SIS on line - Servicio de Información de SeguridadGrupo Estudios Técnicos OnLine

ii iii iiii iiiii

Portada

Contacto Búsqueda Productos Empresas Anúnciese Libros Formación

VIE 29 MAR 2024

Bienvenido a SISONLINE.COM, el portal de los Profesionales, Empresas, productos y servicios de seguridad

Directorio
Empresas
Productos
Servicios


Búsqueda
avanzada

Seguridad en:

Hoteles
Hospitales
Industrias
Banca
C.Comerciales
Org.Oficiales
Museos
Cen.de Datos
Portal
Convocatorias
Novedades
Noticias
Formación
Libros
Asociaciones
Concursos
Legislación
Latinoamérica
Empleo
Enlaces

Boletín
gratuito, todas las novedades de la web
Infoseguridad


¿No encuentra
su empresa en
el directorio?
PINCHE AQUI

Encabezado de servicios

BANNER PRINCIPAL

MANUAL PARA EL DIRECTOR DE SEGURIDAD

Actualidad - Temas

Buscar:

Página nueva 1

SISONLINE.COM News Web Server: Más sobre Ciberseguridad

Más en España

15 de Junio de 2014

Cloud computing; seguridad y protección en la Nube
Fernando Davara Rodríguez

Esta semana se ha celebrado en Madrid la 7ª edición de “DCD Converged Madrid”, organizado por DatacenterDynamics, donde intervine como ponente en el panel dedicado a la protección de datos en infraestructuras críticas. Uno de los temas recurrentes en las diferentes exposiciones fue el de la seguridad en Cloud computing (es decir, en la Nube), de gran interés e importancia en la actualidad dada la creciente disposición a la utilización de soluciones virtuales.

Como es lógico cada uno de los ponentes focalizaba su visión de la seguridad en la Nube desde una perspectiva particular, orientada hacia su ámbito profesional y experiencia, con la consecuencia de que aparentemente se daba importancia y diferenciaba lo específico sin tener en cuenta lo general o conjunto.

En mi intervención repetí una vez más mi opinión de que la estrategia y práctica de la seguridad, en cualquier organización, dominio o entorno, real o virtual, debe formularse e implementarse mediante un enfoque holístico que integre todas sus particularidades, físicas, lógicas y de las personas, sin olvidar a los procesos, normas, procedimientos, etc, abarcando tanto la protección como la seguridad de datos, información, inteligencia, conocimiento, etc., es decir de todo el patrimonio intangible de la organización, se encuentre en la nube o en espacios reales.

Particularizando a los términos propuestos en dicho panel considero que cuando se aborda la temática de la seguridad de datos e información en Cloud Computing deben distinguirse dos aspectos bien diferenciados pero, sin embargo, íntimamente relacionados. Por una parte se encuentra la protección de datos, fundamentalmente en lo que concierne a la privacidad, mientras que por la otra se halla la seguridad de la información en sus diferentes formas frente a pérdidas, robos y manipulaciones.

En el primer caso, respecto a la protección de datos en un entorno Cloud es necesario tener presente que, con independencia del tipo elegido (privado o comunitario, público o híbrido) el usuario o cliente normalmente no conoce cuál es el emplazamiento físico donde se conservan por lo cual tampoco está en disposición de saber el tipo de reglamentación aplicable en esta materia, ni su compatibilidad con la de su país de sede o residencia.

A este respecto conviene recordar que la legislación comunitaria europea es muy estricta en estos casos. Por ejemplo, en cuanto mantener la propiedad de los datos confiados a un tercero quien no puede divulgarlos sin autorización expresa del cliente, mientras que en determinados países la protección de tales datos pasa a ser de responsabilidad del proveedor del servicio aplicándose las leyes locales.

En este contexto vemos como a raíz de la aparición del famoso asunto Snowden, revelando las investigaciones de la NSA estadounidense, adquiere amplia notoriedad la Patriot Act de los Estados Unidos que permite a las agencias de seguridad de este país el acceso sin límites a los datos depositados o gestionados en su territorio sin necesidad de informar de ello a sus propietarios. Y si ampliamos el campo podremos comprobar que otros países donde se encuentran localizados muchos de los centros de datos virtuales que existen actualmente (Rusia, India, China, etc.) tampoco ofrecen garantías de protección de datos adecuadas.

Si por su parte consideramos el segundo caso, que hace referencia a la seguridad de la información, su objetivo en la Nube debe ser el mismo que en otros entornos, es decir el respeto a los conocidos principios que garanticen sus confidencialidad, integridad y disponibilidad. En este sentido los actores, agentes y medidas son los mismos que en los entornos distribuidos tradicionales o clásicos pero incrementados por causa de las características especificas de la virtualidad y de la Nube.

Considerando en primer lugar las amenazas, es lógico deducir que a medida que se vaya incrementando el uso de la Nube, no solamente como almacén de datos sino también, y de forma especial, como proveedora de aplicaciones, servicios, infraestructuras y plataformas, irá progresivamente convirtiéndose en un mayor objeto de deseo para los diferentes agentes que actúan de forma ilícita en la red.

Respecto a las vulnerabilidades en Cloud se presentan tanto en los proveedores como en los usuarios. En los primeros por sus arquitecturas de red, hardware y software, así como por sus políticas de servicio y seguridad, mientras que en los segundos principalmente por que al ser atraídos por las indudables ventajas que ofrece la Nube, sin un adecuado conocimiento de sus riesgos inherentes, olvidan, desconocen o no ponen en práctica los principios elementales de seguridad y protección llegando incluso a considerar, en múltiples ocasiones, que no solo la seguridad sino también la confianza reside en el proveedor y no en el usuario.

¿Soluciones? Múltiples y diferentes; abarcando desde las propuestas extremas de no recurrir a soluciones en la Nube en caso de datos sensibles, pasando por las mas tradicionales de cifrado o conocimiento cero, hasta la más demandada en los últimos tiempos que consiste en ampliar la “seguridad de la Nube” con la “seguridad en la Nube” es decir utilizar a Cloud computing para obtener servicios de seguridad de datos e información.

Dada tal amplitud dejaré el análisis de algunas de ellas para posteriores artículos finalizando este con una primera reflexión sobre la seguridad en Cloud computing. No hay que dejarse llevar por modas o corrientes que conducen a depositar nuestra confianza en la Nube (en cualquier Nube) pensando que por este hecho está simplemente garantizada la seguridad de datos e información. Pero tampoco se debe demonizar a Cloud calificándola de insegura.

En la Nube, al igual que se está planteando en otros casos en las modernas organizaciones, la seguridad no solamente es cuestión de aspectos técnicos y legales sino que demanda un compromiso entre clientes y proveedores, propietarios de los datos e información y prestatarios de infraestructuras y servicios virtuales. Y para ello es necesario llevar a cabo esfuerzos por ambas partes pues la solución, cualquiera que sea, pasa por encontrar el equilibrio entre las ventajas de la virtualización y la garantías de la seguridad.

Fuente: FERNANDODAVARA.COM

Más información:

SISONLINE.COM le ofrece un servicio gratuito de contacto para ampliar la información a través de Internet sobre sus PRODUCTOS, TECNOLOGIAS y SERVICIOS.

Solicitud:

Indique sus datos de contacto:

Nombre y Apellidos *
Empresa *
Actividad de la empresa *
Cargo *
Provincia *
País *
Teléfono *
Correo Electrónico *
Si no tiene, indique un número de móvil y/o un fax

He leído y estoy de acuerdo con la política sobre Protección de Datos Personales de este servicio web.

-En cumplimiento de lo establecido en la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal, le informamos que los Datos que nos facilite mediante la cumplimentación del presente formulario pasarán a formar parte de un fichero propiedad de GE GRUPO ESTUDIOS TECNICOS SL con el fin de ofrecerle información sobre el sector y mercado de la Seguridad. No existe venta, comunicación ni cesión de sus datos a ninguna entidad u organización. Asimismo, le informamos que puede ejercer los derechos de acceso, rectificación, cancelación y oposición en la dirección get@getseguridad.com..

Borde inferior compartido