Estado del Arte

Author (s): R. Kalaiprasath, R. Elankavi, Dr. R. Udayakumar

Títle of paper: Cloud Security and Compliance - A semantic approach in end to end security
Journal: International Journal of Mechanical Engineering and Technology (IJMET)
Volume (issue): Volume 8, Issue 5
pag – pag (year): Pág. 987–994 (2017)

Estado del arte que hace el autor

En el artículo el autor menciona que en los últimos años se han propuesto muchos estándares de
seguridad para cloud tal como:

● Cloud Security Alliance (CSA)

● International Organization for Standards (ISO)
● National Institute for Standards and Technology (NIST)
● Entre otros

La mayoría de ellos están implementando una mezcla de controles de seguridad y privacidad, sin
embargo, ésto ha generado algunas confusiones entre los consumidores sobre qué medidas de
seguridad deberían esperar de los servicios cloud y el cumplimiento de políticas a adoptar para sus
empresas.

Sobre lo mencionado, el artículo realiza 3 contribuciones importantes:

● Revisar las potenciales amenazas y determinar los modelos de cumplimiento y

controles de seguridad que deberían implementarse para gestionar el riesgo.
● Desarrollar una ontología que describa los controles de seguridad.
● Desarrollar una aplicación web que pueda ser usada por las organizaciones.

En cuanto a los diferentes estudios en los que se ha basado el autor destacan:

● Un estudio sobre los controles y estándares cloud. (Popovic)

● Una encuesta de los diferentes riesgos en Cloud. (Subashini and Kavitha). Éste
estudio es específico a los problemas de seguridad debido a los modelos de entrega
de servicios cloud.
● Desarrollo de un modelo de riesgos para cloud. (Kamingi)
● De acuerdo al NIST la arquitectura de referencia de computación cloud clasifica las
políticas de seguridad y privacidad en el ámbito del proveedor cloud.
 ● Así como el Web Ontology Language (OWL) en el que se ha basado el autor para
desarrollar la antología sobre controles de seguridad cloud.

Motivación del autor (críticas del autor a otros trabajos)

Existen estudios que se enfocan en las normas de controles de seguridad en la nube y los riesgos que
existen a causa de los modelos de prestación de servicios en la nube. En los modelos antes
mencionados no se ve reflejada la relación que debe existir con las normas de cumplimiento
existentes, además han tomado como principal objetivo a los proveedores de servicios en la nube.

Los controles de seguridad que se utilizan para asegurar la seguridad en el entorno de la nube se
aplican en todos los modelos de prestación de servicios, estos controles de seguridad deben trabajar
de la mano con los modelos de cumplimiento de seguridad. Por ello las organizaciones toman en
cuenta los modelos de cumplimiento para adoptar controles de seguridad. Una buena relación entre
el modelo de servicio en la nube, los controles de seguridad y el modelo de cumplimiento, permitirá
lograr una mejor seguridad y privacidad de los datos de los usuarios.

Descripción del aporte del autor

El tema que proponen los autores trata sobre “Seguridad en la Nube y Cumplimiento: Un Enfoque
de Seguridad Semántico de Extremo a Extremo”. Nos explican como los servicios en la nube se han
convertido en una parte esencial e importante de las empresas hoy en día, lo cual conlleva a que los
proveedores que brindan los servicios cloud cumplan con las políticas de seguridad y privacidad que
garantice que los datos e información de los usuarios permanezcan de manera confidencial y segura.

Por otra parte, resaltan que la mayoría de los proveedores de servicios cloud están implementando
una mezcla de controles de seguridad y privacidad sin una definición exacta, lo cual genera confusión
entre los clientes consumidores de estos servicios, sobre que medidas de seguridad deberían esperar,
y si estas medidas cumplirían con sus requerimientos.

Los autores realizaron un estudio exhaustivo para revisar las potenciales amenazas que enfrentan los
clientes consumidores de servicios en la nube, y la vez determinar los modelos de cumplimiento y
controles de seguridad que deben implementarse para gestionar el riesgo.
Se desarrolló una ontología que describe los controles de seguridad en la nube, las amenazas y
cumplimientos, así como también se desarrolló una aplicación que clasifica la seguridad y las
amenazas que enfrentan los consumidores y determina automáticamente el nivel de seguridad y
controles de política de cumplimiento que deben aplicarse para cada amenaza. Esta aplicación
también muestra una lista de proveedores que cumplen con estas políticas de seguridad.

1. Seguridad en la Nube y Ontología de Cumplimiento

Uno de los aportes de los autores es el desarrollo de una ontología para capturar los conceptos de
seguridad en la nube, amenazas y controles de cumplimiento. Las principales clases de ontología son
la seguridad informática en la nube y proveedores de computación en la nube.

2. Sistema de Recomendación de Políticas de Seguridad en la Nube

Otro de los aportes es el desarrollo de una aplicación para que los consumidores de servicios cloud
puedan determinar políticas de seguridad y cumplimiento en la nube que desean aplicar en sus
empresas.

Este sistema ayuda a los consumidores a detectar las amenazas en la nube, así como identificar las
políticas de seguridad y cumplimiento que protegen contra estas amenazas.

La aplicación también muestra los proveedores de servicios cloud que tienen implementado
estándares de seguridad en sus servicios.

Para el desarrollo de esta aplicación se analizaron varios tipos de cumplimientos de seguridad,

políticas, estándares y amenazas que afectan la seguridad en la nube.

La aplicación fue desarrollada bajo plataforma web, utilizando las tecnologías de PHP, HTML,
AJAX y base de datos MYSQL.

Observaciones y/o críticas suyas

Respecto a la aplicación desarrollada por los autores, puedo acotar que sería de utilidad agregar más
parámetros de entrada para una búsqueda más exacta, de acuerdo a las características de la empresa,
además de permitir seleccionar más de una amenaza, y en base a las amenazas seleccionadas obtener
los modelos de cumplimiento de seguridad y los proveedores recomendados. También podría
tomarse en consideración adaptar el sistema a una aplicación móvil, y de esta manera el acceso a la
búsqueda por parte de los usuarios sea más fácil e intuitiva.
Teniendo en cuenta el desarrollo descrito en el artículo, un aporte importante para ayudar a los
usuarios de la nube en su búsqueda del mejor proveedor de servicios, es que se puede realizar un
análisis de cada proveedor de servicios para obtener, de acuerdo a su nivel de seguridad y privacidad,
una puntuación que se vea reflejada en la aplicación al momento que se realiza la búsqueda, de tal
forma que los usuarios puedan escoger a los proveedores que tengan mayor puntuación,
independientemente de los controles de seguridad y amenazas ingresadas.

Queda claro que el objetivo de la investigación apunta a la implementación de la ontología semántica

sobre las principales amenazas de seguridad en la nube y los modelos de cumplimiento y políticas
de seguridad que deben aplicarse antes éstas para reducir el riesgo. Todo ello sirve como principal
recomendación para los consumidores que planean mover sus datos a cloud. Ante ésto, un posible
trabajo futuro sería analizar otros modelos de cumplimiento más predictivos que permitan obtener
mejores resultados en la reducción del riesgo, así también el desarrollo de reglas para razonar sobre
la ontología para que coincida mejor con los proveedores que cumplen con los requisitos, debería
estar basado en un motor inteligente que permita administrar dichas reglas y generar
recomendaciones más acertadas para los consumidores.