Modelos de servicio de Cloud Computing

Los distintos tipos de servicios en el Cloud Computing

Software como servicio (Saas): cuando el usuario encuentra en la nube las herramientas finales con las que puede implementar directamente los procesos de su empresa: una aplicación de contabilidad, de correo electrónico, etc.

Permite el acceso a la aplicación utilizando un navegador web o una app, sin necesidad de mas programas en el ordenador o teléfono móvil. Es recomendable para usuarios que solamente necesitan utilizar las aplicaciones. Los usuarios aportan sus datos y pueden personalizar la aplicación dentro de los límites que marca el proveedor. No existen costes tecnológicos de hardware, software o soporte técnico. 

La seguridad recae en el proveedor que es el encargado de gestionar toda la infraestructura y de asegurarse de que garantizar la seguridad de sus servicios. Uno de los ejemplos mas conocidos sería Google apps

Infraestructura como servicio (Iaas): el proveedor proporciona capacidades de almacenamiento y proceso en bruto, sobre las que el usuario ha de construir las aplicaciones que necesita su empresa prácticamente desde cero.

Este tipo de infraestructura es recomendada para empresas que necesitan una mayor versatilidad ya que permite ejecutar prácticamente lo que la organización desee. Tiene un coste mas elevado debido a que la empresa es la encargada de mantener todo el software que instale.

En relación a la seguridad , esta está repartida ya que el proveedor gestiona la infraestructura y deberá tomar medidas para garantizar que esta funcione correctamente y debe garantizar su seguridad física , pero el cliente es responsable tanto de las aplicaciones como de los sistemas y debe cerciorarse de que funcionan de manera correcta y segura.

Un ejemplo puede ser el servicio de Amazon.

Plataforma como servicio (Paas): Es un punto intermedio entre el software como servicio y el de Infraestructura como servicio. En la plataforma como servicio te proporcionan utilidades para construir aplicaciones, como bases de datos o entornos de programación sobre las que el usuario puede desarrollar sus propias soluciones.

En el Paas, el proveedor entrega una plataforma al cliente con el hardware, el sistema operativo y las APIS para que el clienta pueda instalar software y desarrollar un servicio o una aplicación.

Se recomienda para empresas que quieran desarrollar software y sus propias aplicaciones  sobre la plataforma que proporciona el proveedor, despreocupándose del hardware y del sistema operativo

Un ejemplo es Microsoft Azure:

FORMULARIO

Cloud Security Alliance (CSA). Principales Amenazas para el Cloud Computing y la Seguridad en áreas críticas de atención en Cloud Computing.

  

Ya que en la nube se concentran todos los datos en un solo lugar los riesgos de disponibilidad, rendimiento y seguridad de información pueden aumentar, con el uso de nuevas tecnologías implementadas como la virtualización y diversas nuevas aplicaciones web, en riesgo en la seguridad se ve afectada.

 En el Cloud Computing se tiene a maximizar la seguridad y privacidad de la información ya que el cliente puede llegar a desconfiar de que sus datos y aplicaciones residan en proveedores externos que tengan parcial o total control de la plataforma. Por ellos la seguridad en Cloud Computing se centra en la privacidad, la confidencialidad e integridad de los datos, la autenticación, la

localización de los datos.

Ahora paso a nombrar cuales son las principales amenazas para el Cloud Computing según la CSA.

1.    Abuso y uso inadecuado del Cloud Computing.
2.     Interfaces y APIS  inseguras.
3.    Amenazas internas malintencionadas.
4.    Inconvenientes debido a las tecnologías compartidas.
5.    Pérdida o fuga de datos.
6.    Secuestro de sesión o de servicio.
7.    Riesgos por desconocimiento.

     Abuso y uso inadecuado del Cloud Computing:

En las plataformas de Cloud Computing se debe seguir un firme proceso de identificación y debe de ser restrictivo. Actualmente el único requisito que se solicita para efectuar el pago de tu tarifa de Cloud Computing es una tarjeta de crédito valida, así se mantiene el anonimato y evitas el spammer.

 Las soluciones que nos plantean para evitar lo mejor posible estas amenazas son:

-          Procesos de validación y registro muy estrictos donde se confirmen los datos de una forma rigurosa.

-          Estar en contacto y coordinados con la entidad que procesa la tarjeta de crédito, para evitar problemas de fraude.

-          Monitoreo de las listas negras de cada bloqueo de direcciones IP de un proveedor de Cloud Computing.

     Interfaces y APIS Inseguras:

Los proveedores que ofrecen Cloud Computing ofrecen un conjunto de interfaces que pueden ser un riesgo para la empresa debido al tema de seguridad, a la integridad y a la confidencialidad de la información, ya que estas pueden ser un buen medio para causar daño sea intencionado o accidental.

Las soluciones que se nos plantean para evitar este problema son:

-          Analizar el modelo de seguridad de las interfaces del proveedor de Cloud

-          Asegurarse del método de autentificación y control de acceso que se esté utilizando, teniendo en cuenta que se haga cifrado de datos.

    Amenazas internas malintencionadas:

Este es uno de los problemas más conocidos de seguridad de la información que tiene cualquier organización, ya que los propios trabajadores tienen libre acceso a todos estos datos y aplicaciones que se manejan, por ello la empresa debe cerciorarse de que persona contrata, ya que puede ser un hacker, o alguien que quiera apropiarse de información confidencial de la empresa.

Las empresas de Cloud Computing deben asegurarse muy bien de quienes son sus empleados ya que trabajan con la data confidencial de cada uno de sus clientes.

Las soluciones planteadas para esta amenaza son:

-          El área de Recursos Humanos de un proveedor de servicios de Cloud debe establecer cláusulas legales y de confidencialidad en los contratos laborales.

-          Exigir al proveedor transparencia en lo referente a los procedimientos usados para el manejo y la Seguridad de la Información.

       Inconvenientes debido a tecnologías compartidas:

Esta amenaza afecta más directamente a los servicios IaaS, ya que los discos duros particionados no fueron diseñados con propiedades de aislamiento en arquitecturas compartidas. EL que supervisa lo referente a la virtualización intermedia el acceso entre los recursos físicos del anfitrión y el sistema operativo del huésped.

Estos inconvenientes derivados de la infraestructura compartida pueden evitarse bastante si se tienen un sistema de defensa solido que garantice a cada que ningún otro usuario pueda tener acceso a archivos que no sean los suyos.

Soluciones para mitigar esta amenaza son:

-          Implementar buenas prácticas de seguridad para la instalación y la configuración de servicios IaaS.

-           Monitorear el entorno para detectar cambios en la actividad anormal.

-           Proporcionar control de acceso y autenticación para el acceso de administración y de operaciones.

-           Realizar auditorías y análisis de vulnerabilidades

    Pérdida o Fuga de datos.

El tratamiento de la información va aumentando debido al número de interacciones, por ello los proveedores deben tomar acciones para que los datos no puedan ser ni manipulados, ni borrados ni extraídos por terceros ya que esto supondría un gran impacto en cualquier empresa, por ello se debe garantizar la integridad de los datos y mantener la buena imagen y la buena reputación del proveedor en el mercado del Cloud Computing.

Para minimizar estas amenazas debemos:

-          Implementar APIs robustas para el control de acceso.

-          Protección y cifrado de los datos en tránsito

-          Análisis de la protección de datos

-          Establecer buenos mecanismos para generar claves

-          Especificar mediante un contrato las políticas de conservación y seguridad de los datos.

  

    Secuestro de sesión o servicio:

El atacante que se coloca en medio de dos máquinas para poder apoderarse de una sesión abierta. Esta es una amenaza superior por lo que en la nube se debe prestar una mayor importancia para evitar que el intruso pueda obtener credenciales y contraseña y pueda llegar a manipular la información, realizar transacciones o re-direccionar clientes a sitios ilegítimos, ya que conseguiría que la reputación del servidor quedara seriamente afectada.

Por ello, para evitar estas amenazas se recomienda:

-          Prohibir la compartición de credenciales entre los usuarios y los servicios

-          Implementar técnicas de autentificación que tengan doble factor para poder garantizar que el proceso sea más seguro

-          Realizar un monitoreo que pueda detectar cualquier actividad que no haya sido autorizada con anterioridad

      Riesgos por Desconocimiento:

Ya que uno de los principales objetivos de la contratación de servicios de Cloud Computing es la de ahorrar costes ya que no se compra el hardware y el software, ya que estos los proporciona el servicio de Cloud, pero el cliente no debe dejar de conocer los datos relevantes sobre la seguridad de sus datos, este debe solicitar al proveedor un registro de los intentos no autorizados que hayan sido direccionados hacia su red.

Para evitar estar amenazas se recomienda:

-          Acceso a los logs de los sistemas que está usando el cliente

-          Conocer los factores técnicos de la infraestructura

-          Monitoreo de alarmas cuando se realicen acciones con los datos críticos.

Obligación del proveedor de Cloud. Ley de protección de datos(LOPD) y propiedad intelectual.

La ley de protección de datos (LOPD) su principal tarea es la de regular los aspectos relativos al tratamiento de los datos personales y la libre circulación de los datos.

Hay que hacer referencia a lo que según la LOPD es un dato personal, lo define como cualquier información concerniente a personas físicas identificadas o identificables. Esto lo deben tener en cuenta tanto el cliente como el proveedor.

En el caso de que los datos con los que se va a trabajar en la nube sean datos personales, la empresa que los trate debe cumplir con el conjunto de obligaciones previstas en la LOPD: la inscripción de ficheros, deberes relacionados con la información en la recogida, el consentimiento y la calidad de los datos, garantía de los llamados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) o la adopción de medidas de seguridad.

Si los datos con los que se va a trabajar en la nube no son datos personales como por ejemplo cálculos u operaciones matemáticas, se puede proceder sin que la LOPD señale impedimento alguno.

En la prestación de servicios de cloud computing por terceros ajenos a la organización responsable se produce lo que la LOPD y su Reglamento de Desarrollo denominan un encargo del tratamiento. Esto es, una prestación de servicios en la que los datos son objeto de algún tipo de tratamiento por parte del proveedor, quien pasa a ser el encargado del tratamiento.

Este según el artículo 12 de LOPD tendrá que:

• 1.       Utilizar los datos exclusivamente para los fines contratados. En caso contrario, se convierte en responsable y debe responder por la infracción cometida.
• 2.       No comunicar esta información a terceros, ni siquiera para su conservación.
• 3.       Estar autorizado por el responsable para subcontratar y cumplir todos los requisitos de la LOPD y el RLOPD en esta materia
• 4.       Destruir o devolver la información tratada al responsable una vez finalizado el contrato. Cabe cumplir la obligación de devolución mediante la migración de los datos a un nuevo proveedor.

En relación al Traspaso de fronteras de los datos, tenemos que tener en cuenta dos artículos que hacen referencia en la ley de protección de datos, el articulo 33 y el artículo 34 que dictaminan que no se permite la transferencia temporal ni definitiva de carácter personal a otros países que no brinden un nivel de protección equiparable al LOPD

Ley de propiedad intelectual:

También hay que tener presente la ley de la propiedad intelectual que es el derecho que tiene una persona sobre sus obras y sus creaciones.

Este es un derecho patrimonial que otorga el estado por un tiempo determinado para usar y explotar de manera comercial e industrial un producto nuevo, una innovación o elementos relacionados con la capacidad creativa como una canción, un invento, símbolos imágenes etc. 

Cómo son y funcionan los centros de datos para 

cloud computing

Los centros de datos de cloud computing son complejas instalaciones donde tienen alojado todo el equipo necesario para garantizar que todos loss datos estén disponibles y al servicio del cliente todos los días del año.


Estas instalaciones tienen diversos sistemas tanto de seguridad física como de seguridad lógica para poder garantizar la integridad, confidencialidad y disponibilidad de la información que tenemos alojada allí. Redundancia de elementos críticos , personal cualificado , acreditaciones de prestigio, acceso biomédico , diferentes tecnologías anti malware etc..



Estos centros cuentan con numerosas salas donde  se encuentran pasillos de racks , que es donde se coloca el equipo y donde se conectan los distinto elementos , en otros racks podemos encontrar las plataformas que conforman los servicios it de los clientes como puede ser el hosting compartido.

Que es la virtualización y sus ventajas 

Buenas tardes, en esta entrada os hablare sobre la virtualizacion , y las ventajas que tiene el implementarlo en vuestra casa/empresa .Voy a explicar un poco en que consiste el termino "virtualizar" 

 Virtualizar es a grandes rasgos una tecnología que permite crear múltiples entornos simulados o recursos dedicados desde un solo sistema de hardware físico.Permite crear un entorno informático simulado, o virtual, en lugar de un entorno físico. A menudo, incluye versiones de hardware, sistemas operativos, dispositivos de almacenamiento, etc., generadas por un equipo. Esto permite a las organizaciones particionar un equipo o servidor físico en varias maquinas virtuales. Cada máquina virtual puede interactuar de forma independiente y ejecutar sistemas operativos o aplicaciones diferentes mientras comparten los recursos de una sola máquina host.



Sus ventajas principales son:

• Ahorro de costes: es una de las cuestiones por las cuales más se han interesado las empresas en la virtualización, ya que ademas de ahorrarnos dinero ya que no necesitamos comprar el hardware en cuestión  podemos ahorrar mucho tiempo gracias a la facilidad de administración o de clonación de los discos duros virtuales, que se realizarán como cualquier otro archivo.

• Entornos de prueba: podemos probar demos o algunos programas que no estemos seguros si usaremos o si nos gustaran , otra opcion interesante es la de  virtualizar nuestro propio sistema para realizar todas estas instalaciones en el sistema virtual y dejar nuestro sistema anfitrión “limpio”, instalando sólo aquello que definitivamente vamos a usar.

• Entornos aislados de seguridad: Para poder crear un sistema aislado donde las únicas conexiones con internet que tengas se harán desde entornos seguros ,esto tendrá como consecuencia que la navegación se realizara con mucho mas cuidado y seguridad . 

• Compatibilidad de programas: cuando utilizas un sistema operativo Linux o Mac a veces no es posible encontrar el programa que necesitamos para estas plataformas, por lo que o tenemos instalado Windows o nos buscamos otra alternativa. Por lo que si tenemos virtualizado Windows dentro de nuestro Mac o Linux nos puede ahorrar una buena cantidad de problemas y tiempo buscando el equivalente de un programa para estos sistemas.

Estructura del Departamento de IT

La estructura del departamento de IT dependerá de como sea la empresa ya que no existe un  organigrama perfecto para cualquier tipo de empresa.

Pero si que es cierto que existen unas pautas para organizarlo de una manera a grandes rasgos eficiente:

Un departamento de IT normalmente suele estar estructurado en diversas Areas:

- Área de Comunicaciones: La cual se encarga de gestionar  las redes internas, externas, las comunicaciones tanto de líneas fijas, como las líneas móviles, instalaciones y contratos con los proveedores de comunicaciones.

-Area de control de riesgos: Gestiona los riesgos del departamento el que dictamine los niveles de seguridad del departamento, el que controla los planes de contingencia. Este realizará las auditorias internas en caso de no contar con este departamento habra que subcontratalo a una empresa externa.

- Área de negocio y aplicaciones empresariales: Hace de puente entre el personal técnico y el personal de negocio . También se dedica a simular los procesos de negocio en las aplicaciones empresariales que esta se dedica principalmente a conceptualizar los procesos de negocio en las herramientas empresariales.

- Área de centro de atención al usuario: área de soporte encargada de recoger las peticiones y las incidencias de los usuarios y de su resolución si esta es de importancia.

- Área de sistemas e infraestructuras: es el encargado de mantener los sistemas e infraestructuras que dan servicios a los sistemas de información, se encarga de controlar los costes de su área y de proveer una mejora continua al servicio.

- Área de desarrollo y nuevas tecnologías:  Desarrolla y analiza nuevas tecnologías que se puedan implantar en la empresa. 

- El director de sistemas: También llamado CIO se debe encargar que todas las áreas de negocio queden cubiertas de una manera eficiente. Debe existir un consultor experto tecnológico por cada área de Negocio de la empresa.

El tamaño de esta estructura dependerá evidentemente de la necesidad de T.I. que tenga la empresa.

Servicios de almacenamiento en la nube

¡Buenas tardes!

Como comente en mi anterior publicación , en esta ocasión os voy a hablar sobre lo que personalmente creo que son los seis mejores servicios de almacenamiento en la nube actuales.

El vídeo que voy a publicar es un prezzi que posteriormente he convertido en un vídeo con el programa Screen Recorder y posteriormente lo he editado con el servicio online WeVideo.

En el vídeo detallo sus características principales , la ventaja que ofrece frente a sus competidores , sus tarifas a fecha marzo 2018 y algún dato adicional de interés.

Aquí os dejo los enlaces sobre estos proveedores de servicios de almacenamiento en la nuve Por si s despues de ver el vídeo os interesa informaros en profundidad y quereis contratar sus servicios.

1. ONE DRIVE
2. GOOGLE DRIVE
3. ICLOUD
4. DROPBOX
5. MEGA
6. BOX

Aquí os dejo el vídeo . ¡Espero que lo disfrutéis! Saludos.

LO QUE DEBO CONOCER PARA LA CONTRATACIÓN DE SERVICIOS DE ‘CLOUD COMPUTING

En esta ocasión voy a informaros sobre todo lo que una empresa necesita saber antes de contratar los servicios de Cloud Computing , lo haré en forma de preguntas y respuestas para añadirle claridad a la explicación.


Que debo analizar y tener en cuenta antes de contratar servicios de cloud computing?

Lo primero de todo es saber el tipo de datos que vais a subir , ya que vendrá determinado por la importancia que tengan estos . Con el conocimiento de los datos a subir , tendrá que determinar para qué datos personales contratará servicios de cloud computing y cuáles prefiere mantener en sus propios sistemas de información.



Desde la perspectiva de la normativa de protección de datos, ¿cuál es mi papel como cliente de un servicio de ‘cloud’?

El cliente sigue siendo el responsable del tratamiento de datos personales,la responsabilidad no se desplaza al prestador del servicio.
El que ofrece la contratación de cloud computing es un prestador de servicios que en la ley de protección de datos


¿Cuál es la legislación aplicable?

 El cliente que contrata servicios de cloud computing sigue siendo responsable del tratamiento de los datos por lo que la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (Ley Orgánica 15/1999, de 13 de diciembre y Reglamento de desarrollo –RLOPD– aprobado por R.D. 1720/2007).


¿Cuáles son mis obligaciones como cliente?

Debe conocer si intervinieren terceras personas (empresas subcontratadas) cuando contratas los servicios de una empresa de Cloud Coputing.


¿Dónde pueden estar ubicados los datos personales? ¿Es relevante su ubicación?

Es importante saber donde están localizados tus datos , ya que según en que país se hallen cambiaran sus garantías de protección .
 Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega .
Si tus datos están ubicados en un lugar no perteneciente al Espacio Económico Europeo dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.


¿Qué garantías se consideran adecuadas para las transferencias internacionales de datos?

Se considera una garantía adecuada que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la Agencia Española de Protección de Datos o por Decisión de la Comisión Europea.

Las que proporcionan las empresas que están en Estados Unidos  será suficiente con hacer constar la transferencia en la notificación del fichero a la Agencia Española de Protección de Datos.

Cuando los datos estén ubicados en terceros países , una Autoridad competente puede solicitar y obtener información sobre los datos personales de los que el cliente es responsable. El proveedor deberá informar al cliente si esto pasa.

¿Qué medidas de seguridad son exigibles?

Estas son indispensables para garantizar la integridad de tus datos , y en caso de que llegue a ocurrir algún percance tener la seguridad de recuperar la información.

El nivel de seguridad dependerá en  mayor o menor medida de la sensibilidad de los datos personales.
Debe contactar con su proveedor de Cloud para saber cuales son las medidas de seguridad del servicio que contrata.

¿Cómo puedo garantizar o asegurarme de que se cumplen las medidas de seguridad?

Debo poder tener acceso a la información pertinente a la seguridad de mis archivos alojados en la nube , el proveedor le deberá garantizar que tiene la seguridad adecuada.Se puede acordar con un tercero independiente que audite la seguridad de tus datos.

¿Qué compromisos de confidencialidad de los datos personales debo exigir?

EL proveedor del servicio debe garantizar la confidencialidad de sus datos utilizando los datos solo para los servicios contratados.


¿Cómo garantizo que puedo recuperar los datos personales de los que soy responsable (portabilidad)?

Esto significa que el proveedor al acabar el servicio tendrá que entregar toda la información de forma que é pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato accesible .

Para conocer la información relativa a la portabilidad tendrás que solicitar  información y garantías al proveedor sobre la portabilidad de tus datos.

¿Cómo puedo asegurarme de que el proveedor de ‘cloud’ no conserva los datos personales si se extingue el contrato?

El cliente del cloud computing ,como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos. por ello el cliente tendrá que cooperar para garantizar el ejercicio de estos derechos.

¿Cloud Computing?

Buenas tardes!

En esta entrada del blog os voy a explicar a grandes rasgos en que consiste el Cloud Computing y los tipos de Cloud Computing que existen para que el interesado tenga información suficiente para elegir cual sera el modelo idóneo que desea contratar.

En primer lugar...¿Qué es el Cloud Computing ? 

El Cloud Computing es una nueva forma de prestación de los servicios de tratamiento de la información, válida tanto para una empresa como para un particular.

El Cloud Computing ayuda a maximizar el rendimiento y los beneficios ya que el cliente que contrata el servicio  no tiene necesidad de realizar inversiones en infraestructura sino que utiliza la que pone a su disposición el prestador del servicio.La gestión de la información está online en manos del cliente que contrata los servicios de la nube,y puede acceder a base de datos , correos electrónicos , aplicaciones y todo lo que haya decidido la empresa almacenar en este servicio.

Destaca que el proveedor del servicio puede estar en cualquier lugar del mundo y nos proporcionara unos servicios optimizando sus propios recursos por medio de la deslocalización , con subcontrataciones etc..

Tipos de Cloud Computing:

Nube Publica:

El proveedor de servicios de Cloud proporciona sus recursos de forma abierta solo con un contrato firmado entre proveedor y cliente.

El proveedor ofrece el mismo servicio a muchos clientes desde su centro de datos, por lo que comparten recursos tanto de almacenamiento , como de procesos, etc. 

Por ello este tipo de servicios ofrecen gran escalabilidad a un precio bastante asequible. 

Otra de sus ventajas es que ofrecen una gran eficiencia de recursos. 

Estos se reconocen por que el contrato y el ANS suelen ser cerrados e innegociables ,en otras palabras , es obligatorio aceptar las condiciones del proveedor.

Nube Privada:

Cuando una entidad realiza la gestión y administración de sus servicios en la nube y no participan empresas o entidades externas, por lo que mantienen el control total sobre las mismas y toda su confidencialidad la tienen salvaguardada en la propia empresa.

Los recursos se entregan de forma exclusiva al cliente al que le ofrece el control sobre el servicio que alquila.Sigue destacando la escalabilidad propia del Cloud Computing por si necesitamos contratar mas servicios.

Su mayor ventaja radica en que tenemos mayor control en lo relativo a la seguridad y la privacidad de los datos, aunque este tipo de nube tiene un elevado coste en comparación con las demás.

Los contratos son negociables o parcialmente negociables.

Nubes híbridas y Nube comunitaria: 

Entre ambos modelos se encuentran soluciones intermedias como pueden ser las nubes híbridas que brindan una mezcla de ambas.

Por ejemplo las nubes híbridas permiten contratar ciertos servicios en una nube publica y otras servicios en una nube privada. Esto es útil si queremos que ciertos datos sensibles permanezcan bajo nuestro control, que los podremos alojar en una nube privada y otros datos pueden ser administrador por el proveedor y el se encarga de mantenerlo online , vigilarlo, etc.. 

En las nubes comunitarias que son nubes compartidas entre varias organizaciones o empresas con unos principios similares. Esta puede ser gestionada por la propia comunidad o por un tercero.

-En la actualidad hay gran numero de tipos de nubes según las necesidades que tenga la empresa y el tamaño de esta.