Cloud Security Alliance

Recomendaciones de Seguridad para Usuarios

 Recomendaciones Cloud Computing
Octubre 2012
para Usuarios

Contenido
¿Qué es el Cloud Computing? ................................................................................................ 2
Modelos de Servicios .............................................................................................................. 2
Modelos de Implementación ................................................................................................. 3
Recomendaciones a los Usuarios para la adopción del Cloud Computing ............................ 4
Acerca de Cloud Security Alliance (CSA)................................................................................. 5
Referencias ............................................................................................................................. 5
Contacto ................................................................................................................................. 5
 Recomendaciones Cloud Computing
Octubre 2012
para Usuarios

¿Qué es el Cloud Computing?

El Cloud Computing, también conocido como “Nube”, ha sido definido por el NIST como un
modelo de servicios escalables bajo demanda para la asignación y el consumo de recursos de
cómputo. Describe el uso de infraestructura, aplicaciones, información y una serie de servicios
compuestos por reservas de recursos de computación, redes, información y almacenamiento.
Estos componentes pueden orquestarse, abastecerse, implementarse y liberarse rápidamente,
con un mínimo esfuerzo de gestión e interacción por parte del proveedor de Cloud Computing y
de acuerdo a las necesidades actuales del cliente.

Figura 1 – Representación de la definición de Cloud Computing del NIST.

Modelos de Servicios
La prestación de servicios de cloud computing puede asociarse a tres modelos específicos:

Modelo Descripción
Infrastructure Ofrece al consumidor la provisión de procesamiento, almacenamiento, redes y cualquier otro
recurso de cómputo necesario para poder instalar software, incluyendo el sistema operativo y
as a Service aplicaciones. El usuario no tiene control sobre el sistema de nube subyacente pero si del
(IaaS) Sistema operativo y aplicaciones. Ejemplo: Amazon Web Services EC2.
Platform as Ofrece al consumidor la capacidad de ejecutar aplicaciones por éste desarrolladas o
contratadas a terceros, a partir de los lenguajes de programación o interfaces provistas por el
a Service proveedor. El usuario no tiene control ni sobre el sistema subyacente ni sobre los recursos de
(PaaS) Infraestructura de nube. Ejemplo: Microsoft Azure.
Software as Ofrece al consumidor la capacidad de utilizar las aplicaciones del proveedor que se ejecutan
sobre la infraestructura en la nube. Las aplicaciones son accedidas desde los dispositivos
a Service cliente a través de interfaces, por ejemplo un navegador web. En este caso, el usuario solo
(SaaS) tiene acceso a una interfaz de configuración del software provisto. Ejemplo: SalesForce
Tabla 1 – Modelos de provisión de servicios de Cloud Computing.
 Recomendaciones Cloud Computing
Octubre 2012
para Usuarios

Modelos de Implementación
Dependiendo de cómo se despliegan los servicios en la nube, existen cuatro modelos que
caracterizan la implementación de los servicios de Cloud Computing.

Modelo Descripción
Es aquel modelo de Nube en el cual la infraestructura y los recursos lógicos que forman parte del
Nube entorno se encuentran disponibles para el público en general o un amplio grupo de usuarios.
Pública Suele ser propiedad de un proveedor que gestiona la infraestructura y los servicios ofrecidos.
Ejemplo: Servicio de GoogleApps.
Es aquel modelo en el cual la infraestructura se gestiona únicamente por una organización. La
administración de aplicaciones y servicios puede estar a cargo de la misma organización o de un
Nube
tercero. La infraestructura asociada puede estar dentro de la organización o fuera de ella.
Privada Ejemplo: Cualquier servicio de nube propio de la organización o contratado a un proveedor pero
cuyos recursos sean exclusivos para dicha organización.
Es aquel modelo donde la infraestructura es compartida por diversas organizaciones y su
principal objetivo es soportar a una comunidad específica que posea un conjunto de
preocupaciones similares (misión, requisitos de seguridad o de cumplimiento normativo, etc). Al
Nube
igual que la Nube Privada, puede ser gestionada por las organizaciones o bien por un tercero y la
Comunitaria infraestructura puede estar en las instalaciones propias o fuera de ellas.
Ejemplo: El servicio app.goc (www.apps.gov) del gobierno de EEUU, el cual provee servicios de
cloud computing a las dependencias gubernamentales.
Es aquel modelo donde se combinan dos o más tipos de Nubes (Pública, Privada o Comunitaria)
Nube que se mantienen como entidades separadas pero que están unidas por tecnologías
Híbrida estandarizadas o propietarias, que permiten la portabilidad de datos y aplicaciones.
Ejemplo:
Tabla 2 – Modelos de implementación de Cloud Computing.
 Recomendaciones Cloud Computing
Octubre 2012
para Usuarios

Recomendaciones a los Usuarios para la adopción del Cloud Computing

A continuación compartimos una serie de recomendaciones que sería importante que se

tengan en cuenta al momento de evaluar una solución de servicio basado en Cloud Computing:

Tener en cuenta el valor de la información que estaremos utilizando en el servicio de

Cloud Computing y verificar que el servicio cumpla los requisitos que necesitamos.

Leer detenidamente los Términos y Condiciones o el Service Level Agreement (SLA) y
evaluar si corresponden con las condiciones que estamos dispuestos a aceptar.

Mantener los controles de seguridad propios aunque se seleccione un servicio de Cloud
Computing. Por ej: Respaldo de la Información.

Tener en cuenta las aplicaciones que utilizamos para el servicio de Cloud Computing y
los accesos asignados, revisando periódicamente los mismos para verificar que sigan
siendo necesarios. Por ej: aplicaciones con acceso a perfiles de redes sociales.

Tener en cuenta los requisitos legales que debemos cumplir al momento de enviar
información a una solución de Cloud Computing: Por ej: Derechos de Autor, Acuerdos
de Confidencialidad, Privacidad, etc.

Analizar los términos y condiciones, ofreciendo propuestas sobre aquellos puntos en los
que no haya acuerdo. Si los términos y condiciones no cubren los requisitos, no se
deberían aceptar, aunque ello signifique no utilizar el servicio.

Verificar que existan cláusulas al momento de finalizar el servicio, relacionadas con la
seguridad de la información involucrada y los requisitos establecidos para su
disposición. Por ej: borrado seguro, devolución, etc.

Una buena herramienta para ayudar selección de un proveedor de Cloud Computing es
el Consensus Assessments Initiative (CAI) de la Cloud Security Alliance (CSA). Consiste
en un cuestionario que, a través de las distintas respuestas, permite identificar la
gestión de la seguridad por parte del proveedor de Servicios de Cloud.

Verificar si el proveedor de Cloud Computing se encuentra registrado en el proyecto
Security, Trust, and Assurance (STAR) de Cloud Security Alliance (CSA), en el mismo se
pueden conocer distintos aspectos de seguridad implementados en el servicio de Cloud
Computing.

Tener en cuenta que aunque se seleccione un determinado proveedor de Cloud
Computing, seguimos siendo los responsables por el cuidado de la información.

Estar al tanto de los incidentes de seguridad que se presenten e involucren al proveedor
de Cloud Computing seleccionado.
 Recomendaciones Cloud Computing
Octubre 2012
para Usuarios

Acerca de Cloud Security Alliance (CSA)

El Cloud Security Alliance es una entidad sin fines de lucro creada para fomentar el uso de las
buenas prácticas, reforzar garantías de seguridad, y ofrecer formación en todo lo concerniente
a cloud computing. El Cloud Security Alliance está compuesto por expertos de diferentes
disciplinas, unidos para promover un nivel común de entendimiento entre los consumidores y
proveedores informáticos en relación a los requisitos de seguridad necesarios y al certificado de
garantía; impulsar la investigación independiente enfocada a encontrar mejores prácticas para
la seguridad informática; lanzar campañas de sensibilización y programas educativos sobre el
uso de la red y soluciones seguras; y crear listas de consenso en cuestiones de orientación y
garantía de seguridad.

Misión del Capítulo

Promover el uso de buenas prácticas, a fin de ofrecer confianza dentro del ámbito de Computo
en la Nube y proveer educación sobre los usos de Computo en la Nube, ayudando a asegurar
todas las otras formas de computo.

Referencias
Cloud Security Alliance:
http://www.cloudsecurityalliance.org
Cloud Security Alliance Chapter Argentina
http://chapters.cloudsecurityalliance.org/argentina/
NIST SP800-145: The NIST Definition of Cloud Computing
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
Infografía sobre Modelos de Implementación de Cloud Computing:
http://wikibon.org/blog/wp-content/uploads/2010/12/cloud-computing-landscape-full.html
Guía para la Seguridad en Áreas Críticas de atención en Cloud Computing (CSG):
https://cloudsecurityalliance.org/research/security-guidance/
Cloud Assessment Initiative (CAI):
https://cloudsecurityalliance.org/research/cai/
Security, Trust & Assurance (STAR):
https://cloudsecurityalliance.org/research/initiatives/star-registry/
Riesgos y Amenazas del Cloud Computing:
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_
amenazas_en_cloud_computing.pdf

Contacto
press@ar.chapters.cloudsecurityalliance.org
@cloudsa_arg
CSA.Argentina (Facebook page)