Maestría en Ciencia de datos y Procesamiento de

Datos Masivos
COMPUTO EN LA NUBE (CLOUD COMPUTING) GA

Jose Del Carmen Mercado Betancourt

000-00-5397

3.2 Ensayo. Privacidad de la información computación

en la nube Introducción de la actividad
Unidad 3

Dr. Iván Castillo Zúñiga

05/03/2022

1
 Introducción

Desde alrededor de los años ochenta del siglo pasado, la humanidad se ha visto envuelta
e inmersa en una serie de cambios en todas las áreas de la vida pública. Todo a causa
del desarrollo progresivo, creciente y masificado de las Tecnologías de Información y
Comunicación (TIC). Las TIC han originado efectos que incluso, han cambiado nuestra
forma de ver apreciar o evaluar nuestro pasado o presente, y hasta redimensionado la
forma en la que vislumbramos nuestro futuro como especie. A finales del año 2000
empezó un nuevo y gran desafío de la ciberseguridad, que fue cuando se empezó a
implantar Internet de las Cosas (Internet of Things o IoT).

El propósito de este ensayo consiste en revisar la importancia de la privacidad de la

información en tecnologías de Cloud Computing, legislación aplicable y buenas prácticas
en tratamiento de datos. Con este ensayo se espera profundizar sobre estos aspectos y
conocer un poco sobre el actual tema de la Seguridad de la Información como un aspecto
esencial de las actuales TIC sobre la sociedad humana actual, es decir, la Sociedad de
la Información del Siglo XXI.

2
 Desarrollo

Definición de cloud computing

Cloud Computing es un modelo que proporciona acceso a unos recursos de computación

configurable. Como, redes, servidores, almacenamiento, aplicaciones y servicios. "Cloud
computing" es un nuevo modelo de prestación de servicios de negocio y tecnología, que
permite tanto a las empresas como al usuario acceder a un catálogo, de forma flexible y
adaptativa, en caso de demandas no previsibles o de picos de trabajo, pagando
únicamente por el consumo efectuado, o incluso gratuitamente en caso de proveedores
que se financian mediante publicidad o de organizaciones sin ánimo de lucro.

El NIST (National Institute of Standards and Technology, en inglés) define Cloud

computing mediante la descripción de cinco características esenciales, tres modelos de
servicio en Cloud y cuatro modelos de despliegue para Cloud.

Figura 1. Modelo visual de NIST para Cloud Computing.

Características de servicio en la nube

La característica principal es la disponibilidad de la información; con el servicio de Cloud

Computing se proporciona el acceso, el cual permite un ahorro de costos en la empresa.

Características esenciales
El cliente puede acceder y administrar sus recursos
Auto servicio bajo demanda y servicios en la medida en que los necesita, sin
necesitar un intermediario para ello.
Los servicios están en la red y por lo tanto deben
estar disponibles para ser utilizados en diferentes

3
 Acceso amplio a los servicios
Recursos compartidos
Aplicación inmediata
Medición de los servicios
tipos de dispositivos, ya sea en portátiles,
computadores de escritorios, tabletas y
smartphones.
Al igual que en las soluciones de virtualización se
cuenta con un conjunto de recursos de
almacenamiento, CPU, memoria, etc. Estos
recursos no tienen que ser necesariamente los
mismos todo el tiempo, sino que debe existir la
posibilidad de modificarlos en la medida en que es
necesario.
El aprovisionamiento de los recursos tiene que ser
prácticamente transparente para los usuarios
finales, sin necesidad de tener tiempos fuera de
servicio como sucedería en un servidor físico.
Debido a que los servicios son dinámicos el costo lo
es también. De esta forma no es necesario pagar
por los servicios que no se usan, sino que, por el
contrario, se miden los servicios utilizados durante
el período y la boleta estará de acuerdo a eso.

Se puede mencionar que, si la empresa lleva sus servicios a la Nube, mediante tercero
con diferentes tareas de gestión de TI; se debe tener el control sobre la información y
sobre la seguridad. Antes de contratar este tipo de servicios es primordial evaluar las
condiciones del servicio y las medidas de seguridad aplicadas; es decir, que las
condiciones sean las adecuadas para garantizar el servicio y la protección de la
información de la empresa.

Los escenarios de servicios en la nube, se han clasificado en infraestructuras públicas,

privadas, comunitarias o híbridas incluyendo los modelos de servicio; de la siguiente
forma:

Modelos de despliegues Modelos de servicio

La infraestructura El proveedor del
de esta nube está servicio es el
disponible para el encargado de
público ofrecer al cliente o a
en general o para la entidad el
un gran grupo de software como un
Nube pública industria y dicha servicio. Las
infraestructura la aplicaciones
controla un son accesibles
proveedor de SaaS (Software as desde diferentes
servicios en la a Service) dispositivos a través
nube. de una interfaz de
cliente liviano, un
típico ejemplo es un

4
 servicio en un
entorno Web; el
cliente
no administra ni
controla la
infraestructura en
que se basa el
servicio que
utiliza.
La infraestructura El proveedor del
de esta nube es servicio se encarga
Nube privada operada de
únicamente por y entregar una
para una plataforma a la
organización. entidad cliente. El
cliente no
administra ni
PaaS (Platform as controla la
a Service). infraestructura, pero
tiene el control
sobre las
aplicaciones
instaladas y su
configuración, y
puede incluso
instalar nuevas
aplicaciones.
La infraestructura El proveedor del
de esta nube es servicio se encarga
compartida por de
varias entregar una
organizaciones infraestructura a la
Nube comunitaria relacionadas entre entidad,
ellas y que normalmente
comparten mediante una
requisitos de plataforma de
servicio. Uno de sus virtualización. El
miembros controla IaaS proveedor se
los recursos. (Infrastructure as encarga de la
Es la composición a Service). administración de
de dos o más la infraestructura y
modelos, por el cliente tiene el
ejemplo, privada control sobre los
y pública, que sistemas
Nube híbrida permanecen como operativos,
entidades únicas

5
 pero que coexisten almacenamiento y
por aplicaciones
tener tecnología desplegadas, así
que permite como el control de
compartir datos o los
aplicaciones entre componentes de
las mismas. red virtualizados.

Cloud Computing y el almacenamiento de datos

En la actualidad utilizar los servicios en la nube es cada vez más importante para las
entidades como un factor esencial de la tecnología de la información (TI) y una estrategia
general de negocio. La privacidad y seguridad de la información se convierte en un
diferenciador de la competitividad en la industria, donde todos los entes necesitarán
equilibrar los incentivos para las empresas en relación con las preocupaciones acerca de
los riesgos y requerimientos de cumplimiento y de seguridad de la información.

Los servicios de Cloud Computing han traído muchos beneficios a las entidades, pero las
empresas deben correr el riesgo de saber que existe un camino correcto y uno incorrecto,
existe la idea de que almacenar datos personales en la nube disminuye su privacidad,
este mito se origina debido a la falta de comprensión y entendimiento del funcionamiento
de la nube y de las innumerables soluciones de computación que dan una excelente y
adecuada solución a la seguridad de la información.

Por otro lado, es importante entender las distintas capas de seguridad en una
infraestructura de Cloud Computing, hay muchas medidas de seguridad que los
proveedores de nube pueden implementar y operar. Sin embargo, hay controles que los
usuarios necesitan implementar y administrar para preservar su información, sin
embargo, pesar de que los proveedores de la nube se encargan de la seguridad, los
usuarios son responsables de la privacidad y control de la información personal que
almacenan digitalmente, esto implica que la privacidad necesita tenerse en consideración
cuando se migra información a la nube.

Ciberseguridad y privacidad de los datos

La protección de la información y la privacidad han acaparado la atención en la

actualidad. Temas como la privacidad versus la seguridad a nivel mundial y nacional, la
vigilancia gubernamental y encriptación han estado en constante debate a nivel general
en todo el mundo. Se han promulgado muchas nuevas leyes en todos los países y hemos
visto cómo el contexto local puede dar forma a la privacidad global y a las operaciones
empresariales y gubernamentales.

Para las empresas con presencia global cumplir con los estatutos de privacidad se ha
convertido en un asunto cada vez muy complicado. Abrirse un camino en el panorama
de privacidad mundial nunca antes había tenido tanto. Las instituciones deben entender

6
y adaptarse de manera continua a nuevas tecnologías y a las leyes de privacidad
específicas de cada país.

Figura 2. Ciberseguridad y seguridad de la información

Aspectos de seguridad de la información

Los aspectos importantes que la entidad o empresa debe tener presente como la
implementación de los servicios, donde se puede confundir Cloud público o privado con
externo o interno. Los límites de seguridad del Cloud pueden diferir de los perímetros de
seguridad de la empresa o entidad. La implementación y el uso del Cloud deben ser
evaluadas no sólo en el contexto interno y externo en lo que respecta a la ubicación física
de los activos, los recursos y la información, sino también por quienes están siendo
usados, así como quién es responsable de su gobierno, seguridad y cumplimiento con
las políticas y estándares de un país.

Esto implica que el hecho de que un activo, un recurso o la información estén ubicados
dentro o fuera de las instalaciones de la entidad no afecte a la seguridad y a la exposición
al riesgo de una organización, porque sí es afectada, pero se pretende enfatizar que el
riesgo también depende de:

Los tipos de activos, recursos e información que están siendo gestionados, Quién los
gestiona y cómo Qué controles se han seleccionado y cómo han sido integrados Aspectos
relacionados con el cumplimiento legal.

7
Seguridad de los datos en la Nube

La Cloud Computing provee numerosas capacidades de almacenamiento y

procesamiento de información en centros de datos de terceros; de este modo, cuando un
usuario decide utilizar la nube, pierde la habilidad de tener acceso físico a sus datos; y
como resultado, confía en que su proveedor de servicios prestará especial atención a la
seguridad de su información.

El correcto establecimiento de políticas de privacidad de la información en la nube en

este tipo de servicios sea: SaaS, PaaS, IaaS, tecnologías y formas de control, destinadas
a proteger los datos, las aplicaciones y la infraestructura asociada a la computación en la
nube. Existen dos tipos de problemas: aquellos a los que se enfrentan los proveedores
(organizaciones que proveen software, plataformas o infraestructura como servicio a
través de la nube) y problemas de seguridad enfrentados por los clientes (entidades y
usuarios que utilizan la aplicación o almacenan información en la nube).

La responsabilidad de la seguridad en la nube es compartida, el proveedor debe asegurar

que la infraestructura que ofrece sea segura y que la información de sus clientes estará
a salvo, mientras que los usuarios, por su parte, deben tomar medidas para fortalecer su
acceso, empleando eficientes métodos de autenticación. Para detectar cualquier
debilidad y reducir el efecto de los ataques.

la Seguridad de la Información fundamenta toda su base sobre los siguientes principios:

Confidencialidad: Se debe evitar que la información no esté a disposición o no sea

revelada a individuos, entidades o procesos no autorizados.

Integridad: Se debe velar por el mantenimiento de la exactitud y la completitud de la

información y sus métodos de proceso.

Disponibilidad: Se debe garantizar el acceso y la utilización de la información y los

sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.

Figura 3. Modelo Cloud Computing para el control de Seguridad

8
En general se recomienda que los controles de seguridad en la nube sean seleccionados
e implementados de acuerdo y en proporción a los riesgos, típicamente evaluando las
amenazas, vulnerabilidades y sus impactos. También, los proveedores de servicios y sus
usuarios deben llegar a acuerdos acerca de responsabilidades, estipulando cómo deben
resolverse los incidentes que involucren pérdida de datos o que comprometan a toda la
organización y sus usuarios.

Los gobiernos y la protección de los datos

Las empresas deben tener gobierno sobre la información, esto incluye las políticas y
procedimientos para gestionar el uso de la información. El gobierno de protección de
datos incluye las siguientes características clave.

La empresa debe definir categorías de alto

nivel como información reservada y
Clasificación de la información clasificada” para determinar qué controles de
seguridad se pueden aplicar.
Políticas de gestión de la Políticas de la entidad para definir qué
información actividades permiten para los distintos tipos
de información.
Políticas jurisdiccionales y de Dónde se pueden ubicar geográficamente los
localización datos, lo cual tiene importantes
ramificaciones legales y regulatorias.
Autorizaciones Definir qué tipos de funcionario/usuarios
tienen permisos para acceder a qué tipos de
información
Propiedad Quién es el responsable final de la
información.
Custodia Quién es el responsable de la gestión de la
información, a petición del propietario.

Empresas como Microsoft han clamado por la instauración de una legislación específica
para la seguridad de la nube, aunque reconoce que necesita hacer políticas de seguridad
más transparentes, pero además el gobierno de Estados Unidos debería introducir
políticas específicas de protección de datos para el cómputo en nube y reprimir con más
eficacia a usuarios maliciosos que afecten a centros de datos.

Del lado de México, el avance en cuanto a privacidad y protección de la información ha

crecido lentamente, no obstante, se publicó en el Diario Oficial de la Federación la Ley
Federal de Protección de Datos Personales en Posesión de los Particulares, en la cual
se preservan en esencia la privacidad, confinación y autodeterminación de la información
de las personas.

9
Colombia tiene un marco regulatorio bastante robusto en relación con los datos
personales, está enmarcado en nuestra Constitución. Actualmente hay 24 leyes, 14
decretos en temas de internet, además de otras disposiciones de ciberseguridad,
privacidad y de IT.

La seguridad de los datos incluye los controles y tecnologías específicas utilizadas para
garantizar el cumplimiento del gobierno en la protección de la información. Un problema
frecuente es la gestión de los datos en Cloud Computing es la migración de datos
sensibles sin aprobación o informado a las áreas necesarias para ello. Además de los
controles tradicionales de seguridad de los datos (como controles de acceso o cifrado),
hay otros dos pasos que ayudan a gestionar la migración no autorizada de datos a
servicios Cloud Computing.

La importancia de la seguridad en la nube

La protección de la información en la nube en la actualidad ha tomado mucha

importancia, de tal manera que existen organizaciones especializadas, como la Cloud
Security Alliance, la cual se encarga de generar documentos, practicas,
recomendaciones, políticas para el uso seguro del cloud computing. Entre sus servicios
se cuenta con una certificación para profesionales llamada Cloud Security Knowledge
(CCSK).

Figura 4. La importancia de la seguridad en la nube

La privacidad de la cloud computing tiene múltiples ventajas para las organizaciones, ya

que genera un cambio en sus procesos y con el tiempo se convierte en una poderosa

herramienta eficiente para mejorar la productividad de la empresa. El proceso de ventas

también se ve influenciado por la privacidad debido a que se crear una cultura de

10
privacidad para vendes de forma segura. El crear un Sistema Integral de Protección de
datos basado en los riesgos de la empresa, se convierte en una obligación de las
empresas de cualquier sector. Un proceso Integral de Protección de Datos, integra
personas, tecnología, Seguridad de la información, Claridad en el ciclo del dato personal,
sistemas de información, Controles y una visión de privacidad por diseño en los procesos
empresariales.

La importancia de proteger los datos la empresa en la nube:

Almacenar la información en la Cloud Computing es una solución tecnológica que cada

vez adoptan más empresas a nivel mundial. Resulta cómodo, descentralizado y elimina
costes estructurales, porque no es necesario mantener servidores propios. Esto implica
que, aunque en general es una solución segura, también es necesario adoptar medidas
de protección de la información en la nube. Solo así una empresa puede estar
completamente tranquila y tendrá garantizada la integridad de sus datos e información.

Podemos inferir que, es fundamental planificar bien la protección de la información que

se aloja en servicios de almacenamiento en la cloud computing para empresas. Nunca
se sabe en qué momento estas plataformas pueden fallar, se puede sufrir un accidente o
cometer un error. Y, cuando llega ese momento, será necesario contar en las empresas
con profesionales capaces de rescatar la información o, simplemente, generar una
estrategia de protección de datos en la Cloud Computing.

Conclusiones

En este ensayo referente a la Privacidad de la información computación en la nube se

pudo comprender y entender la arquitectura de almacenamiento Cloud Computing
empleada, lo cual ayudará a determinar el riesgo de seguridad y los controles posibles.
Utilizar el ciclo de vida de seguridad de los datos para identificar riesgos de seguridad y
determinar los controles más adecuados, conocer las normas gubernamentales sobre la
protección de los datos y las consecuencias que implica el incumplimiento de estas
Debido a todos los potenciales problemas regulatorios, contractuales y jurisdiccionales
de otro tipo, es extremadamente importante entender tanto las ubicaciones lógicas como
las físicas de los datos. Tener un almacenamiento que preserve la privacidad cuando
ofrezca infraestructura o aplicaciones en las que el acceso normal pueda revelar
información delicada del usuario.

Fuentes:

1. Javier, J. (3 de Noviembre de 2020). Por qué la seguridad en la nube es mas

importante que nunca. Obtenido de
https://www.redeszone.net/noticias/seguridad/importancia-actual-seguridad-nube/
2. MinTic. (2016). Seguridad en la Nube. Ministerio de las TIC Colombia, 7-31.
11
3. America, A. W. (29 de octubre de 2018). La Importancia de la Seguridad en la
Nube. Obtenido de https://www.youtube.com/watch?v=rpKW_0lUBEE
4. InBest. (2 de mayo de 2012). Seguridad en la Nube. Obtenido de
https://www.youtube.com/watch?v=TSEwcrnaIko
5. Infotecs. (7 de mayo de 2019). Seguridad en la Nube. Obtenido de
https://infotecs.mx/blog/seguridad-en-la-nube.html
6. Sky.one. (14 de julio de 2020). La importancia de la nube para el crecimiento de
las pequeñas y medianas empresas. Obtenido de
https://skyone.solutions/es/hub/nube/la-importancia-de-la-nube-para-las-
pequenas-y-medianas-empresas/
7. cloud, E. (19 de junio de 2017). Privacidad de la información en la nube. Obtenido
de https://evaluandocloud.com/privacidad-la-informacion-la-nube/
8. Vega, J. P. (16 de Abril de 2018). Colombia tiene un marco robusto en protección
de datos. Obtenido de https://www.asuntoslegales.com.co/actualidad/colombia-
tiene-un-marco-robusto-en-proteccion-de-datos-2714309
9. Vizcaíno, J. C. (2018). Privacidad de la información en la nube. Seguridad, 2-7.
10. Sofistic. (30 de Noviembre de 2019). La breve historia de la ciberseguridad.
Obtenido de https://www.sofistic.com/blog-ciberseguridad/la-breve-historia-de-la-
ciberseguridad/

12