Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUTÓNOMOS Y
MICROEMPRESAS
Unidad 6
Ciberseguridad en la nube
Parte teórica
1
índice
ÍNDICE
1 INTRODUCCIÓN ►
5 CONSIDERACIONES LEGALES ►
2
Objetivos
3
1. INTRODUCCIÓN
4
1. INTRODUCCIÓN
5
1. INTRODUCCIÓN
Este nuevo modelo evita al cliente (la empresa que contrata el servicio cloud) la preocupación de
comprar y mantener la infraestructura y los elementos técnicos de la misma, que son ofrecidos por
el proveedor como un servicio.
Los servicios que se pueden contratar en la nube pueden ser: bases de datos, servidores de correo
electrónico, almacenamiento, servidores web, herramientas de gestión, servidores de
aplicaciones, entornos de desarrollo, redes, etc.
6
1. INTRODUCCIÓN
Frente al modelo tradicional surge el modelo cloud, que traslada los servicios ofrecidos y la infraestructura
IT al proveedor en la nube.
Tradicional Cloud
INFORMACIÓN INFRAESTRUCTURA IT
INTERNET
INFORMACIÓN SERVICIOS
INFRAESTRUCTURA IT
INTERNET
INTERNET
SERVICIOS
USUARIOS FINALES
INFORMACIÓN
ENTORNO DE USUARIO
7
1. INTRODUCCIÓN
Así, desde tu empresa o desde dispositivos conectados a internet (mediante interfaces web o con apps)
tus empleados y colaboradores tendrán acceso a los servicios que necesiten, como por ejemplo:
8
1. INTRODUCCIÓN
Capacidad de almacenamiento.
La evolución tecnológica hace posible infraestructuras de almacenamiento más
eficientes en cuanto a capacidad y velocidad de transferencia. El cloud permite a las
pymes tener al alcance sistemas de almacenamiento rápidos y de gran
capacidad sin necesidad de disponer de infraestructura.
Acceso a internet.
La conexión a Internet se ha extendido y abaratado, permitiendo que el número de
conexiones aumente y aparezcan nuevos tipos de negocio que aprovechan esta
conectividad, como por ejemplo, las redes sociales o el ecommerce. Para los
proveedores de servicios en cloud, internet es esencial como medio de acceso
de sus clientes.
9
1. INTRODUCCIÓN
Dispositivos móviles.
La aparición de tablets, smartphones, etc… hace posible que podamos estar
siempre conectados y acceder a los recursos de la empresa incluso cuando
estamos de viaje o desplazándonos. Las aplicaciones cloud aprovechan esta
funcionalidad para ofrecer servicios y aplicaciones móviles (gestión de flotas,
partes de obra…).
Virtualización.
Es un mecanismo software que permite utilizar un equipo para «hospedar»
a otros diferentes. El software de virtualización hace que una máquina pueda
albergar «virtualmente» a otras distintas y comportarse como ellas. Esta
tecnología se aprovecha en algunos servicios cloud y proporciona al proveedor
flexibilidad para mover y reservar los recursos.
10
1. INTRODUCCIÓN
Aunque te pueda parecer que esta información no está destinada a autónomos o pymes,
¡estás equivocado!
Como vas a ver a continuación, esto te interesa… ¡y mucho!
¿SABIAS QUÉ?
El 99% de las pymes y grandes empresas tiene ordenadores y el 98% dispone de conexión a Internet, frente al
95,3% de teléfono móvil.
Empresas que han comprado alguno de los siguientes servicios de computación en la nube (%)
61,4
65,0
E-mail 57,1 Total
60,8
27,7
10 a 49 empleados
27,5
Software office 28,2 50 a 249 empleados
29,6
250 o más empleados
54,7
55,5
Servidor de bases de datos 52,8
51,4
69,0
70,9
Fuente: ONTSI. Elaborado
Almacenamiento de ficheros 64,1 con datos INE 2014
63,2
11
1. INTRODUCCIÓN
CARACTERÍSTICAS DE LA NUBE
Se refiere al cálculo del precio en función de las necesidades del cliente de una manera
flexible.
PAGO POR USO Si necesito más capacidad de proceso por un pico de trabajo solicitaré más recursos y
sólo tendré que pagar más por el tiempo de uso extra.
Debido a que los recursos están alojados en la red, se puede acceder a los mismos
desde cualquier lugar.
ACCESO DESDE LA
RED Es posible acceder a la gestión de nuestras aplicaciones y como usuarios, desde
distintas oficinas o desde el teléfono móvil.
12
1. INTRODUCCIÓN
Los recursos (equipos, técnicos, etc.) se utilizan cuando se necesitan y se paga por este
OPTIMIZACIÓN DE
uso. Si tenemos un pico pagaremos más. Esto supone un ahorro en la infraestructura
RECURSOS
que tendríamos que comprar si queremos cubrir esos picos.
DEDICACIÓN AL Al reducir la carga de trabajo para la administración de los sistemas TIC podemos
NEGOCIO dedicar mayor esfuerzo en la gestión de nuestro negocio.
13
1. INTRODUCCIÓN
La nube, como cualquier otro servicio, no está exenta de problemas y puede ocurrir
DISPONIBILIDAD
que se caiga. Como consecuencia de ello los servicios que ofrece podrían no estar
DEL SERVICIO
disponibles.
ACCESO A El acceso a las aplicaciones está condicionada a que tengamos acceso a Internet. Si no
INTERNET tenemos acceso por algún motivo, no tendremos acceso a las aplicaciones.
14
2. SERVICIOS DISPONIBLES EN LA NUBE
15
2. SERVICIOS DISPONIBLES EN LA NUBE
16
2. SERVICIOS DISPONIBLES EN LA NUBE
Los servicios que una empresa puede contratar en la nube se ofrecen en tres niveles
diferentes, en función del control que el usuario final tenga sobre la infraestructura
tecnológica.
Como es lógico, no todos los clientes tienen las mismas necesidades y, por lo tanto, existen
diferentes opciones de contratación.
OPCIONES DE CONTRATACIÓN
1 2 3
SaaS PaaS IaaS
Software as a Service Platform as a Service Infrastructure as a Service
Para más información sobre las diferentes modalidades de contratación, visita la web de acloudhosting [2].
17
2. SERVICIOS DISPONIBLES EN LA NUBE
El cliente utiliza software, como por ejemplo una aplicación de nómina alojada en la nube, que el proveedor
le proporciona.
Se puede acceder y administrar las aplicaciones desde diferentes dispositivos a través de una interfaz web
o una app.
El cliente no gestiona ni controla la infraestructura existente en la nube. Este proceso es totalmente
transparente para él.
Ejemplo: correo electrónico a través de web, almacenamiento tipo Dropbox, un blog sencillo (tipo Blogger o
Wordpress.com) o herramientas para creación sencilla de páginas web tipo Wix, Weebly, Jimdo, etc.
18
2. SERVICIOS DISPONIBLES EN LA NUBE
El cliente despliega sus propias aplicaciones en la infraestructura proporcionada por el proveedor, que da
una plataforma de procesamiento completa al usuario.
El cliente no gestiona ni controla la infraestructura existente en la nube. Este proceso es totalmente
transparente para él.
El proveedor proporciona al cliente la capacidad de gestionar las aplicaciones desplegadas y la posibilidad
de controlar las configuraciones de entorno (tipo de base de datos, capacidad de almacenamiento, número
de usuarios, permisos…)
Ejemplo: correo electrónico corporativo que instalamos en la plataforma o una web que creamos y
mantenemos nosotros, instalando aplicaciones como el gestor de contenidos o CMS (Drupal, Joomla,
Wordpress.org) en un servicio de alojamiento compartido (que nos proporciona la base de datos y el entorno
de desarrollo web).
19
2. SERVICIOS DISPONIBLES EN LA NUBE
El cliente dispone de la infraestructura completa, es decir, del hardware necesario como servidores,
sistemas de almacenamiento, dispositivos de comunicaciones, etc.
El cliente puede instalar el software necesario y desplegar sus propias aplicaciones desde cero.
Ejemplos: redes internas de empresa (infraestructura corporativa), sistemas de respaldo, hosting virtual y
centros virtuales de datos.
20
3. MODELOS DE DESPLIEGUE
21
3. MODELOS DE DESPLIEGUE
22
3. MODELOS DE DESPLIEGUE
NUBE PÚBLICA
Ejemplo:
INCONVENIENTES
La infraestructura es compartida
Hay poca transparencia para el
cliente de cloud ya que no se
sabe el resto de recursos que se
pueden estar compartiendo
23
3. MODELOS DE DESPLIEGUE
NUBE PRIVADA
Amazon VPS
IBM Softlayer
INCONVENIENTES
Elevado coste
Dependencia de la
infraestructura contratada
24
3. MODELOS DE DESPLIEGUE
NUBE HÍBRIDA
Ejemplo:
INCONVENIENTES
25
4. CONTRATACIÓN DE SERVICIOS EN LA
NUBE
26
4. CONTRATACIÓN DE SERVICIOS EN LA NUBE
Servicios ofrecidos.
27
4. CONTRATACIÓN DE SERVICIOS EN LA NUBE
ACUERDOS DE NIVEL
DE SERVICIO
Aspectos a negociar
En cualquier caso, todo los puntos a tratar dependerán del servicio que se contrate, aunque es
recomendable tener en cuenta lo siguiente:
28
4. CONTRATACIÓN DE SERVICIOS EN LA NUBE
Todo esto está muy bien pero ahora me surgen algunas dudas respecto a la
contratación. ¿Qué Acuerdo de Nivel de Servicio puede adecuarse más a mis
necesidades?
Eso depende de la personalización que quieras tener del servicio y del dinero que quieras
invertir en el mismo.
Debes de saber que, cuanto más personalizado sea el servicio, más coste tendrá el
mismo.
SERVICIO + COSTE +
PERSONALIZADO ELEVADO
29
5. CONSIDERACIONES LEGALES
30
5. CONSIDERACIONES LEGALES
31
5. CONSIDERACIONES LEGALES
32
5. CONSIDERACIONES LEGALES
En caso de que estén fuera del EEE podría tratarse de una transferencia internacional de datos, y en este caso sería
necesario asegurar que dicho país ofrece unos niveles jurídicos de protección de datos equivalentes a las del EEE [3].
Las transferencias de datos internacionales tienen que contar con la autorización expresa del Director de la Agencia
Española de Protección de Datos. En caso de que el prestador de servicios se encuentre en un país considerado con
un nivel adecuado de protección se considerará preaceptada la autorización.
Ejemplos de Transferencia de Datos Internacional: transferencia monetaria entre un banco español y un banco
americano, registro de un usuario en eBay.es, etc.
INFRAESTRUCTURA
DATOS
CONTRATACIÓN
33
5. CONSIDERACIONES LEGALES
¿SABIAS QUÉ?
Según la LOPD: Dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o
de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
34
5. CONSIDERACIONES LEGALES
El cliente puede fijar las El cliente no puede fijar las En este caso, el cliente va a
condiciones de condiciones de poder fijar únicamente
contratación en relación a: contratación. parte de las condiciones
del contrato, otras vendrán
tipo de datos que va a Se tiene que adaptar a las determinadas por el
procesar que fija el proveedor, que propio proveedor.
son iguales para todos sus
medidas de seguridad clientes. Estas condiciones que el
localización de los datos cliente va a poder
Este suele ser el caso más determinar varían en
portabilidad de los mismos común en cloud pública o función de la flexibilidad
híbrida. del proveedor.
35
5. CONSIDERACIONES LEGALES
Después de todo lo que has estado viendo, podemos aclarar algunas cuestiones
importantes sobre la protección de datos.
Como puedes comprobar ahora…si tratas con «datos de carácter personal», ¡esto te
afecta a ti y a tu empresa, independientemente del tamaño de la misma!
36
5. CONSIDERACIONES LEGALES
Aquellas que nos den un nivel de protección igual al que ofrece el Espacio
Económico Europeo. Las garantías proporcionadas por las empresas ubicadas en los
Estados Unidos se tendrán que gestionar a través de los mecanismos provistos por la
Ley debido a la anulación del acuerdo con Estados Unidos (Safe Harbour).
37
5. CONSIDERACIONES LEGALES
Muchas gracias por todas las aclaraciones pero aunque sepa las medidas de
seguridad que debo exigir, ¿qué forma tengo de saber que estas medidas se
están cumpliendo correctamente?
• El cliente tiene derecho a acceder a los registros que permiten saber quién o
quiénes han accedido a los datos.
• El proveedor puede acreditar haber superado una certificación de seguridad
adecuada.
• El cliente de cloud puede requerir que un tercero audite la seguridad según
los estándares establecidos.
• El proveedor del servicio debe notificar al cliente sobre cualquier incidente
de seguridad.
39
5. CONSIDERACIONES LEGALES
El proveedor debe entregar toda la información de forma segura al cliente para que
éste la guarde en sus propios sistemas o la transfiera a otro proveedor.
Pero una vez que ya he migrado mis datos a otro sitio… ¡El proveedor que tenía puede
haberse quedado con mi datos!
¡¿Qué hago para saber si realmente los ha borrado?!
40
5. CONSIDERACIONES LEGALES
El objeto de esta Ley es regular el régimen jurídico de aquellos que presten servicios relacionados con
la sociedad de la información.
Esta ley afecta a empresas con páginas web o que hagan envíos publicitarios por correo electrónico,
siempre y cuando estas actividades se realicen con fines lucrativos, como pueden ser la contratación
online, ofrecer información o publicidad sobre productos, servicios de intermediación o comercio
electrónico.
Para los prestadores que estén ubicados en estados que no pertenecen a la Unión Europea o al
Espacio Económico Europeo, les será también de aplicación esta Ley si no es contraria al convenio
internacional.
Además, los contratos suelen incluir las jurisdicción aplicable en caso de que pudieran existir conflictos.
41
6. RIESGOS Y AMENAZAS
42
6. RIESGOS Y AMENAZAS
43
6. RIESGOS Y AMENAZAS
Las AMENAZAS que se van a citar a continuación tienen como objetivo ayudar a las organizaciones en la toma
de decisiones y en su estrategia de cloud. Las amenazas más críticas que se identifican son las siguientes:
44
6. RIESGOS Y AMENAZAS
8. ATAQUES DE HACKING. Sucede cuando una persona maliciosa intenta robar o acceder
a la información que maneja alguno de los empleados de nuestra organización o el
administrador de la plataforma.
45
6. RIESGOS Y AMENAZAS
Es necesario realizar una evaluación de los RIESGOS antes de implementar una solución cloud. A continuación se
enumerar los riesgos que se han considerado más importantes:
1. ACCESO DE USUARIOS CON PRIVILEGIOS. Este riesgo aparece cuando un empleado con
privilegios de administrador accede cuando no debería o actúa de forma maliciosa
(empleados descontentos por ejemplo) alterando datos o configuraciones. También es
posible que se den privilegios por error a empleados que no deban tenerlos y estos por
desconocimiento provoquen daños.
3. LOCALIZACIÓN DE LOS DATOS. Surge cuando se contratan servicios cloud a una empresa
que aloja nuestros datos en un Centro de Datos del cual desconocemos su ubicación. Por
ello, si tratamos con datos de carácter personal, en caso de alojarse fuera del Espacio
Económico Europeo es necesario que se proporcionen las garantías jurídicas necesarias.
46
6. RIESGOS Y AMENAZAS
7. VIABILIDAD A LARGO PLAZO. Existe el riesgo de que las condiciones del contrato
sufran alguna modificación debido al cambio de estructura del proveedor, a la
entrada en situación de quiebra del mismo o a que decida externalizar parte de sus
servicios. Por ello es recomendable asegurarse el acceso a los datos y su
recuperación.
47
7. PROTECCIÓN FRENTE A RIESGOS
48
7. PROTECCIÓN FRENTE A RIESGOS
49
7. PROTECCIÓN FRENTE A RIESGOS
50
7. PROTECCIÓN FRENTE A RIESGOS
RIESGOS MITIGACIÓN
RESPONSABILIDAD DEL
EMPRESARIO
51
CONCLUSIONES
La inclusión del cloud ha tenido un gran impacto en los modelos de negocio de las
organizaciones ya que, entre otras cosas, nos permite dejar de preocuparnos por la
infraestructura tecnológica y centrar nuestra atención en el negocio.
Las soluciones cloud se pueden contratar en diferentes modalidades (SaaS, PaaS, IaaS) y
a través de distintos modelos de despliegue (pública, híbrida y privada).
A pesar de eso, es muy importante tener en cuenta la legislación vigente del nuestro
país y la aplicable al contrato. Así, debemos saber en qué país residen nuestros datos ya
que, por ejemplo, los países del EEE tienen mayores garantías jurídicas respecto a la
seguridad de los datos personales.
Como cualquier tecnología, presenta una serie de amenazas que pueden comprometer
el negocio aprovechando diferentes vulnerabilidades (fallos técnicos, desconocimiento,
malas configuraciones, falta de procedimientos) en los sistemas de información (equipos,
redes, programas, datos, personas, procesos).
Además de las amenazas que supone optar por la tecnología del cloud, existen una serie
de riesgos que es necesario gestionar.
52
Referencias
[3] Tratamiento de datos entre los Estados Unidos y países fuera del EEE y la
Unión europea:
https://www.incibe.es/protege-tu-empresa/blog/privacidad-clientes-y-
empleados-valor-alza
53
54