QUE ES EL CLOUD COMPUTING Versin 1.

0
Recomendaciones para empresas ICIC

Pgina 1 de 5
















QU ES EL CLOUD COMPUTING?
Recomendaciones para Empresas
Versin 1.0


QUE ES EL CLOUD COMPUTING Versin 1.0
Recomendaciones para empresas ICIC

Pgina 2 de 5


QU ES EL CLOUD COMPUTING?
Recomendaciones para Empresas

El Cloud Computing, tambin conocido como Nube, ha sido definido por el NIST
(National Institute of Standards and Technology) como un modelo de servicios escalables
bajo demanda para la asignacin y el consumo de recursos de cmputo. Describe el uso
de infraestructura, aplicaciones, informacin y una serie de servicios compuestos por
reservas de recursos de computacin, redes, informacin y almacenamiento. Estos
componentes pueden orquestarse, abastecerse, implementarse y liberarse rpidamente,
con un mnimo esfuerzo de gestin e interaccin por parte del proveedor de Cloud
Computing y de acuerdo a las necesidades actuales del cliente.

Figura 1 Representacin de la definicin de Cloud Computing del NIST.

Modelos de Servicios
La prestacin de servicios de cloud computing puede asociarse a tres modelos especficos:

Modelo Descripcin
Infrastructure
as a Service
(IaaS)
Ofrece al consumidor la provisin de procesamiento, almacenamiento, redes y
cualquier otro recurso de cmputo necesario para poder instalar software,
incluyendo el sistema operativo y aplicaciones. El usuario no tiene control
sobre el sistema de nube subyacente pero si del Sistema operativo y
aplicaciones. Ejemplo: Amazon Web Services EC2.
Platform as
a Service
(PaaS)
Ofrece al consumidor la capacidad de ejecutar aplicaciones por ste
desarrolladas o contratadas a terceros, a partir de los lenguajes de
programacin o interfaces provistas por el proveedor. El usuario no tiene
control ni sobre el sistema subyacente ni sobre los recursos de Infraestructura
QUE ES EL CLOUD COMPUTING Versin 1.0
Recomendaciones para empresas ICIC

Pgina 3 de 5

de nube. Ejemplo: Microsoft Azure.
Software as
a Service
(SaaS)
Ofrece al consumidor la capacidad de utilizar las aplicaciones del proveedor
que se ejecutan sobre la infraestructura en la nube. Las aplicaciones son
accedidas desde los dispositivos cliente a travs de interfaces, por ejemplo un
navegador web. En este caso, el usuario solo tiene acceso a una interfaz de
configuracin del software provisto. Ejemplo: SalesForce
Tabla 1 Modelos de provisin de servicios de Cloud Computing.

Modelos de Implementacin
Dependiendo de cmo se despliegan los servicios en la nube, existen cuatro modelos que
caracterizan la implementacin de los servicios de Cloud Computing.

Modelo Descripcin
Nube
Pblica
Es aquel modelo de Nube en el cual la infraestructura y los recursos lgicos
que forman parte del entorno se encuentran disponibles para el pblico en
general o un amplio grupo de usuarios. Suele ser propiedad de un
proveedor que gestiona la infraestructura y los servicios ofrecidos.
Ejemplo: Servicio de GoogleApps.
Nube
Privada
Es aquel modelo en el cual la infraestructura se gestiona nicamente por
una organizacin. La administracin de aplicaciones y servicios puede estar
a cargo de la misma organizacin o de un tercero. La infraestructura
asociada puede estar dentro de la organizacin o fuera de ella.
Ejemplo: Cualquier servicio de nube propio de la organizacin o contratado
a un proveedor pero cuyos recursos sean exclusivos para dicha
organizacin.
Nube
Comunitaria
Es aquel modelo donde la infraestructura es compartida por diversas
organizaciones y su principal objetivo es soportar a una comunidad
especfica que posea un conjunto de preocupaciones similares (misin,
requisitos de seguridad o de cumplimiento normativo, etc.). Al igual que la
Nube Privada, puede ser gestionada por las organizaciones o bien por un
tercero y la infraestructura puede estar en las instalaciones propias o fuera
de ellas.
Ejemplo: El servicio app.goc (www.apps.gov) del gobierno de EEUU, el cual
provee servicios de cloud computing a las dependencias gubernamentales.
Nube
Hbrida
Es aquel modelo donde se combinan dos o ms tipos de Nubes (Pblica,
Privada o Comunitaria) que se mantienen como entidades separadas pero
que estn unidas por tecnologas estandarizadas o propietarias, que
permiten la portabilidad de datos y aplicaciones.
Ejemplo:
Tabla 2 Modelos de implementacin de Cloud Computing.



QUE ES EL CLOUD COMPUTING Versin 1.0
Recomendaciones para empresas ICIC

Pgina 4 de 5

RECOMENDACIONES PARA LA ADOPCIN DEL CLOUD COMPUTING EN EMPRESAS

A continuacin compartimos una serie de recomendaciones que sera importante que se
tengan en cuenta al momento de evaluar una solucin de servicio basado en Cloud
Computing:

Llevar a cabo la evaluacin de riesgos en el marco de un proyecto integral de la
Empresa, involucrando a los referentes claves de las distintas reas que estn
involucradas.
Incluir los aspectos legales y regulatorios que apliquen al momento de evaluar los
riesgos en el marco del proyecto de Cloud Computing. Por ej.: Datos Personales,
Datos Sensibles (de acuerdo a lo establecido en la Ley 25326).
Tener en cuenta los requerimientos de seguridad de la informacin involucrada en
el marco del proyecto de Cloud Computing.
Considerarlo un proyecto de la Empresa y no nicamente de IT o Tecnologa.
Incluir las responsabilidades y requisitos de seguridad de la informacin en el
contrato de servicios de Cloud Computing o Service Leve Agreement (SLA)
involucrado.
Definir los requisitos de seguridad que debe implementar el proveedor de Cloud
Computing al momento de gestionar los incidentes de seguridad, en un todo de
acuerdo con el proceso de gestin de incidentes de la Empresa.
Analizar los trminos y condiciones, ofreciendo propuestas sobre aquellos puntos
en los que no haya acuerdo. Si los trminos y condiciones no cubren los requisitos,
no se deberan aceptar, aunque ello signifique no utilizar el servicio.
Verificar que existan clusulas al momento de finalizar el servicio, relacionadas con
la seguridad de la informacin involucrada y los requisitos establecidos para su
disposicin. Por ej: borrado seguro, devolucin, etc.
Una buena herramienta para ayudar seleccin de un proveedor de Cloud
Computing es el Consensus Assessments Initiative (CAI) de la Cloud Security
Alliance (CSA). Consiste en un cuestionario que, a travs de las distintas
respuestas, permite identificar la gestin de la seguridad por parte del proveedor
de Servicios de Cloud.
Verificar si el proveedor de Cloud Computing se encuentra registrado en el
proyecto Security, Trust, and Assurance (STAR) de Cloud Security Alliance (CSA), en
el mismo se pueden conocer distintos aspectos de seguridad implementados en el
servicio de Cloud Computing.
Tener en cuenta que aunque se seleccione un determinado proveedor de Cloud
Computing, seguimos siendo los responsables por el cuidado de la informacin.
Mantener los controles de seguridad propios que sean adecuados, aunque se
seleccione un servicio de Cloud Computing. Por ej: Respaldo de la Informacin.
Estar al tanto de los incidentes de seguridad que se presenten e involucren al
proveedor de Cloud Computing seleccionado.

QUE ES EL CLOUD COMPUTING Versin 1.0
Recomendaciones para empresas ICIC

Pgina 5 de 5


UTILIZA LAS NUEVAS TECNOLOGIAS, CONOCE SUS RIESGOS




Informe realizado por Mariano M. del Ro (@mmdelrio)
Information Security Consultant en SIClabs (@siclabs)
Board Member del Captulo Argentino de la Cloud Security Alliance (@cloudsa_arg)

Revisin realizada por el Grupo de Expertos en Seguridad Informatica y Legislacin
Informatica del Programa Nacional de Infraestructuras Criticas de Informacin y
Ciberseguridad ICIC (www.icic.gov.ar)


Referencias
Cloud Security Alliance:
http://www.cloudsecurityalliance.org
Cloud Security Alliance Chapter Argentina
http://chapters.cloudsecurityalliance.org/argentina/
NIST SP800-145: The NIST Definition of Cloud Computing
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
Infografa sobre Modelos de Implementacin de Cloud Computing:
http://wikibon.org/blog/wp-content/uploads/2010/12/cloud-computing-landscape-full.html
Gua para la Seguridad en reas Crticas de atencin en Cloud Computing (CSG):
https://cloudsecurityalliance.org/research/security-guidance/
Cloud Assessment Initiative (CAI):
https://cloudsecurityalliance.org/research/cai/
Security, Trust & Assurance (STAR):
https://cloudsecurityalliance.org/research/initiatives/star-registry/
Riesgos y Amenazas del Cloud Computing:
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en
_cloud_computing.pdf