Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En cuanto a conocimientos
Reconocer el proceso de análisis de riesgo de la computación en la nube
Dominar la metodología para selección de controles de seguridad a las soluciones
de la computación en la nube.
Establecer las estrategias para la gestión del riesgo en la selección de servicios Cloud
En cuanto a actitudes:
Ser líder en la toma de decisiones que lleven a las organizaciones en la valoración de
los riesgos para los servicios en la nube.
Aplicar con responsabilidad y compromiso la seguridad de la información en
servicios expuestos en modalidad de nube
Pensamiento analítico para determinar lo que realmente le conviene o no a la
organización en términos de seguridad
Tener actitudes colaborativas de compartir información y recibir acciones para
trabajar en equipo.
Respetar los aportes de sus compañeros y brindar reconocimiento.
Usar las diferentes fuentes de información de manera ética, respetando los
derechos de autor y no realizando plagio
Es capaz de tomar decisiones basadas en principios básicos de seguridad para
generar cambios tecnológicos en las organizaciones fundamentados en
computación en la nube.
Ruta de aprendizaje
El facilitador El estudiante
abre un espacio entiende la
para validar importancia del
experiencia plan de estudio Elemento de
competencia 3
Explorar el Identifica las
contenido fuentes de
general estudio
Desarrolla el Arquietctura de
Facilitador referencia de
contenido con
evalua seguridad
sus actividades
Facilitador El estudiante
retroalimente y valida sus
refuerza resultados
Final
Introducción:
La Seguridad de la Información es uno de los habilitadores más importantes para los servicio en
la Nube. Las Empresas siempre tendrán interrogantes como ¿Dónde está mi información?
¿Quién tiene acceso a ella? Como me garantizan que mi información no es compartida? La
respuesta a estos interrogantes debe nacer de un apropiado manejo del riesgo, de la forma
como se protegerá, las garantías e incluso los acuerdos de nivel de servicio que se podrán
establecer.
Desde la perspectiva de la gerencia de los recursos y de ese activo que e la información, el
especialista deberá estar en la capacidad de dar una mirada total a los servicios en la nube, bien
sea privada o pública.
En este elemento de competencia, se revisaran dos aspectos fundamentales como son la
gestión de los riesgos y la arquitectura de seguridad.
El elemento de competencia 3 se enfoca en la seguridad aplicada a los servicios de Cloud
Temas a desarrollar:
Un análisis de riesgos le permitirá identificar los componentes que presentan mayor impacto en
la organización y los cuales tienen un nivel de exposición de la información que la pone en riesgo.
Sus controles serán la carta de navegación para lograr la confianza que se requiere a la hora de
que los servicios informáticos de la compañía sean alojados en servicios en la nube.
Será necesario entonces que se siga una rigurosa aplicación de la valoración de riesgos a partir
del contexto de la nube, identificarlos, hacer su análisis, evaluarlo uno a uno, generar un plan
de tratamiento, monitorear, revisar y comunicar. Estos procesos deberán estar documentados
y establecidos como parte de la política de los servicios tercerizados o incluso de los servicios de
nube privada establecidos en la propia organización.
Reflexión
Cuáles son las indicaciones de la NIST en su guía 800-39 sobre la Gestión del Riesgo?
A que hace referencia la NIST en su Guía 800-30?
Qué importancia tiene el estándar australiano en la Administración del Riesgo?
Fuentes de estudio
El estudiante deberá referenciarse sobre la publicación especial 800-39 de la NIST, en donde
resolverá inquietudes como los componentes de la gestión de riesgo, la gestión de riesgo
multinivel, los diferentes niveles, la cultura organizacional , relacionamiento de los conceptos
clave y su proceso. Al final el estudiante tendrá un panorama completo de la importancia de
la Gestión de riesgo en la organización.
Conclusión
Un servicio de nube será seguro solo hasta cuando el mismo usuario se concientice de que los
riesgos deberán ser valorados desde el proceso de planeación en la migración hacia la Nube.
Una de las herramientas metodológicas más utilizadas es el estándar australiano.
Autoevaluación
La organización
Misión y procesos de negocio
Los sistemas de información
La seguridad informática
Según la vista general de la Respuesta: a y c. Estos dos procesos son
administración del riesgo en la norma transversales a establecer el contexto,
australiana, cuales son los dos identificar los riesgos, analizar los riesgos,
procesos transversales evaluar y tratar.
Comunicar y consultar
Analizar los riesgos
Monitorear y revisar
Evaluar los riesgos
De esta forma, recuerde que el modelo de arquitectura representado por la NIST se ilustra así:
Todos los componentes y subcomponentes de la arquitectura son asegurados una vez han sido
valorados a través de la gestión del riesgo. Como resultado se presenta una arquitectura de
seguridad de referencia aplicada a cada una de las capas donde todos los actores son protegidos:
el cliente, proveedor, auditor, bróker y carrier.
Cualquiera que sea el modelo de referencia de seguridad que se aplique a los servicios de Nube,
deberá ser ajustado a los requerimientos organizacionales con fines de cumplimiento de las
políticas y estándares establecidos desde la alta dirección. Una valoración de los riesgos que
sean aplicables dentro de la organización permitirá permear los posibles conflictos que deban
evitarse en la operación. No es lo mismo tener la información hospedada en servicios de Nube
Pública que en Nube Privada. Las Nubes privadas ofrecerán mayor confianza toda vez que las
organizaciones entienden que su información está en territorio nacional y que aplican las leyes
que regulen su privacidad y protección.
Uno de los conceptos más tratados en términos de protección de la información, es por ejemplo
la Ley Patriota aplicada en Estados Unidos que para 2011 fue extendida otorgando poderes al
estado norteamericano para la intromisión del gobierno en registros de terceras partes
incluyendo información. Esto ha llevado a una reacción inmediata del mercado de Nube, puesto
que la mayoría de organizaciones no desean que sus secretos de industria sean divulgados y
estimula de esta forma el consumo de servicios en proveedores locales.
Un buen punto de referencia sobre los controles que deben tenerse en cuenta en el ecosistema
de la nube, es el referenciado por OSA (Open Security Architecture), en el cual se puede acceder
en forma directa a las mejores prácticas para el aseguramiento de cada componente y
subcomponente de la arquitectura.
Reflexión
Es posible confiar en la seguridad de los servicios en la Nube?
Qué esfuerzo realizan los fabricantes de tecnología para proveer una seguridad en la Nube?
Fuentes de estudio
El estudiante deberá dirigirse al sitio Open Security Architecture (OSA) donde encontrará el
documento de referencia de seguridad para Cloud Computing propuesto por OSA. En este
sitio, el estudiante deberá hacer una lectura del total de los controles de seguridad sobre cada
componente de la arquitectura propuesta por OSA.
Conclusión
Ya la conceptualización de servicios en la nube se convierte en una herramienta imprescindible
para la toma de decisiones gerenciales en términos de tecnología. Los servicios de cloud no están
destinados solo a las pequeñas empresas. La grandes empresas tienen requerimientos que
deben ser estandarizados buscando la economía de escala y resolviendo de fondo problemas
como el tiempo de despliegue en recursos y la administración de los mismos.
Los proveedores de servicios en la nube, están en todo su apogeo y se proyectan como actores
de las economías globales. Algunas restricciones como son las de seguridad, incentivan los
mercados locales para el desarrollo de estas economías de escala, con la capacidad de adaptar
al modelo de nube, capacidades que pueden no ser entregadas por los grandes operadores
como Google, Microsoft, Amazon, Rackspace etc.
El estudiante, está ya en la capacidad de diferenciar los modelos de despliegue de los modelos
de servicio y deberá estar en condición de profundizar acorde a lo requerido en su proceso
profesional.
Autoevaluación
Referencias
NIST, National of Institute Standard and Technology (Marzo de 2011). NIST Managing
Information Security Risk. Recuperado 10 Agosto de 2014 de,
http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf
NIST, National of Institute Standard and Technology (Mayo 2013). NIST Secure Cloud Computing
reference Architecture. Recuperado 10 Agosto de 2014 de, http://collaborate.nist.gov/twiki-
cloud-
computing/pub/CloudComputing/CloudSecurity/NIST_Security_Reference_Architecture_2013.
05.15_v1.0.pdf
Conclusión final
Como se puede ver, es muy importante que cuando una organización se dirige hacia los servicios
de Nube, esta decisión cuente con su respectivo análisis de riesgos que contemple todas
aquellas amenazas hacia la información. Tanto los operadores como las mismas organizaciones
en el desarrollo de servicios públicos o privados deberán contar con esta etapa previa que
garantice la definición de los controles necesarios y su aplicabilidad en la arquitectura. No se
debe entregar la información a un servicio sin dar la confianza necesaria a la alta dirección de
que su información cuenta con las debidas protecciones.
Se invita a incorporar la metodología de análisis de riesgos para cualquier proceso que implique
una exposición de la privacidad de la información.
NIST nos ha permitido tener de forma más organizada y coherente, visualizar la arquitectura de
cloud y aplicar seguridad a la misma. En OSA, se encontrara un compendio global del
pensamiento de seguridad sobre Cloud, donde se adoptan las mejores recomendaciones del
mercado basado en los resultados de su aplicación