Elemento de competencia 3:

Gestión de riesgos aplicado a la Nube y la arquitectura de seguridad

Al terminar el estudio de este elemento de competencia, el estudiante

deberá estar en capacidad de:
En cuanto a habilidades
 Identificar y definir un modelo de seguridad aplicable a una arquitectura de
computación en la nube
 Diseñar los procedimientos de seguridad requeridos para garantizar el
aseguramiento de la información en la organización a través del uso de mejores
prácticas de seguridad de computación en la nube.
 Vigilar, y elaborar la documentación de los controles definidos en las políticas y
normas de seguridad para la incorporación y el uso de las mejores prácticas de
seguridad de computación en la nube.

En cuanto a conocimientos
 Reconocer el proceso de análisis de riesgo de la computación en la nube
 Dominar la metodología para selección de controles de seguridad a las soluciones
de la computación en la nube.
 Establecer las estrategias para la gestión del riesgo en la selección de servicios Cloud
 

En cuanto a actitudes:
 Ser líder en la toma de decisiones que lleven a las organizaciones en la valoración de
los riesgos para los servicios en la nube.
 Aplicar con responsabilidad y compromiso la seguridad de la información en
servicios expuestos en modalidad de nube
 Pensamiento analítico para determinar lo que realmente le conviene o no a la
organización en términos de seguridad
 Tener actitudes colaborativas de compartir información y recibir acciones para
trabajar en equipo.
 Respetar los aportes de sus compañeros y brindar reconocimiento.
 Usar las diferentes fuentes de información de manera ética, respetando los
derechos de autor y no realizando plagio
 Es capaz de tomar decisiones basadas en principios básicos de seguridad para
generar cambios tecnológicos en las organizaciones fundamentados en
computación en la nube.


Ruta de aprendizaje
 El facilitador El estudiante
abre un espacio entiende la
para validar importancia del
experiencia plan de estudio Elemento de
competencia 3
Explorar el Identifica las
contenido fuentes de
general estudio

Facilitador Identifica los Analisis de

acompaña, resultados riesgos de la
retroalimenta esperados nube
mediante la

Desarrolla el Arquietctura de
Facilitador referencia de
contenido con
evalua seguridad
sus actividades

Facilitador El estudiante
retroalimente y valida sus
refuerza resultados
Final

Introducción:

La Seguridad de la Información es uno de los habilitadores más importantes para los servicio en
la Nube. Las Empresas siempre tendrán interrogantes como ¿Dónde está mi información?
¿Quién tiene acceso a ella? Como me garantizan que mi información no es compartida? La
respuesta a estos interrogantes debe nacer de un apropiado manejo del riesgo, de la forma
como se protegerá, las garantías e incluso los acuerdos de nivel de servicio que se podrán
establecer.
Desde la perspectiva de la gerencia de los recursos y de ese activo que e la información, el
especialista deberá estar en la capacidad de dar una mirada total a los servicios en la nube, bien
sea privada o pública.
En este elemento de competencia, se revisaran dos aspectos fundamentales como son la
gestión de los riesgos y la arquitectura de seguridad.
El elemento de competencia 3 se enfoca en la seguridad aplicada a los servicios de Cloud

Temas a desarrollar:

•Tema 1: Proceso de análisis de riesgo de la computación en la nube.

•Tema 2: Arquitectura de Referencia de Seguridad en la Nube
Desarrollo temático Tema 1:
Proceso de análisis de riesgo de la computación en la nube
Hablar del concepto de Seguridad de la Información tiene una implicación trascendental en los
servicios de Nube. Uno de los grandes inhibidores para la adopción de la nube, es precisamente
el temor de dejar a la deriva la información de la organización.
Es inevitable encontrar comparaciones entre los servicios de nube personales y su evolución
hacia los servicios empresariales en la nube. Las redes sociales son un claro ejemplo, de cómo
una persona del común establece un vinculo tecnológico con servicios públicos a los cuales
puede acceder y sobre los cuales toma tal confianza, que desencadena en una serie de
actividades que le permiten exponer su información personal de forma incontrolada.
Aunque las redes sociales, citadas como un paralelo al desarrollo de servicios en la nube para
organizaciones, entregan herramientas de protección para que sean configuradas por los
usuarios, suele suceder que éstas se convierten en un componente poco utilizado. De la misma
forma son los servicios de nube para las organizaciones.
Los servicios de nube bien respaldados por los operadores no son inseguros por sí mismo, sus
falencias son el resultado de la falta de valoración de los riesgos y la aplicación de controles que
deben ser obligatoriamente asumidos los usuarios de los servicios.
En este punto es importante resaltar lo que la NIST indica sobre la seguridad: “esto es crítico
reconocer que la seguridad es un aspecto transversal de la arquitectura que se expande a través
de todos los niveles del modelo de referencia, desde la seguridad física hasta las seguridad de
las aplicaciones. Por lo tanto, la seguridad en lo que concierne a la arquitectura de nube no es
únicamente bajo el punto de vista de los proveedores de nube, sino también de los clientes de
nube y otros actores relevantes”.
La Gestión del Riesgo invoca el análisis de riesgo para lo cual se deberá aplicar una metodología
cualquiera que le conlleve a identificar los puntos de control para mitigar los riesgos.

Existen metodologías de análisis de riesgos como la de la NIST, enunciada en su publicación 800-

39 o la AS/NZS 4360:1999 del estándar australiano. Lo importante es seleccionar una
metodología que permita generar una guía para la organización cuando se enfrenta a la
necesidad de ir a la Nube.
 Fuente: Estándar Australiano AS/NZS 4360:1999
Ciclo de la administración del Riesgo

Un análisis de riesgos le permitirá identificar los componentes que presentan mayor impacto en
la organización y los cuales tienen un nivel de exposición de la información que la pone en riesgo.
Sus controles serán la carta de navegación para lograr la confianza que se requiere a la hora de
que los servicios informáticos de la compañía sean alojados en servicios en la nube.

Será necesario entonces que se siga una rigurosa aplicación de la valoración de riesgos a partir
del contexto de la nube, identificarlos, hacer su análisis, evaluarlo uno a uno, generar un plan
de tratamiento, monitorear, revisar y comunicar. Estos procesos deberán estar documentados
y establecidos como parte de la política de los servicios tercerizados o incluso de los servicios de
nube privada establecidos en la propia organización.

Reflexión

Cuáles son las indicaciones de la NIST en su guía 800-39 sobre la Gestión del Riesgo?
A que hace referencia la NIST en su Guía 800-30?
Qué importancia tiene el estándar australiano en la Administración del Riesgo?

Fuentes de estudio
 El estudiante deberá referenciarse sobre la publicación especial 800-39 de la NIST, en donde
resolverá inquietudes como los componentes de la gestión de riesgo, la gestión de riesgo
multinivel, los diferentes niveles, la cultura organizacional , relacionamiento de los conceptos
clave y su proceso. Al final el estudiante tendrá un panorama completo de la importancia de
la Gestión de riesgo en la organización.

El estudiante deberá revisar en su totalidad la documentación suministrada por el Estándar

Australiano AS/NZS 4360:1999. A través de este documento, se podrá formar la idea completa
sobre una de las metodologías más aplicadas en la valoración de riesgos informáticos.

Conclusión

Un servicio de nube será seguro solo hasta cuando el mismo usuario se concientice de que los
riesgos deberán ser valorados desde el proceso de planeación en la migración hacia la Nube.
Una de las herramientas metodológicas más utilizadas es el estándar australiano.

En Colombia la mayoría de las organizaciones aplican el estándar australiano en su valoración

de riesgos y a través de él generan políticas de seguridad informática dentro de las compañías.
Una Nube sin evaluación de riesgos, es como el acceso a una red social sin aplicar controles
sobre la protección de la información expuesta.

Autoevaluación

 Seleccione los niveles de la gestión de Respuesta: a, b y c. Según la NIST estos son

riesgos según la NIST los componentes principales en la gestión del
 riesgo multinivel.

 La organización
 Misión y procesos de negocio
 Los sistemas de información
 La seguridad informática


 Según la vista general de la Respuesta: a y c. Estos dos procesos son
administración del riesgo en la norma transversales a establecer el contexto,
australiana, cuales son los dos identificar los riesgos, analizar los riesgos,
procesos transversales evaluar y tratar.

 Comunicar y consultar
 Analizar los riesgos
  Monitorear y revisar
 Evaluar los riesgos

Desarrollo temático Tema 2

Arquitectura de referencia de seguridad en la Nube

Ya se cuenta con una herramienta fundamental en la Gestión del Riesgo y es la norma

australiana. El siguiente paso es aplicar la norma a los requerimientos de las organizaciones para
ir a la Nube, identificando los riesgos y los controles respectivos que deben aplicarse desde
cualquier perspectiva: como cliente o como proveedor.
La NIST en su publicación 500-299 establece una arquitectura de referencia de seguridad para
los servicios de la Nube. Este modelo es derivado de la arquitectura de referencia de nube que
se ha revisado en el Elemento de competencia 2 y que proviene de la NIST (500-292). La NIST
indica que cada uno de los componentes de la arquitectura debe estar asegurado.

De esta forma, recuerde que el modelo de arquitectura representado por la NIST se ilustra así:

Todos los componentes y subcomponentes de la arquitectura son asegurados una vez han sido
valorados a través de la gestión del riesgo. Como resultado se presenta una arquitectura de
seguridad de referencia aplicada a cada una de las capas donde todos los actores son protegidos:
el cliente, proveedor, auditor, bróker y carrier.
Cualquiera que sea el modelo de referencia de seguridad que se aplique a los servicios de Nube,
deberá ser ajustado a los requerimientos organizacionales con fines de cumplimiento de las
políticas y estándares establecidos desde la alta dirección. Una valoración de los riesgos que
sean aplicables dentro de la organización permitirá permear los posibles conflictos que deban
evitarse en la operación. No es lo mismo tener la información hospedada en servicios de Nube
Pública que en Nube Privada. Las Nubes privadas ofrecerán mayor confianza toda vez que las
organizaciones entienden que su información está en territorio nacional y que aplican las leyes
que regulen su privacidad y protección.
Uno de los conceptos más tratados en términos de protección de la información, es por ejemplo
la Ley Patriota aplicada en Estados Unidos que para 2011 fue extendida otorgando poderes al
estado norteamericano para la intromisión del gobierno en registros de terceras partes
incluyendo información. Esto ha llevado a una reacción inmediata del mercado de Nube, puesto
que la mayoría de organizaciones no desean que sus secretos de industria sean divulgados y
estimula de esta forma el consumo de servicios en proveedores locales.
Un buen punto de referencia sobre los controles que deben tenerse en cuenta en el ecosistema
de la nube, es el referenciado por OSA (Open Security Architecture), en el cual se puede acceder
en forma directa a las mejores prácticas para el aseguramiento de cada componente y
subcomponente de la arquitectura.

Reflexión
Es posible confiar en la seguridad de los servicios en la Nube?
Qué esfuerzo realizan los fabricantes de tecnología para proveer una seguridad en la Nube?
Fuentes de estudio

El estudiante deberá profundizar en la propuesta del modelo de referencia de la arquitectura

de seguridad propuesto por la NIST en el documento 500-299. Deberá hacer una lectura
completa para garantizar el entendimiento de la misma. Con esta referencia el estudiante
logrará profundizar sobre la metodología de análisis de datos y el modelo formal sobre la
arquitectura de seguridad.

El estudiante deberá dirigirse al sitio Open Security Architecture (OSA) donde encontrará el
documento de referencia de seguridad para Cloud Computing propuesto por OSA. En este
sitio, el estudiante deberá hacer una lectura del total de los controles de seguridad sobre cada
componente de la arquitectura propuesta por OSA.

Conclusión
Ya la conceptualización de servicios en la nube se convierte en una herramienta imprescindible
para la toma de decisiones gerenciales en términos de tecnología. Los servicios de cloud no están
destinados solo a las pequeñas empresas. La grandes empresas tienen requerimientos que
deben ser estandarizados buscando la economía de escala y resolviendo de fondo problemas
como el tiempo de despliegue en recursos y la administración de los mismos.
Los proveedores de servicios en la nube, están en todo su apogeo y se proyectan como actores
de las economías globales. Algunas restricciones como son las de seguridad, incentivan los
mercados locales para el desarrollo de estas economías de escala, con la capacidad de adaptar
al modelo de nube, capacidades que pueden no ser entregadas por los grandes operadores
como Google, Microsoft, Amazon, Rackspace etc.
El estudiante, está ya en la capacidad de diferenciar los modelos de despliegue de los modelos
de servicio y deberá estar en condición de profundizar acorde a lo requerido en su proceso
profesional.

Autoevaluación

 Según la arquitectura de de Respuesta: d, en el ecosistema de

referencia de seguridad propuesta orquestación se determinan todas las
por NIST, cuales son los niveles de condiciones de la arquitectura a nivel
seguridad en el ecosistema de funcional. Asegurando estas condiciones, se
orquestación logrará la protección de los procesos de
entrega de servicios en cloud.
 Nivel de Control y Abstracción
 Nivel de recursos físicos
 Portabilidad e Interoperabilidad
 Seguridad del nivel funcional
  Según OSA, cual es el perfil que tiene Respuesta: b, el auditor es quien tiene la
la responsabilidad de acreditar la responsabilidad de acreditar según OSA
seguridad
 Desarrollador
 Auditor
 Arquitecto
 Gestor de Negocio

Referencias

NIST, National of Institute Standard and Technology (Marzo de 2011). NIST Managing
Information Security Risk. Recuperado 10 Agosto de 2014 de,
http://csrc.nist.gov/publications/nistpubs/800-39/SP800-39-final.pdf

NIST, National of Institute Standard and Technology (Mayo 2013). NIST Secure Cloud Computing
reference Architecture. Recuperado 10 Agosto de 2014 de, http://collaborate.nist.gov/twiki-
cloud-
computing/pub/CloudComputing/CloudSecurity/NIST_Security_Reference_Architecture_2013.
05.15_v1.0.pdf

BCU, Banco Central de Uruguay (1999). Estándar Australiano AS/NZS 4360:1999.

http://www.bcu.gub.uy/Acerca-de-
BCU/Concursos/Est%C3%A1ndar%20Australiano_Adm_Riesgos.pdf

Conclusión final
Como se puede ver, es muy importante que cuando una organización se dirige hacia los servicios
de Nube, esta decisión cuente con su respectivo análisis de riesgos que contemple todas
aquellas amenazas hacia la información. Tanto los operadores como las mismas organizaciones
en el desarrollo de servicios públicos o privados deberán contar con esta etapa previa que
garantice la definición de los controles necesarios y su aplicabilidad en la arquitectura. No se
debe entregar la información a un servicio sin dar la confianza necesaria a la alta dirección de
que su información cuenta con las debidas protecciones.

Se invita a incorporar la metodología de análisis de riesgos para cualquier proceso que implique
una exposición de la privacidad de la información.

NIST nos ha permitido tener de forma más organizada y coherente, visualizar la arquitectura de
cloud y aplicar seguridad a la misma. En OSA, se encontrara un compendio global del
pensamiento de seguridad sobre Cloud, donde se adoptan las mejores recomendaciones del
mercado basado en los resultados de su aplicación