Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La Gua para empresas: seguridad y privacidad del cloud computing ha sido elaborada
por el equipo del Observatorio de la Seguridad de la Informacin de INTECO:
Pablo Prez San-Jos (direccin)
INTECO quiere agradecer la colaboracin de la Asociacin Profesional Espaola de Privacidad (APEP) (http://www.apep.es) en la elaboracin de esta gua, en especial a su presidente
Ricard Martnez por su aportacin personal:
ndice
1.
2.
13
3.
Marco legal
17
4.
29
5.
Seguridad en la nube
33
6.
Privacidad en la nube
40
7.
47
1.
Este modelo ofrece grandes posibilidades para empresas y entidades, tanto en trminos de inversin como en economas de escala, deslocalizacin,
acceso a la informacin desde cualquier lugar, etc. Si bien no existen datos
concluyentes de la adopcin de la nube en Espaa, se identifican una serie de
factores1 que pueden propiciar su extensin en los sectores pblico y privado:
desarrollo del sector TIC, tejido empresarial dominado por la PYME, disposicin geogrfica de la poblacin y potencial del sector pblico, entre otros.
El presente documento ofrece una aproximacin al
modelo cloud computing para todo tipo de organizaciones, detenindose en las principales implicaciones en cuanto a seguridad y privacidad, claves
para asegurar el xito en la utilizacin de servicios
en la nube.
A lo largo de la presente gua, el lector encontrar las denominaciones entidad, empresa, organizacin, cliente, contratista, o usuario en funcin del papel que tome en la situacin concreta que se est tratando en cada apartado.
1 Fundacin para la Innovacin Bankinter (2010). Cloud Computing. La tercera ola de las Tecnologas de la
Informacin.
1.1.
tenan grandes ordenadores, conocidos como mainframes, para hacer las tareas ms crticas y complicadas. Generalmente, estos no
estaban conectados a la Red y se utilizaban para manejar grandes
cantidades de datos como censos o transacciones econmicas.
Arquitectura cliente-servidor. Entre los aos 70 y 80, se generaliz
el uso de ordenadores personales en los puestos de trabajo, menos costosos y potentes, pero que permitan realizar tareas bsicas.
Adems disponan de un determinado nmero de ordenadores ms
potentes que se encargaban de mantener los datos ms sensibles
as como las aplicaciones que necesitaban ms recursos. Estos ordenadores con mayores capacidades de proceso se denominaron
servidores, mientras que las mquinas con recursos ms limitados
de cada puesto de trabajo pasaron a llamarse clientes. Naci la arquitectura cliente-servidor.
Arquitecturas colaborativas y distribuidas. La complejidad de las
aplicaciones informticas ha ido creciendo con el tiempo, lo que ha
obligado a crear sistemas ms complejos para solucionar de forma eficiente todas las nuevas necesidades. Por ejemplo, la computacin grid
utiliza un nmero variable de ordenadores trabajando de forma colaborativa para solucionar problemas complejos para los que individualmente no tienen suficientes recursos. Por otra parte, la arquitectura
peer-to-peer o p2p es una arquitectura distribuida en la que todos los
nodos hacen a la vez de consumidores y suministradores de informacin. Estas arquitecturas son ampliamente utilizadas en la actualidad.
El modelo cloud computing no sustituye a las arquitecturas anteriores, pero
consigue cambiar radicalmente la forma en la que se utilizan y entienden
las aplicaciones informticas, gracias a que permite aprovechar al mximo
los puntos fuertes de Internet, los dispositivos mviles y los ordenadores
personales.
1.3.
Infraestructura
1.4.
Hardware
Plataforma
Aplicacin
informtica
Software
Programa
informtico
Se pueden agrupar los sistemas de cloud computing en las siguientes categoras principales:
Las nubes pblicas son aquellas en las que
todo el control de los recursos, procesos y datos est en manos de terceros. Mltiples usuarios pueden utilizar servicios web que son procesados en el mismo servidor, pueden compartir espacio en disco u otras infraestructuras de
10
Las nubes privadas son aquellas creadas y administradas por una nica entidad que decide
dnde y cmo se ejecutan los procesos dentro
de la nube. Supone una mejora en cuanto a la seguridad y privacidad de los datos y procesos, ya
que los datos sensibles permanecen en la infraestructura informtica de la entidad, mientras que
controla qu usuario accede a cada servicio de la
nube. Sin embargo, la entidad sigue siendo la encargada de comprar, mantener y administrar toda
la infraestructura hardware y software de la nube.
En las nubes hbridas coexisten los dos modelos anteriores. Por ejemplo, una empresa hace
uso de una nube pblica para mantener su servidor web mientras que mantiene su servidor
de bases de datos en su nube privada. De este
modo, se establece un canal de comunicacin
entre la nube pblica y privada mediante el cual
los datos sensibles permanecen bajo estricto
control mientras que el servidor web es administrado por un tercero. Esta solucin disminuye
la complejidad y coste de la nube privada.
Se apunta adems un cuarto modelo de despliegue de servicios, las nubes comunitarias,
que son compartidas entre varias organizaciones que forman una comunidad con principios
similares (misin, requerimientos de seguridad,
polticas y cumplimientos normativos). Puede
ser gestionada por la comunidad o por un tercero. Este modelo puede ser visto como una variacin en el modelo de cloud privada.
11
1.5.
TIPOLOGA DE PROVEEDORES
12
2.
2.1.
Caractersticas principales
del cloud computing
13
2.2.
ASPECTOS ECONMICOS
Es necesario llevar a cabo una gran inversin
para implantar el modelo en la organizacin?
2.3.
ESCALABILIDAD Y FLEXIBILIDAD
Cunto tiempo puede pasar desde que se detecta que
son necesarios ms recursos hasta que estn disponibles?
14
15
2.5.
DEPENDENCIA DE TERCEROS
16
3.
Marco legal
El cloud computing tiene su principal fundamento en la gestin remota de la informacin. Las organizaciones transfieren
gran cantidad de informacin, en algunos casos sensible, en
servidores pertenecientes a terceros.
5 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin
de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de
estos datos.
6 Fuente: ENISA (2011). Security and Resilience in Governmental Clouds.
Marco legal
17
3.1.
REGULACIN DE LA LOPD
7 Ms informacin: https://www.agpd.es/
8 Existen adems otras Agencias de Proteccin de Datos de carcter autonmico, en las Comunidades Autnomas de Madrid, Catalua y en el Pas Vasco.
9 Ms informacin: Agencia Espaola de Proteccin de Datos (2008) Gua del responsable de ficheros.
18
Marco legal
Adems, en el caso del cloud computing es fundamental revisar las condiciones del contrato a fin de garantizar una adecuada previsin de las cuestiones
relacionadas con la presencia de un encargado del tratamiento y/o una
transferencia internacional de datos personales.
10 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal o RLOPD.
Marco legal
19
Aspectos a
contemplar
Artculos
implicados
Acceso a
los datos
por cuenta
de terceros
Artculo 12
LOPD
Artculos
20, 21 y 22
RDLOPD
El encargado deber:
Utilizar los datos exclusivamente para los fines contratados. En caso contrario, se convierte en responsable y debe
responder por la infraccin cometida.
No comunicar esta informacin a terceros, ni siquiera para
su conservacin.
Estar autorizado por el responsable para subcontratar11 y
cumplir todos los requisitos de la LOPD y el RLOPD en
esta materia.
Destruir o devolver la informacin tratada al responsable
una vez finalizado el contrato. Cabe cumplir la obligacin
de devolucin mediante la migracin de los datos a un
nuevo proveedor.
El responsable deber:
Seguridad
de los
datos
Artculo 9
LOPD
Ttulo VIII
RDLOPD
20
Marco legal
Debe tenerse en cuenta que la existencia del contrato regulado por el artculo 12 de la LOPD excluye la aplicacin de la regulacin prevista para las
comunicaciones de datos personales y facilita, por tanto, el despliegue de
servicios basados en el cloud computing.
La figura del encargado es contemplada de modo muy especfico por el Ttulo VIII del RDLOPD. El artculo 82 seala la necesidad de que las medidas
que se fijen en el contrato tengan en cuenta de modo muy preciso la naturaleza de la prestacin, si esta se desarrolla en los locales del responsable o en
los del encargado y las condiciones de seguridad que afecten a un acceso
remoto.
El conjunto de medidas de seguridad previstas por la ley y su reglamento
tiene por objeto garantizar la integridad y la seguridad de los ficheros en los
centros de tratamiento, locales, equipos y programas y de la disponibilidad
de la informacin12.
Cmo afectan el artculo 9 y 12 de la LOPD al cloud computing?
El proveedor de servicios en la nube se encarga de mantener la seguridad
en sus centros de proceso de datos. Habitualmente no ser posible una inspeccin de sus medidas de seguridad por el cliente interesado en contratar
sus servicios. Por otra parte, salvo en casos muy especficos, la contratacin
se realiza a travs de condiciones generales,-esto es, de contratos que
responden a un modelo general para una categora de clientes- y adicionalmente pueden preverse polticas de privacidad. Por ello ser fundamental
para el cliente cerciorarse de que el proveedor de servicios se compromete
a respetar y cumplir las obligaciones contenidas en la LOPD y la Directiva y
12 Vase la Gua de Seguridad de Datos (2010) y la herramienta EVALUA de la Agencia Espaola de Proteccin
de Datos que permiten identificar el conjunto de medidas de seguridad previstas y testear su cumplimiento.
Marco legal
21
13 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito
de la Administracin Electrnica.
14 Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el
mbito de la Administracin Electrnica.
22
Marco legal
15 Conforme al artculo 17.3 de la Directiva 95/46/CE (en relacin con su artculo 4).
Marco legal
23
Artculos
implicados
Artculo 33
LOPD
Artculo 34
LOPD
Cuando no se den estas circunstancias ser necesario obtener la autorizacin del Director de la AEPD siguiendo el procedimiento previsto por la
Seccin Primera, del Captulo V del Ttulo IX del RDLOPD. Es muy importante
tener en cuenta que cuando el contrato siga los criterios fijados en los distintos modelos de clusulas contractuales tipo establecidas mediante Decisiones de la Comisin Europea18, el artculo 70.2 del RDLOPD apunta que se
considerar que establecen las adecuadas garantas.
16 Segn el procedimiento previsto en la Seccin Primera, del Captulo V del Ttulo IX del RDLOPD.
17 Estos son: Suiza, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel. Existen dos pases
con ciertas particularidades. Canad en el que se consideran seguras las organizaciones sometidas
a la ley canadiense de proteccin de datos, y Estados Unidos, respecto de las empresas que hayan
suscrito Safe Harbour, esto es los principios de Puerto Seguro para la proteccin de la vida privada y las
correspondientes preguntas ms frecuentes, publicadas por el Departamento de Comercio de los Estados
Unidos.
18 En concreto, las Decisiones de la Comisin Europea aludidas son:
Decisin 2001/497/CE de la Comisin, de 15 de junio de 2001, relativa a Clusulas contractuales tipo
para la transferencia de datos personales a un tercer pas previstas en la Directiva 95/46/CE.
Decisin 2002/16/CE de la Comisin, de 27 de diciembre de 2001, relativa a Clusulas contractuales tipo
para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros
pases, de conformidad con la Directiva 95/46/CE. (queda derogada a partir de 15 de mayo de 2010).
Decisin 2010/87/UE de la Comisin, de 5 de febrero de 2010, relativa a las clusulas contractuales tipo
para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros
pases, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
24
Marco legal
3.2.
REGULACIN DE LA LSSI
Marco legal
25
3.3.
26
Marco legal
La eleccin del pas de destino de los datos que sean objeto de una prestacin basada en el cloud computing no solo debe tener muy en cuenta las
normas que regulan las tecnologas de la informacin y las comunicaciones,
sino el conjunto del Ordenamiento jurdico. La Constitucin Espaola y los
Tratados de la Unin Europea se enmarcan en una tradicin constitucional
que salvaguarda los derechos fundamentales de las personas.
Por ello, ubicar los datos en un pas en el cual estos derechos no resulten garantizados contraviene de algn modo el espritu del modelo constitucional
espaol y del modo de concebir los derechos humanos. Precisamente por
ello, el artculo 37.1.f y el artculo 70.3 RDLOPD permiten denegar o suspender temporalmente una transferencia cuando la situacin de proteccin de los derechos fundamentales y libertades pblicas en el pas de destino o su legislacin impidan garantizar el ntegro cumplimiento del contrato y
el ejercicio por los afectados de los derechos que el contrato garantiza.
Por otra parte, en ocasiones los pases de destino pueden conferir facultades
extraordinarias a sus servicios de inteligencia, o a sus fuerzas y cuerpos de
seguridad, para el acceso a la informacin contenida en servidores bajo su
jurisdiccin.
Con independencia de que en la mayor parte de las ocasiones probablemente se trate de medidas perfectamente reguladas y conformes con nuestros
Marco legal
27
28
Marco legal
4.
Como toda tecnologa, el cloud computing no est exento de riesgos. Cuanto ms compleja es la infraestructura informtica utilizada, ms posibles vulnerabilidades aparecen. A continuacin se describen los principales riesgos
de seguridad y privacidad que pueden generar un impacto en los recursos
en la nube19:
4.1
19 Fuente: Banegas, M. (Telefnica Espaa Grandes Clientes) Presentacin Seguridad en Cloud Computing.
ENISE 4 (2010).
20 El password cracking es un proceso informtico que consiste en descifrar la contrasea de determinadas
aplicaciones para conseguir un acceso no autorizado.
21 Captcha es el acrnimo de Completely Automated Public Turing test to tell Computers and Humans Apart
(Prueba de Turing pblica y automtica para diferenciar mquinas y humanos). Se trata de una prueba
desafo-respuesta utilizada en computacin para determinar cundo el usuario es o no humano.
22 En ingls, Distributed Denial of Service (DDOS). La denegacin de servicio distribuida consiste en atacar
a un sistema informtico para consumir todos sus recursos (por ejemplo el ancho de banda) impidiendo
el acceso a usuarios legtimos.
29
autoridades puedan acceder a esta informacin (por la complejidad que supone) para actuar contra los atacantes.
4.2.
APIS INSEGURAS
Las APIs23 son el nico punto de interaccin con los programas que se estn
ejecutando en la nube. Al ser las puertas de entrada hacia los servicios en la
nube, se convierten en un punto crtico de la seguridad y privacidad del sistema.
Cada proveedor de servicios en la nube ofrece sus propias APIs de conexin
que permiten desde arrancar o parar los servicios en la nube hasta aumentar
o disminuir los recursos de los mismos.
Sin una correcta poltica de seguridad, las APIs pueden sufrir ataques de
malware para que realicen acciones adicionales o diferentes para las que
originalmente fueron programadas. Con ello, los atacantes persiguen el robo
y/o acceso a la informacin de la vctima.
30
4.4
SUPLANTACIN DE IDENTIDAD
31
4.5.
32
5.
Seguridad en la nube
Utilizar los servicios en la nube conlleva un cambio en la forma de entender la seguridad informtica. Deja de existir la imagen tradicional
en la que todos los servidores de la empresa estn en el stano del
edificio donde solo pueden acceder los administradores informticos.
Al hacer uso del cloud computing una parte importante de la seguridad
del sistema recae sobre la empresa que provee los servicios en la nube.
Proveedor
Cliente
Usuario
Usuario
Usuario
Seguridad en la nube
33
Los mecanismos de seguridad que se pueden aplicar para proteger los datos alojados en la nube deben considerarse como un trabajo colaborativo
entre las dos partes (proveedor de servicios en la nube y cliente), ya que
ambas deben asumir unas responsabilidades. La realizacin de auditorias de
seguridad conjuntas es una buena prctica para revisar que todo el sistema
est protegido frente a posibles amenazas.
5.1.
DE CLOUD COMPUTING
El proveedor de servicios en la nube se encarga
de garantizar la seguridad fsica en sus centros de
procesos de datos. Deber impedir que personas
no autorizadas entren en dichos edificios para, por
ejemplo, robar sus equipos. Del mismo modo, deber mantener sus equipos actualizados tanto a
nivel hardware como software para hacer frente a
las amenazas existentes en Internet.
25 Hipervisor: plataforma de virtualizacin que permite utilizar, al mismo tiempo, diferentes sistemas operativos.
34
Seguridad en la nube
que impide que los procesos ejecutados en distintas mquinas virtuales puedan interactuar entre ellos.
El mayor riesgo al que debe enfrentarse el proveedor de servicios
en cuanto a este mecanismo es el control y eliminacin del software
malintencionado que pretenda burlar las protecciones del hipervisor
para tener acceso a otras mquinas virtuales o incluso al sistema
anfitrin.
La deslocalizacin de los datos es una caracterstica que tambin puede ser explotada como un mecanismo de seguridad en s misma. La
segmentacin de datos permite que los datos de un cliente residan
en diferentes servidores, incluso en diferentes centros de datos. De
esta forma se protegen dichos datos frente a un hipottico robo en las
instalaciones del proveedor de servicios.
Adems, al poder mantener los datos en varias localizaciones de forma
simultnea, se dispone de un sistema de copias de seguridad prcticamente en tiempo real. As, ante fallos de seguridad, se puede recuperar
rpidamente la actividad, permitiendo la continuidad del negocio.
5.2.
Seguridad en la nube
35
36
Seguridad en la nube
27 Secure Sockets Layer: Protocolo de Capa de Conexin Segura. Proporciona autenticacin y privacidad de
la informacin entre extremos sobre Internet mediante el uso de criptografa.
28 Transport Layer Security: Seguridad de la Capa de Transporte. Consiste en un protocolo criptogrfico que
proporciona comunicaciones seguras a travs de Internet. TLS es un protocolo independiente que permite
a los protocolos de niveles superiores actuar por encima de l de manera transparente. Basado en SSL de
Netscape 3.0, TLS supone la evolucin de su predecesor, si bien no son operables entre s.
29 Secure Shell: Intrprete de rdenes segura. Es el nombre de un protocolo y del programa que lo implementa,
y sirve para acceder a mquinas remotas a travs de una red.
30 Virtual Private Network: Una Red Privada Virtual. Es una tecnologa de red que permite una extensin de la
red local sobre una red pblica o no controlada, como por ejemplo Internet.
Seguridad en la nube
37
Cliente
SSL
Usuario
TLS
Usuario
Usuario
38
Seguridad en la nube
31 Log: fichero de texto en el que queda recogida toda la actividad que tiene lugar en un determinado
ordenador, permitiendo para ciertos programas que su propietario o administrador detecte actividades
ilcitas e identifique, por medio de su direccin IP, al usuario correspondiente..
Seguridad en la nube
39
6.
Privacidad en la nube
Los datos son preparados para poder adaptarse a la nube adaptando su formato o creando un fichero que contenga toda la informacin necesaria.
Los datos viajan a la nube a travs de una conexin a Internet, mediante un correo electrnico, una aplicacin especfica para
importarlos o la transferencia a la nube de la copia de seguridad
obtenida de un servidor en la organizacin.
40
Privacidad en la nube
Los mecanismos para minimizar estos riesgos de privacidad son muy sencillos. Antes de migrar los procesos a la nube conviene preguntarse: Es
realmente necesario que todos los datos de la organizacin pasen a estar en
la nube?. El siguiente ejemplo aclara este interrogante.
Una empresa encargada de tramitar las nminas de empleados decide
utilizar servicios en la nube. Esta empresa tiene bases de datos de miles
de trabajadores con DNI, nombre, direccin postal, sueldo bruto, puesto
de trabajo, porcentaje de retenciones, nmero de horas trabajadas, etc.
La operacin matemtica que esta empresa desea realizar en la nube es
el clculo del sueldo neto que debe ser entregado a cada empleado a
final de mes. Es necesario que todos los datos de los empleados sean
migrados a la nube? Realmente se necesita el DNI de un empleado para
descontarle el porcentaje de IRPF?
Una solucin segura es enviar a la nube solo los datos necesarios para
realizar el clculo del salario que son el sueldo bruto y el porcentaje de
retenciones. En lugar de enviar a la nube el nombre o el DNI para identificar al trabajador, se crea un nuevo identificador (por ejemplo un nmero)
que permite asignar correctamente el nuevo valor a cada trabajador. De
este modo, se impide a un posible atacante que intercepte las comunicaciones traducir esos datos. Adems, el proveedor de servicios en la nube
nunca tendr datos sensibles en sus sistemas, solo contendr valores
matemticos sin saber a quin pertenecen o qu contienen.
Privacidad en la nube
41
6.2.
INTEGRIDAD
Mantener una correcta integridad de los datos significa que estos permanecen idnticos durante las operaciones de transferencia, almacenamiento o
recuperacin. En el mbito del cloud computing, la integridad de los datos es
especialmente crtica: los datos estn siendo transferidos constantemente
entre los servicios en la nube y los distintos usuarios que acceden a ellos.
42
Privacidad en la nube
CONTROL DE ACCESO
Privacidad en la nube
43
44
Privacidad en la nube
6.4.
Uno de los mayores riesgos a los que se enfrenta todo sistema informtico
es la prdida de datos, ya sea porque un usuario ha borrado informacin
accidentalmente, porque haya un fallo en algn dispositivo hardware o por
culpa de un ataque informtico. Perder los datos no solo significa tener que
rehacer parte del trabajo realizado, sino que en muchos casos puede significar cuantiosas prdidas econmicas. La solucin a este problema se enfoca
desde dos puntos de vista principales.
Por un lado, una correcta poltica de seguridad limita la libertad de
los usuarios para borrar elementos del sistema, protege los equipos
ante el ataque de software malintencionado y adems impide que
personas ajenas a la organizacin accedan o corrompan los datos.
El proveedor de servicios se encarga de solucionar todos los problemas relacionados con los componentes electrnicos. Si detecta un
fallo en uno de los equipos dentro de sus instalaciones, automticamente lo asla y todos los procesos que se ejecutan en l se migran a
otra mquina que no tenga problemas. Este proceso puede durar tan
solo unos minutos e incluso realizarse sin cortar el servicio, permitiendo una disponibilidad ininterrumpida de los servicios en la nube.
Por otra parte, una correcta poltica de copias de seguridad permite recuperar los datos an cuando todas las medidas de seguridad
han fallado o cuando se produce una avera en un componente hardware. Todos los proveedores de servicios en la nube ofrecen sistemas de copias de seguridad de forma completamente transparente
para el usuario. Tan solo es necesario seleccionar los activos que se
quieren proteger y la periodicidad con la que se desean estas copias.
La recuperacin frente a un ataque puede ser tan sencilla como la
restauracin de un snapshot (copia instantnea de volumen) anterior
de la mquina virtual.
Privacidad en la nube
45
Las caractersticas anteriormente expuestas permiten disponer de un sistema robusto preparado para realizar una correcta recuperacin frente a desastres, es decir, asegurando la continuidad del negocio.
Por ltimo, existe otra ventaja relativa a los dispositivos porttiles, cada vez ms utilizados en
las empresas y desde los que se accede a la informacin de la organizacin: ordenadores porttiles, USBs, mviles, etc. Estos dispositivos
pueden ser robados u olvidados exponiendo
grandes cantidades de datos a personas completamente ajenas a la organizacin. Si se utilizan sistemas en la nube, aunque se pierda un
telfono mvil o alguien robe un porttil, la informacin permanecer inaccesible para terceros.
46
Privacidad en la nube
7.
Una vez que se ha entendido cmo funciona el cloud computing y las distintas posibilidades que ofrece, es el momento de pensar en si realmente la
empresa o entidad se pueden beneficiar de ellos. Un posible esquema para
la toma de decisiones es el siguiente32:
Variables
operativas
Parmetros de
seguridad
Niveles de servicio y
modelos de despliegue
Anlisis comparativo
del Riesgo (DAFO)
Seleccin de Arquitectura
de cloud computing
Preparar una propuesta
de contratacin
Seleccin de proveedor
de cloud computing
Migracin
Los siguientes apartados incluyen los distintos pasos que se deben seguir
para dar el salto a la nube:
47
7.1.
Necesita un hosting?
No
No
No
Servidor
compartido
Necesita una
aplicacin en lnea?
Ya existe esta
aplicacin en la nube?
Ms de 500 usuarios/
hora en el 1er ao
S
Servidor
dedicado
No
No
No
Ms de 5.000 usuarios/
hora en el 1er ao
Desde muchos
pases distintos?
S
La celeridad
importa mucho?
48
CLOUD
COMPUTING
No
FIN
49
Si se decide que las caractersticas del negocio o entidad requieren una solucin basada en el cloud computing, el siguiente paso obligatorio es estudiar
cuidadosamente las distintas opciones existentes en el mercado.
Hay muchas empresas especializadas en servicios de cloud hosting que llevan
aos trabajando con esta tecnologa, mientras que hay empresas de hosting
tradicional que empiezan a ofertar distintos paquetes de funcionalidades en la
nube. Por otra parte, las grandes multinacionales del software como Microsoft,
Amazon o Google disponen de una gran oferta de servicios en la nube que
pueden ser aplicados rpidamente a las necesidades concretas del cliente.
7.3.
Como en todo acuerdo empresarial, la relacin entre el proveedor de servicios en la nube y el cliente (en este caso, el contratante) debe estar regulada
por un contrato. Este contrato debe definir claramente la posicin de cada
una de las partes as como sus responsabilidades y obligaciones.
Los trminos de uso se encargan de definir las especificaciones tcnicas
ms importantes relacionadas con la entrega y la calidad del servicio. Estas
ltimas establecen los niveles de rendimiento y disponibilidad garantizados
por el proveedor.
Es importante puntualizar que en otro tipo de acuerdos comerciales, los contratos siempre se negocian. En el caso de los proveedores de servicios en
50
51
52
7.4.
53
54
Web
http://observatorio.inteco.es
Perfil Facebook ObservaINTECO
http://www.facebook.com/ObservaINTECO
Perfil Twitter ObservaINTECO:
http://www.twitter.com/ObservaINTECO
Perfil Scribd ObservaINTECO:
http://www.scribd.com/ObservaINTECO
Canal Youtube ObservaINTECO:
http://www.youtube.com/ObservaINTECO
Blog del Observatorio de la Seguridad de la Informacin:
http://www.inteco.es/blogs/inteco/Seguridad/BlogSeguridad