Seguridad en la NUBE

Módulo 5
 VULNERABILIDADES Y RIESGOS
PRESENTES EN CLOUD COMPUTING
 Importancia de VDI en la nube

El Virtual Desktop Infrastructure es clave para una eficaz implementación de

la nube y nos permite:

• Un escritorio virtualizado por usuario.

• Recuperación en segundos de su escritorio.
• Gran rapidez de trabajo y disponibilidad 99,999% del tiempo.
• Reducción de la obsolescencia del parque de PCs.
• Sustitución progresiva por Thin Clients (gran ahorro energético)
• Disponible desde cualquier lugar y cualquier dispositivo con una línea 3G.
 Criterios de contratación de un proveedor de servicios Cloud

1. Cumplimiento de la legislación de protección de datos de carácter personal.

2. Régimen de uso de los datos.
3. Integridad y conservación.
4. Seguridad de acceso.
5. Seguridad física y lógica.
6. Cifrado de los datos.
7. Alta disponibilidad de los datos.
8. Protocolo de terminación del contrato.
9. Respuesta ante incidentes de seguridad.
10. Comunicación de la subcontratación.
Seguridad y privacidad en la NUBE
 Seguridad física

Los proveedores de nube aseguran

el hardware de manera física
(servidores, routers, cables, etc.)
contra acceso no autorizado,
interferencia, robo, incendios,
inundaciones, etc. y se aseguran de
que reservas esenciales (como
electricidad) sean suficientemente
robustas para minimizar las posibles
interrupciones. Esto, normalmente
se logra obteniendo aplicaciones de
centros de datos con calidad de
clase mundial.
Disponibilidad

Los proveedores de servicio de

nube ayudan a asegurar que los
clientes puedan confiar en el acceso
a sus datos y aplicaciones, al
menos en parte (fallas en cualquier
punto- no solo dentro del domino
del proveedor del servicio de nube-
puede interrumpir la comunicación
entre usuarios y aplicaciones.)
 Aplicación de seguridad

Los proveedores de servicio de nube se

aseguran que las aplicaciones disponibles
como servicio a través de la nube sean
aseguradas especificando, diseñando,
implementando, probando y manteniendo
aplicaciones de seguridad apropiadas. en el
ambiente de producción.
Como en cualquier software comercial los
controles que se implementan no son
necesariamente responsables de mitigar
todos los riesgos que identifican y que no
necesariamente identifican todos los riesgos
que preocupan a los usuarios.
Consecuentemente, los clientes también
necesitan asegurarse ellos mismos que las
aplicaciones de nube estén adecuadamente
aseguradas para sus propósitos específicos,
incluyendo sus obligaciones de conformidad.
 Privacidad

Los proveedores aseguran que todos

los datos críticos (números de tarjeta
de crédito, por ejemplo) sean
enmascarados o encriptados y que solo
usuarios autorizados tengan acceso a
la información en su totalidad. Más aun,
identidades digitales y credenciales
deben ser protegidas como cualquier
información que el proveedor almacene
o produzca a través de la actividad del
usuario.
 Continuidad de negocio y recuperación de datos

Los proveedores de nube tienen planes de

continuidad de negocio y planes de
recuperación de datos para asegurar que
el servicio pueda ser mantenido en caso
de desastre o emergencia y que cualquier
pérdida de información pueda ser
recuperada.

Estos planes pueden ser compartidos y

revisados idealmente con acuerdos de
continuidad de los clientes. Ejercicios
continuos de conjunto pueden ser
apropiados, simulando una falla eléctrica o
de internet mayor, por ejemplo.
 Registros y pistas de auditoría

En adición a producir registros y

pistas de auditoría, los proveedores
de servicios en la nube trabajan en
conjunto con sus clientes para
asegurar que estos registros y pistas
de auditoría estén adecuadamente
protegidos, mantenidos el tiempo
que el cliente lo requiera y
accesibles para propósitos de
investigación forense.
 Requerimientos de conformidad únicos

Los proveedores de nube pueden ser

objeto de requerimientos de
conformidad. Utilizar un proveedor de
servicios en la nube puede conducir a
preocupaciones de seguridad
adicionales alrededor de la jurisdicción
de datos ya que el cliente o la
información puede no permanecer en el
mismo sistema, en el mismo centro de
datos o, en determinado caso, en el
mismo proveedor de servicios en la
nube.
 CONCLUSIONES

• Cloud Computing, al ser una nueva tecnología que permite el uso de

aplicaciones y servicios en una nube, cuyo modelo dependerá de las
necesidades del cliente; demanda la necesidad de, no solo proveer
servicios y recursos; sino también Cloud Security. La responsabilidad de su
implementación y cumplimiento recae sobre el proveedor y el usuario
según el tipo de nube implementada.

• Para implementar Cloud Security se debe realizar un análisis de las

vulnerabilidades a las cuales se encuentra expuesta la nube, para tomar
todas las medidas necesarias en el diseño de una nube que garantice
integridad, confiabilidad y disponibilidad de sus recursos, servicios y
aplicaciones.
GRACIAS