Materia: Auditoria Y Evaluacin De Sistemas Computacionales GR2 Fecha: 25 de Octubre de 2014 Tema: Resumen: Auditoria y Seguridad de Sistemas de Informacin de la Nube Auditoria y Seguridad de Sistemas de Informacin de la Nube Informacin en la nube Lo que normalmente en una PC (programas o archivos, por ejemplo) pasa a estar en un conjunto de servidores a los que puedes acceder a travs de Internet. Facebook, Twitter o Flickr son ejemplos de computacin en la nube. La computacin en la nube no es nada nuevo Definiciones de Cloud computing Multi-tenat.- compartir informacin con mltiples usuarios a travs de computadores, aplicaciones y redes. Escalabilidad masiva.- va creciendo de acuerdo a la necesidad, a travs de plataformas (infraestructura). Migrar recursos segn la necesidad. Pago por lo que se consume Sistemas de informacin en la nube (Consideraciones) Se puede:
Tener Negocios y computacin en la nube
Reducir gastos en equipos Obtener flexibilidad y velocidad en implementacin Cubrir la evolucin tecnolgica
Nube Pblica donde todos estamos trabajando (facebook)
Saas software como servicio (email, crm, erp) Iaas infraestructura como servicio (chat, seguridad) Paas plataforma como servicio (aplicaciones de desarrollo, soporte de decisiones, Web) Lo importante es el riesgo.- el riesgo de la privacidad de datos, no se sabe bajo quien reside, ni en donde se encuentra la informacin. Nube Privada se tiene un acceso ms restringido
Solo para ciertos socios
Nubes privadas para las empresas, en este caso se sabe bajo quien y en donde se encuentran alojados los datos. Nube Hibrida Es un tipo de modelo de implementacin para el cmputo en la nube donde algunos recursos de TI se proporcionan como servicio a travs de una nube privada interna y otros recursos son provistos por proveedores de servicios de terceros en la nube pblica. Estos recursos de TI (aplicaciones, cmputo, almacenamiento y redes) se proporcionan segn demanda a travs de un catlogo de autoservicio con pago por el uso. Por qu la incertidumbre? Por:
Nuevos conceptos Cambios tecnolgicos Confusin en las ofertas de los vendedores Percepcin de la prdida de control
Vista cliente proveedor (IAAS)
Qu buenas prcticas de seguridad tiene? Qu ocurre cuando se detecta algn error en aplicativos? Cmo se tiene el control de la informacin? Vista cliente proveedor (PAAS) Solo el Cliente puede ver la aplicacin Infraestructura, bases de datos est a cargo del proveedor Se toma en cuenta Sistemas proactivos bases de datos y Que buenas practicas refirindose a las aplicaciones Vista cliente proveedor (SAAS) Qu ocurre cuando se detecta una falla de seguridad en la aplicacin? Inseguridad en la nube Por ejemplo Google cuentas hackeadas Enfoque de riesgos.- es un mtodo que se emplea para medir la necesidad de atencin por parte de grupos especficos. Ayuda a determinar prioridades de seguridad y es tambin una herramienta para definir las necesidades de reorganizacin de los servicios de seguridad. No hay que descuidar los temas Seguridad, autenticidad, integridad y disponibilidad Cuidar el impacto en el negocio que puede traer el hecho de tener informacin en la nube.