Documente Academic
Documente Profesional
Documente Cultură
Objetivo
El objetivo de esta guia es proporcionar una visin general de los retos en Seguridad y
Privacidad inherentes a los entornos pblicos de "cloud computing", as como exponer
los "puntos claves" que las organizaciones han de plantearse en el momento de
externalizacin de los datos, aplicaciones o infraestructura basado en entornos pblicos
de cloud computing.
Contenido
A grandes rasgos el contenido de la guia se centra fundamentalmente en:
Las auditoras debern, al menos, ser orientadas a verificar cmo los datos son
almacenados, protegidos y usados.
Ser por tanto, tarea del centro de servicios de "Public Cloud", informar sobre la
jurisdiccin que les aplica, para poder "vigilar" y "verificar" desde la Organizacin el
cumplimiento normativo de la zona. Los esfuerzos se debe poner en asegurar el
cumplimiento normativo entorno a la Seguridad y la Privacidad de los datos, de forma
que se deber hacer especial a los siguientes puntos:
Trust: La mayor parte del control sobre los aspectos de seguridad y privacidad se base
en una relacin de confianza, entre el proveedor de los servicios y la organizacin. A
este respecto, las bases de la confianza, se establecen segn las "contramedidas"
controles establecidos para mitigar los riesgos de accesos no autorizados, en algunos
casos sern organismos externos los encargados de "asegurar" que la informacin esta
siendo protegida como es debido.
En los entornos de "Public Cloud" la confianza puede verse comprometida por varios
tipos de amenazas:
Dueo de los Datos: debe de quedar claro y explicito en el contrato del servicio,
quin es el dueo de los datos.
Identify and Access Management: los mecanismos necesarios para conocer en todo
momento quin (identificacin y autenticacin) y cmo (controles de acceso, permisos,
roles) accede a la informacin (los datos). Se debe de evitar utilizar sistemas diferentes
para este cometido, tendiendo a unificar los sistemas de control de acceso, estableciendo
lo que se conoce como federaciones en los sistemas de identificacin y gestin del
acceso. Estas "federaciones" permiten establecer un nivel de confianza para la creacin
de un sistema de "single sign on", donde se comparte de manera segura los datos de
acceso entre el proveedor y la organizacin. La federacin de identidades puede
implementarse mediante SAML(Security Assertion Markup language) o el estndar
OPENID.
Aislamiento de los Datos: puesto que los datos pueden estar presente en
mltiples formas, se deben de utilizar mecanismos que permitan aislar unos de
otros, como por ejemplo: Sistemas de cifrado, de forma que a pesar de compartir
un mismo medio fsico, los datos no puedan ser visibles entre si, y solamente
sean accesibles para quienes tenga la autorizacin correspondiente.