OUCH!

| Junio 2012
!

E N E S T A !E D I C I N Resumen Seleccionando un proveedor en la nube Acceso seguro

Usando la nube de manera segura

EDITOR INVITADO
James Tarala es el editor invitado para esta edicin. Es Instructor Senior del SANS Institute y Director de Consultora de Enclave Security. Adems, es autor de numerosos cursos del SANS, incluyendo SANS Audit 566: Implementing and Auditing the Twenty Critical Security Controls y del SANS Audit 407: Foundations of Auditing Information Systems, as como de otros ms.

Seleccionando un proveedor en la nube

La nube no es buena ni mala, es una herramienta para utilizarla tanto en el trabajo como en casa, sin embargo, al hacerlo entregas la disponibilidad y la seguridad de tus datos privados a extraos. Por tal razn debes asegurarte que cumplan tus requerimientos. Considera las siguientes preguntas cuando busques proveedores de la nube. 1. Soporte. Si tienes un problema, cmo responde el soporte ofrecido por la compaa? Si tus datos son crticos, podras requerir soporte telefnico o por correo electrnico. Si la compaa no proporciona ese soporte, en su pgina web existen foros pblicos o una seccin de Preguntas Frecuentes (FAQ)? 2. Respaldos. La compaa respalda tus datos? Si es as, qu es exactamente lo que respalda, con qu frecuencia y por cunto tiempo se conservan los respaldos? Si por accidente borras archivos, puedes recuperarlos?, si es as, cmo? 3. Privacidad. El proveedor de la nube A quin permite acceder a tus datos? Solo t tienes acceso o tambin sus empleados y socios externos? 4. Seguridad. Cmo se transfieren los datos de tu computadora o dispositivo a la nube? La conexin es protegida a travs de cifrado? Cmo son

RESUMEN
Los servicios en la nube son una poderosa tecnologa que muchas personas y organizaciones estn adoptando. El cmputo en la nube no es ms que hacer uso de los servicios de un proveedor para almacenar y administrar datos por ti. La razn por la que llamamos a este servicio la nube es porque nunca sabes con precisin donde est alojada tu informacin fsicamente, pues est siendo atendida por la nube. Algunos ejemplos de cmputo en la nube son la creacin de documentos en Google Docs, compartir archivos va Dropbox, crear tu propio servidor en Amazon Elastic Compute Cloud o almacenar tu msica y fotos en iCloud de Apple, estos servicios en lnea tienen el potencial de hacerte mucho ms productivo. Sin embargo, los beneficios vienen acompaados de riesgos. En este boletn examinamos estos problemas y la forma en que puedes proteger tu informacin.

The SANS Institute 2012

http://www.securingthehuman.org

OUCH! | Junio 2012

Usando la nube de manera segura

!
almacenados tus datos en la nube?, una vez ms, estn cifrados? Quin puede descifrar tus datos?

Acceso seguro
Una vez que hayas seleccionado una compaa (o compaas) para almacenar tus datos en la nube, el siguiente paso es asegurarte de usar sus servicios adecuadamente. La forma en que accedes y compartes tus datos, a menudo puede generar un impacto mucho mayor en la seguridad de los mismos, ms que cualquier otro factor. Algunos pasos clave que puedes tomar para proteger tu informacin son: 1. Autenticacin: Utiliza frases robustas y largas para autenticarte con tu proveedor en la Nube. Esto te protege contra ciberatacantes que intentan simplemente adivinar tu contrasea. Si tu proveedor ofrece dos factores de autenticacin (a veces llamado verificacin de dos pasos), te recomendamos que lo uses. 2. Compartir: La nube hace que sea muy sencillo compartir datos, ten cuidado de no compartir accidentalmente datos de ms con otros usuarios, ya que involuntariamente puedes hacer que tu informacin est disponible para todos. La mejor manera de protegerte es realizando las configuraciones necesarias para que de manera predeterminada no los compartas con nadie. Solo permite que gente especfica (o grupos de personas) accedan a ciertos archivos o carpetas, considerando nicamente lo que necesitan saber. 3. Configuraciones: Conocer y comprender las configuraciones de seguridad que ofrece tu proveedor de la nube. Si proporcionas control total a alguien ms, puede compartir a su vez tus datos con terceros sin tu conocimiento o consentimiento? Puedes eliminar completamente tus datos de los sistemas del proveedor de la nube, una vez que ya no necesites el servicio? 4. Antivirus: Asegrate que la ltima versin del programa antivirus est instalada en tu equipo o en

El cmputo en la nube tiene el potencial de ahorrarte dinero y hacerte ms productivo, pero s cuidadoso al almacenar y compartir tu informacin!
cualquier otra mquina que utilices para compartir tus datos. Si un archivo que compartes es infectado, otras computadoras que acceden al mismo archivo podran infectarse tambin. 5. Cifrado: Cmo cifra tus datos el proveedor? El servicio controla las llaves o lo haces t? Una opcin de seguridad ms robusta consiste en cifrar tu informacin privada localmente antes de almacenarla en la nube. Estos pasos extra protegen tu informacin an si tu proveedor de la nube es comprometido. 6. Respaldos: Incluso si tu proveedor respalda tus datos, considera hacer por tu cuenta respaldos

The SANS Institute 2012

http://www.securingthehuman.org

OUCH! | Junio 2012

Usando la nube de manera segura

!
locales regularmente y de forma programada. Esto no solo protege tus datos si el proveedor sale del negocio o es dado de baja, sino que tambin ser ms sencillo recuperar grandes cantidades de informacin desde tu respaldo local en vez de descargarlos de la nube. 7. Trminos de servicio: Lee el Acuerdo de Niveles de Servicio (SLA) o el Acuerdo de Licencia de Usuario Final (EULA) antes de inscribirte en un servicio. Considera otras opciones de proveedores si existen trminos en el contrato que no entiendas o que te preocupen. 8. Organizacin de los datos: No almacenes informacin de tu empresa en la nube sin antes tener el permiso correspondiente de un supervisor. Almacenar los datos de tu organizacin en la nube, podra no solo violar polticas de tu organizacin sino que tambin podra violar leyes estatales y federales, exponindote a ti y a tu organizacin a repercusiones legales. OUCH! Siempre utiliza la caracterstica de vista previa de TinyURL (preview), la cual muestra el enlace destino solicitando permiso antes de abrirlo. Cloud Security Alliance (CSA): https://cloudsecurityalliance.org Trminos comunes de seguridad: http://preview.tinyurl.com/6qpm9q4 Revista .Seguridad Cultura de prevencin para TI: http://preview.tinyurl.com/revista-unamcert! Tip del da SANS Security: http://preview.tinyurl.com/6s2wrkp Consejos UNAM-CERT: http://preview.tinyurl.com/consejos-unamcert

MS INFORMACIN
Suscrbete al boletn mensual OUCH!, el boletn de consejos sobre seguridad. Accede a los archivos de OUCH! y aprende ms acerca de las soluciones preventivas de seguridad que SANS tiene para ti. Vistanos en http://www.securingthehuman.org

Sntesis
La nube no es buena ni mala, es simplemente una herramienta que puedes utilizar. Los pasos clave para protegerte consisten en escoger un proveedor de la nube que cumpla con tus requerimientos de uso y seguridad, adems de tomar medidas para proteger la forma en que t y otros acceden y comparten tus datos.

VERSIN EN ESPAOL
UNAM-CERT, equipo de respuesta a incidentes en Mxico reconocido ante FIRST, es una referencia en seguridad de la informacin en este pas. Sitio web http://www.seguridad.unam.mx Sguelo en Twitter @unamcert

RECURSOS
Algunos de los enlaces mostrados a continuacin se redujeron para mejorar la legibilidad a travs del servicio TinyURL. Con el fin de mitigar problemas de seguridad,

!"#$%&'(&)*+,-./01&+/21&',&)3143/5/&6'.*3-74&89'&$*5/7&0'&6:;6&<&'(&0-(=3-+*-01&+/21&,/&,-.'7.-/&#3'/=->'&#15517(&?@A;#A;B&CDED&6'& ! .17.'0'&',&)'35-(1&)/3/&0-(=3-+*-3&'(='&+1,'=F7&(-'5)3'&<&.*/701&('&3'G'3'7.-'&,/&G*'7='H&,/&0-(=3-+*.-I7&71&('/&510-G-./0/&7-&& *(/0/&.17&G-7'(&.15'3.-/,'(D&J/3/&=3/0*..-I7&1&5K(&-7G135/.-I7H&)13&G/>13&.17=/.='&/L&1*.9M('.*3-74=9'9*5/7D134&

!"#$%&"'()*+",*-./'0*..'123-#4'1-.+'56,*7%#$4'89*.':";;3-#4'<-#6%'5=*+>#%,' ?%,$*@#'%#'%$=-A".'-'6-,B"')%'CDEFG!(HI/'J7K#'E.7-,-)"4'8-L."'<",%#>-#-4'!M.*6-'F-,+N#%>4'O->3N#'<@=%>4'P-#+%'H-3N,%>'

The SANS Institute 2012

' ' ' '

http://www.securingthehuman.org