, reciben información sobre amenazas de Talos, la organización de
investigación de amenazas de Cisco. Cloudlock obtuvo la autorización del Programa
Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) en el nivel de Impacto
Moderado en diciembre de 2017.

Fortalesas

 Las políticas se pueden configurar para mover dinámicamente a los usuarios a

grupos específicos en función de la evaluación del comportamiento en tiempo
real. estos grupos, a su vez, pueden restringir el comportamiento de ciertos
usuarios o aplicaciones, proporcionando una forma efectiva de control de
acceso adaptativo.

37
  Cisco fue uno de los primeros identificadores del posible abuso de OAuth y
proporciona un mecanismo para anular los permisos otorgados a los tokens de
OAuth, bloqueando así una forma cada vez más común de ataque a la nube.
 La adición de las API de desarrollador de Cisco permite a las organizaciones
extender Cloudlock a aplicaciones SaaS que no son compatibles de forma nativa
y a aplicaciones personalizadas que se ejecutan en nubes IaaS y locales.

Precauciones

 Como API-only CASB, el soporte de DLP está restringido a las aplicaciones

autorizadas que proporcionan API. Puede tomar algo de tiempo para que
ocurran acciones DLP, porque las API de SaaS varían con respecto a la rapidez
con la que informan el movimiento de datos. El DLP básico se centra en
palabras clave, expresiones regulares y algunos datos exactos que coinciden;
No incluye soporte para OCR o entrenamiento de corpus.
 El flujo de trabajo para investigar la actividad de un usuario en particular es
poco intuitivo y más engorroso de lo que debería ser. Por ejemplo, obtener una
respuesta a la simple solicitud "Mostrar todos los recursos compartidos
abiertos de Alice" no es inmediatamente obvio.
 Cisco no ofrece capacidades CSPM (cenrtified security project manager) en
Cloudlock.
 Las puntuaciones de riesgo del servicio en la nube de Cloudlock contienen
menos atributos que la competencia y los clientes no pueden ajustar las
ponderaciones para reflejar sus propios gustos y tolerancias de riesgo.

Microsoft

En septiembre de 2015, Microsoft completó la adquisición de Adallom, un CASB que se

había estado enviando desde principios de 2013. Microsoft Cloud App Security (MCAS)
ahora es un CASB de proxy inverso más API disponible de forma independiente y como
parte de la Movilidad Empresarial de Microsoft. + Suite de seguridad (EMS). Si bien el
MCAS solo ofrece características que tocan cada uno de los cuatro pilares de CASB, una
funcionalidad más completa requiere el paquete EMS (que se puede comprar de forma
independiente o en un paquete llamado Microsoft 365 que combina EMS con Office
365 y Windows 10). La suite incluye MCAS, Active Directory de Azure (incluido el
acceso condicional AD de Azure y la protección de identidad de AD de Azure),
protección de información de Azure, protección avanzada contra amenazas, análisis

38
avanzado de amenazas e Intune. Si bien los clientes de Gartner cuestionan de manera
rutinaria si necesitan las suites más grandes de Microsoft, la agrupación en general ha
sido exitosa para Microsoft: MCAS ha experimentado grandes aumentos en la cantidad
de clientes y asientos implementados. Ciertas suscripciones de Office 365 incluyen
Office 365 Cloud App Security (OCAS), un subconjunto de MCAS con menos funciones y
diseñado para proteger solo a un inquilino de Office 365 (y no a otras aplicaciones
SaaS).

Fortalezas

 La interfaz de usuario de MCAS es intuitiva y contiene numerosos consejos y

sugerencias para crear políticas efectivas. Las políticas complejas se pueden
construir completamente dentro de un editor visual que no requiere
programación ni scripting.
 Para los servicios CCP admitidos, MCAS ofrece el seguimiento del historial de
archivos y el control de varias versiones dentro de la consola de administración.
 Las políticas de protección de información de Azure son la base de las reglas de
clasificación de documentos y las reglas de DLP; las acciones incluyen aplicar
control de acceso, limitar la impresión y el reenvío, aplicar una marca de agua o
cifrar. Las organizaciones que ya han invertido en RMS para su clasificación de
datos apreciarán esta integración con MCAS.
 MCAS agrega eventos y detalles de configuración de Office 365, el Centro de
seguridad de Azure (gratuito para todos los clientes de Azure; se requiere
habilitación), muchos servicios en la nube y productos locales para presentar
una visión consolidada del riesgo.

Precauciones

Una estrategia típica de seguridad en la nube de Microsoft requerirá múltiples
productos de Microsoft, no solo su CASB. Por ejemplo, el control de acceso
adaptativo (Azure AD Conditional Access) y EDRM (Azure Information
Protection) son productos separados. Los productos de seguridad en la nube de
Microsoft funcionan mejor cuando los clientes implementan todo el paquete;
Las implementaciones independientes o a la carta ofrecen una funcionalidad
reducida.
 Si bien Microsoft ahora ofrece el modo de proxy inverso para su CASB, la
incorporación de aplicaciones SaaS para usar el proxy se realiza a través de
Active Directory de Azure. Los clientes que requieren inspección de proxy en

39
 tiempo real también deben comprar Azure AD. De manera similar, el control de
acceso adaptativo básico es posible utilizando políticas de solo CASB, pero un
AAC más completo requiere la adición del acceso condicional de Azure AD.
 MCAS DLP está orientado a rastrear el movimiento de datos confidenciales
dentro y fuera de los servicios en la nube sancionados. Tiene poca visibilidad en
servicios no autorizados. Algunas reglas de DLP, como las políticas que
examinan el correo electrónico saliente, deben configurarse en Exchange DLP,
no en el CASB. Además, el DLP nativo de Office 365 presenta otro motor para
configurar, que no comparte políticas con MCAS.
 La funcionalidad CSPM de Microsoft es rudimentaria en comparación con otros
competidores, ya que carece de servicios en la nube IaaS compatibles y de la
profundidad de la medición de la postura dentro de esos servicios. El soporte
de MCAS CSPM no se extiende a la administración de controles nativos de
aplicaciones SaaS.
 La dedicación de Microsoft a la compatibilidad con sistemas operativos que no
sean de Microsoft (proxy de reenvío para Mac) y servicios en la nube que no
sean de Microsoft (G Suite, AWS) aún está por verse. Las organizaciones que
usan servicios en la nube de múltiples proveedores deben prestar mucha
atención a las capacidades actuales de Microsoft, los mapas de trabajo
publicados y la ejecución en su contra.

Cloud Adoption and Risk Report 2019

MacFree en su Reporte nos da a conocer el tipo de información que es

subido a la nube y nos reporta que, a nivel mundial, el 83% de las
empresas suben información delicada a la nube.

40
También nos dice que gracias a la creciente popularidad de Office365, un
20% de toda la información sensible que manejan son de esta plataforma,
y que esta, en los pasados 2 años fue en aumento en un 53%.

En estos últimos 6 años la categoría de información que se guarda en la

nube está dividida de esta manera:

MacFree nos comparte 3 recomendaciones principales para mantener la

seguridad:

1. Audit AWS, Azure, Google Cloud Platform or other IaaS/PaaS

configurations.
2. Understand which cloud services hold most of our sensitive data.
3. Lock down sharing, again where our sensitive data lives.

41