Actividad

1. La problemática (consolidación de la tabla de síntomas, causas,

pronóstico y control al pronóstico).

Síntomas Causas Pronostico Control al

Pronostico
Desafíos a nivel Múltiples soluciones La Plataformas de
de seguridad de empresariales en el administración administración
la información mercado de nube publica, de los servicios centralizadas para
para las por ejemplo; CRM, de nube todas las
organizaciones Plataformas de empresariales aplicaciones y
que quieren colaboración, ERP, demandara más servicios de nube
migrar los herramientas tiempo y de la empresa.
servicios especializadas de personal
empresariales a marketing y ventas, y capacitado. Protocolos seguros
la nube. paquetes de aplicaciones de transferencia de
de productividad La insegura de información que
empresarial como Office la transferencia incluyan cifrado.
365 y Google. de información
puede ocasionar Asesoramiento
La forma como se un riesgo para el legal para
transfiere la información a negocio. cumplimiento
los servicios en la nube. normativo antes de
Incumplimiento seleccionar el
La forma como se legal y proveedor de
almacena la información y normativo en lo nube.
la ubicación exacta del que tiene que
centro de datos. ver con la ley de
habeas data.

Tiempos La complejidad para la Lentitud y La utilización de

elevados de implementación de los traumatismos estándares para
creación de servicios y la forma en el la creación de
usuarios, como debe gestionar el desarrollo de usuarios, gestión
gestión de área de TI para cada los procesos de permisos y
permisos y plataforma la creación de propios de privilegios de
privilegios de usuarios y la gestión de negocio debido accesos que
accesos para permisos y privilegios de a la sean compatibles
los servicios de acceso. indisponibilida con todos los
nube. d de la servicios de nube
información. de la empresa y
 permitan su
interoperabilidad
y centralización
de la
administración de
usuarios.
Ejemplo; IAM
(Identity and
Access
Management)
El olvido de Plataformas y servicios Carga Utilizar
contraseñas con inicios de sesión administrativa plataformas y
por parte de los independientes y con mayor para el servicios de nube
usuarios al controles y políticas de área de que permitan la
tener varias contraseñas difíciles de soporte de TI implantación de
plataformas comprender para los al tener que Single Sing On
disponibles y usuarios. restablecer para que los
cada con contraseñas a usuarios con un
políticas de los usuarios en solo inicio de
contraseñas y todas las sesión tengan
controles de plataformas y accesos a las
acceso servicios de plataformas y
diferentes. forma servicios
independiente. empresariales.
Perdida de la Accesos no autorizados Fuga de Capacitación
confidencialida a la información de la información continua sobre el
d de la empresa producidos por confidencial de uso adecuado de
información falta de concientización a negocio. las tecnologías y
empresarial los usuarios y por el uso Pérdida de los riesgos que
debido al uso de buenos controles de oportunidades enfrenta la
de contraseñas acceso. en el mercado. información
débiles por empresarial en
parte de los los entornos de
usuarios. nube pública.
Perdida de la Accesos otorgados a Modificación Asignación de
integridad de la usuarios sin asignar no autorizada roles, perfiles y
información al privilegios como de la grupos
ser compartida corresponde o según su información. autorizados para
entre a varios rol o función. el acceso a la
usuarios con Información no información
permisos de confiable para acompañados de
escritura. los procesos los privilegios de
de la empresa. lectura, escritura
o descarga de la
información.
Monitoreo
 continuo de las
actividades de
los usuarios en
las plataformas.
Perdida de la Usuarios sin la Procesos Capacitación a
disponibilidad capacitación adecuada retrasados por los empleados
de la en el uso de la la ausencia de sobre el uso de
información herramientas y la información las plataformas y
debido a el plataformas. necesaria para herramientas
borrado que los tecnológicas de
accidental por funcionarios la empresa.
parte de trabajen.
usuarios Multas. Copias de
inexpertos o sin Pérdida de seguridad de la
capacitación en credibilidad y información
el uso de las reputación de guardada en las
plataformas y la empresa. plataformas de
servicios nube pública.
empresariales
en la nube.

2. Las Líneas de Investigación ECBTI, programa Ingeniería de Sistemas.

Línea de Investigación:
 Cadena ingeniería electrónica, telecomunicaciones y redes.
 Infraestructura tecnológica y seguridad en redes.
 Seguridad en la nube: Control de usuarios y gestión de accesos en
servicios empresariales de nube publica, Software as a Service
(SAAS).

3. Relación de la problemática con la línea o líneas de Investigación

encontradas

La seguridad de la información en la nube representa grandes desafíos para

los directores de tecnología, administradores de infraestructura de TI y para
los usuarios de las empresas en general; debido a que todo el entorno donde
se crea, almacena, transfiere y elimina la información es muy diferente, por lo
tanto, se deben tener en consideración nuevos riesgos para el control de los
usuarios y los privilegios de acceso que se le asignan a cada uno, para
gestionar de forma adecuada la información corporativa.
Es por ello, que al comparar la infraestructura tradicional y la infraestructura de
nube en cuanto a la forma como los usuarios acceden a los servicios y a las
plataformas empresariales de nube publica se puede considerar que es
importante para los líderes de tecnología y los administradores de TI tener en
 cuenta los controles de seguridad que se deben aplicar para mitigar los
riesgos que este nuevo ambiente de nube genera a la información corporativa.

4. Descripción de la tecnología escogida para dar solución al problema.

Las tecnologías que buscan dar solución a los retos ya mencionados y que se
ponen en este contexto son:

 Agentes de Seguridad para el Acceso a la Nube CASB (Cloud Access

Security Brokers), los CASB buscan proteger de ataques orientados a la
información y los usuarios, con la ventaja de que son gestionados por la
propia organización.

 Cloud Identity & Access Management (Cloud IAM) el cual permite que los
administradores autoricen quiénes pueden realizar acciones en recursos
específicos, permite administrador de forma centralizada los recursos de
SAAS contratados en la nube pública. Cloud IAM proporciona una vista
unificada de la política de seguridad en toda la organización, con auditorías
integradas para simplificar los procesos de cumplimiento.

 Single Sing-On (SSO) facilita la administración centralizada del acceso a

varias aplicaciones empresariales y cuentas. Con unos pocos clics, permite
administrar con facilidad y de manera centralizada el acceso y los permisos
de usuario para todas sus cuentas de aplicaciones empresariales como,
Salesforce, Box y Office 365. Los usuarios simplemente inician sesión en
un portal de usuario con las credenciales corporativas con las que cuenten,
y acceden a todas sus cuentas y aplicaciones asignadas desde un solo
lugar.

5. La descripción de la forma como se ha de resolver el problema utilizando

la tecnología de punta escogida.

Se deben analizar los riesgos y las ventajas que conlleva el uso de servicios y
plataformas en la nube pública y establecer la estrategia de seguridad y la
forma de implementación de los controles tecnológicos, dichos controles se
deben medir periódicamente para evaluar su eficiencia.
Los privilegios de los usuarios, el control de acceso a los servicios y
plataformas de nube publica se deben administrar como minino con una
solución de CASB, una plataforma centralizada de CLOUD IAM, y single sing-
on acompañado de autenticación multifactor cuando se considere necesario.
6. Describir cómo se evidenciaría la innovación tecnológica o apropiación
de conocimiento luego de dar solución a la problemática aplicando la
tecnología moderna escogida
Se deben generar métricas que demuestren la disminución de los casos de
soporte encaminados a cambios de contraseña, desbloqueo de usuarios,
pérdida o robo de credenciales de acceso y modificación y acceso no
autorizado a la información confidencial de la empresa.