Académique Documents
Professionnel Documents
Culture Documents
Al mismo tiempo, puede ocurrir que los acuerdos de nivel de servicio no incluyan la
prestacin de dichos servicios por parte del proveedor en nube, dejando as una
laguna en las defensas de seguridad.
LA NO PORTABILIDAD
La oferta actual en cuanto a herramientas, procedimientos o formatos de datos
estandarizados o interfaces de servicio que puedan garantizar la portabilidad del
servicio, de las aplicaciones y de los datos, actualmente resulta escasa.
EL FALLO DE AISLAMIENTO
La multiprestacin y los recursos compartidos son caractersticas que definen la
computacin en nube. Por ello una categora de riesgo a evaluar es el posible fallo del
debido aislamiento requerido en el acceso a recursos compartidos o entre los distintos
proveedores.
RIESGOS DE NO CUMPLIMIENTO DE REQUISITOS DESEABLES
La inversin en la obtencin de la certificacin (por ejemplo, requisitos reglamentarios
o normativos del sector) puede verse amenazada por la migracin a la nube.
Este sera el caso en el que el proveedor en nube no pueda demostrar su propio
cumplimiento de los requisitos pertinentes o no permita que el cliente en nube realice
la auditora o tenga acceso a la misma.
En determinados casos, tambin significa que el uso de una infraestructura pblica en
nube implica que no pueden alcanzarse determinados niveles de cumplimiento.
Por otra parte, algunos proveedores en nube s proporcionan informacin sobre sus
prcticas de gestin de datos. Otros tambin ofrecen resmenes de certificacin sobre
sus actividades de procesamiento y seguridad de datos y los controles de datos a que
se someten.
SUPRESIN DE DATOS INSEGURA O INCOMPLETA
Cuando se realiza una solicitud para suprimir un recurso en nube, al igual que sucede
con la mayora de sistemas operativos, en ocasiones el proceso no elimina
definitivamente los datos. En ocasiones, la supresin adecuada o puntual de los datos
tambin resulta imposible (o no deseable, desde la perspectiva del cliente), bien
porque existen copias adicionales de datos almacenadas pero no disponibles o porque
el disco que va a ser destruido tambin incluye datos de otros clientes. La
multiprestacin y la reutilizacin de recursos de hardware representan un riesgo mayor
para el cliente que la opcin del hardware dedicado.
MIEMBRO MALICIOSO
Aunque no suelen producirse habitualmente, los daos causados por miembros
maliciosos son, con frecuencia, mucho ms perjudiciales. Las arquitecturas en nube
necesitan ciertas funciones cuyo perfil de riesgo es muy elevado. Algunos ejemplos
son los administradores de sistemas de proveedores en nube y los proveedores de
servicios de seguridad gestionada.
Los riesgos enumerados anteriormente no siguen un orden de criticidad concreto, sino
que simplemente constituyen algunos de los riesgos ms relevantes de la computacin
en nube. Los riesgos del uso de la computacin en nube deben ser comparados con
los riesgos derivados de mantener las soluciones tradicionales, como los modelos de
sobremesa.
A menudo es posible, y en algunos casos recomendable, que el cliente en nube
transfiera el riesgo al proveedor en nube; sin embargo, no todos los riesgos pueden
ser transferidos.
Si un riesgo provoca el fracaso de un negocio, perjuicios graves al renombre del
mismo o consecuencias legales, es muy difcil, y en ocasiones, imposible, que un
tercero compense estos daos. En ltima instancia, puede subcontratar la
responsabilidad, pero no puede subcontratar la obligacin de rendir cuentas.
Para la gestin de estos riesgos podemos adoptar herramientas o procedimientos
como los siguientes:
AUDITORA Y RECOGIDA DE PRUEBAS
Si estamos en un caso de IaaS, esta permite la clonacin de mquinas virtuales bajo
demanda. En caso de supuesto incumplimiento de la seguridad, el cliente puede tomar
una imagen de una mquina virtual activa o de los componentes virtuales de la
misma para llevar a cabo un anlisis forense fuera de lnea, lo cual reduce el tiempo
de espera para la realizacin el anlisis.
ACTUALIZACIONES Y OPCIONES MS PUNTUALES, EFECTIVAS Y EFICACES
Las imgenes por defecto de las mquinas virtuales y los mdulos de software
utilizados por los clientes pueden ser reforzados y actualizados previamente con los
ltimos parches y configuraciones de seguridad, conforme a procesos ajustados; las
API del servicio en nube de la IaaS tambin permiten tomar imgenes de la
infraestructura virtual de manera frecuente y comparada con un punto inicial
Estas soluciones constituyen una forma fcil de integrar los sistemas, en comparacin
con el enfoque tradicional, que utilizaba herramientas de Integracin de Aplicaciones
Empresariales (EAI, Enterprise Application Integration) o cdigos de programacin.
Las soluciones de Integracin de software como un servicio actan como un
coordinador, que gestiona las diferentes interfaces definidas de integracin. Los
elementos clave de tales soluciones son los siguientes:
Ofrecen diferentes opciones de implementacin. Esto permite la implementacin en la
nube pero tambin detrs del firewall de las compaas.
Tienen un enfoque basado en la configuracin: La integracin se implementa a travs
de una interfaz grfica de usuario, evitando los cdigos de programacin en la medida
de lo posible.
Se integran con aplicaciones que se instalan localmente en los servidores del cliente y
tambin con aplicaciones sobre pedido".
Ofrecen un punto central para monitorear y gestionar la integracin.
Al integrar sistemas a travs de las soluciones de Integracin como un servicio, se
facilitar la integracin y se reducirn costos. Sin embargo, en la mayora de los casos
la integracin seguir siendo compleja, y esencial para cualquier implementacin.
Se espera que el mercado de la Integracin como un servicio crezca en los aos
prximos, ofreciendo soluciones an ms avanzadas y sofisticadas para integrar las
aplicaciones del cloud computing.
El mercado de Integracin como un servicio se encuentra en plena expansin, por lo
que podemos esperar un crecimiento significativo en los aos porvenir. El valor
agregado y la significativa reduccin de costos que estos servicios ofrecen ayudarn a
que la integracin pase a otro nivel.
USUARIO TCNICO
Este usuario es el principal consumidor de IaaS y de Paas, aunque tambin lo son los
consumidores de SaaS y los responsables de TI con capacidad de decisin.
Estos saben lo que haba antes del cloud computing, si puede o no sustituir alguna
de las piezas que hasta ahora manejan y evidentemente entienden perfectamente la
parte tcnica que hay detrs.
Su motivacin es ms por el hecho de aprovechar la esencia del cloud computing
que los costes. Cuidado, no digo que no importen los costes que es la consecuencia
directa de usar cloud computing, lo que digo es que intentan aprovechar el cloud
computing para solucionar su problema de ajustar los recursos a una demanda
posiblemente impredecible.
Saben lo que es cloud privado y pblico y podran decantarse ms por el cloud
privado que por el cloud pblico. Pesa ms la parte tcnica y la seguridad que la
parte de inversin, mantenimiento, etc. Suelen ser directores, responsables,
coordinadores de IT y consultoras.
USUARIO NO TCNICO
Este usuario es tpicamente consumidor de SaaS. El Iaas y Paas no les interesa,
posiblemente ni lo entiendan y ni lo distingan de lo que es un hosting.
La mayora no sabe que haba y hay soluciones como el asp como sustituto del
SaaS. No saben porqu SaaS es cloud computing, ni falta que les hace. Ellos
desean un software online en vez de un software en local, que les solucione su
necesidad. Tampoco saben qu es el cloud pblico ni del resto de las formas de
despliegue porque estamos hablando de SaaS.
Para este tipo de usuario el multitenancy, elasticidad, escalabilidad, virtualizacin es
chino. Su motivacin principal para la adopcin de SaaS son los costes y focalizarse
en su negocio. La instalacin y el mantenimiento del software, los backups, la
mquina son un engorro.
No preguntan por la seguridad. Este dato es cierto y aunque va cambiando an
todava se pregunta poco: Dnde estn mis datos? Qu procedimientos de
seguridad tiene el proveedor? En esta categora se encuentran, en general, los
particulares, los autnomos, las micropymes y las pymes sin departamento de TI.