Académique Documents
Professionnel Documents
Culture Documents
La Gua para empresas: seguridad y privacidad del cloud computing ha sido elaborada
por el equipo del Observatorio de la Seguridad de la Informacin de INTECO:
Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros,
citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.
inteco.es. Dicho reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho
tercero o apoya el uso que hace de su obra.
Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y
exhibidos mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de
estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de
autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.
org/licenses/by-nc/3.0/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document
Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no
textual, marcado de idioma y orden de lectura adecuado.
Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua dispo-
nible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es
El Instituto Nacional de Tecnologas de la Comunicacin (INTECO) (http://www.inteco.es),
sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a travs de la Secretara
de Estado de Telecomunicaciones y para la Sociedad de la Informacin, es una plataforma para
el desarrollo de la Sociedad del Conocimiento a travs de proyectos del mbito de la innova-
cin y la tecnologa. La misin de INTECO es aportar valor e innovacin a los ciudadanos, a
las pymes, a las Administraciones Pblicas y al sector de las tecnologas de la informacin, a
travs del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la
Sociedad de la Informacin en nuestro pas, promoviendo adems una lnea de participacin
internacional. Para ello, INTECO desarrollar actuaciones en las siguientes lneas: Seguridad,
Accesibilidad, Calidad TIC y Formacin.
3. Marco legal 17
5. Seguridad en la nube 33
6. Privacidad en la nube 40
4
1. Introduccin al cloud computing
1 Fundacin para la Innovacin Bankinter (2010). Cloud Computing. La tercera ola de las Tecnologas de la
Informacin.
A finales de los aos 90, los tcnicos de Amazon se dieron cuenta que
tenan una gran infraestructura informtica pero que apenas utilizaban el
10-15% de su capacidad. Vieron las posibilidades de ofrecer estos ser-
vicios a usuarios y en 2006 presentaron los Servicios Web de Amazon2.
Infraestructura Hardware
Plataforma Aplicacin
informtica
Software Programa
informtico
Actualmente, las tecnologas mviles son una parte importante dentro del
modelo de negocio de una empresa. La combinacin de dispositivos mviles
y fijos crea nuevas oportunidades en el desarrollo de la actividad empresarial
permitiendo plena operatividad.
Esta caracterstica supone una gran ventaja frente a otras tecnologas, aunque
es importante puntualizar que existen limitaciones: no es posible utilizar las apli-
caciones en la nube si no hay conexin a Internet. Adems, la calidad y la ve-
locidad de la conexin deben ser altas para poder utilizar el servicio de forma
correcta. Por norma general, las aplicaciones de escritorio (aquellos programas
que estn instalados en un ordenador) tienen un rendimiento mayor que las apli-
caciones web debido a que aprovechan mejor todos los recursos del equipo.
A la vez, las entidades pueden contratar un servicio en la nube por una can-
tidad al mes y en funcin de cmo evolucionen sus necesidades, aumentar
o disminuir los recursos de procesamiento, sabiendo que se va a pagar por
uso efectivo.
La ventaja es que se pueden llevar tanto los datos como los procesos al lugar
ms conveniente para la organizacin. Por ejemplo, se pueden utilizar mltiples
copias de un servidor y repartirlas por centros de proceso de datos en distintos
puntos del planeta para mejorar los tiempos de acceso de los usuarios. Ade-
ms, facilita el mantenimiento de copias de seguridad no solo de los datos sino
del servidor entero, del sistema operativo y los programas instalados en l.
Tanto si se trabaja con una nube pblica como con una nube hbrida, existir
una empresa contratada para proveer los servicios necesarios. Los benefi-
cios de contar con estas empresas es que se encargan de todo el manteni-
miento del hardware, recintos especializados para los centros de procesa-
miento de datos, suministro elctrico y conectividad a Internet, etc.
5 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin
de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de
estos datos.
6 Fuente: ENISA (2011). Security and Resilience in Governmental Clouds.
Marco legal 17
Gua para empresas: seguridad y privacidad del cloud computing
7 Ms informacin: https://www.agpd.es/
8 Existen adems otras Agencias de Proteccin de Datos de carcter autonmico, en las Comunidades Au-
tnomas de Madrid, Catalua y en el Pas Vasco.
9 Ms informacin: Agencia Espaola de Proteccin de Datos (2008) Gua del responsable de ficheros.
18 Marco legal
Adems, en el caso del cloud computing es fundamental revisar las condicio-
nes del contrato a fin de garantizar una adecuada previsin de las cuestiones
relacionadas con la presencia de un encargado del tratamiento y/o una
transferencia internacional de datos personales.
En la siguiente tabla se recogen los principios bsicos que deben reunir las
clusulas contractuales relacionadas con el acceso a los datos por cuenta
de terceros y la seguridad de los datos, as como la figura a quien se dirige
dicha clusula.
10 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley
Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal o RLOPD.
Marco legal 19
Gua para empresas: seguridad y privacidad del cloud computing
Aspectos a Artculos
Contenido de las clusulas contractuales
contemplar implicados
El responsable deber:
Supervisar que el encargado rene las garantas para el
cumplimiento de lo dispuesto por el RDLOPD.
Incluir una descripcin del conjunto de instrucciones que
el encargado aplica para tratar los datos.
Establecer las medidas de seguridad que el encargado del
tratamiento est obligado a implantar.
Artculo 12 El encargado deber:
Acceso a LOPD
los datos Utilizar los datos exclusivamente para los fines contrata-
dos. En caso contrario, se convierte en responsable y debe
por cuenta Artculos
responder por la infraccin cometida.
de terceros 20, 21 y 22
RDLOPD No comunicar esta informacin a terceros, ni siquiera para
su conservacin.
Estar autorizado por el responsable para subcontratar11 y
cumplir todos los requisitos de la LOPD y el RLOPD en
esta materia.
Destruir o devolver la informacin tratada al responsable
una vez finalizado el contrato. Cabe cumplir la obligacin
de devolucin mediante la migracin de los datos a un
nuevo proveedor.
El responsable deber:
Adoptar las medidas tcnicas y organizativas necesarias
Artculo 9 para garantizar la seguridad de los ficheros.
Seguridad LOPD
Evitar que la informacin se pierda o que sea accedida o
de los tratada por personal no autorizado.
datos Ttulo VIII
RDLOPD Establecer medidas de prevencin frente los distintos
riesgos a los que se encuentran sometidos los datos, ya
provengan de la accin humana, sean tecnolgicos o de-
pendan del entorno fsico o natural.
20 Marco legal
Debe tenerse en cuenta que la existencia del contrato regulado por el art-
culo 12 de la LOPD excluye la aplicacin de la regulacin prevista para las
comunicaciones de datos personales y facilita, por tanto, el despliegue de
servicios basados en el cloud computing.
12 Vase la Gua de Seguridad de Datos (2010) y la herramienta EVALUA de la Agencia Espaola de Proteccin
de Datos que permiten identificar el conjunto de medidas de seguridad previstas y testear su cumplimiento.
Marco legal 21
Gua para empresas: seguridad y privacidad del cloud computing
13 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito
de la Administracin Electrnica.
14 Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el
mbito de la Administracin Electrnica.
22 Marco legal
Traspaso de fronteras de los datos
15 Conforme al artculo 17.3 de la Directiva 95/46/CE (en relacin con su artculo 4).
Marco legal 23
Gua para empresas: seguridad y privacidad del cloud computing
Artculos
Contenido del artculo
implicados
16 Segn el procedimiento previsto en la Seccin Primera, del Captulo V del Ttulo IX del RDLOPD.
17 Estos son: Suiza, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel. Existen dos pases
con ciertas particularidades. Canad en el que se consideran seguras las organizaciones sometidas
a la ley canadiense de proteccin de datos, y Estados Unidos, respecto de las empresas que hayan
suscrito Safe Harbour, esto es los principios de Puerto Seguro para la proteccin de la vida privada y las
correspondientes preguntas ms frecuentes, publicadas por el Departamento de Comercio de los Estados
Unidos.
18 En concreto, las Decisiones de la Comisin Europea aludidas son:
Decisin 2001/497/CE de la Comisin, de 15 de junio de 2001, relativa a Clusulas contractuales tipo
para la transferencia de datos personales a un tercer pas previstas en la Directiva 95/46/CE.
Decisin 2002/16/CE de la Comisin, de 27 de diciembre de 2001, relativa a Clusulas contractuales tipo
para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros
pases, de conformidad con la Directiva 95/46/CE. (queda derogada a partir de 15 de mayo de 2010).
Decisin 2010/87/UE de la Comisin, de 5 de febrero de 2010, relativa a las clusulas contractuales tipo
para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros
pases, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
24 Marco legal
3.2. REGULACIN DE LA LSSI
Marco legal 25
Gua para empresas: seguridad y privacidad del cloud computing
1. Cometen estafa los que, engaen a otro con nimo de lucro, indu-
cindole a realizar un acto en perjuicio propio o ajeno.
26 Marco legal
En funcin del importe de lo defraudado, el quebranto econmico causado a
la vctima, las relaciones entre esta y el defraudador, los medios empleados
por ste y el resto de posibles circunstancias que sirvan para valorar el he-
cho, se imponen diferentes sanciones al estafador, como recoge dicho texto
legal.
La eleccin del pas de destino de los datos que sean objeto de una pres-
tacin basada en el cloud computing no solo debe tener muy en cuenta las
normas que regulan las tecnologas de la informacin y las comunicaciones,
sino el conjunto del Ordenamiento jurdico. La Constitucin Espaola y los
Tratados de la Unin Europea se enmarcan en una tradicin constitucional
que salvaguarda los derechos fundamentales de las personas.
Por ello, ubicar los datos en un pas en el cual estos derechos no resulten ga-
rantizados contraviene de algn modo el espritu del modelo constitucional
espaol y del modo de concebir los derechos humanos. Precisamente por
ello, el artculo 37.1.f y el artculo 70.3 RDLOPD permiten denegar o sus-
pender temporalmente una transferencia cuando la situacin de protec-
cin de los derechos fundamentales y libertades pblicas en el pas de desti-
no o su legislacin impidan garantizar el ntegro cumplimiento del contrato y
el ejercicio por los afectados de los derechos que el contrato garantiza.
Por otra parte, en ocasiones los pases de destino pueden conferir facultades
extraordinarias a sus servicios de inteligencia, o a sus fuerzas y cuerpos de
seguridad, para el acceso a la informacin contenida en servidores bajo su
jurisdiccin.
Marco legal 27
Gua para empresas: seguridad y privacidad del cloud computing
28 Marco legal
4. Riesgos del cloud computing
19 Fuente: Banegas, M. (Telefnica Espaa Grandes Clientes) Presentacin Seguridad en Cloud Computing.
ENISE 4 (2010).
20 El password cracking es un proceso informtico que consiste en descifrar la contrasea de determinadas
aplicaciones para conseguir un acceso no autorizado.
21 Captcha es el acrnimo de Completely Automated Public Turing test to tell Computers and Humans Apart
(Prueba de Turing pblica y automtica para diferenciar mquinas y humanos). Se trata de una prueba
desafo-respuesta utilizada en computacin para determinar cundo el usuario es o no humano.
22 En ingls, Distributed Denial of Service (DDOS). La denegacin de servicio distribuida consiste en atacar
a un sistema informtico para consumir todos sus recursos (por ejemplo el ancho de banda) impidiendo
el acceso a usuarios legtimos.
Las APIs23 son el nico punto de interaccin con los programas que se estn
ejecutando en la nube. Al ser las puertas de entrada hacia los servicios en la
nube, se convierten en un punto crtico de la seguridad y privacidad del sistema.
Sin una correcta poltica de seguridad, las APIs pueden sufrir ataques de
malware para que realicen acciones adicionales o diferentes para las que
originalmente fueron programadas. Con ello, los atacantes persiguen el robo
y/o acceso a la informacin de la vctima.
Dependiendo del uso que se est haciendo del cloud computing, esta com-
binacin tradicional de usuario y contrasea puede no resultar lo suficiente-
mente robusta. Es necesario investigar otros sistemas mucho ms seguros
para evitar la suplantacin de identidad en la Red.
Esto no significa que sea menos seguro que los modelos anteriores,
simplemente que hay menos experiencia de ataques y los expertos en segu-
ridad estudian los nuevos modus operandi de los usuarios malintencionados
a la vez que los posibles fallos de diseo.
Proveedor Cliente
Seguridad en la nube 33
Gua para empresas: seguridad y privacidad del cloud computing
Los mecanismos de seguridad que se pueden aplicar para proteger los da-
tos alojados en la nube deben considerarse como un trabajo colaborativo
entre las dos partes (proveedor de servicios en la nube y cliente), ya que
ambas deben asumir unas responsabilidades. La realizacin de auditorias de
seguridad conjuntas es una buena prctica para revisar que todo el sistema
est protegido frente a posibles amenazas.
DE CLOUD COMPUTING
25 Hipervisor: plataforma de virtualizacin que permite utilizar, al mismo tiempo, diferentes sistemas opera-
tivos.
34 Seguridad en la nube
que impide que los procesos ejecutados en distintas mquinas virtua-
les puedan interactuar entre ellos.
Seguridad en la nube 35
Gua para empresas: seguridad y privacidad del cloud computing
36 Seguridad en la nube
Layer (SSL)27 y Transport Layer Security (TLS)28 permiten que
todos los datos que viajen desde el servidor en la nube hasta el
usuario estn cifrados impidiendo su acceso a terceras personas
incluso cuando se utiliza una red Wi-Fi no segura.
27 Secure Sockets Layer: Protocolo de Capa de Conexin Segura. Proporciona autenticacin y privacidad de
la informacin entre extremos sobre Internet mediante el uso de criptografa.
28 Transport Layer Security: Seguridad de la Capa de Transporte. Consiste en un protocolo criptogrfico que
proporciona comunicaciones seguras a travs de Internet. TLS es un protocolo independiente que permite
a los protocolos de niveles superiores actuar por encima de l de manera transparente. Basado en SSL de
Netscape 3.0, TLS supone la evolucin de su predecesor, si bien no son operables entre s.
29 Secure Shell: Intrprete de rdenes segura. Es el nombre de un protocolo y del programa que lo implementa,
y sirve para acceder a mquinas remotas a travs de una red.
30 Virtual Private Network: Una Red Privada Virtual. Es una tecnologa de red que permite una extensin de la
red local sobre una red pblica o no controlada, como por ejemplo Internet.
Seguridad en la nube 37
Gua para empresas: seguridad y privacidad del cloud computing
SSH
VPN
Proveedor Cliente
SSL TLS
Usuario Usuario Usuario
38 Seguridad en la nube
La nica manera de comprobar la actividad informtica, detectar
incidentes y formular un plan de accin para evitar que vuelvan a
suceder en el futuro es gestionar los logs31 del sistema. Aunque
es muy posible que no se tenga acceso a toda la informacin sobre
los eventos del sistema, el cliente debe almacenar y revisar todos los
logs que estn bajo su responsabilidad. Por ejemplo, el registro de
usuarios que acceden a la aplicacin, manipulan o borran ficheros
en la mquina virtual, o el registro de conexiones potencialmente
peligrosas detectadas por el IDS y por el cortafuegos.
31 Log: fichero de texto en el que queda recogida toda la actividad que tiene lugar en un determinado
ordenador, permitiendo para ciertos programas que su propietario o administrador detecte actividades
ilcitas e identifique, por medio de su direccin IP, al usuario correspondiente..
Seguridad en la nube 39
6. Privacidad en la nube
El ciclo de vida que siguen los datos que son procesados en la nube es el
siguiente:
40 Privacidad en la nube
almacenados y procesados en una infraestructura informtica ajena al
control del usuario.
Los mecanismos para minimizar estos riesgos de privacidad son muy sen-
cillos. Antes de migrar los procesos a la nube conviene preguntarse: Es
realmente necesario que todos los datos de la organizacin pasen a estar en
la nube?. El siguiente ejemplo aclara este interrogante.
Una solucin segura es enviar a la nube solo los datos necesarios para
realizar el clculo del salario que son el sueldo bruto y el porcentaje de
retenciones. En lugar de enviar a la nube el nombre o el DNI para identifi-
car al trabajador, se crea un nuevo identificador (por ejemplo un nmero)
que permite asignar correctamente el nuevo valor a cada trabajador. De
este modo, se impide a un posible atacante que intercepte las comunica-
ciones traducir esos datos. Adems, el proveedor de servicios en la nube
nunca tendr datos sensibles en sus sistemas, solo contendr valores
matemticos sin saber a quin pertenecen o qu contienen.
Privacidad en la nube 41
Gua para empresas: seguridad y privacidad del cloud computing
6.2. INTEGRIDAD
Mantener una correcta integridad de los datos significa que estos permane-
cen idnticos durante las operaciones de transferencia, almacenamiento o
recuperacin. En el mbito del cloud computing, la integridad de los datos es
especialmente crtica: los datos estn siendo transferidos constantemente
entre los servicios en la nube y los distintos usuarios que acceden a ellos.
Para evitar que los datos en la nube no puedan utilizarse o que no estn dis-
ponibles se utilizan principalmente tres mecanismos: control de integridad,
gestin de cambios y copias de seguridad.
42 Privacidad en la nube
El control de integridad hace uso de funciones matemticas (funciones
resumen o hash) para verificar que los datos no han sufrido modificacio-
nes durante su traslado. El proceso consiste en obtener un valor para
la funcin hash antes de mover el dato y otro cuando se ha terminado
de mover. Si dichos valores no coinciden es que ha habido un problema
en la transaccin y debe ser repetida. En el caso del cloud computing
no se utilizan funciones resumen solo para ficheros, sino tambin para
mquinas virtuales completas o para las copias de seguridad.
Privacidad en la nube 43
Gua para empresas: seguridad y privacidad del cloud computing
44 Privacidad en la nube
6.4. PREVENCIN FRENTE A PRDIDA
Uno de los mayores riesgos a los que se enfrenta todo sistema informtico
es la prdida de datos, ya sea porque un usuario ha borrado informacin
accidentalmente, porque haya un fallo en algn dispositivo hardware o por
culpa de un ataque informtico. Perder los datos no solo significa tener que
rehacer parte del trabajo realizado, sino que en muchos casos puede signifi-
car cuantiosas prdidas econmicas. La solucin a este problema se enfoca
desde dos puntos de vista principales.
Privacidad en la nube 45
Gua para empresas: seguridad y privacidad del cloud computing
46 Privacidad en la nube
7. Pasos para entrar en la nube
Una vez que se ha entendido cmo funciona el cloud computing y las dis-
tintas posibilidades que ofrece, es el momento de pensar en si realmente la
empresa o entidad se pueden beneficiar de ellos. Un posible esquema para
la toma de decisiones es el siguiente32:
Anlisis comparativo
del Riesgo (DAFO)
Seleccin de Arquitectura
de cloud computing
Migracin
Los siguientes apartados incluyen los distintos pasos que se deben seguir
para dar el salto a la nube:
No Necesita una No
Necesita un hosting? FIN
aplicacin en lnea?
S
S
No
No Ya existe esta
Servidor Ms de 500 usuarios/
compartido hora en el 1er ao aplicacin en la nube?
S
No
Servidor Ms de 5.000 usuarios/
dedicado hora en el 1er ao
S
S
No
Desde muchos
pases distintos?
No
S
La celeridad S
importa mucho? CLOUD
COMPUTING
Si se decide que las caractersticas del negocio o entidad requieren una solu-
cin basada en el cloud computing, el siguiente paso obligatorio es estudiar
cuidadosamente las distintas opciones existentes en el mercado.
Las partes del contrato en las que el cliente debe centrar su atencin son las
siguientes:
Pagos. Esta seccin contiene los detalles de los pagos que debe
realizar el cliente para disfrutar de los servicios contratados. Debe
incluir claramente la cantidad y la periodicidad de dichos pagos.
Web http://observatorio.inteco.es
Perfil Facebook ObservaINTECO
http://www.facebook.com/ObservaINTECO
Perfil Twitter ObservaINTECO:
http://www.twitter.com/ObservaINTECO
Perfil Scribd ObservaINTECO:
http://www.scribd.com/ObservaINTECO
Canal Youtube ObservaINTECO:
http://www.youtube.com/ObservaINTECO
Blog del Observatorio de la Seguridad de la Informacin:
http://www.inteco.es/blogs/inteco/Seguridad/BlogSeguridad
observatorio@inteco.es