Cloud Computing
Seguridad y Privacidad de los datos
En los últimos años las organizaciones asisten con expectación al surgimiento y desarrollo del cloud computing o paradigma de computación en la nube, según el cual, todos los recursos de información pueden ser almacenados en servidores de terceros y accesibles a través de Internet.
1. CLOUD COMPUTING COMO EVOLUCIÓN DE TECNOLOGÍAS.
Es una propuesta tecnológica o modelo que permite ofrecer servicios informáticos a través de Internet en el que los recursos, el software y los datos se ofrecen bajo demanda.
Cloud computing es la suma de la evolución de varias tecnologías:
Aumento de la capacidad de procesamiento. Desde el origen de la informática,
la capacidad de cómputo de los ordenadores personales se ha ido incrementando
de forma vertiginosa.
Conexión a Internet. La Red se ha convertido en una herramienta casi
indispensable en la vida cotidiana de las personas.
Dispositivos móviles. Los componentes informáticos ha
permitido la aparición de dispositivos móviles que permiten la conexión
permanentemente a Internet.
El cómputo en la nube, al igual que otras tecnologías, implica tener que revisar esquemas
jurídicos pensados para un entorno “tradicional”, convirtiéndose así en un nuevo
paradigma. Y como tecnología, es necesario que la regulación sobre protección de datos
personales responda a los retos que se plantean de manera que se garantice la innovación y
la seguridad jurídica necesarias para atraer inversión y proteger el derecho fundamental a
la protección de datos personales.
CARACTERÍSTICAS PRINCIPALES
- ACCESO UBICUO A LOS DATOS. Con cloud computing se puede trabajar desde cualquier lugar.
- ASPECTOS ECONÓMICOS: Es necesario llevar a cabo una gran inversión para implantar el modelo en la organización.
- ESCALABILIDAD Y FLEXIBILIDAD: Debido a la gran escalabilidad y flexibilidad del cloud computing, todos los proveedores de servicios ofrecen la posibilidad de añadir o eliminar recursos en cuestión de minutos.
- DESLOCALIZACIÓN DE DATOS Y PROCESOS: En un sistema informático tradicional, el administrador del sistema conoce en qué máquina se almacena cada dato y qué servidor es el encargado de cada proceso.
- DEPENDENCIA DE TERCEROS.
2.- SEGURIDAD EN LA NUBE
Utilizar los servicios en la nube conlleva un cambio en la forma de entender la seguridad informática. Deja de existir la imagen tradicional en la que todos los servidores de la empresa están en el sótano del edificio donde solo pueden acceder los administradores informáticos. Al hacer uso del cloud computing una parte importante de la seguridad del sistema recae sobre la empresa que provee los servicios en la nube.
Para entender el modelo de seguridad de la información aplicado en este modelo es necesario conocer los distintos actores que participan en él:
Proveedor de servicios en la nube: empresa que dispone de la infraestructura informática necesaria para hospedar los programas siguiendo el modelo de cloud computing.
Cliente: persona, organización o empresa que contrata los servicios en la nube. El cliente es quien paga cierta cantidad de dinero para beneficiarse de las prestaciones de la computación en la nube.
El usuario final, o la persona o grupo de personas que utiliza el programa, puede ser distinto al cliente. Por ejemplo, una empresa puede contratar servicios en la nube para hospedar un servidor web al que accederán sus empleados.
3.- PRIVACIDAD EN LA NUBE
La información es el activo más importante de las organizaciones. Asegurar la privacidad de la información durante su ciclo de vida es crucial a la hora de utilizar servicios de cloud computing.
PROTECCIÓN DE DATOS:
El ciclo de vida que siguen los datos que son procesados en la nube es el siguiente:
Los datos son preparados para poder adaptarse a la nube adaptando su formato o creando un fichero que contenga toda la información necesaria.
Los datos “viajan” a la nube a través de una conexión a Internet, mediante un correo electrónico, una aplicación específica para importarlos o la transferencia a la nube de la copia de seguridad obtenida de un servidor en la organización.
Los datos son procesados en la nube, desde su almacenamiento hasta el cálculo de complejas operaciones matemáticas.
Los datos finales “viajan” de vuelta al usuario. Una vez terminado el procesamiento, el resultado debe volver al usuario con el valor añadido de la información generada en la nube.
INTEGRIDAD:
Mantener una correcta integridad de los datos significa que estos permanecen idénticos durante las operaciones de transferencia, almacenamiento o recuperación.
El control de integridad hace uso de funciones matemáticas para verificar que los datos no han sufrido modificaciones durante su traslado.
La gestión de cambios mantiene un historial de modificaciones de los datos o ficheros almacenados en la nube. Cada modificación lleva asociada un sello de fecha y el usuario que lo produjo.
CONTROL DE ACCESO:
Se representa informalmente como una nube a la que se conecta todo el mundo desde sus equipos , no significa en absoluto que cualquier persona pueda acceder a cualquier dato o proceso en la nube.
Cuando una empresa o entidad utiliza las capacidades de la computación en la nube, necesita que el administrador del sistema establezca un correcto control de acceso para garantizar que los usuarios solo utilizan los datos o procesos para los que han sido autorizados.
PREVENCIÓN FRENTE A PÉRDIDA:
Uno de los mayores riesgos a los que se enfrenta todo sistema informático es la pérdida de datos, ya sea porque un usuario ha borrado información accidentalmente, porque haya un fallo en algún dispositivo hardware o por culpa de un ataque informático. Perder los datos no solo significa tener que rehacer parte del trabajo realizado, sino que en muchos casos puede significar cuantiosas pérdidas económicas. La solución a este problema se enfoca desde dos puntos de vista principales
Por un lado, una correcta política de seguridad limita la libertad de los usuarios para borrar elementos del sistema, protege los equipos ante el ataque de software malintencionado y además impide que personas ajenas a la organización accedan o corrompan los datos. El proveedor de servicios se encarga de solucionar todos los problemas relacionados con los componentes electrónicos. Si detecta un fallo en uno de los equipos dentro de sus instalaciones, automáticamente lo aísla y todos los procesos que se ejecutan en él se migran a otra máquina que no tenga problemas. Este proceso puede durar tan solo unos minutos e incluso realizarse sin cortar el servicio, permitiendo una disponibilidad ininterrumpida de los servicios en la nube.
Por otra parte, una correcta política de copias de seguridad permite recuperar los datos aún cuando todas las medidas de seguridad han fallado o cuando se produce una avería en un componente hardware. Todos los proveedores de servicios en la nube ofrecen sistemas de copias de seguridad de forma completamente transparente para el usuario. Tan solo es necesario seleccionar los activos que se quieren proteger y la periodicidad con la que se desean estas copias. La recuperación frente a un ataque puede ser tan sencilla como la restauración de un snapshot (copia instantánea de volumen) anterior de la máquina virtual.
Las características anteriormente expuestas permiten disponer de un sistema robusto preparado para realizar una correcta recuperación frente a desastres, es decir, asegurando la continuidad del negocio. Por último, existe otra ventaja relativa a los dispositivos portátiles, cada vez más utilizados en las empresas y desde los que se accede a la información de la organización: ordenadores portátiles, USBs, móviles, etc. Estos dispositivos pueden ser robados u olvidados exponiendo grandes cantidades de datos a personas completamente ajenas a la organización. Si se utilizan sistemas en la nube, aunque se pierda un teléfono móvil o alguien robe un portátil, la información permanecerá inaccesible para terceros.
Fuente: Guía para empresas: seguridad y privacidad del cloud computing. Editada por el Instituto Nacional de Tecnologías de Telecomunicación (Inteco, www.inteco.es).
By: Beatriz Calero
