Upload
lichtblick
View
20
Download
0
Embed Size (px)
DESCRIPTION
meganube
Citation preview
Ventajas y Riesgos
Todo lo que la empresas deben tener en cuenta para encontrar un proveedor confiable de 'IT Cloud'.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 2
Introducción
el uso de la nube (Cloud) está transformando rápidamente el entorno de ti, y la conversación alrededor de la adopción de tecnologías en ella, que ha pasado de "si" a "cuándo".
Las empresas están mostrando un gran interés en conocer las ofertas
de nube que puede ayudarles a reducir los costos y aumentar la
agilidad del negocio.
Algunos proveedores ofrecen servicios en la nube, que significan
enormes beneficios económicos, pero también plantean riesgos
potenciales significativos para empresas que deben proteger los
activos de información corporativa, respetando las regulaciones de la
industria y del gobierno.
Muchos proveedores de servicios cloud pueden ofrecer la
seguridad de que las empresas necesitan y (Secure Sockets
Layer) certificados SSL.
Más específicamente, SSL es la solución para asegurar los
datos cuando están en movimiento. El objetivo de este ebook
es ayudar a las empresas a tomar decisiones pragmáticas acerca
de dónde y cuándo utilizar soluciones cloud esbozando cuestiones
específicas que las empresas deben conocer de los proveedores de
hosting antes de elegir uno.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 3
CloUd CoMpUTING:NUEvAs oporTUNIdAdEs, NUEvos rETos dE sEGUrIdAd
La mayoría de las organizaciones citan el ahorro de costos como el
beneficio más inmediato de la nube. Para la empresa, contar con
los servicios de la nube significa menores gastos de capital en TI y
los costos de operación, sumando capacidad de aprovisionamiento.
El proveedor de servicios, a su vez, logra mejoras en su economía
de escala, proporcionando un conjunto estandarizado de recursos
informáticos a una gran base de clientes. Muchos proveedores de
alojamiento ya están bien posicionados en el mercado y tienen las
competencias básicas (personas, procesos, tecnología) para entregar
la promesa de Cloud computing para la empresa.
A pesar de los claros beneficios económicos del uso de servicios en
la nube, las preocupaciones sobre la seguridad, el cumplimiento
y la privacidad de los datos han frenado la adopción empresarial.
Una encuesta de ejecutivos de TI revela que la seguridad es el reto
número uno .
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 4
Gartner Research ha identificado siete áreas específicas de
riesgo en seguridad asociadas con la nube informática para
empresas, y recomienda que las organizaciones aborden varios
aspectos clave en la selección de un proveedor de cloud hosting:
• Los privilegios de acceso. Los proveedores de servicios
de nube deben demostrar que son capaces de sostener la
contratación, supervisión y controles de acceso adecuados.
• Cumplimiento de normativas. Las empresas son
responsables de sus propios datos cuando están en una nube
pública, y deben asegurarse de que sus proveedores están listos y
dispuestos a someterse a auditorías.
• Procedencia de datos. Al seleccionar un proveedor,
pregunte donde se encuentran sus centros de datos y si pueden
comprometerse con requisitos específicos de privacidad.
• La segregación de datos. La mayoría de las nubes
públicas son entornos compartidos, y es fundamental para que
los proveedores ofrezcan un hosting seguro a la empresa.
• La recuperación de datos. Las empresas deben
asegurarse de que su proveedor de hosting tiene la capacidad de
hacer una restauración completa en caso de un desastre.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 5
• Seguimiento y presentación de informes. Es difícil
hacer un seguimiento y registro de la actividad de la nube
pública, por lo que las empresas deben pedir una prueba de
que sus proveedores de hosting pueden hacer investigaciones
de apoyo.
• Continuidad del negocio. Las empresas van y vienen,
y las empresas deben realizar preguntas sobre la portabilidad
de sus datos para evitar una potencial pérdida si el negocio
falla.
Para aprovechar los beneficios de Cloud computing, sin aumentar
la seguridad y los riesgos de cumplimiento, las empresas deben
asegurarse de que funcionan sólo con servicios de confianza,
proveedores que puedan abordar estos y otros desafíos a la
seguridad cloud. Cuando las empresas pasan de usar sólo un
servicio basado en la nube para usar los servicios de diferentes
proveedores, deben gestionar todas estas cuestiones a través de
múltiples operadores, cada uno con diferentes infraestructuras,
políticas operativas y habilidades de seguridad. Esta complejidad
de los requisitos fiduciarios impulsa la necesidad de encontrar
un método altamente fiable para proteger sus datos mientras se
mueve hacia, desde y alrededor de la nube.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 6
ssl Es lA ClAvE pArAEl sECUrE CloUd CoMpUTING pArA EMprEsAs
SSL es un protocolo de seguridad
utilizado por los navegadores Web
y servidores Web para ayudar a
los usuarios a proteger sus datos
durante la transferencia. SSL es el
estándar para confiar en los intercambios
de información a través de Internet. Sin la
ubicuidad de SSL, cualquier fideicomiso
a través de Internet simplemente no sería
posible. SSL entra en juego con los datos
en cualquier momento. Si una empresa
mantiene sus datos en la nube, con una
red segura el acceso a ella es importante.
Además, esos datos es probable que
deban moverse entre servidores en la nube
cuando el prestador ejerza las funciones
de gestión de rutina.
SSL proporciona dos servicios que
ayudan a resolver algunos problemas
de seguridad en la nube. En primer
lugar, SSL cifrado mantiene los ojos curiosos
alejados de la lectura de los datos privados,
Si LoS datoS Se Mueven entRe eL SeRvidoR y eL naveGadoR o entRe eL SeRvidoR y eL SeRvidoR, SSL ayuda a aSeGuRaRLoS.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 7
ya que se transmite de un servidor a otro y entre el servidor y el
navegador. El segundo beneficio, posiblemente incluso más importante,
es el de establecer la confianza en un servidor específico y de dominio.
un certificado SSL puede autenticar que un servidor
específico y dominio pertenecen a la persona u organización
que dice representar. Los riesgos de segregación de datos están
cada vez más presentes en almacenamiento en la nube. Con domicilio
tradicional de almacenamiento, el propietario de la empresa controla
donde se encuentra los datos exactamente y quién puede acceder a
ellos. En un entorno de nube, ese escenario cambia: hay que controlar
a los proveedores de servicios cloud, donde los servidores y los datos
están situados. Sin embargo, una correcta aplicación de SSL puede
proteger los datos sensibles, ya que están siendo transmitidos desde
un lugar a otro en la nube, y entre el proveedor de la nube, servidores
y usuarios finales en los navegadores.
ENCrypTIoN Las empresas deben exigir a su proveedor de nube utilizar una
combinación de SSL y servidores que dan soporte, como mínimo,
un cifrado de sesión de 128 bits (o, preferiblemente, la fuerte
encriptación de 256 bits). De esta manera sus datos se protegen con
estándares de la industria en niveles de encriptación o mejor, ya que
se mueve entre servidores o entre el servidor y navegador, evitando
los interceptores no autorizados de sus datos y la posibilidad de
leerlo.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 8
AUTENTICACIóN
Las empresas también deben exigir que la propiedad del servidor
se autentique antes que un bit de transferencia de datos entre
servidores. Los Certificados SSL autofirmados no proporcionan de
autenticación. Sólo, certificados SSL de terceros independientes
pueden ofrecer autenticación de propiedad legítima. La exigencia
de un certificado SSL emitido comercialmente, de una CA de
otro fabricante que haya autenticado el servidor hace que sea
prácticamente imposible establecer un servidor pirata que puede
infiltrarse en el proveedor de la nube.
vAlIdEz CErTIfICAdo Una vez que un servidor y dominio se autentican, el certificado
SSL es emitido para que el dispositivo sea válido por un período de
tiempo definido. En el raro caso de que un SSL certificado haya sido
comprometido de alguna manera, hay un cheque a prueba de fallos
para verificar que el certificado no ha sido revocado en tiempo desde
que se emitió originalmente.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 9
Cada vez que el SSL se inicia, se comprueba el certificado
SSL contra una base de datos actual de certificados
revocados.
Actualmente hay dos estándares utilizados para esta comprobación
de validez, los certificados en línea Status Protocol (oCSP) y
lista de certificados revocados (CRL). Con OCSP, una consulta
se envía a la CA preguntando si este certificado ha sido revocado;
la CA responde sí o no. CRL, por otra parte, requiere que el
navegador descargue la lista de revocación más reciente de la CA y
compruebe la lista en sí para ver si el certificado aparece en ella.
El perfil de la línea de estado de certificados se considera el método
más fiable debido a que siempre está al día y es menos probable
que se alargue el tiempo de espera debido al tráfico de la red.
Los certificados SSL que se basan sólo en el estándar CRL son
menos deseables, debido a que en los casos de altas cantidades
de tráfico de la red, este paso se puede desaprovechar: algunos
navegadores malinterpretan una revisión incompleta CRL como la
confirmación de que un certificado no está en la lista de revocación,
en consecuencia, inicia una sesión basada en un certificado SSL
revocado. En tal escenario, un servidor pirata podría utilizar
un certificado revocado para pasar con éxito como un servidor
legítimo, creando una condición óptima para una violación de
datos.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 10
fACIlITAr los EsfUErzos dE CUMplIMIENTo dE NorMATIvAs
Los siguientes son los riesgos de cumplimiento normativo.
Cuando se trata de asegurar y confidencialidad de datos, las
empresas están cargadas de una gran cantidad de regulaciones.
Desde leyes como la Ley Sarbanes-Oxley (SOX), que afecta sólo
a las empresas públicas, a la Payment Card Industry Security
Standard (PCI-DSS), que afecta a cualquier empresa que acepta
tarjetas de pago, para el Seguro de Salud de Portabilidad y Federal
Accountability Act (HIPAA), que afecta a las empresas con la más
remota posibilidad de tocar los datos de un paciente.
En Europa existe la Directiva de Privacidad de Datos de la UE
y Canadá tiene un equivalente de protección de información y
electrónica, Ley de Documentos (PIPEDA).
Cuando una organización externaliza TI a un proveedor de servicios
de nube, la organización sigue siendo responsable de mantener
el cumplimiento de SOX, PCI, HIPAA y cualquier otro reglamento
aplicable, y posiblemente más, dependiendo de donde los servidores
y los datos están en cualquier momento dado. Como resultado, la
empresa se hace responsable de la seguridad y la integridad de los
datos, incluso si se subcontrata.
Dado que la empresa de TI no puede basarse únicamente en el
proveedor de la nube para cumplir estos requisitos, las empresa
debe exigir al proveedor de la nube buscar algún tipo de supervisión
de cumplimiento.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 11
Además, los cambios tecnológicos en el entorno de Cloud
Computing pueden, sin saberlo, reducir poco a poco el
cumplimiento de un proveedor.
Característica tales como modificaciones de permisos, nuevas
capacidades, introducción de dispositivos móviles, y los cambios de
la red también pueden afectar este cumplimiento.
Aquí, al igual que con la segregación de datos, la encriptación
SSL impide la divulgación accidental de datos protegidos o
privados porque la diligencia, regulación y acceso a los datos está
automatizada.
El Cifrado SSL hace que todos los datos sensibles, inútiles para que
cualquier tercero pueda interceptar o verlos.
los proveedores de cloud computing
que se niegan a someterse a auditorías y la
seguridad exterior de certificaciones,
están "dando señales de que los clientes
sólo pueden usarlos para las funciones
más triviales ", según Gartner research.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 12
MoNITorEoproCEdENCIA dE dATos
SSL se dirige a la tercera zona de riesgo, la ubicación de
datos, de la misma manera. Las nubes son como cajas
negras: mientras que permiten el acceso ubicuo a los datos,
también ofuscan la ubicación física de los servidores y los datos.
Pero si un proveedor de la nube utiliza SSL para cifrar los datos a
medida que cambian de lugar, una empresa puede estar segura de
que sus datos estarán seguros mientras se mueven alrededor de la
nube.
Además, un proveedor de SSL de terceros legítimos, tales como
Symantec no le hará emitir un certificado SSL en un servidor en
un país de interdicción como Corea del Norte e Irán. Por lo tanto,
siempre y cuando el proveedor de la nube requiera autenticación de
confianza y cifrado en todos sus servidores a través de SSL de una
CA raíz de una práctica, una empresa sabrá que el proveedor de la
nube no es solo el almacenamiento de sus datos en el hardware de
TI de estos países.
oTrAs árEAsEN lAs qUE ssl pUEdE AyUdAr La empresa tiene que saber cómo su proveedor de
la nube, con todos sus servidores en todo el mundo,
protege los datos en caso de un desastre. Gartner afirma
que "cualquier oferta que no replica la infraestructura de
datos y aplicaciones a través de múltiples sitios, es vulnerable
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 13
al fracaso total ", y que cualquier negocio en la nube tiene
el deber de conocer si el proveedor de la nube es capaz de
restaurar completamente los datos de las copias de seguridad o
duplicados, y cuánto tiempo tomará. Para evitar la pérdida de
datos, los proveedores de servicios de nube deberían mantener
en los repositorios de datos una copia de seguridad. Si ocurre un
accidente, los proveedores de la nube intentarán recuperar datos
de los servidores de respaldo. SSL añade una capa adicional de
protección al proceso de copia de seguridad y recuperación para
un negocio, garantizando que los datos serán accesibles desde
servidores de copia de seguridad o duplicados y que se cifran en
tránsito, accediendo a los servidores para obtener una copia de
seguridad de datos y se autentican como fuentes legítimas de esa
información.
Uso dE CErTIfICAdos ssl pArA EsTABlECEr lA CoNfIANzA EN lA NUBE el uso de un proveedor de servicios de nube requiere un
alto nivel de confianza y seguridad.
Las aplicaciones críticas de negocio no pueden depender de
ensayo y error. Las empresas deben insistir en una ecuación de
confiabilidad crítica para establecer la confianza, y los certificados
SSL proporcionan una manera muy visible y reconocible de
inmediato para lograr eso. Alternativamente, SSL falta se puede
destruir la confianza al instante.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 14
Por ejemplo: supongamos que la
empresa opta por un proveedor de
la nube para alojar su página web de
comercio electrónico, pero el proveedor
tiene un problema con el certificado
SSL del sitio. Un usuario visita el sitio
y es recibido inmediatamente con la
alarmante "Secure Error de conexión" o
"Hay un problema con la seguridad del
sitio Web, mensaje de certificado". ¿Será
que el usuario ignora la advertencia
del navegador y hace clic para
completar una transacción en un sitio
aparentemente de poca confianza? No
es probable.
La cadena de confianza se extiende
más allá del proveedor de la nube y su
proveedor de seguridad. El proveedor
de seguridad de la nube asegura
la fiabilidad de la tecnología de seguridad que utilizan. Los
proveedores de cloud deben utilizar SSL desde que se establecen,
para ser fiables y asegurar CA independiente.
Su SSL debe entregar como mínimo una sesión de 128 bits
cifrado y óptimamente un cifrado de 256 bits. Y debe requerir un
riguroso proceso de autenticación.
¿SeRá que eL uSuaRio iGnoRa La adveRtenCia deL naveGadoR y haCe CLiC PaRa CoMPLetaR una tRanSaCCión en un Sitio aPaRenteMente de PoCa Confianza?
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 15
lA AUTENTICACIóNGENErA CoNfIANzA La confianza de una credencial depende de la confianza en el
emisor de credenciales, porque el emisor da fe de la autenticidad
de la credencial. CAs utiliza una variedad de métodos de
autenticación para verificar la información facilitada por las
organizaciones.
Lo mejor es elegir un proveedor de la nube que se estandariza en
una CA que es bien conocida y la confianza de los proveedores
de navegadores, mientras que mantiene una autenticación con
rigurosa metodología y una infraestructura altamente confiable.
Hay cuatro niveles de autenticación de SSL. Todos permiten un
intercambio cifrado de información; la diferencia se encuentra
dentro de la fuerza de la autenticación de servidor y de dominio.
• Los certificados autofirmados permiten el
cifrado, y eso es todo. Este tipo de SSL no proporciona
la seguridad requerida por una empresa.
• Los certificados de dominio validado ofrecen
autenticación básica sólo porque confirman que la
persona que solicita el certificado tiene el derecho a utilizar
un determinado nombre de dominio. Estos certificados no se
recomiendan para servidores
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 16
• Las Organizaciones que validan certificados
ofrecen una autenticación fiable para la
nube. Validan que la organización es responsable del
dominio o un servidor que existe, y que la persona que
solicita el certificado SSL para ese dominio o servidor es
un representante autenticado. Estos certificados SSL son
opciones aceptables para un servidor o navegador, pero no
ofrecen el más alto nivel de fomento de la confianza para el
usuario final.
• Los certificados Extended Validation (EV)
son la mejor opción para un servidor, ya que
ofrecen el nivel más fuerte de autenticación y la validación
más clara de que la conexión es segura. Con los certificados
EV, existencia física y operativa de la organización se
verifica, cual es el derecho de esa organización y el uso
de ese dominio. Usando EV asegura que la identidad de
la organización ha sido verificada a través de los registros
oficiales mantenidos por un tercero autorizado, y que la
persona que solicita el certificado es un agente autorizado
de la organización.
Un certificado SSL con este alto nivel de autenticación identifica
inequívocamente un usuario final en el navegador web. La Dirección
del navegador muestra el nombre de la organización, y el nombre
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 17
de la CA que ha emitido el SSL. Cuando los usuarios finales se
encuentran con la barra de dirección verde, tienen la completa
seguridad de que su conexión es segura. numerosas empresas
han reportado elevaciones notables en las transacciones
realizadas después de desplegar el SSL de validación
extendido. Por estas y otras razones, EV es la opción preferida el
uso de aplicaciones y servicios en la nube.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 18
CoNClUsIóN:vAyA CoN lo qUE sABENSSL es una tecnología probada y una piedra angular de la seguridad
en la nube. Cuando una empresa Selecciona un proveedor de cloud
computing, la empresa debe tener en cuenta la seguridad y las
opciones seleccionadas por ese proveedor de la nube. Sabiendo que
un proveedor utiliza SSL se puede recorrer un largo camino hacia el
establecimiento del compromiso del proveedor para salvaguardar los
datos en su poder. Cuando se selecciona un proveedor de servicio
en la nube, las empresas también tiene que ser muy claras con sus
socios relacionados con el manejo y mitigación de los factores de
riesgo no direccionables por SSL.
COMPARTEESTE EBOOK
itsoluciones
MEGANUBE Ventajas y Riesgos | 19
Nuestro objetivo número 1 es apoyarte a impulsar el crecimiento.
nuestros consultores van a escucharte.
¿NECEsITAsAyUdA pArA
No pErdEr ClIENTEs?
proGrAMA UNA CITA