2.1.

Proteccin de los datos Desde que la informtica ha asumido el protagonismo del tratamiento de informacin, casi cualquier dato, por no decir todos, que pasan por una Administracin se almacenan en algn soporte informtico. Algo tan sencillo como registrar una solicitud de ayuda en un Ayuntamiento implica que nuestros datos de contacto (Nombre, Apellidos, nmero del documento de identidad, domicilio, etc.) se registren informticamente en la aplicacin informtica del organismo al que hemos accedido Esta informacin, a priori confidencial, debe ser tratada nica y exclusivamente para la realizacin de la actividad administrativa correspondiente, por lo que es importante asegurarse de su correcta utilizacin y de evitar cualquier acceso no autorizado a la misma. Entre los riesgos informticos ms conocidos estn los virus informticos. Se trata de programas informticos que actan como los virus biolgicos (de aqu el nombre). Es decir, se introducen en otro programa (lo infectan), se reproducen y posteriormente ejecutan instrucciones de tipo destructivo o como mnimo, interfieren en el correcto funcionamiento del sistema (a veces son gracias como emitir un mensaje en todas las pantallas bloqueando otros procesos). El peligro de los virus informticos es su propagacin y la prdida de datos almacenados en los ordenadores infectados. Para estar a salvo de los virus informticos, es conveniente que todos los ordenadores conectados a la red de una Administracin Pblica dispongan de aplicaciones antivirus, que sirven para detectar los posibles contagios y evitar su propagacin y ejecucin. Adems, es conveniente que los usuarios tengan una especial atencin con los programas y datos que trabajan, evitando abrir aplicaciones que no conocen. Actualmente, a travs del correo electrnico es muy comn reenviar archivos adjuntos (fotos, presentaciones, documentos de texto) y los virus aprovechan estos documentos para propagarse y ejecutarse en el ordenador infectado. Otro riesgo informtico es el conocido como phising. Es un tipo de estafa consistente en falsear la identidad de una persona o empresa y hacerse pasar por ella para solicitar datos confidenciales del usuario. 2.2. Seguridad de los servicios en la nube La "nube" consiste en utilizar Internet para acceder a recursos informticos compartidos. Est transformando el modo en que consumimos, compartimos y utilizamos la informacin digital, ya que permite que el acceso a la informacin y las funciones informticas sea ms sencillo, rpido y asequible. De hecho, cada vez son ms las empresas que adoptan la computacin en la nube a medida que se enfrentan a nuevos retos en materia de seguridad. La computacin basada en la nube le proporciona aplicaciones y servicios fciles de usar, pero necesita asegurarse de que su informacin personal y sus archivos estn a buen recaudo. Encuestas han revelado que una mayor adopcin de la nube pblica conlleva ms problemas de seguridad para las empresas de todo el mundo.

Encontrar la estrategia de seguridad adecuada puede ayudarle a aprovechar el increble potencial que la computacin en la nube ofrece a las empresas para controlar sus datos, mantener el cumplimiento de normativas y reducir costes. Con independencia del enfoque que adopte para la computacin basada en la nube, necesitar unos cimientos slidos de seguridad capaces de adaptarse a todas sus plataformas: fsicas, virtuales y basadas en la nube. 2.2.1. Aseguramiento de los datos en la nube Existe una herramienta llamada Cloud Storage Assurance (CSA) la cual es la primera copia de seguridad de la industria y solucin de archivo que permite a sus usuarios la posibilidad de almacenar sus archivos de datos y mensajes de correo electrnico en una plataforma de almacenamiento en la nube alojados en su Data Center. Con un acceso rpido y fcil a los datos almacenados y correos electrnicos, CSA ofrece a sus clientes de negocios pistas de auditora transparente para archivos individuales, lo que confirma la garanta del documento completo e integridad de los datos. Herramientas de bsqueda y auditora integradas ideales para hacer frente a las tareas de documentos usualmente difciles y tareas de manejo de documentos que consumen tiempo para recuperacin de datos y probar su autenticidad, como ocurre durante el eDiscovery o prueba de adherencia a las regulaciones de la industria o del gobierno. CSA cumple fcilmente con los ms estrictos estndares de cumplimiento, a la vez que protege los datos de los clientes contra eliminaciones accidentales, modificaciones o corrupcin. Sus clientes pueden automticamente archivar directorios archivos y correos electrnicos seleccionados por todo el tiempo que deseen. Los datos se pueden encontrar fcilmente en cualquier momento utilizando las funciones de bsqueda inteligentes incorporados en nuestro portal seguro, incluidas las bsquedas anidadas muy avanzadas, nubes de etiquetas (tags clouds) y bsqueda predictiva. Un proveedor de servicios puede ofrecer CSA ya sea como un servicio gestionado independientemente o como un add-on para Cloud recovery Service. CSA es ideal para clientes que buscan capacidades de archivamiento de datos auditables sin tener que invertir en costosas infraestructuras, personal o software complejo. 2.2.2. Cumplimiento con marcos regulatorios y estndares de la industria Antes de que los datos delicados y reglamentados se trasladen a la nube pblica, se deben enfrentar los problemas de estndares de seguridad y compatibilidad, entre ellos, la autenticacin slida, la autorizacin delegada, la administracin de claves para datos encriptados, la proteccin contra la prdida de datos y la creacin de informes reglamentarios. Cmo se cumplirn estos requerimientos en las infraestructuras de nube

individuales y en varias nubes seleccionadas por el consumidor como mejores prcticas? Los proveedores de servicios de nube actuales pueden convertirse en modelos de facto en funcin de los cuales pueden emerger la seguridad y la federacin de los controles de autorizacin. O bien, es posible que, del trabajo actualmente realizado por diversos organismos, surjan las respuestas a preguntas, como qu estndares actuales se pueden aplicar a cloud computing, qu brechas existen y qu estndares nuevos deben desarrollarse. Da a da, son numerosas las organizaciones que han decidido gestionar y mejorar su seguridad y la de la informacin que manejan mediante la implantacin de Sistemas de Gestin de Seguridad de la Informacin basados en el estndar ISO 27001, con apoyo en el resto de los estndares de esta familia. Los favorables resultados de estas decisiones ya se han comprobado en mltiples organizaciones. Analizando estas organizaciones se detecta que, de acuerdo con el estado del arte vigente hasta la fecha, basan la prestacin de sus servicios TI en Centros de Datos Corporativos. Cabe pues preguntarse, cul sera el estado de seguridad de estas organizaciones si implantaran un modelo TI basado en La Nube? Seran ms seguras y/o ms eficientes? Se puede plantear la certificacin de un SGSI bajo la Norma ISO 27001? Cul sera el esfuerzo de dicha certificacin? Se deben valorar varios aspectos. En primer lugar, la adopcin de un modelo de Nube conlleva la existencia de un nuevo proveedor de servicios que debe ser incluido entre los elementos del Sistema de Gestin. De acuerdo con las buenas prcticas establecidas por el SGSI, la relacin con este proveedor estar regulada por su Contrato de Prestacin de Servicios y sujeta a un Acuerdo de Nivel de Servicios. Efectivamente, este elemento es necesario. Pero igual de necesario que otros contratos que puede requerir la empresa de otros proveedores. De forma equivocada, puede pensarse que ese acuerdo es capaz de resolver todas las necesidades especiales que se derivan de La Nube, trasladando al proveedor estas necesidades especficas. Pero esto no es posible. Porque la implantacin del SGSI est condicionada a la correcta seleccin, implementacin, mantenimiento, seguimiento y monitorizacin de controles de seguridad, basndose en los resultados de actividades de Anlisis de Riesgo desarrolladas por la compaa. Estos controles habitualmente parten del estndar ISO 27002, ISO 27001 en entornos Cloud Computing el cual tiene 133 controles, pudindose aadir cuantos controles extras se desee. Del anlisis de los 133 controles de ISO 27002, la adopcin de La Nube supone un impacto muy significativo en la forma en la que se han de implantar dichos controles de seguridad: slo un 35% de los controles de ISO 27001 se puede implantar igual en La Nube y en un Centro de Datos Corporativo. 2.3. Aspectos relevantes en la seguridad en la nube La cloud computing pblica requiere un modelo de seguridad que reconcilie la escalabilidad y la tenencia mltiple con la necesidad de confianza. A medida que las empresas trasladan sus ambientes informticos con las identidades, la informacin y la infraestructura a la nube, deben estar dispuestas a renunciar a cierto nivel de control.Para hacerlo, deben confiar en los sistemas y los proveedores de nubes, y verificar los procesos y los eventos de nubes. Entre los componentes bsicos importantes de la confianza y de las relaciones de verificacin, se incluyen el control de acceso, la seguridad de los datos, el cumplimiento de normas y la administracin de eventos; todos ellos son elementos de seguridad bien comprendidos por los departamentos de TI actuales, implementados con productos y tecnologas existentes, y extensibles a la nube.

Seguridad de la identidad

La administracin de identidades end-to-end, los servicios de autenticacin de otros fabricantes y la identidad federada se convertirn en un elemento clave de la seguridad de la nube. La seguridad de la identidad preserva la integridad y la confidencialidad de los datos y las aplicaciones, a la vez que ofrece acceso de disponibilidad inmediata a los usuarios adecuados. El soporte para estas capacidades de administracin de identidades de usuarios y componentes Seguridad de la informacin En el data center tradicional, los controles sobre el acceso fsico, el acceso a hardware y software, y los controles de identidad se combinan para la proteccin de los datos. En la nube, esa barrera de proteccin que garantiza la seguridad de la infraestructura se disipa. Para compensar, la seguridad deber estar centrada en la informacin. Los datos necesitan que su propia seguridad se traslade con ellos y los proteja. Se requerir. Aislamiento de datos: en situaciones de tenencia mltiple, ser necesario mantener los datos de manera segura para protegerlos cuando varios clientes usen recursos compartidos. La virtualizacin, la encriptacin y el control de acceso sern excelentes herramientas que permitirn distintos grados de separacin entre las corporaciones, las comunidades de inters y los usuarios. En el futuro cercano, el aislamiento de datos ser ms importante y ejecutable para IAAS de lo que quiz ser para PAAS y SAAS. Seguridad de datos ms granular: a medida que la confidencialidad de la informacin aumenta, la granularidad de la implementacin de la clasificacin de los datos debe aumentar

Seguridad de la infraestructura La infraestructura base para una nube debe ser inherentemente segura, ya sea una nube privada o pblica, o un servicio SAAS, PAAS o IAAS. Se requerir. Seguridad inherente de componentes: la nube debe estar diseada para ser segura, creada con componentes inherentemente seguros, implementada y aprovisionada de manera segura con interfaces slidas a otros componentes y, finalmente, soportada de manera segura con procesos de evaluacin de vulnerabilidades y administracin de cambios que producen informacin de administracin y seguridades de nivel de servicio que crean confianza. Para estos componentes implementados de manera flexible, la identificacin mediante la huella digital del dispositivo para garantizar la seguridad de la configuracin y el estado tambin ser un elemento de seguridad importante, al igual que lo es para los datos y las identidades en s. Seguridad de interfaz ms granular: los puntos en el sistema en los que se presentan intervenciones (usuario a red, servidor a aplicacin) requieren polticas y controles de seguridad granulares que garanticen consistencia y responsabilidad.

BIBLIOGRAFA http://www.conectarenprivado.com/docs/ES-cloudstorageassurance.pdf http://www.rsa.com/solutions/business/wp/11021_CLOUD_WP_0209_SP.pdf http://www.revistadintel.es/Revista/Numeros/Numero2/Normas/benito.pdf http://www.dell.com/mx/empresas/p/d/sb360/sb-newsletter-3-2012-2 http://www.nexura.com/publicaciones.php?id=37978