Latest NewsGenetec revela sus planes para la videovigilancia, el control de acceso y el reconocimiento de placas de matrícula basados en la Nube

Genetec, pionera en la industria de seguridad física, y proveedora líder de soluciones unificadas basadas en tecnología IP de clase mundial, anunció hoy sus planes de llevar el software de seguridad física a la nube. En conjunto con Microsoft Corp., a través de una alianza estratégica de muchos años, Genetec está desarrollando verdaderas y confiables soluciones de seguridad hospedadas en la nube, tales como Videovigilancia, Control de Acceso, y Reconocimiento de Placas de Matrícula (LPR), como un Servicio que será desarrollado en la plataforma de informática en la nube de Microsoft Windows Azure. Las nuevas soluciónes de seguridad basadas en la nube van a combinar la fortaleza de la plataforma unificada de seguridad de Genetec con el alcance global, escalabilidad y confiabilidad de Windows Azure. Siguiendo un calendario agresivo de desarrollo, Genetec está planificando ofrecer su primer servicio basado en la nube durante el primer semestre del año 2013.

“Así como fuimos los pioneros en ofrecer Video IP 15 años atrás, ahora nuevamente transformaremos nuestra industria con la revolucionaria innovación de usar tecnología basada en la nube para desarrollar aplicaciones de videovigilancia y seguridad que sean aun más accesibles y de mayor valor para las compañías de todo tamaño”, dijo Pierre Racz, Presidente Ejecutivo de Genetec. “Al trabajar estrechamente con Microsoft, estamos en la capacidad de sacarle todo el provecho de Windows Azure, su robusta y sólida plataforma de desarrollo basada en la nube, como parte fundamental de nuestra estrategia de ofrecerle videovigilancia, control de acceso, y reconocimiento de placas de matrícula a un mercado de usuarios más amplio. Como líder indiscutible del mercado global más grande de videovigilancia, las Américas, estamos ubicados en una posición única y privilegiada de ofrecerle una solución verdaderamente “desarrollada para la nube” tanto a nuestros usuarios e integradores actuales, así como a un mercado totalmente nuevo que está buscando herramientas de seguridad sencillas, ubicuas, y poderosas”.

“Genetec va a ofrecer soluciones de seguridad física basadas en la nube que harán uso óptimo de Windows Azure. Al trasladar las funcionalidades de su plataforma unificada de seguridad a la nube, las organizaciones de todo tamaño se beneficiarán de las características y funciones avanzadas desarrolladas para empresas en una oferta basada en la red”, comentó Kim Akers, Gerente General, División de Difusión de Plataformas y Desarrollo de Microsoft”.

Hasta ahora, la industria de seguridad física no había adoptado los conceptos del software como servicio, y de servicios verdaderamente hospedados en la nube. Las soluciones nuevas de Genetec aprovecharán las oportunidades únicas que ofrece la informática en la nube, y le permitirá a nuestra industria la oportunidad que saque provecho de los sistemas de seguridad a demanda. Los integradores podrán aprovecharse de unos

procedimientos y protocolos de instalación, configuración y puesta en marcha más sencillos y simplificados, lo que significa que podrán captar mucho más clientes con mayor facilidad, y con mayor satisfacción inicial. Los usuarios se van a beneficiar de una forma de uso más sencilla, alta disponibilidad de operación, y menor costo de adquisición. Los activos de seguridad (que incluyen información de video, acceso, y datos críticos relacionados a ellos), serán almacenados automáticamente en la nube, lo que permitirá que puedan ser usados nuevamente, descargados y analizados en cualquier momento y en cualquier lugar. Los usuarios podrán implementar y configurar los sistemas de seguridad y sus actualizaciones sin interrupciones, y sacar provecho de centros de información/informática de calidad mundial para poder reducir sus cargas y costos de IT. Además, se beneficiarán de los procesos y métodos de pagos y administración incorporados, accesibles y flexibles desde una solución hospedada.

En los mercados empresariales tradicionales de Genetec, la nube abrirá nuevos caminos para realzar y expandir la aplicabilidad y el valor de instalaciones nuevas y existentes. Con sus nuevas ofertas de software como servicio, Genetec proporcionará características y capacidades excepcionales, efectivas y rentables al permitir a los usuarios empresariales a que expandan sus servicios de seguridad a localidades remotas de manera rápida, y saquen provecho del almacenamiento remoto y altamente elástico, expandible y flexible, y de plataformas de informática hospedadas en Windows Azure. Para la empresa, la solución de Genetec hospedada en Windows Azure significa que el poderío informático y computacional estará altamente disponible y a demanda las 24 horas del día, los 7 días de la semana, lo que ayudará a las grandes empresas a tener acceso, analizar y a entender mejor los grandes, complejos e intersectados flujos de información de seguridad.

Genetec reconoce que las necesidades de empresas pequeñas y medianas son diferentes a las de organizaciones de mayor tamaño; por ello, Genetec también está desarrollando soluciones basadas en la nube que sean asequibles, fáciles de instalar, y sencillas de usar. Esto permitirá que los integradores y socios de canales puedan suministrar de manera rápida y con eficiencia sistemas de seguridad de vanguardia que le permitan a las empresas pequeñas y medianas a mantenerse enfocadas en sus competencias claves en vez de malgastar su tiempo y recursos valiosos tratando de administrar hardware y configuraciones IT complejos.

“Trasladar videovigilancia, control de acceso y LPR a la nube requiere de una plataforma computacional segura, robusta y absolutamente confiable. Para nosotros, no hay un mejor proveedor de tecnología de nube que Microsoft y su plataforma Windows Azure para que nosotros desarrollemos nuestra tecnología/oferta de software como servicio”, comentó Pierre Racz, Presidente Ejecutivo de Genetec. “Con un servicio del 99.9% en el SLA mensual (Service Level Agreement), OS automático y aplicación de revisión de servicio, equilibrio de carga de red embebido y nativo, y resistencia y elasticidad a la falla de hardware, Windows Azure es ideal para dar soporte a aplicaciones de altísima disponibilidad sin tener que preocuparse de los tiempos de inactividad debido a fallas.

Windows Azure nos da la habilidad de proporcionarle a nuestros canales y a sus clientes de aplicaciones de nube sencillas, confiables y listas para usar que serán un agente evolutivo de cambio transformacional de la industria de seguridad”.

Para obtener mayor información acerca de la visión de Genetec para llevar el software de seguridad física hacia la nube por favor visite: www.genetec.com/cloud

Tomado de:http://www.ipusergrouplatino.com/articles/article/8493701/168635.htm

Desventajas de la utilización de sistemas en la nube

El primer factor que debemos considerar es la privacidad, debemos tomar en cuenta que los sistemas serán instalados en equipos (Servidores) que se encuentran fuera de la oficina siendo responsables de la data al proveedor de servicios. La información puede quedar expuesta debido a ataques, virus etc.

Es comprensible la percepción de inseguridad que genera una tecnología que pone la información (sensible en muchos casos), en servidores fuera de la organización, dejando como responsable de los datos al proveedor de servicio. El tema a tratar aquí, es el de la privacidad, ya que para muchos es extremadamente difícil el confiar su información sensible a terceros y consideran que lo que propone el cómputo en la nube pone en riesgo la información vital para los procesos de negocio.

El segundo factor a tomar en cuenta es la disponibilidad, en este caso el proveedor de servicio será el único responsable de mantener los sistemas en línea. Si llegase a ocurrir

alguna falla en el backbone principal y el sistema de redundancia falla, el cliente será incapaz de acceder a las aplicaciones almacenadas en la nube.

Si bien es cierto que se incluyó a la disponibilidad previamente como una ventaja, ésta queda como una responsabilidad que compete únicamente al proveedor del servicio, por lo que si su sistema de redundancia falla y no logra mantener al servicio disponible para el usuario, éste no puede realizar ninguna acción correctiva para restablecer el servicio. En tal caso, el cliente debería de esperar a que el problema sea resuelto del lado del proveedor.

El tercer factor es relativo a la falta de control de los recursos,

Falta de control sobre recursos. Al tener toda la infraestructura e incluso la aplicación corriendo sobre servidores que se encuentran en la nube, es decir, del lado del proveedor, el cliente carece por completo de control sobre los recursos e incluso sobre su información, una vez que ésta es subida a la nube.

Dependencia. En una solución basada en cómputo en la nube, el cliente se vuelve dependiente no sólo del proveedor del servicio, sino también de su conexión a Internet, debido a que el usuario debe estar permanentemente conectado para poder alcanzar al sistema que se encuentra en la nube.

Integración. No en todos los entornos resulta fácil o práctica la integración de recursos disponibles a través de infraestructuras de cómputo en la nube con sistemas desarrollados de una manera tradicional, por lo que este aspecto debe ser tomado en cuenta por el cliente para ver qué tan viable resulta implementar una solución basada en la nube dentro de su organización.

El cómputo en la nube se puede dividir en tres niveles en función de los servicios que ofrecen los proveedores. Desde el nivel más interno hasta el más externo se encuentran: Infraestructura como Servicio, Plataforma como Servicio y Software como Servicio. A continuación se describen brevemente cada uno de estos niveles:

Las amenazas principales para la computación en nube

Amenaza # 1:

Los proveedores de IaaS ofrecen a sus clientes la ilusión de cálculo ilimitada,red y la capacidad de almacenamiento - a menudo junto con un "sin fricción"el proceso de registro donde cualquier persona con una tarjeta de crédito válida puede registrarse e inmediatamente comenzar a utilizar servicios cloud. Algunos proveedores también ofrecen períodos de prueba gratuitos limitados. Abusando el relativo anonimato

detrás estos modelos de registro y uso, spammers, autores de códigos maliciosos,y otros delincuentes han podido llevar a cabo sus actividades conrelativa impunidad. Proveedores de PaaS tradicionalmente han sufrido máseste tipo de ataques, sin embargo, la evidencia reciente muestra que los hackers tienencomenzado a apuntar a los proveedores de IaaS también. Las futuras áreas de preocupación incluyen contraseña y clave de craqueo, DDOS, puntos de lanzamiento de ataques dinámicos, alojamiento de datos maliciosos, comando y control de botnets, la construcción de arcoíris tablas y resolver CAPTCHA de granjas.

Impacto

Los delincuentes siguen apalancándose en nuevas tecnologías para mejorar su alcance, evitar la detección, y mejorar la eficacia de sus actividades. Los proveedores de cloud estánactivamente en la mira, parcialmente debido a su registro relativamente débil sistemas facilitan el anonimato, y detección de fraude de los proveedores capacidades son limitadas.

Amenaza # 2: Interfaces y APIs inseguras

Los proveedores de Cloud Computing exponen un conjunto de interfaces de software o APIque los clientes utilizan para administrar e interactuar con servicios en la nube.Aprovisionamiento, Administración, instrumentación y el monitoreo son llevados a cabo a través de estas interfaces. La seguridad y la disponibilidad de loslos servicios generales de la nube depende de la seguridad de estos APIs básicos.Desde el control de autenticación y acceso a la encriptación ymonitorización de la actividad, estas interfaces deben estar diseñadas para proteger contraambos intentos, accidentales y maliciosas para burlar las políticas de seguridad.Además, las organizaciones y los terceros se basan a menudo en estasinterfaces para ofrecer servicios con valor añadido a sus clientes. Estano solo introduce la complejidad de la nueva API de capas, sino que también aumenta el riesgo, en como las organizaciones pueden ser obligados a renunciar a sus credenciales a thirdparties con el fin de permitir su agencia.

Impacto

Aunque la mayoría de los proveedores de esforzarse por garantizar la seguridad bien integrada en su servicio modelos, es crítico para consumidores de tales servicios a entender la seguridad consecuencias asociadas el uso, manejo, orquestación y monitoreo de servicios en la nube. La dependencia de un conjunto de interfaces y débil API expone a

las organizaciones a una variedad de problemas de seguridad relacionados con la confidencialidad, integridad, disponibilidad y rendición de cuentas.

Amenaza # 3: Insiders maliciosos

La amenaza de una privilegiada malicioso es bien conocido por la mayoría de las organizaciones. Esta amenaza se amplifica para los consumidores de servicios en la nube por la convergencia de los servicios de TI y los clientes bajo la misma administración dominio, combinado con una falta general de transparencia en el proveedor proceso y procedimiento. Por ejemplo, un proveedor puede no revelar la forma en que otorga a los empleados el acceso a los activos físicos y virtuales, cómo vigila estos empleados, o cómo se analiza e informa sobre el cumplimiento de las políticas. Para complicar las cosas, hay a menudo poca o ninguna visibilidad en la contratación normas y prácticas de los empleados nube. Este tipo de situación claramente crea una oportunidad atractiva para un adversario - que van desde el hacker aficionado, con el crimen organizado, el espionaje corporativo, o incluso del Estado-nación intrusión patrocinado. El nivel de acceso otorgado podría permitir a un adversario para recolectar información confidencial o ganar control completo sobre los servicios en la nube con poco o ningún riesgo de detección.

Impacto

El impacto que se tiene dentro de las organizaciones con los malicious insiders es considerable, dado su nivel de acceso y capacidad para infiltrarse las organizaciones y los activos. Daños a la marca, impacto financiero, y la productividad las pérdidas son sólo algunas de los maneras en que una persona enterada malicioso puede afectar una operación. Como organizaciones adoptan nube servicios, el elemento humano adquiere una más uniforme profunda importancia. Es por lo tanto crítico que consumidores de servicios en la nube entender lo que los proveedores son haciendo para detectar y defenderse contra la información privilegiada malicioso amenaza.

Amenaza # 4: Aspectos compartidos de Tecnología

Proveedores de IaaS ofrecen sus servicios de una forma escalable mediante el intercambio de infraestructura. A menudo, los componentes subyacentes que componen estainfraestructura (por ejemplo, las memorias caché de CPU, GPU, etc) no han sido diseñados para ofrecer fuertes propiedades de aislamiento para una arquitectura multi-tenant. Para abordar esta brecha, un hipervisor de virtualización de acceso, medie entre los sistemas operativos huésped y los recursos informáticos físicos. Sin embargo, incluso hipervisores han mostrado deficiencias que han permitido a los sistemas operativos huésped obtener niveles inadecuados de control o influencia sobre el subyacente de la plataforma. La estrategia que se recomienda es la defensa en profundidad, y debe incluir computo, almacenamiento, aplicación de la seguridad de la red y monitoreo. La compartimentación

debe ser fuerte y empleada para asegurar que los clientes no afectan el funcionamiento de los otros huéspedes que se encuentran en el mismo proveedor de cloud. Los clientes no deberían tener acceso a los datos reales o residuales de cualquier otro huésped, tráfico de red, etc.

Impacto

Los ataques han surgido en años recientes, estos se dirigen a la tecnología compartida dentro de ambientes cloud Computing. Las particiones de disco, Cachés de CPU, GPU y otros elementos compartidos nunca fueron diseñados para la compartimentación. Como resultado, los atacantes se centran en cómo impactar las operaciones de otros clientes de la nube, y cómo ganar accesos no autorizados para acceder a los datos.

Amenaza # 5: Fuga o pérdida de datos

Hay muchas maneras de comprometer los datos. Supresión o alteración de registros sin una copia de seguridad del contenido original es un ejemplo obvio. La desvinculación de un registro en un contexto más amplio puede hacerla irrecuperable, al igual que el almacenamiento en medios poco fiables. La pérdida de una clave de codificación pueden resultar en la destrucción eficaz. Por último, se debe evitar que las partes no autorizadas tengan acceso a los datos confidenciales.La amenaza de comprometer los datos en la nube es incremental, debido al número y las interacciones entre los riesgos y desafíos que son únicos en este entorno, o más peligrosos debido a la arquitectura o las características operativas del entorno de cloud.

Impacto

La pérdida de datos o fuga puede tener un impacto devastador en un negocio. Más allá del daño a la propia marca y reputación, una pérdida significativa podría impactar desde los empleados, socios, la moral del cliente su confianza. Pérdida del núcleo intelectual propiedad podría tener implicaciones financieras de alto impacto. Peor aún, dependiendo de los datos que se pierdan, es posible que existan incluso complicaciones legales.

Amenaza # 6: Secuestro de Cuenta o Servicio Falta

EL secuestro de cuenta o servicio no es nuevo. Los métodos de ataque, como phishing, el fraude y la explotación de las vulnerabilidades del software todavía son usados para lograr resultados. Las credenciales y contraseñas a menudo reutilizado, lo que amplifica el impacto de este tipo de ataques. Soluciones Cloud añadir una nueva amenaza para el paisaje. Si un atacante obtieneacceder a sus credenciales, pueden espiar sus actividades y transacciones, manipular datos, devolver información falsificada, y redirigir sus clientes a sitios ilegítimos. Su cuenta

o instancias de servicio pueden convertirse en una nueva base para el atacante. A partir de aquí, se puede aprovechar la poder de su reputación para lanzar ataques posteriores.

Impacto

Cuenta y el servicio de secuestro, por lo general con las credenciales robadas, sigue siendo una amenaza superior. Con credenciales robadas, los atacantes a menudo se puede acceder a las áreas críticas de la computación en nube desplegado servicios, lo que les permite comprometer la confidencialidad, integridad y disponibilidad de dichos servicios.Las organizaciones deben ser conscientes de estas técnicas así como común de defensa en profundidad las estrategias de protección para contener el daño (y posible litigios) como resultado de un incumplimiento.

Amenaza # 7: Perfil de Riesgo Desconocido

Uno de los principios de la computación en nube es la reducción de hardware y propiedad y mantenimiento de software para permitir a las empresas centrarse en sus fortalezas económicas de la base. Esto tiene claro financiera y operativa beneficios, que deben ser sopesados cuidadosamente frente a la contradictoria preocupaciones de seguridad - complicados por el hecho de que los despliegues cloud son impulsados por los beneficios previstos, por parte de grupos que pueden perder la pista de las ramificaciones de seguridad. Las versiones de software, actualizaciones de código, las prácticas de seguridad, la vulnerabilidad perfiles, los intentos de intrusión, seguridad y diseño, son todos factores importantes para la estimación de la postura de su empresa de seguridad. La información sobre quién está compartiendo su infraestructura puede ser pertinente, Además de los registros de intrusos de red, los intentos de redirección y / oéxitos y los registros de otros. La seguridad por oscuridad puede ser de bajo esfuerzo, pero puede dar lugar desconocido exposiciones. También puede afectar el análisis en profundidad que se requiere muy controlados o regulados áreas operativas.

ImpactoAl adoptar una nube servicio, las características y La funcionalidad puede ser así publicidad, sino de lo que detalles o de cumplimiento de la procedimientos internos de seguridad, configuración de endurecimiento, parches, auditoría y log? ¿Cómo están sus datos y los registros relacionados con el almacenamiento y quién tiene acceso a ellos? ¿Qué información si alguna será el vendedor revelar en caso de un incidente de seguridad? A menudo tales preguntas no son claramente , responde o se pasan por alto dejando a los clientes con un perfil de riesgo desconocidos que pueden incluir amenazas graves.

Abuso y mal uso del cloud computing

Esta amenaza afecta principalmente a los modelos de servicio IaaS y PaaS y se relaciona con un registro de acceso a estas infraestructuras/plataformas poco restrictivo. Es decir, cualquiera con una tarjeta de crédito válida puede acceder al servicio, con la consecuente proliferación de spammers, creadores de código malicioso y otros criminales que utilizan la nube como centro de operaciones.

Ejemplos:

IaaS que han albergado en Zeus Botnet.

Botnets que han alojado sus centros de control en infraestructuras cloud.

Rangos completos de direcciones de infraestructuras cloud bloqueadas por envío de correo basura.

Recomendaciones: Implementar un sistema de registro de acceso más restrictivo

Coordinar y monitorizar el fraude en tarjetas de crédito

Monitorizar el trafico de clientes para la detección de posibles actividades ilícitas

Comprobar las listas negras públicas para identificar si los rangos IP de la infraestructura han entrado en ellas

Interfaces y API poco seguros

Generalmente los proveedores de servicios en la nube ofrecen una serie de interfaces y API (del inglés, Application Programming Interface) para controlar e interactuar con los recursos. De este modo, toda la organización, el control, la provisión y la monitorización de los servicios cloud se realiza a través de estos API o interfaces. Dado que todo (autenticación, acceso, cifrado de datos, etc.) se realiza a través de estas herramientas, se hace necesario que los interfaces estén diseñados de forma segura, evitando así los problemas de seguridad, tanto los que son intencionados como los que se producen de forma accidental.

Ejemplos:

Permitir acceso anónimo, reutilización de tokens, autenticación sin cifrar, etc.

Limitaciones a la hora de gestión de logs (registros de actividad) y monitorización

Recomendaciones:

Analizar los problemas de seguridad de las interfaces de los proveedores de servicio

Asegurarse que la autenticación y los controles de acceso se implementan teniendo en cuenta el cifrado de los datos

Amenaza interna

Como en todos los sistemas de información, la amenaza que suponen los propios usuarios es una de las más importantes, dado que tienen acceso de forma natural a los datos y aplicaciones de la empresa. En un entorno cloud esto no es en absoluto diferente ya que se pueden desencadenar igualmente incidentes de seguridad provocados por empleados descontentos y accidentes por error o desconocimiento. Además, en muchos casos, es el propio proveedor del servicio el que gestiona las altas y bajas de los usuarios, produciéndose brechas de seguridad cuando el consumidor del servicio no informa al proveedor de las bajas de personal en la empresa. Como es lógico, estos incidentes repercuten de forma importante en la imagen de la empresa y en los activos que son gestionados. Los proveedores de servicio deberán proveer a los consumidores del servicio de medios y métodos para el control de las amenazas internas.

Recomendaciones:

Especificar cláusulas legales y de confidencialidad en los contratos laborales Determinar los posibles problemas en los procesos de notificación

Problemas derivados de las tecnologías compartidas

Esta amenaza afecta a los modelos IaaS, ya que en un modelo de Infraestructura como Servicio los componentes físicos (CPU, GPU, etc.) no fueron diseñados específicamente para una arquitectura de aplicaciones compartidas. Se han dado casos en los que los hipervisores de virtualización podían acceder a los recursos físicos del anfitrión provocando, de esta forma, incidentes de seguridad. Para evitar este tipo de incidentes se recomienda implementar una defensa en profundidad con especial atención a los recursos de computación, almacenamiento y red. Además, se ha de generar una buena estrategia de seguridad que gestione correctamente los recursos para que las actividades de un usuario no puedan interferir en las del resto.

Ejemplos:

Exploits o malware que consiguen acceder a los recursos del equipo anfitrión de la virtualización

Recomendaciones:

Diseñar buenas prácticas para la instalación y configuración

Monitorizar los entornos para detectar cambios no deseados en las configuraciones o la actividad

Proporcionar autenticación fuerte y control de acceso para el acceso de administración

Adecuar los acuerdos de nivel de servicio para controlar el parcheado y la corrección de vulnerabilidades

Pérdida o fuga de información

Existen muchas formas en las que los datos se pueden ver comprometidos. Por ejemplo, el borrado o modificación de datos sin tener una copia de seguridad de los originales, supone una pérdida de datos. En la nube, aumenta el riesgo de que los datos se vean comprometidos ya que el número de interacciones entre ellos se multiplica debido a la propia arquitectura de la misma. Esto deriva en pérdida de imagen de la compañía, daños económicos y, si se trata de fugas, problemas legales, infracciones de normas, etc.

Ejemplos:

Mal uso de las claves de cifrado y de software

Autenticación, autorización y auditoria débil

Recomendaciones:

Implementar API potentes para el control de acceso

Proteger el tránsito de datos mediante el cifrado de los mismos

Analizar la protección de datos tanto en tiempo de diseño como en tiempo de ejecución

Proporcionar mecanismos potentes para la generación de claves, el almacenamiento y la destrucción de la información

Definir, por contrato, la destrucción de los datos antes de que los medios de almacenamiento sean eliminados de la infraestructura, así como la política de copias de seguridad

Secuestro de sesión o servicio

En un entorno en la nube, si un atacante obtiene las credenciales de un usuario del entorno puede acceder a actividades y transacciones, manipular datos, devolver información falsificada o redirigir a los clientes a sitios maliciosos.

Recomendaciones:

Prohibir, mediante políticas, compartir credenciales entre usuarios y servicios

Aplicar técnicas de autenticación de doble factor siempre que sea posible

Monitorizar las sesiones en busca de actividades inusuales

Riesgos por desconocimiento

Uno de los pilares de las infraestructuras cloud es reducir la cantidad de software y hardware que tienen que adquirir y mantener las compañías, para así poder centrarse en el negocio. Esto, si bien repercute en ahorros de costes tanto económicos como operacionales, no puede ser motivo para el deterioro de la seguridad por falta de conocimiento de esta infraestructura. Para asistir en la toma de decisiones sobre las medidas de seguridad que se han de implantar en un entorno cloud es conveniente conocer, al menos en parte, la información técnica de la plataforma. Datos como con quién se comparte la infraestructura o los intentos de acceso no autorizados pueden resultar muy importantes a la hora de decidir la estrategia de seguridad. La carencia de información de este tipo puede derivar en brechas de seguridad desconocidas por el afectado.

Recomendaciones:

Tener acceso a los logs (registros de actividad) de aplicaciones y datos

Estar al corriente, total o parcialmente, de los detalles de la infraestructura

Monitorizar y recibir alertas sobre el uso de información crítica

RIESGOS DETECTADOS POR GARTNER

Gartner S.A. es una compañía de investigación y consultoría de tecnologías de la información, con sede en Stamford, Connecticut, Estados Unidos. Se conocía como Grupo Gartner hasta 2001. Gartner tiene como clientes a grandes empresas, agencias de gobierno, empresas tecnológicas y agencias de inversión. Fue fundada en 1979, tiene actualmente 4.000 socios y dispone de 1.200 analistas y consultores con presencia en 75 países por todo el mundo. Desde su posición de analista de las tecnologías de la información, también ha realizado recientemente el informe «Assessing the Security Risks of Cloud Computing» sobre los principales riesgos en cloud computing. A continuación, se incluye un extracto de las recomendaciones y buenas prácticas del citado informe.

Accesos de usuarios con privilegios

El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la empresa conlleva un riesgo inherente, ya que es posible que estos servicios externos sorteen los controles físicos, lógicos y humanos siendo, por este motivo, necesario conocer quién maneja dichos datos. Por tanto, se hace obligatorio consensuar con el proveedor los usuarios que tendrán acceso a esos datos, para minimizar así los riesgos de que haya usuarios con elevados privilegios que no deberían tener acceso a los datos.

Cumplimento normativo

Los clientes son en última instancia responsables de la seguridad e integridad de sus datos, aunque estos se encuentren fuera de las instalaciones y gestionados por un proveedor de servicios cloud. Los prestadores de servicios tradicionales se hallan sujetos a auditorías externas y certificaciones de seguridad, por lo tanto los proveedores de servicios en la nube también deben acogerse a este tipo de prácticas. Si se negasen a este tipo de auditorías no se les debería confiar los datos sensibles de la empresa.

Localización de los datos

Al utilizar entornos en la nube no se conoce de forma exacta en qué país están alojados. Se debe consultar con los proveedores cuál es el marco regulatorio aplicable al almacenamiento y procesado de datos, siendo una buena práctica cerrar un acuerdo con el proveedor para que el tratamiento de los datos se subyugue al marco legal del país del suscriptor del servicio. Riesgos y amenazas en Cloud Computing

Aislamiento de datos

Los datos en los entornos cloud comparten infraestructura con datos de otros clientes. El proveedor debe garantizar el aislamiento de los datos de los respectivos clientes. El cifrado de los datos es una buena práctica, pero el problema es cómo aislar los datos cuando se encuentran en reposo ya que el cifrado, cuando no se hace uso de los datos, puede resultar una operación costosa. El prestador del servicio debe garantizar que los datos en reposo estarán correctamente aislados y que los procedimientos de cifrado de la información se realizarán por personal experimentado, ya que el cifrado de los datos mal realizado también puede producir problemas con la disponibilidad de los datos o incluso la pérdida de los mismos.

Recuperación

Los proveedores de servicio deben tener una política de recuperación de datos en caso de desastre. Asimismo, es muy recomendable que los datos sean replicados en múltiples infraestructuras para evitar que sean vulnerables a un fallo general. Se debe exigir a los proveedores los datos sobre la viabilidad de una recuperación completa y el tiempo que podría tardar.

Soporte investigativo

La investigación de actividades ilegales en entornos cloud puede ser una actividad casi imposible, porque los datos y logs (registros de actividad) de múltiples clientes pueden estar juntos e incluso desperdigados por una gran cantidad de equipos y centros de datos. Lo recomendable será que el proveedor garantice que los logs y los datos de los incidentes se gestionan de una forma centralizada.

Viabilidad a largo plazo

En un entorno ideal un proveedor de servicios cloud siempre permanecerá en el mercado dando un servicio de calidad y con una disponibilidad completa, pero el mercado es cambiante y cabe la posibilidad de que el proveedor sea comprado o absorbido por alguno con mayores recursos. El cliente debe asegurarse que podrá recuperar sus datos aún en el caso de que el proveedor sea comprado o absorbido por otro o bien contemplar la posibilidad de que los datos puedan ser migrados a la nueva infraestructura.

ASPECTOS CLAVE DE SEGURIDAD EN CLOUD SEGÚN NIST

El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.

Infrastructura como servicio (IaaS)

La idea básica es la de externalización de servidores para espacio en disco, base de datos y/o tiempo de computación, en lugar de tener un control completo de los mismos con el datacenter dentro de la empresa u optar por un centro de datos y sólo administrarlo. Con una Infraestructura como servicio (Iaas) lo que se tiene es una solución basada en vitualización en la que se paga por consumo de recursos: espacio en disco utilizado, tiempo de CPU, espacio en base de datos, transferencia de datos. Un ejemplo de Iaas son los web services de Amazon.

Platforma como Servicio (PaaS)

Aunque suele identificarse como una evolución de SaaS, es más bien un modelo en el que se ofrece todo lo necesario para soportar el ciclo de vida completo de construcción y puesta en marcha de aplicaciones y servicios web completamente disponibles en la Internet. Otra característica importante es que no hay descarga de software que instalar en los equipos de los desarrolladores. PasS ofrece mútliples servicios, pero todos provisionados como una solución integral en la web. Aunque algunos servicios de Amazon Web Services como SimpleDB y SQS yo los considero PaaS, esta afirmación puede ser discutida. Otro ejemplo es Google App Engine.