Академический Документы
Профессиональный Документы
Культура Документы
Seminario de Investigacin
Trabajo Integrador Final
Informtica en la Nube
Confidencialidad y Disponibilidad de los Datos
Alumno:
Lucas Baranovic
Profesores:
Alberto Kreig Gustavo Farabollini
ndice
Resumen ...................................................................................................................... 1
Glosario
Bibliografa
Anexos
Resumen
Captulo I
Introduccin
Conocer las rutas especficas para encontrar informacin sobre la nube en internet.
Discernir la importancia que tienen los recursos locales y remotos al utilizar los
servicios en lnea.
Descubrir las ventajas y desventajas que ofrece a los usuarios finales almacenar los
datos en un disco virtual en lnea.
1.2 - Justificacin
surgen dos interrogantes demasiados importantes como para ignorarlos a la hora de migrar
hacia estas nuevas formas de TICs.
Tener nuestros datos almacenados en lnea, siendo todos ellos
accesibles simplemente a travs de un nombre de usuario y una contrasea, nos hace dudar
acerca del nivel de privacidad de los mismos, dado el grado de vulnerabilidad de acceso que
actualmente padecen la gran mayora de los servicios en la nube. La lgica nos lleva a pensar
que si es posible que descubran la contrasea de nuestro correo electrnico, o de nuestra
cuenta de Facebook, tambin es posible que descubran la contrasea que utilicemos para
almacenar nuestros datos privados en la nube, nadie nos garantiza lo contrario.
El segundo interrogante que surge es acerca del nivel de
disponibilidad de nuestros propios datos, con qu velocidad podremos acceder a los mismos y
si podremos hacerlo en cualquier momento. Qu pasa si necesitamos un dato y por alguna
razn, como puede ser la cada de nuestro proveedor de servicios (ISP), no contamos con
internet, o quizs el servicio en la nube que utilizamos no est disponible por razones tcnicas
u otros motivos.
Son cuestiones que la presente investigacin debe responder a los
efectos de llegar a una conclusin que ofrezca cierta claridad acerca de la confidencialidad y
disponibilidad de nuestra informacin almacenada en la nube.
Captulo II
Aspectos Metodolgicos
2.1 Hiptesis
La informtica en la nube ofrece un uso mucho ms eficiente de
recursos respecto al software de una Computadora Personal (ya sea de Escritorio, Notebook,
Netbook o Tablet), como memoria, procesamiento, almacenamiento; mejora la gestin de
archivos y ancho de banda, al proveer solamente los recursos necesarios en cada momento
para las aplicaciones. Sin embargo no brinda un nivel de confidencialidad y disponibilidad
adecuado sobre nuestros propios datos almacenados en la nube.
Captulo III
Marco Terico
11
(Fuente: http://ticparatodos.pe/)
National Institute of Standards and Technology (NIST): "The NIST Definition of Cloud Computing",
(27/04/2012)
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf (Visitado el 24/01/2013)
12
decir que pueden crecer o recuperar su tamao original de forma rpida y sencilla;
posibilitando que los organismos se desentiendan de la administracin fsica de los recursos y
distribuyan adecuadamente su capital sin tener que realizar costosas inversiones para atender
requerimientos temporales, centrando la totalidad de sus esfuerzos en objetivos particulares
de su negocio. Tal orientacin permite a los usuarios que acceden a los servicios, percibir que
todo funciona de manera simple y rpida, resultando as una experiencia mucho ms
gratificante. 2
Steve Lohr para New York Times: "Google and I.B.M. Join in Cloud Computing Research"
(08/10/2007)
http://www.nytimes.com/2007/10/08/technology/08cloud.html?_r=3&ex=1349496000&en=92627f0f
65ea0d75&ei=5090&partner=rssuserland&emc=rss&oref=slogin&
Visitado el 24/01/2013
13
Rapidez y Elasticidad:
Elasticidad se define como la habilidad para escalar recursos
de forma ascendente y descendente segn se necesite. En algunos casos esta
capacidad se realiza de manera automtica para proveer el dimensionado
correspondiente de forma rpida. Para los clientes, las capacidades disponibles
aparentan ser ilimitadas y pueden adquirirse en cualquier cantidad y en cualquier
momento.
Servicio Supervisado:
En un servicio supervisado, los aspectos del servicio Cloud
pueden seguirse, controlarse y notificarse, lo que aporta transparencia tanto para el
proveedor como para el consumidor del servicio utilizado. Esto es crucial para la
facturacin, control de acceso, optimizacin de recursos, planificacin de capacidad y
otras tareas.7
Cloud Computing Use Cases Whitepaper, v3.0, Pgina 8, Essential Characteristic, Octubre de 2009. http://opencloudmanifesto.org/Cloud_Computing_Use_Cases_Whitepaper-3_0.pdf
Visitado el 24/01/2013
Gua para la Seguridad en reas crticas de atencin en Cloud Computing, V2.0, Cloud Security
Alliance, Noviembre 2009. Ledo el 24/01/2013
14
(Fuente: Gua para la seguridad en reas crticas de atencin en La Informtica en la Nube - Versin 2 - Noviembre
2009)
15
16
Global Logic: "En que se diferencia Cloud Computing de la tradicional forma de ofrecer servicios"
(20/04/2012)
http://club.globallogic.com.ar/2012/04/20/en-que-se-diferencia-cloud-computing-de-la-tradicionalforma-de-ofrecer-servicios/
Visitado el 24/01/2013
17
posibilidad de contar con los ambientes para cada ciclo, sino que permite
hacerlo de manera eficiente con el simple hecho de clonar el ambiente de
produccin, o reemplazando al mismo por el de pruebas, cuando se asegur la
calidad de las nuevas funciones.
Mejor Capacidad de Prueba: continuando con la ventaja anterior, dentro del
ambiente de pruebas es posible obtener un ambiente adecuado para tales
fines, sin limitaciones de hardware y/o software, como ocurre generalmente
en las organizaciones que no cuentan con infraestructura en la nube. De igual
forma se reduce el costo al hacer el despliegue y uso de unidades de prueba
slo en los momentos necesarios y pagando nicamente por su periodo de
uso.
Recuperacin ante desastres y continuidad de Negocio: la informtica en la
nube ofrece soluciones de bajo costo para el mantenimiento de plataformas
de recuperacin, tanto de servidores y sus aplicaciones as como de
informacin o datos. Adems, es posible utilizar la amplia distribucin
geogrfica de la infraestructura del proveedor para replicar ambientes en
varias ubicaciones alrededor del mundo, en minutos.
las aplicaciones con tareas de alto procesamiento de datos sean ptimas para
usar este modelo, mientras que las aplicaciones que requieren de la
transferencia de volmenes de datos considerables o con modelos de
transferencia de mensajes, de cualquier tamao, entre varias unidades de
procesamiento, no lo son debido a la latencia en las comunicaciones.
Sistema sin Estado: los sistemas en la nube no tienen la capacidad de llevar
un estado de las comunicaciones, como ocurre por lo general en casi cualquier
sistema en internet. La misma arquitectura de este tipo de infraestructuras
hace que las comunicaciones deban ser unidireccionales, como ocurre con
todas las solicitudes HTTP que se realizan (PUT y GET), logrando que cada
peticin tenga su respuesta pero sin garantizar que se tenga una conversacin
a travs de varias peticiones. Esto se debe a que cada mensaje, al ser un
sistema distribuido, puede tomar rutas diferentes y no se garantiza el orden de
llegada de cada mensaje, aunque debido a esta naturaleza se garantiza que
todos los mensajes son entregados.
3.5.2 ADrive
https://www.adrive.com
20
3.5.3 Mega
https://mega.co.nz/
Entrega 50 GB gratuitos de disco virtual para que los usuarios alojen material,
el cual segn Dotcom (su creador) queda cifrado y es inviolable.
Este servicio es el sucesor de Megaupload.com y ha sido lanzado a principios
del pasado ao 2013.
3.5.4 Dropbox
https://www.dropbox.com/
3.5.5 GoogleDocs
https://docs.google.com/?hl=es
documentos
archivos
desde
cualquier
21
3.5.6 Pixlr
http://pixlr.com/
3.5.7 Prezi
http://prezi.com/
3.5.8 Ezyzip
http://www.ezyzip.com/
22
3.5.9 Oodesk
http://www.oodesk.com/home.php?lg=es
23
Captulo IV
Anlisis de Riesgos
24
11
12
25
13
26
de recursos actualmente son poco comunes y mucho ms difciles de realizar para un atacante
comparado a los sistemas operativos tradicionales.14
15
16
27
assessment
Visitado el 07/02/2013
17
28
19
20
29
21
Especificar los requerimientos de recursos humanos como parte legal de los contratos.
Hacer cumplir los acuerdos de nivel de servicio (SLA) para disminuir las
vulnerabilidades.
30
31
32
Captulo V
33
5.1
34
22
23
35
36
limitacin de descarga, por lo que con una cuenta gratuita el usuario podr descargar
todos los archivos que quiera sin ningn lmite y a mxima velocidad. Las nicas
37
25
38
26
27
39
Fuentes (respectivamente):
https://support.google.com/drive/answer/2375123?hl=es-419
https://www.dropbox.com/pricing
http://www.adrive.com/plans
https://mega.co.nz/#register
40
otras cosas, la edicin multiusuario, es decir, la capacidad para editar documentos entre varias
personas al mismo tiempo desde diferentes computadoras.28
Hay que sealar que es muy positiva la gratuidad de todas las
herramientas y el concepto de nube que se aplica totalmente, con lo cual nos olvidamos de
otros sistemas de almacenamiento y de instalar ningn tipo de software.
Son herramientas muy prcticas y muy usadas en el mundo
entero. Todas las aplicaciones convergen en tres direcciones si se aprovecha su funcionalidad:
comunicar, colaborar y participar. Es una infraestructura para la bsqueda de informacin a
travs del buscador web, imgenes, mapas, etc. 29
El acceso seguro va SSL no est habilitado por defecto, pero
existe la opcin de acceder por HTTPS y trabajar de forma segura. La privacidad de
documentos sensibles puede ser comprometida por el hecho de que mucha gente est
autenticada en sus cuentas de Google de forma casi permanente (las cuentas Google se
utilizan para la gran variedad de servicios ofrecidos por Google como correo electrnico,
calendario, etc.). A pesar de que este login unificado tiene claras ventajas, representa un
potencial riesgo para la seguridad mientras el acceso a Google Docs no requiera comprobacin
de contrasea.30
Conclusin: al igual que sucede con Google Drive, el principal
beneficio que podemos obtener de Google Docs es el de contar con varios servicios integrados
y accesibles a travs de un solo nombre de usuario y contrasea. Esto lo convierte en una
opcin muy tentadora debido a su practicidad. Cabe destacar que Google Docs es un servicio
de excelencia en cuanto a software de oficina se refiere. Las ventajas de utilizar un servicio
como este en vez de aplicaciones locales son innumerables: trabajo colaborativo en tiempo
real, almacenamiento automtico constante, acceso desde cualquier sistema operativo e
incluso desde cualquier dispositivo compatible en dnde encontramos: tablets y telfonos
28
29
30
41
celulares. Adems cuenta con todas las opciones que poseen las aplicaciones locales de su tipo
y nos ofrece una forma de trabajo segura al utilizar SSL en la comunicacin entre la
computadora o dispositivo local y el servidor, de esta manera los datos no sern capturados
fcilmente en la red.
42
32
43
44
Ventajas
Desventajas
34
35
45
Captulo VI
Anlisis de Resultados
46
36
Todo lo que es Nube todava est en una poca inicial donde estamos empezando
a conocer la tecnologa.
47
Se debe procurar que los proveedores sigan las buenas prcticas recomendadas
por los estndares existentes.
La Nube privada deber encontrar un control que permita delimitar sus fronteras.
37
48
computing/
(Visitado el 26/11/2012)
38
39
49
almacenamiento en discos virtuales, y de stos casi todos tienen problemas con la velocidad
de subida de archivos (aunque esto podra atribuirse al proveedor de internet, los cuales
generalmente brindan una muy baja velocidad de subida, caracterstica que debera ir
mejorando conforme crece la utilizacin de la nube para que los usuarios tengan una mejor
experiencia en ella). Mientras que casi todos los encuestados aun no utilizan software o
aplicaciones en la nube, los que si lo hacen sostienen que la velocidad de respuesta y
procesamiento es mucho mejor en su propia computadora. De entre los servicios propuestos,
los de Google (Google Docs y Google Drive) son los ms utilizados, aunque tambin un gran
porcentaje utiliza DropBox. Casi nadie ha sufrido robo de datos ni contraseas. Por ltimo, los
datos que ms se almacenan en la nube son Documentos, Fotos y Videos.
50
51
52
Capitulo VII
Conclusin
53
Indicadores
Gestin de Archivos
Conclusines
Nmero ilimitado
Disponibles
en
todo
momento mediante una
conexin a internet
Acceso simple mediante
contrasea
Recursos
Memoria
Procesamiento
Ancho de banda
Almacenamiento
Archivos
Ancho de Banda
Confidencialidad
Proteccin de datos
El 90% de los servicios almacena la
Proteccin de la informacin informacin cifrada y se accede con
almacenada en la nube.
una contrasea segura.
Grado de acceso a la
informacin
Posibilidad de ser encontrada
Posibilidad de ser utilizada
Disponibilidad
Datos almacenados
54
Recomendaciones
Mi recomendacin personal radica en utilizar una especia de
sistema hibrido, almacenando los datos ms sensibles de forma local (que por lo general son
pocos) y utilizando la nube para todo lo dems, por ello es necesario analizar para cada caso
particular las necesidades propias de cada individuo o empresa para as saber si podremos
utilizar con confianza la informtica en la nube, estableciendo que TICs locales utilizaremos y
cuales TICs en la nube nos servirn para nuestro propsito, logrando de esta manera una
relacin costo-beneficio-confidencialidad que se adapte a nuestras exigencias.
En forma adicional a la utilizacin de la informtica en la nube y
con el fin de minimizar an ms los costos necesarios para comenzar a operar una solucin
basada en este modelo, un buen complemento sera el uso de Sistemas Operativos Open
Source, como Linux, ya que la mayora de los servicios en la nube funcionan en forma
independiente a la plataforma o sistema operativo que se est utilizando.
FIN
56
Glosario
tema, es decir, slo muestra informacin importante, algunos grficos, sonidos y videos; esto
permite, generalmente junto con una persona que expone, desarrollar un tema especfico.7
Disco Rgido: es un dispositivo de almacenamiento permanente que pertenece a la categora
de discos magnticos. Suelen ser rectangulares y protegidos por una caja metlica
hermticamente cerrada.7
Disco Virtual: es un disco rgido que utilizamos para almacenar informacin pero que est
ubicado en otra locacin geogrfica diferente de nuestra computadora.
Dispositivo de almacenamiento: es el artefacto en donde se escribe o leen datos, en tanto la
unidad de almacenamiento es el dispositivo que se encarga de leer o escribir en estos. Por
ejemplo, un disquete o un CD son soportes (medios); en tanto una unidad lectora de disquetes
o unidad lectora de CD, son unidades/dispositivos de almacenamiento de esos medios
respectivamente.7
Dominio (web): 1) Nombre nico que permite ingresar a un servidor sin saber la direccin IP
exacta donde se encuentra. El servidor suele prestar servicios, especialmente el acceso a un
sitio web. 2) Conjunto de letras (dos o ms caracteres) que determinan el mbito o pas de una
pgina web. Por ejemplo, los dominios .ar, pertenecen a la Argentina, los .es a Espaa. Los
.com a sitios comerciales, los .org a organizaciones, etc. Esto es llamado TLD o Top-Level
Domain.7
Encriptacin (Cifrado, codificacin): la encriptacin es el proceso para volver ilegible
informacin considera importante. La informacin una vez encriptada slo puede leerse
aplicndole una clave. Se trata de una medida de seguridad que es usada para almacenar o
transferir informacin delicada que no debera ser accesible a terceros. Pueden ser
contraseas, nmeros de tarjetas de crdito, conversaciones privadas, etc.7
GET: el concepto GET es obtener informacin del servidor. Traer datos que estn en el
servidor, ya sea en un archivo o base de datos, al cliente. Independientemente de que para eso
tengamos que enviar (request) algn dato que ser procesado para luego devolver la
respuesta (response) que esperamos, como por ejemplo un identificador para obtener una
noticia de la base de datos. 8
Hardware: trmino ingls que hace referencia a cualquier componente fsico tecnolgico, que
trabaja o interacta de algn modo con la computadora. No slo incluye elementos internos
como el disco duro, CD-ROM, disquetera, sino que tambin hace referencia al cableado,
circuitos, gabinete, etc. E incluso hace referencia a elementos externos como la impresora, el
mouse, el teclado, el monitor y dems perifricos. El hardware contrasta con el software, que
es intangible y le da lgica al hardware (adems de ejecutarse dentro de ste).7
8
HTTP: (HyperText Transfer Protocol). Protocolo usado para acceder a la Web (WWW). Se
encarga de procesar y dar respuestas a las peticiones para visualizar una pgina web. El HTTP
est basado en el modelo cliente-servidor, en donde un cliente HTTP (un navegador por
ejemplo) abre una conexin y realizar una solicitud al servidor. Este responde a la peticin con
un recurso (texto, grficos, etc.) o un mensaje de error, y finalmente se cierra la conexin. Uno
de los ms famosos mensajes de error HTTP es el 404 Not found.7
HTTPS: (Hypertext Transfer Protocol Secure) es una combinacin del protocolo HTTP y
protocolos criptogrficos. Se emplea para lograr conexiones ms seguras en la WWW,
generalmente para transacciones de pagos o cada vez que se intercambie informacin sensible
(por ejemplo, claves) en internet. De esta manera la informacin sensible, en el caso de ser
interceptada por un ajeno, estar cifrada.7
Infraestructura: conjunto de todo lo necesario para servir de base o poner en funcionamiento
una obra mayor.7
Interfaz / Interfaces: parte de un programa que permite el flujo de informacin entre un
usuario y la aplicacin, o entre la aplicacin y otros programas o perifricos. Esa parte de un
programa est constituida por un conjunto de comandos y mtodos que permiten estas
intercomunicaciones. Interfaz tambin hace referencia al conjunto de mtodos para lograr
interactividad entre un usuario y una computadora.7
iPad: es una Tablet-PC multitctil desarrollado por Apple Inc. Fue presentado pblicamente el
27 de enero de 2010 en San Francisco. Se trata de una tablet con pantalla tctil, similar a un
telfono iPhone pero ms grande. 7
iPhone: telfono celular desarrollado por Apple Inc. (actualmente va por la sptima
generacin, el iPhone 5S).
Java: Lenguaje de programacin orientado a objetos. Fue desarrollado por James Gosling y sus
compaeros de Sun Microsystems al principio de la dcada de los 90. La programacin en Java
es compilada en bytecode, el cual es ejecutado por la mquina virtual Java. Usualmente se usa
un compilador JIT.El lenguaje es parecidos a C y C++, aunque su modelo de objetos es ms
sencillo, y fue influenciado tambin por Smalltalk, y Eiffel.7
Latencia: es el tiempo o lapso necesario para que un paquete de informacin se transfiera de
un lugar a otro. La latencia, junto con el ancho de banda, son determinantes para la velocidad
de una red.7
Linux: sistema operativo que posee un ncleo del mismo nombre. El cdigo fuente es abierto,
por lo tanto, est disponible para que cualquier persona pueda estudiarlo, usarlo, modificarlo y
redistribuirlo.7
Mac: es una lnea de sistemas operativos grficos desarrollados y vendidos por la compaa
Apple Inc, especialmente para ser usados en computadoras Macintosh y/o dispositivos como
el iPhone, el iPod y similares.7
Man-in-the-middle: en criptografa, un ataque man-in-the-middle o JANUS (MitM o
intermediario, en espaol) es un ataque en el que el enemigo adquiere la capacidad de leer,
insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca
que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar
mensajes entre las dos vctimas. El ataque MitM es particularmente significativo en el
protocolo original de intercambio de claves de Diffie-Hellman, cuando ste se emplea sin
autenticacin. 9
Memoria RAM: RAM o Random Access Memory (memoria de acceso aleatorio), es un tipo de
memoria que utilizan las computadoras y otros dispositivos. Por lo general es usada para el
almacenamiento temporal de informacin. Este tipo de memoria es voltil, por lo tanto su
contenido se pierde al faltar la energa elctrica.7
Ms Office: suite ofimtica desarrollada por Microsoft, actualmente es la ms usada del mundo.
Operable en los sistemas operativos Windows y Apple Mac OS, con posibilidad de funcionar en
Linux a travs de un emulador. 7
Multimedia: cualquier sistema que utiliza mltiples medios de comunicacin al mismo tiempo
para presentar informacin. Generalmente combinan textos, imgenes, sonidos, videos y
animaciones. 7
Multiplataforma: significa que el hardware o software que es multiplataforma tiene la
caracterstica de funcionar de forma similar en distintas plataformas (distintos sistemas
operativos por ejemplo). 7
Navegador (Browser, explorador, navegador web): aplicacin que sirve para acceder a la
WWW (todas las pginas web) y "navegar" por ella a travs de los enlaces. Generalmente
estos programas no slo traen la utilidad de navegar por la WWW, sino que pueden tambin
administrar correo, grupos de noticias, ingresar al servicio de FTP, etc. 7
Open Source: denominacin para aquellas aplicaciones que tienen su cdigo fuente liberado.
En general, los programas de cdigo abierto suele ser libres. Aunque existen aplicaciones de
cdigo abierto que no son libres. 7
Operador: persona fsica que utiliza una o ms aplicaciones a travs de la computadora.
Replay attacks: el replay attack, ataque por reenvo o reproduccin, bsicamente consiste en
capturar informacin (transmisin de datos) que viaja en una red predeterminada, y luego
enviarla al destinatario original sin que su presencia se haga notar. 10
Requerimientos: En ingeniera del software y el desarrollo de sistemas, un requerimiento es
una necesidad documentada sobre el contenido, forma o funcionalidad de un producto o
servicio. Los requerimientos son declaraciones que identifican atributos, capacidades,
caractersticas y/o cualidades que necesita cumplir un sistema (o un sistema de software) para
que tenga valor y utilidad para el usuario. En otras palabras, los requerimientos muestran qu
elementos y funciones son necesarias para un proyecto. 7
Script: conjunto de instrucciones generalmente almacenadas en un archivo de texto que
deben ser interpretados lnea a lnea en tiempo real para su ejecucin, se distinguen de los
programas, pues deben ser convertidos a un archivo binario ejecutable para correrlos. 7
Servidor: una computadora conectada a internet emplea una direccin (direccin web,
direccin IP, direccin FTP, etc.) para poder comunicarse con el servidor al que le corresponde.
La computadora enva (utilizando el protocolo adecuado) las distintas solicitudes al servidor, y
el servidor responde (empleando el protocolo adecuado) las solicitudes. El servidor tambin
puede solicitar datos de la computadora, y la computadora le responde. 7
Sistema Operativo (Operating System): sistema tipo software que controla la computadora y
administra los servicios y sus funciones como as tambin la ejecucin de otros programas
compatibles con ste. Ejemplos de familias de sistemas operativos: Windows, Unix, Linux, DOS,
Mac OS, etc. Un sistema operativo permite interactuar con el hardware de computadoras,
telfonos celulares, PDAs, etc. y ejecutar programas compatibles en stos. Permite controlar
las asignaciones de memoria, ordenar las solicitudes al sistema, controlar los dispositivos de
entrada y salida, facilitar la conexin a redes y el manejo de archivos. 7
Sniffing: vulgarmente "pinchar lneas". Relacionado Sniffer: 1) Aplicacin de monitorizacin y
de anlisis para el trfico de una red para detectar problemas, lo hace buscando cadenas
numricas o de caracteres en los paquetes. Se usa especialmente para detectar problemas de
congestionamiento (cuellos de botella o bottlenecks). Puede usarse ilegalmente para recibir
datos privados en una red, adems son difciles de detectar. 2) Programa encargado de
obtener datos que circulan por una red. 7
Software: programas, detalles del diseo escritos en un lenguaje de descripcin de programas,
diseo de la arquitectura, especificaciones escritas en lenguaje formal, requerimientos del
sistema, etc. 7
Spoofing: suplantar la direccin IP de otro sistema.
10
SSL: (Secure Sockets Layer). Protocolo diseado por la empresa Netscape para proveer
comunicaciones encriptadas en internet. 7
Tecnologas de Informacin y Comunicacin (TICs): agrupan los elementos y las tcnicas
usadas en el tratamiento y la transmisin de las informaciones, principalmente de informtica,
internet y telecomunicaciones. 11
Usuario: es un individuo que utiliza una computadora, sistema operativo, servicio o cualquier
sistema informtico. Por lo general es una nica persona. 7
Web: segn en el contexto que se utilice puede representar a toda la Internet o a un Sitio o
Pgina Web en particular.
WebDAV (Web-based Distributed Authoring and Versioning - Edicin y versionado
distribuidos sobre la web): grupo de trabajo del Internet Engineering Task Force, y que
tambin hace referencia a la serie de extensiones al protocolo HTTP definida por ese grupo.
Esas extensiones permiten a los usuarios crear, editar o mover documentos (o todo tipo de
recurso web) en un servidor remoto (generalmente un servidor web). El objetivo del grupo
WebDAV es hacer de la WWW un medio ms legible y editable. 7
Widget: es un elemento de una interfaz (interfaz grfica de usuario o GUI) que muestra
informacin con la cual el usuario puede interactuar. Por ejemplo: ventanas, cajas de texto,
checkboxs, listbox, entre otros. 7
WinRar: es una aplicacin de licencia shareware, que permite comprimir y empaquetar
mltiples archivos. El resultado es un archivo comprimido RAR. Actualmente WinRAR es
desarrollado por el ruso Eugene Roshal, mientras que Alexander Roshal, su hermano, se
encarga de los negocios relacionados. 7
WinZip: aplicacin que se emplea como archivador y compresor de ficheros desarrollada por
WinZip Computing (antiguamente Nico Mak Computing), luego adquirida en mayo de 2006 por
Corel Corporation. Al principio utilizaba el formato PKZIP, pero actualmente soporta otros
formatos compresores. 7
11
Bibliografa
r-
Artculo:
Direccin Web:
http://villarrealinoseguridadyauditoria.blogspot.com.ar/2011/05/replay-attack.html
Tipo de Referencia: Artculo Web
Fecha de Acceso: 22/01/2014
Nombre del Sitio: TICS en Amrica Latina
Artculo:
Definicin de TICs (01/06/2011)
Direccin Web:
http://www.tics.org.ar/home/index.php/noticias-destacadas-2/157definicion-de-tics
Tipo de Referencia: Sitio Web Oficial
Fecha de Acceso: 22/01/2014
ANEXOS
Sin lugar a dudas el tema de seguridad se ha convertido en uno de los aspectos claves a la
hora de tomar la decisin de subir o no a la nube. Channel Planet convers con Cristian
Borghello* de Argentina y Omar Herrera* de Mxico, expertos latinoamericanos en
seguridad sobre este neurlgico tema en el Cloud Computing.
CHP: Cul es su perspectiva respecto al tema de seguridad actual en Cloud Computing?
OH: La seguridad es un catalizador indispensable para que el Cloud Computing alcance el nivel
de madurez y penetracin de mercado que se espera. Cloud Computing representa la
oportunidad de bajar costos de infraestructura tecnolgica, hacer ms eficiente la operacin y
tener una flexibilidad nunca antes vista en cuanto a disponibilidad de la informacin y acceso
por demanda a recursos tecnolgicos.
Pero tambin llega en una poca donde tenemos requerimientos de seguridad y privacidad
muy estrictos a nivel mundial. La nica manera de solventar estos requerimientos es a travs
de soluciones de seguridad que resuelvan de raz los problemas fundamentales de seguridad
en la nube; de otra manera stos seran acentuados por las caractersticas propias de Cloud
Computing.
CB: Nuestra informacin est almacenada en ciertos lugares que llamamos nube que podra
estar en cualquier parte del mundo, en cualquier servidor o en cualquier infraestructura que el
proveedor haya decidido. A partir de ese momento es muy difcil establecer si esa informacin
va a estar segura o no. Siempre vamos a tener cierta cantidad de no conocimiento de donde
est y que tan segura est.
Con el advenimiento de Cloud Computing surgen distintos estndares sobre cmo asegurar
esa informacin en trminos de la confidencialidad del dueo de los datos, que en este caso
sera quien contrata el servicio; la disponibilidad de la informacin, es decir que quien
adquiere el servicio siempre pueda acceder a la informacin sin ningn tipo de cortes; y la
integridad, que busca que esa informacin no sea modificada en ningn momento, ni en el
centro de datos donde es almacenada ni mientras se est transfiriendo.
Actualmente estamos en un nivel bastante alto de incertidumbre de cmo se va a almacenar la
informacin, dnde se va a almacenar y con qu grado de seguridad y por eso empiezan a
surgir ciertos estndares que todava estn en paales, porque todo lo que es Cloud todava
est en una poca inicial donde estamos empezando a conocer la tecnologa.
Cules son los mayores riesgos y retos, a nivel de seguridad, en Cloud Computing?
OH: Hay tres retos fundamentales que an no se han solventado adecuadamente.
En segunda instancia, hay algunos inconvenientes relacionados con la integracin de una gran
cantidad de servicios que involucra Cloud Computing, aunque algunos de estos servicios ya
estn maduros en el mercado. Por ejemplo, un centro de cmputo de datos para una empresa
que provee este tipo de servicios no debera tener ningn tipo de secretos.
Tambin aparece el tema de la confidencialidad de la informacin. Quin asegura que si
almacenamos informacin confidencial y sensible, alguno de los administradores de los
centros de datos, en algn lugar del mundo, en la nube, no ingresa a ellos.
Tambin, en menor grado, pero no deja de ser importante, la integridad de nuestra
informacin.
En la medida en que el modelo se haga ms duro, vamos a ir aprendiendo y asegurando
nuestra informacin de distintas formas. Obviamente suceder en la medida en que el modelo
se
haga
ms
conocido
y
lo
vayamos
implementando
masivamente.
Qu recomendaciones dara a las empresas que estn en bsqueda de un proveedor para
soluciones en la nube?
OH: Que valoren su oferta, no slo con base en el costo y los niveles de servicio, sino tambin
considerando su potencial de crecimiento. La nube es todava un esquema en proceso de
madurez.
Muchas de las ventajas que se le atribuyen an no son tangibles, pero para poder aprovechar
al mximo el esquema cuando estas ventajas se materialicen ser necesario evaluar de manera
integral a los proveedores.
Si bien no existe an un acuerdo general sobre cules son los servicios mnimos que debe
ofrecer un proveedor de Cloud Computing, yo recomendara evaluar al menos los siguientes:
Un nivel de confidencialidad para datos sensibles, que sea adecuado para nuestras
necesidades
Un esquema de pagos que solo cobre por lo que se usa y que permita crecer y disminuir los
recursos utilizados en cualquier momento
Un esquema que asegure disponibilidad y acceso a los datos en cualquier momento
CB: En primer lugar lo que habra que exigir es un contrato donde quede claramente
especificado todos los estndares internacionales que sigue esa organizacin. Ante la firma de
un contrato va a ser poco probable que esa organizacin mienta.
En el contrato tambin se debe decir que buenas prcticas se tienen a nivel de seguridad. Si
hablamos de las empresas ms reconocidas en el mercado, sin duda todas ellas van a cumplir
con los estndares
Por otro lado, con la norma SAS 70 puedo tener un servicio de auditora de un tercero para
que audite a esa organizacin y me brinde los resultados, lo que podra ser muy til.
Cules son los estndares internacionales que deberan cumplir los proveedores de
servicios en la nube?
OH: En mi opinin, todava falta desarrollar estndares especficos para el esquema de Cloud
Computing, que consideren seguridad de los datos, interoperabilidad entre proveedores e
interaccin con clientes.
A falta de esto, los estndares que hoy en da pueden apoyar adecuadamente a un proveedor
de la nube son los estndares ISO, tales como 27001 y 9000, ya que son suficientemente
genricos para adecuarse a servicios particulares que se ofrecen bajo este nuevo esquema, y a
la vez proporcionan una cobertura adecuada en trminos de seguridad y procesos.
CB: Actualmente una de las ms importantes y ms reconocidos es la norma 27001 siempre y
cuando no solicitemos que todas las empresas del mundo estn certificadas, sino que se debe
procurar que por lo menos sigan las buenas prcticas recomendadas por estos estndares.
La ISO 27002 es un cdigo de buenas prcticas que nos va sugiriendo qu hacer en la
organizacin para cumplir con todos los estndares de buenas prcticas recomendadas para
asegurar la informacin, para tener un sistema de gestin adecuado.
Por otro lado hay otros estndares como SAS 70, que nos brinda el poder tener un contrato
con un proveedor para conocer las mejores prcticas que sigue esta compaa y tambin nos
habilita para hacer cierto tipo de auditoras en esas organizaciones a travs de un tercero para
verificar que todos los servicios provistos por esta empresa cumplen con los requerimientos.
Tambin existe una norma Anfi que es la gua TIA-942 que indica como debera ser un centro
computo, como debera estar desarrollado, y otros estndares que deberan seguir las
organizaciones justamente para saber que se cumplen con los estndares internacionales.
Tambin podemos mencionar las guas NIS o DISA de Estados Unidos.
Hay avances importantes en criptografa para generar confianza en el uso de soluciones en
la nube?
OH: Definitivamente. Algunos de los avances ms importantes se han llevado a cabo en el
campo de cifrado homomrfico, que son algoritmos que permiten operar directamente sobre
los datos encriptados, sin necesidad de conocer su contenido.
Estos esquemas, cuando logren alcanzar los niveles de eficiencia requeridos para operar los
volmenes de datos que se pretende manejar en la nube, podrn resolver de raz el problema
de la confidencialidad de los datos.
El avance ms reciente lo realiz Craig Gentry apenas a mediados del 2009, al encontrar el
primer mecanismo de cifrado homomrfico completo, es decir que permite realizar diversas
operaciones con los datos encriptados de esta manera.
CB: La criptografa est muy madura en el mercado actualmente. Existen distintas soluciones
que van a proveer servicios de criptografa, de cifrado para verificar la autenticidad, la
integridad y la autenticidad de la informacin, ya sea que est viajando o almacenada en algn
centro de cmputo en algn lugar del mundo.
El servicio de criptografa nos ayuda porque tendramos que en algn momento se necesita
trabajar con la informacin descifrada, por ende alguien tendra la posibilidad de acceder a
informacin confidencial. Para evitar ese tipo de problemas empiezan a surgir algunos
modelos, si bien an hay discusiones de si funcionaran en la prctica o no. Una de ellas es la
posibilidad de trabajar con datos cifrados sin descifrarlos en ningn momento, criptografa
homomrfica, pero todava algunos expertos hablan de que a esto le faltan entre 5 o 10 aos
como mnimo para que el modelo de trabajo sea lo suficientemente adulto y sea posible
trabajar en la prctica con este modelo.
En los contratos de servicios con los proveedores se debera incluir la informacin de en
cuntos servidores se replica la informacin, dnde estn ubicados o en qu momento
toman la decisin de tener una rplica adicional de la informacin?
OH: En mi opinin, es un tema tan complejo que no vale la pena tratar de regular
contractualmente la informacin de la ubicacin de los datos, dado el dinamismo que
empezar a adquirir el Cloud Computing.
Las empresas requieren esta informacin para evaluar el nivel de confianza que les brinda el
esquema. Creo que en ese sentido resultara mucho ms sencillo encontrar esquemas que
resuelvan el problema de la confidencialidad, sin importar la ubicacin geogrfica de los datos.
Los intermediarios o brokers jugarn un papel fundamental en estas soluciones, ya que sern
quienes se comprometern contractualmente con los clientes, y a su vez manejarn de manera
transparente la relacin con el resto de los proveedores involucrados.
Tcnicas de disociacin de la informacin para generar grupos de datos que sin contexto no
puedan ser utilizados de manera maliciosa podran solventar gran parte de este problema.
CB: En el contrato lo que debera estar especificado es el porcentaje de tiempo que va a estar
la informacin, como cuando hablbamos de Gmail. Este tema es independiente de la cantidad
de granjas de servidores que tiene Google. Yo no s si Google est almacenando mis correos
de Gmail en una granja, en 5 o en 10 granjas de servidores distribuidas en todo el mundo.
A mayor cantidad de lugares hay una probabilidad menor de que ocurra un dao, pero no
necesariamente va a asegurar la disponibilidad, adems esta informacin raramente una
empresa proveedora de servicios lo va a brindar porque muchas veces forma parte del secreto
comercial y de la forma de trabajo que tiene la organizacin.
En cuanto a disponibilidad debe ser claro que la informacin va a ser almacenada para un
objetivo determinado por el cliente, qu esta informacin debe ser eliminada cuando as se
requiera o cuando el contrato se vence y no sea renovado.
Considera que en el campo del cmputo forense va a haber algn cambio?
OH: Ciertamente. El cmputo forense se ver transformado totalmente. Pasar de operar en
las capas de infraestructura y sistema operativo a operar en la capa de datos principalmente y
deber volverse preventivo. En la actualidad, mucha informacin que nos permite manejar los
datos se genera en la capa de infraestructura y sistema operativo, y recientemente el enfoque
se ha cargado hacia los metadatos de los aplicativos. Todo esto tpicamente se registra en
bitcoras.
Pero en un ambiente sin fronteras geogrficas y altamente dinmico como ser Cloud en un
futuro no muy lejano, ser imposible centralizar la informacin en bitcoras. Es probable que
los metadatos deban acompaar a los datos en todo momento, a donde quiera que stos
viajen y sean procesados o almacenados. Es por esto que el esquema deber ser preventivo,
porque a nivel de protocolos de interaccin se deber definir cmo deben generarse, tratarse
y transmitirse los metadatos. De cierta manera ser un concepto similar a la informacin que
cargaban consigo los agentes inteligentes que se desarrollaron hace algunos aos.
El tema de Cloud va a generar nuevas especialidades en materia de seguridad?
CB: En el tema de certificaciones ya hay una nueva alianza que se cre hace algn tiempo que
es Cloud Computing Alliance intenta disear nuevos estndares, buscado los principales
expertos que trabajan con Cloud en el mundo.
En este momento ellos estn trabajando en la versin dos de un documento sobre lo que se
debera tener en la nube actualmente para trabajar en forma segura. En l se citan los
principales problemas que existen y las soluciones que se estn estudiando en este momento
para esos problemas.
Una de las cosas que tiene pensadas crear Cloud Computing Alliance es una certificacin de
organizaciones que brinden el servicio de Cloud. De esta forma para quien quiera adquirir el
servicio, podr ser un dato muy importante saber si est certificada por Cloud Computing
Alliance no solo en seguridad, sino en distintos dominios.
Qu diferencias ve entre el nivel de seguridad que se debe ofrecer en un Cloud privado y
Cloud pblico?
OH: La Cloud pblica requiere de soluciones de seguridad integrales que ataquen de raz los
problemas fundamentales y que puedan demostrar por s mismas su valor. Es decir, la
efectividad de dichas soluciones deber quedar manifiesta por su diseo y arquitectura, ms
que por su desempeo en campo.
Se requieren controles de seguridad robustos y bien diseados para que la Cloud Pblica
pueda prosperar, que es lo mismo que demandara cualquier Cloud privada. En este sentido no
veo ninguna diferencia.
Sin embargo la Cloud privada deber encontrar un control que permita delimitar sus fronteras.
No ser fcil, pues las tendencias indican que tarde o temprano habr recursos compartidos
entre ambas y estas fronteras sern dinmicas en el futuro.
Cmo ve el futuro del sector proveedor de soluciones, productos y servicios de seguridad
informtica ante Cloud?
OH: El sector de la seguridad se va a transformar de manera radical. Muchas empresas dejarn
de tener la presencia que tienen y tambin aparecern nuevos jugadores. Para bien o para
mal, las caractersticas dinmicas y de interaccin entre un gran nmero de participantes de la
Cloud, requieren de soluciones que sean ms efectivas, por lo que el mercado ser ms
estricto con los proveedores de estos servicios y dar menos margen para errores.
sta ser una gran oportunidad para aquellas empresas que han logrado entender y aplicar
correctamente conceptos y tecnologas de seguridad que tradicionalmente son complejas, y
donde se han cometido muchos errores, como es el caso de la criptografa.
Quienes quieran participar en este mercado debern mostrar madurez y solidez en sus
soluciones. La mercadotecnia no ser suficiente para mantenerse en este mercado.
Abril de 2012
generadores in situ. Si las compaas IT continan utilizando fuentes de energa sucias para
hacer funcionar la nube, la nube en s misma tendr un impacto negativo muy significativo sobre
nuestro medio ambiente y nuestras comunidades.
Sin embargo, s empezamos a ver una creciente toma de conciencia y compromiso por parte
de algunas compaas IT lderes, que comienzan a adaptar su rpido crecimiento al acceso a
fuentes de electricidad renovables y en funcin de sus plataformas online. En cuanto a estas
compaas, vemos que dichos compromisos dan forma, de manera significativa, a sus
decisiones acerca de dnde construir sus centros de datos. Compaas como Google tambin
estn haciendo inversiones importantes en energas limpias y comprometindose a contratos a
largo plazo para la utilizacin de energas renovables en alguna de sus instalaciones ya
existentes.
Incluso ms revelador, muchas compaas IT estn reconociendo que su influencia y poder de
mercado les da la oportunidad y la responsabilidad de demandar inversiones en energas
limpias, a la par que las condiciones polticas que conduzcan a las empresas de suministro
elctrico y a los dirigentes del gobierno a llevar a cabo mejores elecciones en materia
energtica. Las compaas IT pueden conducir el suministro de electricidad de la red nacional
elctrica que todos utilizamos hacia una expansin imparable de las energas renovables, a la
vez que se eliminan paulatinamente las fuentes ms sucias y peligrosas.
Con el informe actualizado de este ao, hemos ampliado nuestro anlisis para examinar un total
de catorce compaas IT globales que estn liderando la transicin del sector hacia la nube, y
tambin observando en detalle los lugares clave en el mundo donde se est concentrando la
construccin de centros de datos. Exploramos los retos y oportunidades con el objeto de que
las compaas IT jueguen un papel constructivo en la expansin de energas limpias y
renovables.
Conclusiones clave en el informe de este ao:
I.
Tres de las compaas ms grandes del sector, y que estn actualmente
desarrollando sus modelos de negocio alrededor de la nube; Amazon, Apple, y
Microsoft; se estn expandiendo rpidamente sin apenas tener en cuenta sus
fuentes de electricidad, y dependiendo considerablemente de energas sucias para
el funcionamiento de sus nubes.
II.
III.
IV.
V.
VII.
VIII.
Akamai2
Amazon
Web3
Services
Apple4
Dell
Facebook
Google
HP
IBM
Microsoft
Oracle
Rackspace
Salesforce
Twitter
Yahoo
ndice de
energa
limpia1
NA
13.5%
Carbn
Nuclear
Transparencia
energtica
Infraestructura de
emplazamiento
NA
33.9%
NA
29.9%
A
F
C
F
B
D
D
F
15.3%
55.1%
27.8%
56.3%
36.4%
39.4%
19.4%
12.1%
13.9%
7.1%
27%
4%
21.3%
56.4%
20.1%
39.4%
28.7%
49.7%
49.5%
39.3%
48.7%
31.6%
33.9%
35.6%
20.3%
6.4%
13.2%
15.3%
14.1%
11.5%
26%
17.2%
22.3%
31%
12.8%
14.6%
C
D
B
C
C
C
D
C
B
F
C
C
B
C
D
D
D
D
C
C
D
B
C
B
B
B
C
C
C
C
C
F
B
D
C
A
C
D
C
D
C
C
D
B
El ndice de Energa Limpia y la Intensidad de Carbn se calculan en base a estimaciones de demanda elctrica en instalaciones evaluadas.
[http://www.greenpeace.org/cloudcomputingfacilities]
2
La red global del servidor de Akamai est altamente distribuida y no es posible evaluarla individualmente como hemos hecho en otras compaas. Sin embargo, Akamai es la nica
compaa que est informando de la Eficiencia en el Uso del Carbono (EUC) en su flota entera y a nivel regional, tal y como se seala en la tabla de la instalacin del centro de datos.
3
A AWS se le proporcion las estimaciones de demanda elctrica de la instalacin para hacer revisin. AWS respondi que no eran correctas, pero no proporcion estimaciones
alternativas. Usando clculos prudentes, Greenpeace ha utilizado la mejor informacin disponible para obtener demanda energtica, y ha decidido publicar e invitar a AWS a ser
transparente y proporcionar datos ms precisos sobre la demanda elctrica de su instalacin.
4
A Apple se le proporcion las estimaciones de demanda elctrica de la instalacin para hacer revisin. Apple respondi que no eran correctas, pero no proporcion estimaciones
alternativas. Usando clculos prudentes, Greenpeace ha utilizado la mejor informacin disponible para obtener demanda energtica, y ha decidido publicar e invitar a Apple a ser
transparente y proporcionar datos ms precisos sobre la demanda elctrica de su instalacin.