UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda...
139
UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA ANÁLISIS Y DISEÑO DE CLOUD COMPUTING PROPIETARIO PARA APLICACIONES DE E-LEARNING BAJO ESTÁNDARES ISO 27001 Y 27002 TRABAJO DE GRADUACIÓN PREVIO LA OBTENCIÓN DEL TÍTULO DE INGENIERO INFORMÁTICO AUTOR: MARÍA FERNANDA HERRERA TORRES TUTOR: INGENIERO ROBERT ARTURO ENRÍQUEZ REYES QUITO – ECUADOR 2015
Transcript of UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda...
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA
CARRERA DE INGENIERÍA INFORMÁTICA
ANÁLISIS Y DISEÑO DE CLOUD COMPUTING PROPIETARIO PARA
APLICACIONES DE E-LEARNING BAJO ESTÁNDARES ISO 27001 Y
27002
TRABAJO DE GRADUACIÓN PREVIO LA OBTENCIÓN DEL TÍTULO DE
INGENIERO INFORMÁTICO
AUTOR:
MARÍA FERNANDA HERRERA TORRES
TUTOR:
INGENIERO ROBERT ARTURO ENRÍQUEZ REYES
QUITO – ECUADOR
2015
ii
DEDICATORIA
A mis padres Jorge e Isabel que con su paciencia y educación han sabido
guiarme e incentivarme para no dejarme vencer por las adversidades.
iii
AGRADECIMIENTOS
Al Ing. Robert Enríquez, Lic. Gabriela Mafla e Ing. Yasmina Atarihuana por
su paciencia, tiempo y apertura para el desarrollo de este trabajo.
A mi gran amiga Susana Díaz por estar conmigo en los momentos más
difíciles y brindarme sus consejos y apoyo.
A mi hermano Jorge, mi cuñada Diana y mi hermosa sobrina Vianca Isabella,
por brindarme cariño y comprensión.
Al Ingeniero Naval Rafael Espinosa Semper, quien me brindó su confianza,
apoyo y conocimientos para dar los primeros pasos en los objetivos para la
elaboración de mi proyecto de ingeniería.
iv
AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL
v
vi
vii
APROBACIÓN DE REVISORES
viii
ix
CONTENIDO
DEDICATORIA ......................................................................................................... ii
AGRADECIMIENTOS .............................................................................................. iii
AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL ................................................. iv
APROBACIÓN DE REVISORES ............................................................................ vii
RESULTADO DEL TRABAJO DE GRADUACIÓN ..... ¡Error! Marcador no definido.
CONTENIDO ........................................................................................................... ix
LISTA DE GRÁFICOS ............................................................................................ xii
LISTA DE TABLAS ................................................................................................ xiii
RESUMEN ............................................................................................................. xiv
ABSTRACT ............................................................................................................ xv
CAPÍTULO I ............................................................................................................. 1
1.1 Introducción ............................................................................................. 1
1.2 Planteamiento del Problema ................................................................... 1
1.3 Formulación del Problema ...................................................................... 2
1.4 Objetivos .................................................................................................. 2
1.4.1 Objetivo General ............................................................................... 2
1.4.2 Objetivos Específicos ...................................................................... 2
1.5 Justificación............................................................................................. 2
1.6 Alcance..................................................................................................... 3
CAPÍTULO II ............................................................................................................ 4
2.1 Marco Teórico .......................................................................................... 4
2.2 Cloud Computing .................................................................................... 4
2.2.1 Características de Cloud Computing .............................................. 5
2.3 Arquitectura Cloud Computing............................................................... 6
2.3.1 Modelos de Despliegue .................................................................... 6
2.3.2 Modelos de Servicio ......................................................................... 6
2.4 Virtualización ........................................................................................ 9
2.5 Herramienta de Gestión ITIL (Information Technology Infraestructure
Library)...............................................................................................................10
2.5.1 Gestión de la Capacidad .................................................................11
2.5.2 Gestión de la Disponibilidad ...........................................................13
2.5.3 Gestión de la Seguridad ..................................................................16
2.5.4 Gestión de Incidentes .....................................................................19
x
2.5.5 Gestión de Problemas .....................................................................20
2.5.6 Gestión de Nivel de Servicio ...........................................................23
CAPÍTULO III ..........................................................................................................25
3.1 Introducción a la Seguridad de la Información ....................................25
3.2 Administración de la información de acuerdo al modelo de servicio
de Cloud Computing .........................................................................................27
3.2.1 Administración de accesos con SaaS............................................27
3.2.2 Protección de datos con PaaS .......................................................27
3.2.3 Administración de máquinas virtuales mediante IaaS ..................28
3.3 Gestión de Riesgos ................................................................................28
3.3.1 Elementos de Información ..............................................................28
3.3.2 Amenazas y Vulnerabilidades ........................................................29
3.3.3 Análisis de Riesgos .........................................................................30
3.3.4 Matriz de Riesgos ............................................................................31
3.3.4.1 Matriz Datos e Información ......................................................32
3.3.4.2 Matriz Sistemas e Infraestructura............................................46
3.3.4.3 Matriz Personal .........................................................................59
3.4 Acuerdos de Nivel de Servicio ..............................................................64
3.5 Política de Seguridad .............................................................................64
3.5.1 Seguridad en Áreas Críticas de Cloud Computing, Manejo de
Datos y Gestión de la Información ...............................................................65
CAPÍTULO IV .........................................................................................................71
4.1 PLANIFICACIÓN DEL SISTEMA DE INFORMACIÓN .............................71
4.2 ESTUDIO DE VIABILIDAD DEL SISTEMA ..............................................71
4.3 ANÁLISIS DEL SISTEMA DE INFORMACIÓN ........................................72
4.3.1 Infraestructura de Cloud .................................................................72
4.3.1.2 Requerimientos de Hardware ......................................................73
4.3.1.3 Redes ........................................................................................75
4.3.2 Software para Cloud ........................................................................76
4.3.2.1 Software propietario vs Software libre ...................................76
4.3.2.2 Herramientas de software libre para implementar la
plataforma de Cloud Computing ...............................................................78
4.3.2.3 Herramientas de software propietario para implementar la
plataforma de Cloud Computing ...............................................................84
4.3.3 Herramientas de Virtualización ......................................................87
4.4 DISEÑO DEL SISTEMA DE INFORMACIÓN ...........................................88
4.4.1 Plataforma para el Modelo de Servicio Cloud Computing ............89
xi
4.4.1.1 Arquitectura OpenStack ...........................................................90
4.4.1.2 Plataforma de Cloud Computing con OpenStack ..................92
4.4.1.3 Configuración Básica de la Red ..............................................93
4.4.1.4 Guía para la Implementación de la Plataforma de Cloud
Computing ..................................................................................................96
CAPITULO V ..........................................................................................................97
5.1 Presupuesto ............................................................................................97
5.2 Análisis de Costos de E-learning con Software Propietario.............. 101
5.3 Análisis de Costos de E-learning con Software Libre ....................... 102
6.Conclusiones ................................................................................................... 105
7.Recomendaciones ........................................................................................... 107
8.Bibliografía ....................................................................................................... 108
Anexos ................................................................................................................. 110
xii
LISTA DE GRÁFICOS
Gráfica 1 Representación visual de la definición de la NIST del Cloud Computing ................. 5
Gráfica 2 Modelos de Servicio Cloud Computing .................................................................... 7
Gráfica 3 Modelos definidos por funcionalidad ....................................................................... 9
Gráfica 4 Responsabilidades de la Gestión de la Capacidad .................................................. 12
Gráfica 5 Indicadores clave en los que se sustenta el proceso de Gestión de la Disponibilidad
............................................................................................................................................... 14
Gráfica 6 Fases del ciclo de vida de la interrupción del servicio ............................................ 16
Gráfica 7 Objetivos de la Gestión de la Seguridad ................................................................. 18
Gráfica 8 Proceso de Gestión de Incidentes .......................................................................... 20
Gráfica 9 Conceptos involucrados en la Gestión de Problemas ............................................ 22
Gráfica 10 Gestión de los Niveles de Servicio ........................................................................ 23
Gráfica 11 Matriz de Análisis de Riesgos ............................................................................... 30
Gráfica 12 Arquitectura Eucalyptus ....................................................................................... 79
Gráfica 13 Arquitectura OpenNebula .................................................................................... 81
Gráfica 14 Arquitectura OpenStack ....................................................................................... 83
Gráfica 15 Ubicación de los Componentes OpenStack en los Nodos .................................... 92
Gráfica 16 Infraestructura Cloud Computing y direcciones IP en la Red ............................... 94
xiii
LISTA DE TABLAS
Tabla 1 Análisis Matriz Datos e Información.......................................................................... 46
Tabla 2 Análisis Matriz Sistemas e Infraestructura ................................................................ 58
Tabla 3 Análisis Matriz Personal ............................................................................................ 63
Tabla 4 Ciclo de Vida de los Datos ......................................................................................... 67
Tabla 5 Requerimientos Nodo Controlador ........................................................................... 74
Tabla 6 Requerimientos Nodo Computador .......................................................................... 74
Tabla 7 Requerimientos Nodo Almacenamiento ................................................................... 75
Tabla 8 Direcciones IP de la Red ............................................................................................ 93
Tabla 9 Presupuesto para Infraestructura ............................................................................. 97
Tabla 10 Costos Centro de Datos ........................................................................................... 98
Tabla 11 Costos de Seguridad para Cloud.............................................................................. 98
Tabla 12 Costos Software Propietario ................................................................................... 99
Tabla 13 Costos Software Libre ............................................................................................ 101
Tabla 14 Ingresos de la Empresa .......................................................................................... 101
Tabla 15 Egresos de la Empresa ........................................................................................... 101
Tabla 16 Ingresos por Servicios E-learning y Consultorías ................................................... 102
Tabla 17 Ingresos con Servicio E-learning (Software Propietario) ....................................... 102
Tabla 18 Egresos con Servicio E-learning (Software Propietario) ........................................ 102
Tabla 19 Ingresos con Servicio E-learning (Software Libre) ................................................. 103
Tabla 20 Egresos con Servicio E-learning (Software Libre) .................................................. 103
xiv
RESUMEN
ANÁLISIS Y DISEÑO DE CLOUD COMPUTING PROPIETARIO PARA
APLICACIONES E-LEARNING BAJO ESTÁNDARES ISO 27001 Y 27002
En la actualidad la adopción de nuevas tecnologías de información, tal como
cloud computing para brindar servicios, está al alcance para pequeñas y
medianas empresas.
La adopción de una infraestructura propia que nos permita manejar y
almacenar la información de la empresa a través de un análisis de riesgos
para datos e información, sistemas e infraestructura y personal con el
objetivo de establecer lineamientos que mitiguen las amenazas gracias a las
normas ISO 27001 y 27002, hacen posible mantener la confidencialidad,
disponibilidad e integridad de la información.
Este modelo servirá para brindar un servicio e-learning 24/7 que satisfaga
las necesidades económicas y tecnológicas de la empresa.
DESCRIPTORES:
COMPUTACIÓN EN LA NUBE/ TECNOLOGÍAS DE INFORMACIÓN/
MANEJO Y ALMACENAMIENTO DE LA INFORMACIÓN/ ANÁLISIS DE
RIESGOS INFORMÁTICOS/ LINEAMIENTOS INFORMÁTICOS/ ISO 27001
Y 27002/ E-LEARNING
xv
ABSTRACT
ANALYSIS AND DESIGN OF CLOUD COMPUTING OWNER FOR E-
LEARNING APPLICATIONS UNDER STANDARDS ISO 27001 AND 27002
Today the adoption of new information technologies such as cloud computing
to provide services is available to small and medium companies
The adoption of an own infrastructure that allows us to manage and store
company information through a risk analysis to data and information, system
and infrastructure and staff in order to establish guidelines that mitigate
threats with ISO 27001 and 27002 make it possible to keep the
confidentiality, availability and integrity of information.
This model will serve to provide e-learning service 24/7 to meet the economic
and technological needs of the company.
DESCRIPTORS:
CLOUD COMPUTING/ TECHNOLOGIES OF INFORMATION/ HANDLING
AND STORAGE INFORMATION/ IT RISK ANALYSIS/ COMPUTER
GUIDELINES/ ISO 27001 AND 27002/ E-LEARNING
xvi
xvii
1
CAPÍTULO I
1.1 Introducción
Las empresas en el mundo buscan ir a la par con las nuevas tecnologías de
la información; una de ellas es la cloud computing o “computación en la
nube”, como un medio para almacenar información sin depender de la
capacidad para almacenarla y que esté disponible en tiempo real en
cualquier lugar del mundo a través del internet.
El manejo de la información debe ser compatible tanto en hardware como
software y preparada para formar negocios, contando con una estructura
básica, estableciendo lineamientos y estrategias que eviten amenazas de
seguridad y que reaccionen ante incidentes con el fin de garantizar la
confidencialidad, integridad y disponibilidad de datos.
Para esto se cuenta con normas establecidas que garantizan el correcto
manejo de los datos, estableciendo acuerdos de servicio con sus respectivas
funcionalidades y dominios de control que cubren completamente la gestión
de la seguridad de la información.
El análisis y diseño de una cloud propietaria bajo estas normas orientadas a
pequeñas y medianas empresas, constituye un nuevo modelo de servicios
de negocio y tecnología, flexible ante demandas; además de proteger los
activos de información minimizando riesgos y de esta forma contribuir a una
mejor gestión de la organización.
1.2 Planteamiento del Problema
Se busca realizar un análisis de un modelo de seguridad bajo normas y
estándares internacionales para implementar una interesante tecnología
emergente para la gestión de la información; creando una cultura de
seguridad de la organización y salvaguardar los recursos informáticos.
Es importante estudiar los requerimientos de la organización y determinar el
propósito para el cual se va a implementar la cloud, estableciendo las
utilidades de manera específica y brindar una herramienta confiable para la
realización de sus operaciones.
Además basándonos en acuerdos de servicio, adaptar los recursos de
tecnologías de información y garantizar la prestación de servicios de manera
fácil y rápida, dando soporte a cargas de trabajo dinámicas, consolidando
una infraestructura física y tecnológica a bajo costo, que posteriormente va a
ser utilizada para aplicaciones de e-learning.
2
1.3 Formulación del Problema
Debido a las necesidades de almacenamiento, la gestión eficiente de
procesos y transferencia de los datos; los proveedores de servicios de cloud
utilizan el mismo hardware y software para la manipulación de la
información, exponiendo en muchas ocasiones a la pérdida o piratería de la
misma con constantes violaciones de seguridad.
El manejo responsable de los datos y la alternativa que ofrecen las
tecnologías de información para diseñar un modelo de cloud privado, bajo
estándares y acuerdos de seguridad, cumplimiento y servicio, con la
posibilidad de adaptar aplicaciones de e-learning; permitirá optimizar
procesos y recursos para satisfacer las necesidades tecnológicas de la
empresa FAMORSA S.A.
1.4 Objetivos
1.4.1 Objetivo General
Analizar, definir y generar políticas de seguridad para la implementación de
una cloud propietaria escalable, estableciendo niveles de servicio SLA’s, que
permita satisfacer las necesidades económicas y tecnológicas de la empresa
FAMORSA S.A.
1.4.2 Objetivos Específicos
Definir políticas de seguridad para la información de una nube
privada, preparada para crecer, de manera que pueda asumir altas
demandas de servicio.
Identificar las seguridades física y lógica, como, redes y recursos
humanos.
Diseñar una metodología que describa los procedimientos
necesarios para implementar acuerdos de servicio aplicados a la
computación en la nube.
Definir recursos de hardware y software de acuerdo a las
necesidades y estrategias de la empresa, optimizar procesos y
preparar un entorno de e-learning flexible, cómoda y escalable.
1.5 Justificación
La tecnología está evolucionando en varias ramas en una organización; por
lo que, contar con un sistema de almacenamiento escalable (cloud), permite
estandarizar los procesos operacionales y el acceso a la información se lo
puede realizar desde cualquier lugar.
3
Los costos de tecnologías de información son más económicos, la velocidad
de procesamiento de la información y la productividad aumentan,
permitiendo el acceso a múltiples usuarios; de tal manera que, resulta
atractivo que las empresas cuenten con un servicio propio que garantice que
los datos almacenados sean exclusivamente de quien los emite y proteger
de esta manera la información de posibles violaciones a derechos de autor y
pérdida de la misma, bajo estándares que ayuden a optimizar los recursos
orientándolos a un uso exclusivo.
Mediante acuerdos de servicio, estándares de seguridad y manejo de la
información que se implementarán en los requisitos de la computación en la
nube, permitirá a la empresa FAMORSA S.A., satisfacer las necesidades
económica y tecnológicas del negocio hacia la cloud computing y determinar
las ventajas y desventajas de un sistema operativo específico y la
oportunidad de obtener posteriormente este servicio para fines educativos,
tal como e-learning, con acceso en cualquier sitio donde exista acceso a
internet, creando un ambiente más seguro y confiable en la gestión de
servicios para procesos de negocio.
1.6 Alcance
Establecer un modelo de cloud computing utilizando estándares
internacionales de seguridad y gestión de la información de la empresa
FAMORSA S.A., contando con marcos de referencia ITIL para en lo posterior
brindar un servicio e-learning 24/7 y satisfacer las necesidades de la
organización.
4
CAPÍTULO II
2.1 Marco Teórico
Las TIC’s constituyen una infraestructura tecnológica como base para el
emprendimiento y desarrollo de pequeñas y medianas empresas, para el
soporte de datos y gestión de la información; estas tecnologías integran
plataformas de computación, aplicaciones informáticas, servicios de gestión
de almacenamiento de los datos, servicios online, entre otras.
En la actualidad la empresa FAMORSA S.A. cuenta con una gama de
servicios para la industria naval; tales como: consultoría en arquitectura e
ingeniería naval, desarrollo de proyectos navales e inspecciones de obras
navales.
La posibilidad de adaptar un modelo de servicios dedicado a usuarios y
clientes corporativos que garantice la agilidad, rapidez y simplificación de
tiempo y espacio en el manejo de los datos satisfaciendo las necesidades
económicas y tecnológicas de la empresa con el objetivo de llegar a ser la
primera opción en consultoría, capacitación y desarrollo de negocios navales
e industriales.
Las tecnologías de la información son un conjunto de procesos de sistemas
de información; la cual, mejora la eficiencia y la efectividad al tratamiento de
la información que, a mediano o largo plazo crea organizaciones más
eficaces.
2.2 Cloud Computing
Durante la década de los 60’s las representaciones que se utilizaban para
diseñar redes computacionales eran generalmente una nube; simulando que
la información se trasladaba en diferentes direcciones y estaba disponible
para la mayoría de las personas que tenía acceso a la red.
Este concepto de alguna manera sirvió para tener ahora lo que se conoce
como Cloud Computing o Computación en la Nube, que describe el uso de
múltiples servicios, aplicaciones o información bajo una infraestructura
dispuesta para recursos computacionales, redes o almacenamiento
escalables incluyendo software y plataformas de desarrollo.
Este concepto de tecnologías de información se ha adoptado de tal manera,
que se distribuya la carga de trabajo de una forma sencilla, proporcionando a
cada actividad (dependiendo de su uso) los recursos necesarios para su
desarrollo.
5
Según la NIST1, el cloud computing es un modelo tecnológico que permite el
acceso ubicuo, adaptado y bajo demanda en red a un conjunto compartido
de recursos de computación configurables compartidos (por ejemplo: redes,
servidores, equipos de almacenamiento, aplicaciones y servicios), que
pueden ser rápidamente aprovisionados y liberados con un esfuerzo de
gestión reducido o interacción mínima con el proveedor de servicio.
Hay que tener en cuenta que cloud computing no es una nueva tecnología;
sino un nuevo modelo para prestación de servicios que está orientado a
atender altas demandas de servicio de manera ágil, eficiente, en el tiempo;
de forma que todo se perciba ágil, rápido, fácil, escalable.
Gráfica 1 Representación visual de la definición de la NIST del Cloud Computing
En la gráfica se muestran distintos modelos de despliegue, en la que se
basa este proyecto es en el modelo de despliegue privado, cuyas capas a
definir son infraestructura, plataforma y software con una gran capa de
virtualización y protocolos de comunicación.
2.2.1 Características de Cloud Computing
El cloud computing tiene características únicas que la hacen diferenciarse de
la computación tradicional, estas son:
Auto-servicio.- El usuario hace uso del servidor y almacenamiento sin
requerir la intervención humana.
1 NIST National Institute of Standard san Technology http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html
6
Acceso a red.- Mediante mecanismos estándar de red se fomenta el uso
por parte de plataformas pequeñas tanto ligeras como pesadas.
Reserva de recursos en común.- El proveedor pone a disposición recursos
para que puedan ser utilizadas por los usuarios con diferentes recursos
físicos y virtuales asignados dinámicamente y reasignados según la
demanda de los usuarios tales como, almacenamiento, procesamiento de
memoria, ancho de banda de red y máquinas virtuales.
Rapidez y elasticidad.- Los recursos para cada usuario son administrados
de manera rápida y elástica para poder realizar el redimensionado
correspondiente rápidamente.
Supervisión de Servicio.- El uso del servicio de cloud se controla y se
supervisa las 24 horas del día, los 7 días a la semana (24/7); de esta
manera, aporta transparencia para el usuario como para el administrador del
servicio utilizado.
2.3 Arquitectura Cloud Computing
2.3.1 Modelos de Despliegue
Hay cuatro formas de modelo de despliegue de servicios en la nube, que se
detallan a continuación:
Cloud Pública: Dispuesta para el público en general, es administrada y
operada por una empresa, entidad académica u organización o la
combinación de estos.
Cloud Privada: Esta es de uso exclusivo de una organización, es operada
por la organización y administrada dentro o fuera de la misma.
Cloud Híbrida: Es una combinación de dos o más nubes de distintas
infraestructuras, éstas siguen siendo entidades únicas normalizadas
tecnológicamente y el balanceo de carga se distribuye entre todas las nubes
en un eventual flujo de tráfico de datos.
Cloud Comunitaria: Su infraestructura es compartida con diferentes
organizaciones y la comunidad que tienen intereses en común. Es
gestionada por terceros o uno o varios miembros de la organización, sus
instalaciones están en la organización o fuera de ella.
2.3.2 Modelos de Servicio
7
Gráfica 2 Modelos de Servicio Cloud Computing
Infraestructura como servicio (IaaS)
Consiste en poner a disposición del cliente infraestructura informática
(espacio en disco, bases de datos, etc.), como un servicio; de esta manera,
se resolverían necesidades computacionales sin límites de escalabilidad
tomando lo que se necesita y cuando se necesita.
IaaS es un modelo de servicio en el cual el hardware está virtualizado en la
nube.2
IaaS está dirigido a cualquier empresa que desee delegar la implantación de
sus sistemas de software y aplicaciones en la infraestructura hardware de un
proveedor externo (conocido tradicionalmente como hosting) o que requiera
de servicios de almacenamiento externo, copias de seguridad de sus datos,
cálculos complejos que requieran software de elevadas prestaciones, etc. El
proveedor les permitirá gestionar dichos sistemas en un entorno
virtualizado.2
Este modelo proporciona al usuario servidores, almacenamiento, redes, etc.;
así las aplicaciones son accesibles mediante diferentes dispositivos cliente a
través de una interfaz de cliente ligero, como un navegador web o una
interfaz de programa.
Plataforma como Servicio (PaaS)
Este modelo de servicio se sitúa por encima de IaaS en lo que se refiere a
abstracción de los recursos de tecnologías de información.
2 Cloud Application Architectures: Building Applications and Infrastructure in the Cloud (Theory in Practice (O’Reilly) by George Reese (Paperback – Apr 10 2009).
8
Este modelo propone un entorno software en el cual un desarrollador puede
crear y customizar soluciones dentro de un contexto de herramientas de
desarrollo que la plataforma proporciona.3
El modelo PaaS, los clientes interactúa con el software para introducir o
recuperar datos, realizar acciones; pero no tienen responsabilidad de
mantener el hardware o software o el desarrollo de las aplicaciones, solo se
tiene responsabilidad de la interacción con la plataforma.4
El objetivo de este modelo de servicio es que se pueda soportar estándares
de desarrollo tales como: JAVASCRIPT, HTML, CSS, XML.
Las plataformas como servicio no sólo deber ser una base donde interactúa
el usuario; sino que debe ser compatible en cuanto al almacenaje de
archivos, gestión de base de datos, balanceo de máquinas de ancho de
banda, depende del servicio que se contrata y por el que se paga; de esta
manera, ahorrar costes y concentrarse en la aplicación como dos de las
ventajas de las plataformas de servicio.
Para reconocer que se tiene una plataforma sólida, se deben considerar los
siguientes aspectos:
Entorno basado en un navegador: Si se requiere instalar un
software para desarrollar aplicaciones, no es PaaS.
Entorno de ejecución transparente: El desarrollador despliega su
aplicación PaaS, si se requiere asesoría para instalar la aplicación,
no es PaaS.
Herramientas de monitoreo y gestión: A pesar de que las
soluciones basadas en la nube son efectivas en lo que refiere a
costos, es difícil gestionarlas sin las correctas herramientas de
monitoreo propia para escalar la aplicación, no es PaaS.
Software como Servicio (SaaS)
El modelo de servicio más completo es aquel que ofrece el software y
hardware como un servicio conjunto.3 El SaaS ofrece a los usuarios
software, infraestructura y solución para su uso como un servicio bajo
demanda. Se puede acceder al software mediante un navegador o
dispositivos móviles como celular o Tablet. Los usuarios pagan por el
servicio mediante suscripciones que son válidas por un determinado tiempo
y teniendo la posibilidad de acceder a todos sus servicios.
3 Dr. Mark I. Williams, A quick start guide to Cloud Computing, moving your business into the cloud 2010 4 Barrie Sosinsky, Cloud Computing bible, 2011
9
Cabe recalcar que las actualizaciones, mejoras o parches deben ser
distribuidos de manera responsable al usuario y este no debe hacer ningún
tipo de configuración.
SaaS debe cumplir ciertos requisitos mínimos:
Rendimiento: SaaS debe ofrecer un rendimiento mínimo y aceptable;
es decir, los tiempos de respuesta para el acceso a los datos,
ejecución de procesos de negocio y comunicación con la aplicación
deben ser óptimos.
Acuerdo de nivel de servicio: Hay que tener en cuenta si este tipo
de servicio es 8/5 (5 días a la semana, 8 horas) o 24/7. Se deben
tener los mecanismos necesarios para ofrecer estos acuerdos tales
como backup, clúster de alta disponibilidad de datos y aplicación.
Privacidad de los datos: Se debe asegurar que los datos que se
manejan sean accesibles única y exclusivamente por el dueño del
dato.
Monitorización de la aplicación: La supervisión de los datos debe
ser constante, considerando accesos a las aplicaciones, quién
accede, a qué datos, qué procesos realiza, consumo de espacio en
disco o cualquier situación cambiante.
Acceso a datos: Mediante APIs o Web Services.
Se debe definir el objetivo real del SaaS, teniendo en cuenta cual es la
funcionalidad que se requiere cubrir en la empresa u organización.
Gráfica 3 Modelos definidos por funcionalidad 3
2.4 Virtualización
Una nube es un tipo de sistema paralelo y distribuido que consta de una
colección de ordenadores interconectados y virtuales, que están
aprovisionados dinámicamente y se presenta como uno o más recursos de
computación unificada, basada en acuerdos de niveles de servicio
10
establecido a través de la negociación entre proveedor de servicio y
consumidores.
La virtualización aprovecha recursos de hardware subutilizados y Cloud
Computing la toma como base para ofrecer servicios de infraestructura,
plataforma y software a clientes que solamente requieren de estos servicios
bajo demanda, permitiendo al usuario pagar al proveedor de este servicio,
únicamente por lo que consume.
En otras palabras la virtualización es un método que se utiliza para ejecutar
sistemas operativos múltiples e independientes en una sola máquina física.5
La virtualización y Cloud Computing son tecnologías que pueden adoptarse
juntas ó cada una de forma individual. La virtualización es parte fundamental
de Cloud Computing ya que gracias a ella es posible disponer de los
servicios que se ofrecen.
En la actualidad la virtualización y Cloud Computing están siendo aceptados
y adoptados por un número creciente de usuarios.6
2.5 Herramienta de Gestión ITIL (Information Technology
Infraestructure Library)
ITIL es un conjunto de mejores prácticas en la gestión de tecnologías de
servicios informáticos. Ha sido y es útil para las organizaciones en todos los
sectores a través de su adopción por innumerables compañías como base
para consulta, educación y soporte de herramientas de software.
La relación entre Cloud Computing e ITIL es principalmente un conjunto de
servicios previstos gracias a la credibilidad, disponibilidad y capacidad que
actualmente cuenta la red de internet.
Una de las características es que se puede tener el servicio “bajo demanda”
es decir, cuando se requiere y la capacidad está en función de la necesidad.
Dado que Cloud Computing incluye software, plataforma e infraestructura
como servicio, ITIL nos guía a que ésto sea fiable, consistente, de alta
calidad y de coste aceptable que junto con los acuerdo de servicio se
definen características, entornos de operación y condiciones de servicio que
recibirá el cliente.
Cloud Computing será de gran ayuda para todo tipo de empresas; pero la
organización TI delega la responsabilidad de adquirir y operar la
5 http://articles.techrepublic.com/5100-10878_11-6074941.html “Introduction to server virtualization” 6 http://www.mkm-pi.com/mkmpi.php?article3924 “Virtualización y servicios distribuidos en red (Cloud Computing): impacto en los proveedores de servicio”
11
infraestructura en el operador de la nube, sin embargo sigue siendo
responsable por el servicio.
ITIL debe controlar al menos tres características en la Cloud Computing:
capacidad, disponibilidad y seguridad, estos deben controlarse en forma
eficaz y efectiva mediante la implantación disciplinada de los procesos
eficientes que apoyan la garantía de la definición de valor del servicio de
ITIL.
Para la adecuada operación del servicio en la nube y una buena
comunicación entre proveedor y cliente se debe tomar en cuenta la Gestión
de Incidentes y Gestión de Problemas, esto, con el propósito de llevar un
registro adecuado y escalable de los incidentes así como medir la gestión en
forma proactiva para tomar las acciones necesarias antes que el servicio se
vea afectado mediante las recomendaciones de proceso de la Gestión de
Problemas.
Adicionalmente se implementan las normas ISO, las cuales nos garantizará
que los procesos sean sólidos para dar un buen servicio y se encuentren
bajo control.
2.5.1 Gestión de la Capacidad
Para que la organización brinde un servicio de e-learning óptimo; es
necesario determinar que se cubran las necesidades de TI tanto presentes
como futuras, de tal manera que la enseñanza sea flexible. Para esto la
gestión de la capacidad se encargará de suministrar los servicios previstos,
estableciendo principalmente los planes de capacidad, además de
monitorizar el rendimiento de la infraestructura de TI y realizar simulaciones
de requisitos de capacidad para diferentes escenarios previstos.
12
Gráfica 4 Responsabilidades de la Gestión de la Capacidad
Sin una correcta Gestión de la Capacidad, los recursos no se aprovechan
adecuadamente y se realizan inversiones innecesarias que acarrean gastos
adicionales de mantenimiento y administración. O peor aún, lo recursos sin
insuficientes con la consecuente degradación de la calidad del servicio.7
Su objetivo es poner a disposición de clientes y usuarios y el propio
departamento TI los recursos informáticos necesarios para desempeñar de
manera eficiente sus tareas sin incurrir en costes desproporcionados.
Para ello la Gestión de la Capacidad debe:8
Conocer el estado actual de la tecnología y futuros desarrollos.
Conocer los planes de negocio y acuerdos de nivel de servicio para
prever la capacidad necesaria.
Analizar el rendimiento de la infraestructura para monitorizar el uso de
la capacidad existente.
Realizar modelos y simulaciones de capacidad para diferentes
escenarios futuros previsibles.
7 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_capacidad/vision_general_gestion_de_la_capacidad/vision_general_gestion_de_la_capacidad.php 8
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_capacidad/introduccion_objetiv
os_gestion_de_la_capacidad/introduccion_objetivos_gestion_de_la_capacidad.php
13
Dimensionar adecuadamente los servicios y aplicaciones alineándolos
a los procesos de negocio y necesidades reales del cliente.
Gestionar la demanda de servicios informáticos racionalizando su
uso.
Proceso
Las principales actividades de la Gestión de la Capacidad se resumen en:9
Desarrollo del Plan de Capacidad.
Modelado y simulación de diferentes escenarios de capacidad.
Monitorización del uso y rendimiento de la infraestructura TI.
Gestión de la demanda.
Creación y mantenimiento de la Base de Datos de Capacidad (CDB).
2.5.2 Gestión de la Disponibilidad
En la actualidad es esencial que los servicios TI estén disponibles de
continuo y sin interrupciones, además de asegurar que los servicios TI:10
Estén disponibles siempre que lo soliciten.
Sean fiables y tengan buen margen operativo.
Estén correctamente mantenidos.
Un servicio de e – learning debe estar disponible y en estrecha relación con
otros procesos TI, de tal manera que se ajusten a las necesidades del
negocio, cumpliendo con los niveles de disponibilidad acordados en los SLA;
por lo tanto la Gestión de la Disponibilidad es responsable de optimizar y
monitorizar los servicios TI para que estos funcionen ininterrumpidamente y
de manera fiable, cumpliendo los SLAs y todo ello a un coste razonable. La
satisfacción del cliente y la rentabilidad de los servicios TI dependen der
gran medida de su éxito.
El rápido desarrollo tecnológico implica una constante renovación de equipos
y servicios. Como proveedores nos enfrentamos al reto de evolucionar sin
apenas margen para el error pues nuestros sistemas han de encontrarse a
disposición del cliente prácticamente 24/7.11
9 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_capacidad/proceso_gestion_de_la_capacidad/proceso_gestion_de_la_capacidad.php 10
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/pr
ovision_del_servicio.php 11 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/vision_general_gestion_de_la_disponibilidad/vision_general_gestion_de_la_disponibilidad.php
14
Su objetivo primordial es asegurar que los servicios TI estén disponibles y
funcionen correctamente siempre que los clientes y usuarios deseen hacer
uso de ellos en el marco de los SLA en vigor.12
Entre sus responsabilidades están:
Determinar los requisitos de disponibilidad en estrecha colaboración
con los clientes.
Garantizar el nivel de disponibilidad establecido para los servicios TI.
Monitorizar la disponibilidad de los sistemas TI.
Proponer mejoras en la infraestructura y servicios TI con el objetivo de
aumentar los niveles de disponibilidad.
Supervisar el cumplimiento de los OLAs y UCs acordados con
proveedores internos y externos.
Gráfica 5 Indicadores clave en los que se sustenta el proceso de Gestión de la Disponibilidad
Proceso
Entre las actividades de la Gestión de la Disponibilidades en encuentran:13
Determinar cuáles son los requisitos de disponibilidad reales del
negocio.
Desarrollar un plan de disponibilidad donde se estimen las
necesidades de disponibilidad futura a corto y mediano plazo.
12
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/introduccion_obj
etivos_gestion_de_la_disponibilidad/introduccion_objetivos_gestion_de_la_disponibilidad.php
13
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/proceso_gestion_
de_la_disponibilidad/proceso_gestion_de_la_disponibilidad.php
15
Mantenimiento del servicio en operación y recuperación del mismo en
caso de fallo.
Realizar diagnósticos periódicos sobre la disponibilidad de los
sistemas y servicios.
Evaluar la capacidad de servicio de los proveedores internos y
externos.
Monitorizar la disponibilidad de los servicios TI.
Elaborar informes de seguimiento con la información recopilada sobre
disponibilidad, fiabilidad, Mantenibilidad y cumplimiento de OLAs y
UCs.
Evaluar el impacto de las políticas de seguridad en la disponibilidad.
Es indispensable cuantificar los requisitos de disponibilidad para la correcta
elaboración de los SLAs.
Aunque en principio todos los clientes estarán de acuerdo con unas
elevadas cotas de disponibilidad es importante hacerles ver que una alta
disponibilidad puede generar unos costes injustificados dadas sus
necesidades reales.14
Para una eficiente tarea es necesario tomar en cuenta:
Identificar las actividades clave del negocio.
Cuantificar los intervalos razonables de interrupción de los diferentes
servicios dependiendo de sus respectivos impactos.
Establecer los protocolos de mantenimiento y revisión de los servicios
TI.
Determinar las franjas horarias de disponibilidad de los servicios TI
(24/7, 12/5, etc.).
Independientemente de las interrupciones del servicio causadas por
incidencias, es habitualmente necesario interrumpir el servicio para realizar
labores de mantenimiento y/o actualización.15
Estas interrupciones programadas pueden afectar a la disponibilidad del
servicio y por lo tato han de ser cuidadosamente planificadas para minimizar
su impacto.
14
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/proceso_gestion_
de_la_disponibilidad/requisitos_de_disponibilidad.php
15
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/proceso_gestion_
de_la_disponibilidad/mantenimiento_y_seguridad_gestion_de_la_disponibilidad.php
16
En aquellos casos en que los servicios no son 24/7 es obvio que, siempre
que ello sea posible, deben aprovecharse las franjar horarias de inactividad
para realizar las tareas que implican una degradación o interrupción del
servicio.
Si el servicio es 24/7 y la interrupción es necesaria se debe:
Consultar con el cliente en que franja horaria la interrupción del
servicio afectará menos a sus actividades de negocio.
Informar con la antelación suficiente a todos los agentes implicados.
Incorporar dicha información a los SLAs.
Algunos de los parámetros que suele utilizar la Gestión de la disponibilidad y
que debe poner a disposición del cliente en los informes de disponibilidad
correspondientes incluyen:16
Tiempo Medio de Parada (Downtime): que es tiempo promedio de
duración de una interrupción de servicio, e incluye el tiempo de
detección, respuesta y resolución.
Tiempo Medio entre Fallos (Uptime): es el tiempo medio durante el
cual el servicio está disponible sin interrupciones.
Tiempo Medio entre Incidentes: es el tiempo medio transcurrido
entre incidentes que es igual a la suma del tiempo medio de parada y
el tiempo medio entre fallos. El tiempo medio entre incidentes es una
medida de fiabilidad del sistema.
Gráfica 6 Fases del ciclo de vida de la interrupción del servicio
2.5.3 Gestión de la Seguridad
Desde el advenimiento de las redes de comunicación y en especial los
problemas asociado a la seguridad de la información se han agravado
considerablemente y nos afectan prácticamente a todos.17
16
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/proceso_gestion_
de_la_disponibilidad/monitorizacion_de_la_disponibilidad.php
17
Para ello el servicio de e – learning que proporcionará la nube debe contar
con estándares ISO alineados a las necesidades de la organización,
estableciendo planes y medidas de seguridad necesarias para el correcto
funcionamiento del negocio; teniendo en cuenta los RFCs (peticiones de
cambio) para mejorar los niveles de seguridad o adecuarlos a los nuevos
desarrollos tecnológicos.
La información está relacionada al negocio y su correcta gestión debe
apoyarse en tres pilares fundamentales:
Confidencialidad: la información debe ser sólo accesible a sus
destinatarios predeterminados.
Integridad: la información debe ser correcta y completa.
Disponibilidad: tener acceso a la información cuando la
necesitamos.
La gestión de la seguridad debe velar para que la información sea correcta y
completa, esté siempre a disposición del negocio y sea utilizada sólo por
aquellos que tienen autorización para hacerlo.
Los principales objetivos de la gestión de la seguridad se resumen en:
Diseñar una política de seguridad, en colaboración con clientes y
proveedores correctamente alineada con las necesidades del
negocio.
Asegurar el cumplimiento de los estándares de seguridad acordados.
Minimizar los riesgos de seguridad que amenacen la continuidad del
servicio.
La gestión de la seguridad debe conocer en profundidad el negocio y los
servicios que presta la organización TI para establecer protocolos de
seguridad que se aseguren que la información esté accesible cuando se
necesita por aquellos que tengan autorización para utilizarla. Una vez que
éstos se hallen convenientemente plasmados en los SLAs correspondientes
para, a renglón seguido garantizar su cumplimiento; además se debe tener
en cuenta los riesgos generales a los que está expuesta la infraestructura TI,
que sea proactiva y evalúe a priori los riesgos de seguridad que pueden
17
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/vision_general_gestio
n_de_la_seguridad/vision_general_gestion_de_la_seguridad.php
18
suponer los cambios realizados en la infraestructura, nuevas líneas de
negocio, etc.18
Gráfica 7 Objetivos de la Gestión de la Seguridad
Proceso19
Establecer una clara y definida política de seguridad que sirva de guía
todos los otros procesos.
Elaborar un plan de seguridad que incluya los niveles de seguridad
adecuados tanto en los servicios prestados a los clientes como en los
acuerdos de servicio firmados con proveedores internos y externos.
Implementar el plan de seguridad. Monitorizar y evaluar el
cumplimiento de dicho plan
Supervisar proactivamente los niveles de seguridad analizando
tendencias, nuevos riesgos y vulnerabilidades.
Realizar periódicamente auditorías de seguridad.
18
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/introduccion_objetiv
os_gestion_de_la_seguridad/introduccion_objetivos_gestion_de_la_seguridad.php
19
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/proceso_gestion_de_
la_seguridad/proceso_gestion_de_la_seguridad.php
19
Con el apoyo de las normas ISO se determinará una política global clara
donde se fijen objetivos, responsabilidades y recursos que se utilizarán en la
nube para brindar el servicio de e - learning.
En particular la política de seguridad debe determinar:20
La relación con la política general del negocio.
La coordinación con los otros procesos TI.
Los protocolos de acceso a la información.
Los procedimientos de análisis de riesgos.
Los programas de formación.
El nivel de monitorización de la seguridad.
Qué informes deber ser emitidos periódicamente.
El alcance del plan de seguridad.
La estructura y responsables del proceso de gestión de la seguridad.
Los procesos y procedimientos empleados.
Los responsables de cada subproceso.
Los auditores externos e internos de seguridad.
Los recursos necesarios: software, hardware y personal.
2.5.4 Gestión de Incidentes
Dado que el servicio de e – learning a través de la cloud computing está
expuesta a inminentes ataques, caídas en la red que provocan la
interrupción del servicio, este se debe resolver de manera rápida y eficaz
posible; la Gestión de Incidentes no se preocupa por encontrar y analizar las
causas subyacentes a un determinado incidente sino exclusivamente a
restaurar el servicio, sin embargo, existe una fuerte relación con la gestión
de problemas.
Los objetivos principales son:
Detectar cualquier alteración en los servicios TI.
Registrar y clasificar estas alteraciones.
Asignar el personal encargado de restaurar el servicio según se
define en el SLA correspondiente.
Aunque el concepto de incidencia se asocia naturalmente con cualquier
malfuncionamiento de los sistemas de hardware y software, un incidente
es:21
20
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/proceso_gestion_de_
la_seguridad/politica_y_planes_de_seguridad.php
20
“Cualquier evento que no forma parte de la operación estándar de un
servicio y que causa, o puede causar, una interrupción o una reducción de
calidad del mismo”.22
Gráfica 8 Proceso de Gestión de Incidentes
Los beneficios de una correcta gestión de Incidentes incluyen:
Mejorar la productividad de los usuarios.
Cumplimiento de los niveles de servicio acordados en el SLA.
Mayor control de los procesos y monitorización del servicio.
Optimización de los recursos disponibles.
Una CMDB más precisa pues se registran los incidentes en relación
con los elementos de configuración.
Mejora la satisfacción general de clientes y usuarios.
2.5.5 Gestión de Problemas
Para que la comunicación de los usuarios que utilices los servicios de e –
learning en la nube sea óptima, es imprescindible encontrar las causas que
provocan la interrupción del servicio y analizarlos de tal manera que en un
futura no sea afectada la infraestructura TI por errores desconocidos en la
calidad del servicio.
Sus funciones principales son:23
Investigar las causas subyacentes a toda alteración, real o potencial,
del servicio TI.
Determinar posibles soluciones.
Proponer peticiones de cambio (RFC).
Realizar revisiones Post – Implementación (PIR) en colaboración con
la gestión de cambios.
21
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_incidentes/introduccion_objetivos_
gestion_de_incidentes/introduccion_objetivos_gestion_de_incidentes.php
22 Soporte del Servicio de ITIL® 23 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/vision_general_gestion_de_problemas/vision_general_gestion_de_problemas.php
21
La gestión de problemas puede ser:
Reactiva: analiza los incidentes ocurridos para descubrir su causa y
propone soluciones a los mismos.
Proactiva: monitoriza la calidad de la infraestructura TI y analiza su
configuración con el objetivo de prevenir incidentes incluso antes de que
estos ocurran.
Cuando algún tipo de incidente se convierte en recurrente o tiene un fuerte
impacto en la infraestructura TI es la función de la gestión de problemas el
determinar sus causas y encontrar posibles soluciones.24
Cabe diferenciar entre:
Problema: causa subyacente, aún no identificada, de una serie de
incidentes o un incidente aislado de importancia significativa.
Error conocido: un problema se transforma en un error conocido cuando se
han determinado sus causas.
Proceso
Las principales actividades son:
Control de Problemas: se encarga de registrar y clasificar los
problemas para determinar sus causas y convertirlos en errores
conocidos.
Control de Errores: registra los errores conocidos y propone
soluciones a los mismos mediante RFCs que son enviadas a la
gestión de cambios. Asimismo efectúa la revisión post –
implementación de los mismos en estrecha colaboración la gestión de
cambios.
24 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/introduccion_objetivos_gestion_de_problemas/introduccion_objetivos_gestion_de_problemas.php
22
INCIDENCIA
Cualquier interrupción o
reducción de calidad de
servicio
SLAs
CMDB
GESTIÓN PROACTIVA
CAPACIDAD DISPONIBILIDAD
Análisis de la
infraestructura y detección
de incidentes potenciales
PROBLEMA
Un problema es la causa subyacente, aún no
identificada, de una serie de incidentes o un
incidente aislado de importancia significativa.
ERROR
CONOCIDO
Un problema se transforma en un error
conocido cuando se han determinado sus
causas.
SOLUCIÓN
TEMPORAL
La Gestión de Problemas puede y debe
proporcionar soluciones temporales a la
Gestión de Incidentes para minimizar el
impacto del problema y/o error conocido en
la prestación de servicios.
SOLUCIÓN
Se propone una solución definitiva al
problema.
Se analiza su:
Posible impacto
Su vialidad
Su conveniencia
RFC
GESTIÓN DE CAMBIOS
PIR
Revisión Postimplementación (PIR)
Seguimiento de la implementación del
cambio en colaboración con la gestión de
cambios.
Gráfica 9 Conceptos involucrados en la Gestión de Problemas
Cuando la estructura de la organización lo permite, desarrollar una gestión
de problemas proactiva que ayude a detectar problemas incluso antes de
que estos se manifiesten provocando un deterioro en la calidad del
servicio.25
El objetivo de la gestión de problemas no es otro que el de mejorar el
funcionamiento de la infraestructura TI y para evaluar su eficacia es
25 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/proceso_gestion_de_problemas/proceso_gestion_de_problemas.php
23
imprescindible realizar un continuo seguimiento de los procesos
relacionados y evaluar su rendimiento.26
En particular una buena gestión de problemas debe traducirse en una:
Disminución del número de incidentes y una más rápida resolución de
los mismos.
Mayor eficacia en la resolución de problemas.
Gestión proactiva que permita identificar problemas potenciales antes
de que estos se manifiesten o provoquen una seria degradación de la
calidad del servicio.
2.5.6 Gestión de Nivel de Servicio
Al proporcionar un servicio de e – learning se deben definir los acuerdos de
servicios prestados y niveles operativos que tomen en cuenta las
necesidades de los clientes como los costes asociados.
El objetivo de la gestión de niveles de servicio es poner la tecnología como
un medio para aportar valor a los usuarios y clientes; cuya responsabilidad
de buscar un compromiso realista entre las necesidades y expectativas del
cliente y los costes de los servicios asociados, de forma que éstos sean
asumibles tanto por el cliente como por la organización TI.27
Para cumplir sus objetivos es imprescindible que la gestión de niveles de
servicio:
Conozca las necesidades de sus clientes.
Defina correctamente los servicios ofrecidos.
Monitorice la calidad del servicio respecto a los objetivos establecidos
en los SLAs.
Gráfica 10 Gestión de los Niveles de Servicio
26
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/control_proceso_gestio
n_de_problemas/control_proceso_gestion_de_problemas.php
27
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/control_proceso_gestio
n_de_problemas/control_proceso_gestion_de_problemas.php
24
La gestión de niveles de servicio debe:28
Documentar todos los servicios TI ofrecidos.
Presentar los servicios de forma comprensible para el cliente.
Centrarse en el cliente y su negocio y no en la tecnología.
Colaborar estrechamente con el cliente para proponer servicios TI
realistas y ajustados a sus necesidades.
Establecer los acuerdos necesarios con clientes y proveedores para
ofrecer los servicios requeridos.
Establecer los indicadores clave de rendimiento del servicio TI.
Monitorizar la calidad de los servicios acordados con el objetivo último
de mejorarlos a un coste aceptable por el cliente.
Elaborar informes sobre la calidad del servicio y los planes de mejora
del servicio (SIP).
Proceso 29
Las principales actividades de la gestión de niveles de servicio se resumen
en:
Planificación:
Asignación de recursos.
Elaboración de un catálogo de servicios.
Desarrollo de SLAs tipo.
Herramientas para la monitorización de la calidad del servicio.
Análisis e identificación de las necesidades del cliente.
Elaboración de los requisitos de nivel de servicio, hojas de
especificación del servicio y plan de calidad del servicio.
Implementación:
Negociación
Acuerdos de nivel de operación.
Contratos de soporte.
Supervisión y revisión de los acuerdos de nivel de servicio:
Elaboración de informes de rendimiento.
Control de los proveedores externos.
Elaboración de programas de mejora del servicio.
28
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_niveles_de_servicio/introduccion_o
bjetivos_gestion_de_niveles_de_servicio/introduccion_objetivos_gestion_de_niveles_de_servicio.p
hp
29
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_niveles_de_servicio/proceso_gestio
n_de_niveles_de_servicio/proceso_gestion_de_niveles_de_servicio.php
25
CAPÍTULO III
3.1 Introducción a la Seguridad de la Información
La seguridad es un factor determinante en el diseño para la implementación
de una Cloud Computing en una empresa que proporcionará servicios de e-
learning 24/7; como tal, es importante establecer parámetros que garanticen
la protección de los datos ya sean en grandes o pequeños volúmenes.
Para un entorno e-learning en donde interactúan diferentes tipos de
usuarios, la cloud ofrecerá servicios en los cuales es necesario determinar
políticas de seguridad en el manejo de la información.
Un escenario de cloud que brinde servicios e-learning debe garantizar al
usuario la protección de los datos, debido a que es considerado un punto
muy atractivo para los atacantes; hay que tener en cuenta la privacidad de
los datos, controles de acceso, protección de la información por eventuales
fallos, daños en la plataforma de la nube, de tal manera que se definan al
menos los temas básicos sobre seguridad de la información en la empresa
para la utilización de este tipo de tecnología.
Los aspectos de seguridad que se deben tomar en cuenta para proveer un
servicio e-learning 24/7 son: seguridad física y lógica, aspectos puntuales
tales como: autenticación, autorización, disponibilidad, confidencialidad,
integridad; apoyándose en normas y estándares que faciliten el control y la
gestión de toda la información que se almacena en la cloud.
Estos estándares servirán de apoyo para la gestión de responsabilidades en
el manejo de datos y protección de la información
ISO 27000
Son un conjunto de estándares publicados por la International Organization
Standarization, como guía para el manejo de la seguridad de la información.
Estas normas proporcionan el apoyo en las empresas en la implementación
de un sistema de gestión de seguridad de la información (SGSI), de tal
manera que los riesgos de los activos de la empresa sean mínimos y
accesibles, garantizando la confiabilidad, integridad y disponibilidad del
sistema.
Para implementar la ISO en la Cloud Computing se debe tomar en cuenta el
modelo de servicio que proporciona la nube: infraestructura, plataforma u
software enfocados en aplicaciones e-learning.
La norma ISO 27001 brinda el apoyo en la gestión de responsabilidades
específicas en cuanto a la seguridad de la información, esta debe ser
planificada, implementada supervisada, revisada y mejorada, con esto se
26
permite disminuir los riesgos. Por otra parte la ISO 27002 no distingue entre
los controles que debe aplicarse a una organización determinada y los que
no lo son, se utilizan ambas normas, debido a que si fuera una única norma
sería demasiado larga y compleja para que sea práctica.
Al brindar un servicio de e-learning 24/7 se debe establecer una política de
seguridad y determinar los controles ante posibles riesgos debe ser
desarrollada cuidadosamente tomando en cuenta el modelo en el que se
basa el diseño de la Cloud Computing:
Seguridad en IaaS, SaaS, PaaS.
Control de acceso a la información para e-learning.
Controlar la disponibilidad del servicio 24/7 sobre la infraestructura,
hardware y software.
Disponibilidad, almacenamiento, capacidad de procesamiento para
solicitudes de usuarios que accedan al servicio de e-learning.
Ámbito
La empresa utilizará la cloud para almacenar información en beneficio de la
misma, los usuarios tendrán contacto con la información que se almacena
previa la autorización del administrador de la plataforma.
El administrador es el encargado de señalar las consecuencias del
incumplimiento de la política de seguridad del sistema.
La política de seguridad de la nube se aplica a usuarios finales de SaaS,
desarrolladores de PaaS y arquitectos de infraestructura y de red IaaS; así
como para los usuarios dentro de la organización, quienes accederán a los
servicios de acuerdo al rol que ocupan dentro de la organización, cualquier
usuario final, desarrollador o arquitecto de red cuyas acciones infrinjan las
políticas de acceso o manipulen la información almacenada en la nube
estará sujeto a limitaciones o pérdida de privilegios.
Como proveedor de un servicio e-learning se debe utilizar mecanismos de
virtualización y la segmentación de datos para reforzar los servicios de la
nube.
La virtualización aumentará la seguridad de los procesos que se ejecutan en
la nube, cada máquina puede operar mediante el mismo servidor y ejecutar
un sistema operativo de forma aislada.
La segmentación de datos ayudará a que los datos de un cliente residan en
varios servidores, incluso en diferentes centros de datos; de tal manera que
frente a un robo la información, está protegida y a la vez se pueden realizar
copias de seguridad en tiempo real permitiendo la continuidad del negocio.
27
3.2 Administración de la información de acuerdo al modelo de servicio
de Cloud Computing
De acuerdo al modelo de Cloud Computing para e-learning, la empresa tiene
toda la responsabilidad de operar y adquirir la infraestructura así como la
plataforma y software que manejará, especificar y clarificar las expectativas
de funcionamiento, establecer responsabilidades y detallar alternativas y
consecuencias sobre si el funcionamiento o la calidad no son las adecuadas
para los usuarios.
Se enfocará en la administración de los usuarios, la protección de los datos y
las máquinas virtuales así como el nivel de control que el usuario tiene sobre
las aplicaciones desplegadas, sistemas operativos, hardware, software y red
para un modelo de entrega en la nube.
3.2.1 Administración de accesos con SaaS
La política de seguridad para acceso de usuarios en aplicaciones específicas
dentro de la cloud se realizará con la finalidad de proteger los datos y la
información ante la posibilidad de suplantaciones de identidad o robo de la
información.
Todo el contenido de la cloud será manejado por el administrador y estarán
a disponibilidad del usuario en cualquier lugar aumentando la
interoperabilidad sobre la plataforma, disminuyendo tiempos, brindando un
servicio continuo 24/7 y aumentando la calidad del contenido. El usuario
accederá al servicio de e-learning desde un computador de escritorio, portátil
o teléfono móvil.
3.2.2 Protección de datos con PaaS
La plataforma como servicio se centrará en la protección de los datos y la
administración de aplicaciones que se usarán para e-learning. La protección
de los datos incluye la mitigación del riesgo de uso de la PaaS como centros
de comando y control. Configurar las operaciones de un firewall para uso de
instalación de aplicaciones.
Las posibles variables que influencian en la seguridad de la PaaS son:
Desarrollador de aplicaciones de PaaS: el desarrollador proveerá de
un software específico que funcionará en la plataforma que almacena
la cloud; el administrador despliega y ejecuta sobre la plataforma de la
cloud, controla upgrades y parches para las funcionalidades de esa
aplicación.
Proveedor de PaaS: la empresa como proveedor del servicio, controla
sistemas operativos, hardware, infraestructura de red y gestión de
28
recursos. El servicio e-learning 24/7 que proveerá la empresa define
los niveles de la solicitudes de usuarios, recursos y datos.
3.2.3 Administración de máquinas virtuales mediante IaaS
La política de seguridad se enfoca en la administración de máquinas
virtuales, protección de datos y administración de acceso a usuarios y a la
infraestructura de los recursos que contengan a la máquina virtual, las
variables que influencian la seguridad de IaaS son:
Infraestructura de IaaS y especialista en red: el especialista controla
los sistemas operativos, equipos de red y aplicaciones desplegadas
en la maquina virtual.
Proveedor con IaaS: el encargado en la empresa controla la
infraestructura de recursos de computación en el entorno de la cloud;
además definirá el tope de las solicitudes de usuarios, recursos y
datos.
3.3 Gestión de Riesgos
El adoptar un modelo de servicio bajo demanda para la prestación de
servicios TI, puede ser beneficioso pero a la vez tiene sus riesgos dado que
está diseñado para acceder desde cualquier parte por cualquier persona.
3.3.1 Elementos de Información
Se han establecido tres elementos generales que contienen o guardan la
información, estos son los activos de la empresa que se deben proteger para
evitar su pérdida, uso inadecuado y perjudicar los objetivos del negocio en el
servicio que brinda la Cloud Computing, estos han sido clasificados en tres
grupos:
Datos e información.- que son generados y almacenados por la
organización.
Sistemas e infraestructura.- componentes de hardware que gestionan
la información
Personal.- individuos que están involucrados en el mantenimiento,
cuidado y protección de los dispositivos de hardware y software, así
como de la información almacenada, gestionada y procesada en la
misma.
29
3.3.2 Amenazas y Vulnerabilidades
Amenazas
Las amenazas dentro de un Cloud Computing se centran en sus principales
características: confidencialidad, integridad y disponibilidad, además de
aquellas que la complementan: autenticación y autorización.
Estas amenazas se han dividido en tres grupos:30
Criminalidad común.- en la que están involucrados todos quienes
cometan algún tipo de manejo errado, robo, o violación a los derechos
de autor de la información.
Suceso de origen físico.- que corresponde a sucesos naturales y
técnicos.
Negligencia.- son todas las acciones, decisiones u omisiones por
parte de las personas que tienen poder e influencia sobre el sistema,
se relaciona con el comportamiento humano.
Vulnerabilidades
Al ser un modelo de servicio que prestará servicios e-learning, está sujeto a
amenazas y como consecuencia sufrir algún daño, por lo que la capacidad y
posibilidad de responder a las peticiones se verá debilitado.
Algunas de las vulnerabilidades que pueden influenciar en el funcionamiento
de la Cloud Computing son las siguientes:31
Sistema débil de autenticación y autorización.
Falta de aislamiento en los recursos del cliente.
Limitación a tecnologías.
Error en la asignación de recursos.
Fallas de red interna o externa
Falta de certificación en procedimientos o normas internacionales
(gobierno, calidad y seguridad).
Deficiencia en procesos de recuperación.
Debilidades en sincronización de responsabilidades y acuerdos de
nivel de servicio.
Débil cifrado en el almacenamiento y transmisión de datos.
Debilidad en el procedimiento para la generación y administración de
claves.
Vulnerabilidades de software.
30 https://protejete.files.wordpress.com/2009/07/abc-de-la-gestion-de-riesgos.pdf 31 http://www.enisa.europa.eu/beneficios-riesgos-recomendaciones-para-la-seguridad-de -a-informacion
30
3.3.3 Análisis de Riesgos
Con el objetivo de determinar los riesgos de hardware y software a los que
se expone la infraestructura de cloud computing, se presenta una matriz de
riesgos que ayudará a tener una visión clara de los posibles daños a los que
se expone la adopción de este modelo de servicio, localizado y enfocado a
los recursos con los que cuenta la organización y con esto ser capaces de
tomar decisiones inmediatas para mitigar cualquier impacto negativo,
superando vulnerabilidades y reduciendo amenazas.
La matriz se basa en la formula Riesgo = Probabilidad de Amenaza x
Magnitud del Daño.32
Gráfica 11 Matriz de Análisis de Riesgos33
El riesgo está considerado en tres rangos y determinado por un color:
Alto Riesgo (12 – 16): ataque inminente y no existen condiciones que
puedan evitar el desarrollo del ataque.
Medio Riesgo (8 – 9): son las condiciones en las que se hace probable un
ataque, pero no son suficientes para evitarlo a largo plazo.
Bajo Riesgo (1 – 6): condiciones lejanas de que se desarrolle un ataque.
Escala:
1 Insignificante
2 Baja
3 Mediana
4 Alta
32 https://protejete.files.wordpress.com/2009/07/abc-de-la-gestion-de-riesgos.pdf 33 https://protejete.wordpress.com/gdr_principal/analisis_riesgo/
31
Para dar valor a las amenazas que se presentan en el modelo de servicio se
han tomado en cuenta el interés por parte de agentes externos para acceder
a la información almacenada en la cloud, las vulnerabilidades que presenta
el modelo de servicio y la frecuencia en la que ocurrirían determinados
incidentes.
La magnitud del daño está valorada de acuerdo a un posible ataque exitoso
que pudiera ocurrir a los elementos de información de la organización, se
considera la posibilidad de perder información, acceso a información
corporativa, manipulación de datos, etc.
La escala que maneja los elementos de información para la magnitud del
daño es la siguiente:
Insignificante.- Ningún tipo de impacto
Bajo.- daño aislado que no perjudica a ningún componente de la
organización
Mediano.- puede perjudicar algún componente de la organización,
quedando inhabilitado
Alto.- los componentes de la organización quedan seriamente
afectados provocando la denegación del servicio permanentemente
3.3.4 Matriz de Riesgos
Para elaborar la matriz de riesgos, se utiliza una serie de herramientas bajo
el marco de gobierno de las tecnologías de información COBIT; en la que,
para el modelo de servicio Cloud Computing, se contemplan aspectos de:
Datos e Información;
Sistemas e Infraestructura;
Personal;
Con el objetivo de establecer roles y responsabilidades de seguridad,
políticas, estándares y procedimientos de TI; además junto con las normas
ISO 27001 y 27002 se determinan los controles y lineamientos para mitigar
los riesgos, debilidades o incidentes de seguridad identificados en la Cloud
Computing y proteger los activos, minimizando el impacto en el negocio
causado por incidentes de seguridad o vulnerabilidades.34
Las valoraciones de las matrices de análisis de riesgos se presentan en el
anexo.
Una vez obtenidos las valoraciones de los riesgos para nuestro objetivo,
planteamos una serie de controles con ayuda de las normas ISO 27001 y
27002 para minimizar el impacto en la organización.
34 COBIT5-and-InfoSec-Spanish.ppt
32
3.3.4.1 Matriz Datos e Información
ANÁLISIS DE LA MATRIZ
ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Documentos institucionales (proyectos, planes, evaluaciones, informes, etc.)
Directorio de contactos
Productos institucionales (investigaciones, folletos, fotos, etc.)
Bases de datos internos
Bases de datos externos
Página web interna (intranet)
Página web externa
Respaldos
Informática (planes, documentación, etc.)
Base de datos de contraseñas
Datos e información no institucionales
Sabotaje (ataque físico y electrónico)
Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.
Los medios de procesamiento de información manejados por la organización deberían estar físicamente separados de aquellas manejadas por terceros.
Robo/Hurto de información electrónica
Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.
Se deberían instalar adecuados sistemas de detección de intrusos según estándares nacionales, regionales e internacionales y debería ser probados regularmente para abarcar todas las puertas externas y ventanas accesibles, las áreas no ocupadas deberían contar con alarma en todo momento, también se debería proveer protección para otras áreas, por ejemplo el cuarto de cómputo o cuarto de comunicaciones.
33
Intrusión a red interna
Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario.
Establecer una política formal para proteger contra riesgos asociados con la obtención de archivos, ya sea a través de redes externas o cualquier otro medio, indicando las medidas de protección a tomarse.
Infiltración
Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario.
El uso de dos o más productos de software para protegerse de códigos maliciosos a través del ambiente de procesamiento de la información de diferentes vendedores puede mejorar la actividad de la protección contra códigos maliciosos.
Virus/Ejecución no autorizada de
programas
Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario.
La instalación y actualización regular de software para la detección o reparación de códigos maliciosos para revisar las computadoras y medios como un control preventivo o una medida rutinaria; los chequeos llevados a cabo deberían incluir: 1. Chequeo de cualquier
archivo en medios electrónicos y ópticos y los archivos recibidos a través de la red para detectar códigos maliciosos antes de utilizarlo
2. Chequear los adjuntos y descargas de los correos
34
electrónicos para detectar códigos maliciosos antes de utilizarlos, este chequeo debería llevarse a cabo en lugares diferentes; por ejemplo, servidores de correo electrónico, computadoras desktop y cuando se ingresa a la red de la organización.
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Datos e información no institucionales
Robo/Hurto (Físico)
Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.
Los perímetros de un edificio o local que contienen los medios de procesamiento de información deberían ser físicamente sólidos (es decir, no deberían existir brechas en el perímetro o áreas donde fácilmente pueda ocurrir un ingreso no autorizado); las paredes externas del local deberían ser una construcción sólida y todas las puertas externas deberían estar adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control; por ejemplo, vallas, alarmas, relojes, etc.; las puertas y ventanas deberían quedar aseguradas cuando están
35
desatendidas.
SUCESOS DE ORIGEN FÍSICO
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Bases de datos internos
Bases de datos externos
Falla de corriente (apagones)
Se debería proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte.
Se recomienda un dispositivo de suministro de energía (UPS) para apagar o el funcionamiento continuo del equipo que soporta las operaciones comerciales críticas. Los planes de contingencia para la energía deberían abarcar la acción a tomarse en el caso de una falla de energía prolongada. el equipo UPS y los generadores se deberían chequear regularmente para asegurar que tengan la capacidad adecuada y para probar su concordancia con las recomendaciones del fabricante.
Fallo de sistema/daño disco duro
Se debería mantener correctamente el equipo para asegurar su continua
Se deberían mantener registros de todas las fallas sospechadas y reales, y todo mantenimiento
36
disponibilidad e integridad. preventivo y correctivo. Se deberían implementar los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organización; cuando sea necesario, se debería revisar la información confidencial del equipo, o se debería verificar al personal de mantenimiento.
SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES
INSTITUCIONALES
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL
LINEAMIENTOS/MITIGACIÓN
Bases de datos internos
Bases de datos externos
Datos e información no institucionales
Falta de inducción, capacitación y
sensibilización sobre riesgos
Todos los empleados de la organización y, cuando sea relevante, los contratista y terceras personas deberán recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos organizacionales conforme sea relevante para su función laboral.
Las actividades de conocimiento, educación y capacitación deberían ser adecuados y relevantes par el rol, responsabilidades y capacidades de la persona, y deberían incluir información sobre amenazas conocidas, a quien contactar para mayor consultoría sobre seguridad y los canales apropiados para reportar los incidentes de seguridad de información.
37
Falta de pruebas de software nuevo con datos productivos
Se deberían establecer procedimientos para el controlar de la instalación del software en los sistemas operacionales.
El software de las aplicaciones y el sistema de operación solo se debería implementar después de una prueba extensa y satisfactoria, las pruebas deberían incluir pruebas de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se deberían llevar a cabo en sistemas separados; se deberían asegurar que se hayan actualizados todas las bibliotecas fuente correspondientes del programa. Se debería establecer una estrategia de “regreso a la situación original (rollback) antes de implementar los cambios.
Infección de sistemas a través de unidades portables sin escaneo
Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario.
La instalación y actualización regular de software para la detección o reparación de códigos maliciosos para revisar las computadoras y medios como un control preventivo o una medida rutinaria, los chequeos llevados a cabo deberían incluir: 1. Chequeo de cualquier
archivo en medios electrónico u ópticos, y los archivos recibidos a través de la red para detectar códigos maliciosos antes de
38
utilizarlo.
Transmisión de contraseñas por
teléfono
Se deberían establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación.
Recordar al personal que debería tomar las precauciones apropiadas, por ejemplo, no revelar información confidencial cuando realiza una llamada telefónica para evitar ser escuchado o interceptado.
Sobrepasar autoridades
La gerencia debería requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la organización.
Las responsabilidades de la gerencia deberían incluir asegurar que los usuarios empleados, contratistas y terceras personas estén apropiadamente información sobre sus roles y responsabilidades de seguridad antes de otorgarles acceso a información confidencial o a los sistemas de información.
Falta de mantenimiento físico (proceso, repuestos,
insumos)
Se debería mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.
Solo el personal de mantenimiento autorizado deberá llevar a cabo las reparaciones y dar servicio al equipo.
Falta de normas y reglas claras (no institucionalizar el
estudio de los riesgos
La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado,
La gerencia debe: Formular, revisar y aprobar la política de seguridad de la información. Proporcionar los recursos
39
asignación explícita y reconociendo las responsabilidades de la seguridad de la información.
necesarios para la seguridad de la información. Aprobar la asignación de roles y responsabilidades específicas para la seguridad de la información a lo largo de toda la organización. Asegurar que la implementación de los controles de seguridad de la información sea coordinado en toda la organización.
Falta de mecanismos de verificación de
normas y reglas/análisis
inadecuado de los datos de control
Se deben identificar, documentar e implementar reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la información.
La gerencia relevante deberá proporcionar reglas o lineamientos específicos. Los empleados, contratistas y terceros que usan o tienen acceso a los activos de la organización deberán estar al tanto de los límites existentes para su uso de la información y los activos asociados con los medios y recursos del procesamiento de la información de la organización. Ellos deberán ser responsables por el uso que le den a cualquier recurso de procesamiento de información, y de cualquier uso realizado bajo su responsabilidad.
Ausencia de documentación
Los procedimientos de operación se deben documentar, mantener y
Se deben preparar procedimientos documentados para las actividades del sistema
40
poner a disposición de todos los usuarios que lo necesiten.
asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos par encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad.
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL
LINEAMIENTOS/MITIGACIÓN
Documentos institucionales (proyectos, planes, evaluaciones
Directorio de contactos
Productos institucionales (investigaciones, folletos, fotos, etc.)
Bases de datos internos
Bases de datos externos
Página web interna
Página web externa
Respaldos
Informática (planes, documentación, etc.)
Bases de datos de contraseñas
Datos e información no
Mal manejo de sistemas y
herramientas
Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la información en concordancia con el esquema de clasificación adoptado por la organización.
Los procedimientos para el etiquetado de la información necesitan abarcar los activos de información en formatos físicos y electrónicos. Para cada nivel de clasificación, se debe definir los procedimientos de manejo seguros; incluyendo el procesamiento, almacenaje, transmisión, des-clasificación y destrucción. Esto también deberá incluir los procedimientos de la cadena de custodia y el registro de cualquier incidente de seguridad relevante.
Utilización de programas no
Se debe restringir y controlar estrechamente el uso de los
Se debe considerar los siguientes lineamientos para el uso de las
41
institucionales autorizados/software pirateado
programas de utilidad que podrían ser capaces de superar los controles del sistema y la aplicación.
utilidades del sistema: Uso de los procedimientos de identificación, autentificación y autorización para las utilidades del sistema.
Pérdida de datos
Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado.
Se debe considerar el siguiente lineamiento: Se debe registrar la fecha y la hora de entrada y salida de los visitantes y todos los visitantes deben ser supervisados a no ser que su acceso haya sido previamente aprobado; solo se les debe permitir acceso por propósitos específicos y autorizados y se deben emitir las instrucciones sobre los requerimientos de seguridad del área y sobre los procedimientos de emergencia.
Manejo inadecuado de datos críticos (codificar,
borrar)
Se debe restringir y controlar estrechamente el uso de los programas de utilidad que podrían ser capaces de superar los controles del sistema y la aplicación.
Se debe considerar el uso de los procedimientos de identificación, autenticación y autorización para las utilidades del sistema.
Manejo inadecuado de contraseñas
(inseguras, no cambiar, compartidas, BD)
Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.
Las reglas de control del acceso y los derechos para cada usuario o grupos de usuarios se deben establecer claramente en la política de control de acceso., los controles de acceso son tanto
42
lógicos como físicos y estos deben ser considerados juntos. Se debe proporcionar a los usuarios y proveedores del servicio un enunciado claro de los requerimientos comerciales que deben cumplir los controles de acceso.
Compartir contraseñas o permisos a terceros
no autorizados
Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.
Las personas con responsabilidades de seguridad asignadas pueden delegar las tareas de seguridad a otros. No obstante, ellos siguen siendo responsables y deben determinar si cualquier tarea delegada ha sido realizada correctamente.
Exposición o extravío de equipos, unidades de almacenamiento,
etc.
Se debe asignar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre.
El equipo de reemplazo y los medios de respaldo deben ubicarse a una distancia segura para evitar el daño de un desastre que afecte el local principal. Se debe requerir que todos los usuarios empleados, contratistas y terceras personas y todos los visitantes usen alguna forma de identificación visible y se debe notificar inmediatamente al personal de seguridad si se encuentre a un visitante no acompañado y cualquiera que no use una identificación visible.
43
Falta de definición de perfil, privilegios y restricciones del
personal
Se debe restringir y controlar la asignación y uso de privilegios.
Se debe considerar los privilegios de acceso asociados con cada producto del sistema; por ejemplo, sistema de operación, sistema de gestión de base de datos y cada aplicación, y se debe identificar los usuarios a quienes se les necesita asignar privilegios. Los privilegios se deben asignar a los usuarios sobre la base de “solo lo que necesitan saber” y sobre una base de evento-por-evento en línea con la política de control de acceso; es decir, los requerimientos mínimos para su rol funcional, solo cuando necesitan.
Falta de actualización de software (proceso y
recursos)
No se deben fomentar modificaciones a los paquetes de software, de debe limitar a los cambios necesarios y todos los cambios deben ser estrictamente controlados.
Cuando se modifica un paquete de software se debe considerar los siguientes puntos: El riesgo de comprometer los controles incorporados y los procesos de integridad. Si se debe obtener el consentimiento del vendedor. La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del programa estándar. El impacto de si como resultado de los cambio, la organización se
44
hace responsable del mantenimiento futuro del software.
Fallas en permisos de usuarios (acceso a
archivos)
Se debe requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas.
Se debe advertir a todos los usuarios que: Se deben seleccionar claves secretas de calidad con el largo mínimo suficiente que sean:
Fáciles de recordar.
No se basen en nada que otro pueda adivinar fácilmente u obtener utilizando la información relacionada con la persona; por ejemplo, nombres, números telefónicos y fechas de nacimiento, etc.
No sean vulnerables a los ataques de diccionarios (es decir, que no consista de palabras incluidas en los diccionarios).
Acceso electrónico no autorizado a sistemas
externos
Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.
La política debe tomar en cuenta los requerimientos para la autorización formal de las solicitudes de acceso.
Acceso electrónico no autorizado a sistemas
Se debe establecer, documentar y revisar la
La política debe tomar en cuenta los requerimientos para la
45
internos
política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.
revisión periódica de los controles de acceso.
Red cableada expuesta para el acceso no
autorizado
Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.
La política debe tomar en cuenta la gestión de los derechos de acceso en un ambiente distribuido y en red que reconoce todos los tipos de conexiones disponibles.
Red inalámbrica
expuesta al acceso no autorizado
En todo contrato de redes se debe identificar e incluir las características de seguridad, niveles de servicio y requerimientos de gestión de todos los servicios de red, ya sea que estos servicios sean provistos interna o externamente.
Las características de seguridad de los servicios de red pueden ser los parámetros técnicos requeridos para una conexión segura con los servicios de red en concordancia con las reglas de seguridad y conexión de red.
Dependencia a servicio
técnico externo
Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que los necesiten.
Se deben preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad. Tener un contrato con claras definiciones
46
de SLAs.
Tabla 1 Análisis Matriz Datos e Información35
3.3.4.2 Matriz Sistemas e Infraestructura
ANÁLISIS DE LA MATRIZ
ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Equipos de la red cableada (router switch, etc.)
Equipos de la red inalámbrica
Cortafuego
Sabotaje (ataque físico y electrónico)
Se debe ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades para acceso no autorizado.
Se deben monitorear las condiciones ambientales; tales como temperatura y humedad, que pudiera afectar adversamente la operación de los medios de procesamiento de la información.
35 Estándar Internacional ISO/IEC 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de gestión de seguridad de la información – Requerimientos ISO/IEC 27001:2005 Primera Edición Estándar Internacional ISO/IEC 27002 Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información Segunda Edición
47
Portátiles
Programas de administración
Intrusión a red interna
El cableado de la energía y las telecomunicaciones que llevan la data o dan soporte a los servicios de información deben protegerse contra la intercepción o daño.
El cableado de la red debe estar protegido contra intercepciones no autorizadas o daños, por ejemplo, utilizando un tubo o evitando las rutas a través de áreas públicas.
Robo/Hurto de
información electrónica
El cableado de la energía y las telecomunicaciones que llevan la data o dan soporte a los servicios de información deben protegerse contra la intercepción o daño.
Se debe utilizar rutas alternativas y/o medios de transmisión que proporcionen una seguridad adecuada.
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Cortafuegos
Servidores
Robo/Hurto (físico)
Se deben identificar todos los activos y se debe elaborar y mantener un inventario de todos los activos importantes.
Una organización debe identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debe incluir toda la información necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencias y un valor comercial. El inventario no debe duplicar innecesariamente otros inventarios, pero se debe
48
asegurar que el contenido esté alineado.
Infiltración
Se debe diseñar y aplicar la protección física y los lineamientos para trabajar en áreas aseguradas.
Se debe considerar evitar el trabajo no supervisado en el área asegurada tanto por razones de seguridad como para evitar las oportunidades para actividades maliciosas.
Virus/ejecución no autorizado de programas
Se deben establecer procedimientos para el control de la instalación del software en los sistemas operacionales.
Para minimizar el riesgo de corrupción de los sistemas operacionales, se deben considerar los siguientes lineamientos para controlar los cambios, la actualización del software operacional, aplicaciones y bibliotecas de programas sólo debe ser realizada por administradores capacitados con la apropiada autorización gerencial.
SUCESOS DE RIESGO FÍSICO
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Servidores
Cortafuegos
Falla de corriente (apagones)
Se debe proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte.
Se recomienda un dispositivo de suministro de energía ininterrumpido (UPS) para apagar o el funcionamiento continuo del equipo que soporta las operaciones comerciales críticas. Se debe considerar un generador
49
de emergencia si se requiere que el procesamiento continúe en el caso de una falla de energía prolongada. Estos dispositivos se deben chequear continuamente para asegurar que tengan la capacidad adecuada y para probar su concordancia con las recomendaciones del fabricante.
Falla de sistema/daño disco duro
Se debe mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.
Sólo el personal de mantenimiento autorizado debe llevar a cabo las reparaciones y dar servicio al equipo.
SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES
INSTITUCIONALES
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Servidores
Cortafuegos
Falta de inducción, capacitación y
sensibilización sobre riesgos
Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceras personas deben recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos organizacionales conforme sea relevante para su función
La capacitación y el conocimiento deben comenzar con un proceso de inducción formal diseñado para introducir las políticas y expectativas de seguridad de la organización antes de otorgar acceso a la información o servicios. La capacitación constante debe incluir los requerimientos de seguridad, responsabilidades
50
laboral. legales y controles comerciales, asó como la capacitación en el uso correcto de los medios de procesamiento de información; por ejemplo, procedimiento de registro, uso de paquetes de software e información sobre los procesos disciplinarios.
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Equipos de la red cableada (router switch, etc.)
Equipos de red inalámbrica (router, puntos de acceso, etc.)
Cortafuego
Servidores
Computadoras
Portátiles
Programas de administración ( contabilidad, manejo de personal, etc.)
Mal manejo de sistemas y
herramientas
Se debe controlar los cambios en los medios y sistemas de procesamiento de la información.
Se debe establecer las responsabilidades y procedimientos gerenciales formales para asegurar un control satisfactorio de todos los cambios en el equipo, software o procedimientos. Cuando se realizan los cambios, se debe mantener un registro de auditoría conteniendo toda la información relevante.
Utilización de programas
autorizados/software pirateado
Los medios de desarrollo, prueba y operación deben estar separados para reducir los riesgos de acceso no autorizado o cambios en el sistema operacional.
Cuando el personal de desarrollo y prueba tiene acceso al sistema operacional y su información, ellos pueden introducir un código no autorizado o no probado o alterar la data de operación. En algunos sistemas esta capacidad puede ser mal utilizada para cometer fraude o introducir un
51
código no probado o malicioso, el cual puede causar serios problemas operacionales
Pérdida de datos
Se debe ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades para el acceso no autorizado.
Se deben adoptar controles para minimizar el riesgo de amenazas potenciales; por ejemplo, robo, fuego, explosivos, humo, agua (o falla en el suministro de agua), polvo, vibración, efectos químicos, interferencias en el suministro eléctrico, interferencia en las comunicaciones, radiación electromagnética y vandalismo.
Manejo inadecuado de datos críticos (codificar,
borrar, etc.)
Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.
La asignación de las responsabilidades de la seguridad de la información debe realizarse en concordancia con la política de seguridad de la información. Se deben definir claramente las responsabilidades para la protección de los activos individuales y llevar a cabo los procesos de seguridad específicos. Cuando sea necesario, esta responsabilidad debe ser complementada con un lineamiento más detallado para locales y medios de procesamiento de información específicos. Se deben definir claramente las responsabilidades locales para la protección de
52
activos y para llevar a cabo procesos de seguridad específicos, como la planeación de la continuidad del negocio.
Compartir contraseñas o permisos a terceros
no autorizados
Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.
Las personas con responsabilidades de seguridad asignada pueden delegar las tareas de seguridad a otros. No obstante, ellos siguen siendo responsables y deben determinar si cualquier tarea delegada ha sido realizada correctamente.
Exposición o extravío de equipo, unidades de almacenamiento, etc.
Se debe diseñar y aplicar la seguridad física para las oficinas, habitaciones y medios.
Se debe considerar donde sea aplicables, los edificios deben ser discretos y dar una indicación mínima de su propósito, sin carteles obvios dentro y fuera del edificio que indiquen la presencia de actividades de procesamiento de información.
Falta de definición de
perfil, privilegios y restricciones de
personal
Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado.
El acceso a áreas donde se procesa o almacena información sensible se debe controlar y restringir solo a personas autorizadas; se deben utilizar controles de autenticación por ejemplo, tarjeta de control de acceso, para autorizar y validar todos los accesos, se debe mantener un rastro de auditoría de todos los accesos.
53
Falta de actualización de software (procesos
y recursos)
No se debe fomentar modificaciones a los paquetes de software, se debe limitar a los cambios necesarios y todos los cambios deben ser estrictamente controlados.
Si son necesarios cambios, se debe mantener el software original y se deben aplicar los cambios en una copia claramente identificada. Se debe implementar un proceso de gestión de actualizaciones del software para asegurar que la mayoría de los parches aprobados hasta la fecha y las actualizaciones de la aplicación se instalan para todo software autorizado.
Fallas en permisos de usuarios (acceso a
archivos)
Los sistemas para el manejo de claves secretas deben ser interactivos y deben asegurar claves secretas adecuadas.
Se debe aplicar el uso de IDs de usuarios individuales y claves secretas para mantener la responsabilidad. Las claves secretas son uno de los principales medios para validar la autoridad del usuario para tener acceso a un servicio de cómputo.
Acceso electrónico no autorizado a sistemas
externos
Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.
Se debe tomar en cuenta la consistencia entre el control de acceso y las políticas de clasificación de la información de los diferentes sistemas y redes.
54
Acceso no autorizado a sistemas internos
Toda la información y los activos asociados con los medios de procesamiento de información deben ser propiedad de una parte designada de la organización.
Se debe definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando en cuenta las políticas de control de acceso aplicables.
Red cableada expuesta para el acceso no
autorizado
Para las redes compartidas, especialmente aquellas que se extienden a través de las fronteras de la organización, se deberá restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales.
Se puede restringir la capacidad de conexión de los usuarios a través de gateways, switch, firewall, etc. de la red que filtran el tráfico por medio de tablas o reglas predefinidas.
Red inalámbrica expuesta al acceso no
autorizado
Los usuarios sólo deben tener acceso a los servicios para los cuales hayan sido específicamente autorizados.
Se debe formular una política relacionada con el uso de las redes y los servicios de la red mediante controles y procedimientos gerenciales para proteger el acceso a las conexiones de la red y los servicios en red.
Dependencia a servicio técnico
Se debe asignar personal responsable del mantenimiento de los sistemas y así evitar terceras personas en el manejo de información.
55
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Servidores
Cortafuegos
Falta de pruebas de software con nuevos
datos productivos
Se debe establecer procedimientos para el control de la instalación del software en los sistemas operacionales.
El software de las aplicaciones y el sistema de operación solo se debería implementar después de una prueba extensa y satisfactoria, las pruebas deberían incluir pruebas de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se deberían llevar a cabo en sistemas separados; se deberían asegurar que se hayan actualizados todas las bibliotecas fuente correspondientes del programa.
Infección de sistemas a través de unidades portables sin escaneo
Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se deben implementar procedimientos para el apropiado conocimiento del usuario.
Se puede instalar software para protegerse de códigos maliciosos para proporcionar actualizaciones automáticas de archivos de definición y motores de lectura para asegurarse que la protección esté actualizada. Además, este software se puede instalar en cada desktop para que realice chequeos automáticos.
Transmisión de contraseñas por
teléfono
Se deben establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a
Se debe recordar al personal que debe tomar las precauciones apropiadas; por ejemplo, no revelar información confidencial cuando se realiza una llamada
56
través del uso de todos los tipos de medios de comunicación.
telefónica para evitar ser escuchado o interceptado.
Sobrepasar autoridades
La gerencia debe requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la organización.
Se debe asegurar que los usuarios empleados, contratistas y terceras personas estén: apropiadamente informados Sobre sus roles y responsabilidades de seguridad antes de otorgarles acceso a información confidencial o a los sistemas de información.
Reciban lineamientos para establecer las expectativas de seguridad de su rol dentro de la organización.
Que cumplan con los términos y condiciones de empleo, los cuales incluyen la política de seguridad de la información de la organización y los métodos de trabajo apropiados.
57
Falta de mantenimiento físico (proceso, repuestos,
insumos)
Se deber mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.
El equipo se debe mantener en concordancia con los intervalos y especificaciones de servicio recomendados por el proveedor. Se debe implementar los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en le local o fuera de la organización; cuando sea necesario, se deberá revisar la información confidencial del equipo o se debe verificar el personal de mantenimiento.
Falta de normas y reglas claras (no institucionalizar el
estudio de riesgos)
Las actividades de la seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes.
Se debe asegurar que las actividades de seguridad sean ejecutadas en conformidad con la política de seguridad de la información. Se debe identificar cambios significativos en las amenazas y la exposición de la información y los medios de procesamiento de la información ante amenazas.
Falta de mecanismos
de verificación de normas y
reglas/análisis inadecuado de datos
La gerencia deberá apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, asignación explícita y reconociendo las
La gerencia deberá:
Asegurar que los objetivos de seguridad de la información estén identificados, cumplan con los requerimientos organizacionales y estés
58
responsabilidades de la seguridad de la información.
integrados en los procesos relevantes.
Formular, revisar y aprobar la política de seguridad e la información.
Revisar la efectividad de la implementación de la política de seguridad de la información.
Ausencia de documentación
Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que lo necesiten.
Se deben preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos par encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad. Tener un contrato con claras definiciones de SLAs.
Tabla 2 Análisis Matriz Sistemas e Infraestructura36
36 36 Estándar Internacional ISO/IEC 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de gestión de seguridad de la información – Requerimientos ISO/IEC 27001:2005 Primera Edición Estándar Internacional ISO/IEC 27002 Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información Segunda Edición
59
3.3.4.3 Matriz Personal
ANÁLISIS DE LA MATRIZ
ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN
Administración
Personal técnico
Informática/soporte técnico interno
Soporte técnico externo
Sabotaje (ataque físico y electrónico)
Se deben definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de seguridad de la información de la organización.
Proteger los activos contra el acceso, divulgación, modificación, destrucción o interferencia no autorizada.
Robo/Hurto de información electrónica
Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que solo se le permita el acceso al personal autorizado.
El acceso a áreas donde se procesa o almacena información sensible se debe controlar y restringir solo a personas autorizadas; se deben utilizar controles de autenticación; por ejemplo, tarjeta de control de acceso, para autorizar y validar todos los accesos; se debe mantener un rastro de auditoría de todos los accesos.
Intrusión a red interna Los usuarios solo deben tener acceso a los servicios
Se debe formular una política relacionada con el uso de las
60
para los cuales haya sido específicamente autorizado.
redes y los servicios de red que abarque los controles y procedimientos gerenciales para proteger el acceso a las conexiones de la red y los servicios en red.
SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES
INSTITUCIONALES
ELEMENTOS DE INFORMACIÓN
AMENAZA CONTROL
LINEAMIENTOS/MITIGACIÓN
Administración
Personal técnico
Informática (soporte técnico)
Soporte técnico externo
Mal manejo de sistemas y
herramientas
Los acuerdos o contratos con terceros que involucran el acceso, procesamiento, comunicación o manejo de la información o medios de procesamiento de información de la compañía, o agregan productos o servicios a los medios de procesamiento de información deben abarcar todos los requerimientos de seguridad relevantes.
Se debe considerar la capacitación del usuario y administrador en métodos, procedimientos y seguridad.
Utilización de programas no
autorizados/software pirateado
Un proceso de la gerencia para la autorización de facilidades nuevas de procesamiento de información, debe ser definido e implementado.
En este procesamiento el hardware y el software deben ser chequeados para asegurar que son compatibles con otros componentes del sistema. Hacer auditorias de software.
61
Pérdida de datos
Se debe tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización.
Los términos de seguridad deben incluir procedimientos para proteger los activos de la organización, incluyendo información y software, y el manejo de las vulnerabilidades conocidas.
Manejo inadecuado de datos críticos (codificar,
borrar, etc.)
Se debe tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización.
Debe incluir procedimientos para determinar si algún activo está comprometido por ejemplo, cuando ha ocurrido una pérdida o modificación de data.
Manejo inadecuado de contraseñas o
permisos a terceros no autorizados
Se debe tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización.
Debe abarcar un enunciado que establezca que está prohibido todo acceso que no esté explícitamente autorizado.
Exposición o extravío de equipo, unidades de almacenamiento, etc.
Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.
Se debe designar la entidad responsable de cada activo o proceso de seguridad y se debe documentar los detalles de esta responsabilidad.
Falta de definición de
perfil, privilegios y restricciones del
personal
Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.
Se debe definir y documentar claramente los niveles de autorización.
Falta de actualización de software (procesos
Se debe definir y documentar los roles y
Se debe asegurar que se asigne a la persona la responsabilidad
62
y recursos) responsabilidades de la seguridad de los empleados, contratista y terceros en concordancia con la política de seguridad de la organización.
por las acciones tomadas. Debe estar definido claramente en los SLAs con terceros.
Fallas en permisos de
usuarios (acceso a archivos)
Las actividades de la seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes.
Se debe evaluar la idoneidad y coordinar la implementación de los controles de la seguridad de información.
Acceso electrónico no autorizado a sistemas
externos
Se debe identificar los riesgos para la información y los medios de procesamiento de la información de la organización a raíz de procesos comerciales que involucran a grupos externos y se deben implementar controles apropiados antes de otorgarles acceso.
Se debe establecer los controles necesarios para proteger la información que no está destinada a ser accesible para los grupos externos.
Acceso no autorizado a sistemas internos
Se deben tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización.
Debe abarcar un proceso para revocar los derechos de acceso o interrumpir la conexión entre los sistemas.
Red cableada expuesta para el acceso no
Los acuerdos o contratos con terceros que involucran
Debe abarcar un enunciado que establezca que está prohibido
63
autorizado
el acceso, procesamiento, comunicación o manejo de la información o medios de procesamiento de información de la compañía, o agregan productos o servicios a los medios de procesamiento de información deben abarcar todos los requerimientos de seguridad relevantes.
todo acceso que no esté explícitamente autorizado.
Red inalámbrica expuesta para el
acceso no autorizado
Dependencia a servicio técnico externo
Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que los necesiten.
Se deben prepara procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de computa, manejo del correo y seguridad.
Tabla 3 Análisis Matriz Personal37
37 37 Estándar Internacional ISO/IEC 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de gestión de seguridad de la información – Requerimientos ISO/IEC 27001:2005 Primera Edición Estándar Internacional ISO/IEC 27002 Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información Segunda Edición
64
3.4 Acuerdos de Nivel de Servicio
No existe como tal un estándar que facilite la redacción de los acuerdos de
servicio, para esto se manejará un criterio propio que establezca el manejo
de información y protección de los datos dentro de la empresa. De igual
manera para el servicio e-learning 24/7. La empresa garantizará que se
tomen en cuenta los siguientes aspectos:38
El uso de la plataforma será 24/7 los 365 días del año.
Tendrá un soporte técnico 6x8 para incidentes.
En caso de fallo se notificará al usuario garantizando la protección de
los datos y la seguridad de la información.
La empresa realizará informes de disponibilidad del servicio en donde
se tomará en cuenta el tiempo durante el cual el servicio está
disponible (uptime), interrupción del servicio y respuesta de resolución
(downtime).
Debido a que el servicio es 24/7 se debe notificar a los usuarios el
tiempo de la interrupción del servicio, garantizando que no serán
afectados los datos y la información, elaborar informes mensuales de
los agentes implicados en el mantenimiento de la plataforma.
El tiempo de interrupción del servicio deberá ser en horarios donde la
actividad de la plataforma es mínima y tendrá que ser
cuidadosamente planificada mediante avisos de mantenimiento
sábados 23h00 a domingo 03h00 am).
Utilizar componentes de hardware y software legales.
3.5 Política de Seguridad
La empresa debe tener en cuenta la protección de los datos y el manejo de
la información, orientados a contrarrestar los riesgos y las vulnerabilidades
que afectan el correcto funcionamiento de la cloud. Para esto se tomarán
aspectos relacionados con los controles que mantienen relación con el
sistema de gestión de seguridad de la información y los estándares usados
en la organización (ISO 27000, NIST, ENISA, etc.).
La empresa como proveedor de servicios e-learning y almacenamiento de
información de su organización debe disponer de infraestructura informática
necesaria para hospedar el software siguiendo con el modelo cloud
computing.
El propósito de la política de seguridad es evitar riesgos de que un tipo de
servicio de nube sea instalado con aplicaciones que protejan la información
almacenada y los datos de los usuarios.
38 http://itil.osiatis.es/Curso_ITIL.php
65
La organización se encargará de garantizar la seguridad física y lógica de la
infraestructura. Debe impedir que personas no autorizadas manipulen los
equipos físicos y de la misma manera debe mantener al personal
especializado ante posibles amenazas en internet.
La verificación de los usuarios que hacen uso de esa información debe ser
comprobada para evitar que un pirata informático se pase como usuario
autorizado.
La supervisión de las solicitudes de datos debe ser monitoreadas
continuamente a fin de evitar niveles de latencia alta debido a la
acumulación de solicitudes.
Se debe tomar en cuenta que los mecanismos que se deben adoptar al
momento de transferir los datos a través de internet sean exclusivamente los
necesarios, de esta manera se evita que un posible atacante pueda
interceptarlos, almacenaros y procesarlos en una infraestructura ajena al
control de usuario.
La integridad de los datos en una cloud computing es una tarea crítica,
debido a que los usuarios deciden y/o modifican la información y los mismos
pueden terminar corrompiéndose debido a errores en su manipulación; por lo
tanto, se utilizarán los siguientes mecanismos:39
Control de integridad: utilizar funciones de resumen o hash para
verificar que los datos no han sufrido modificaciones, esto no se
utilizará únicamente para la información sino también para máquinas
virtuales o para las copias de seguridad.
Gestión de cambios: se deben mantener un historial de cambio de
datos o información almacenada en la nube, cada usuario tiene un
historial de modificaciones realizadas verificando la fecha,
comprobando la versión y analizando su validez; si se detecta un error
de integridad se puede volver a la versión anterior que sea correcta.
Copias de seguridad: utilizar las herramientas adecuadas en la nube
se pueden programar copias de seguridad cada cierto tiempo, si se
declara algún fallo se debe volver a la versión anterior del sistema
almacenada en la copia de seguridad.
3.5.1 Seguridad en Áreas Críticas de Cloud Computing, Manejo de
Datos y Gestión de la Información
Una vez establecidos los riesgos que existen en el servicio de cloud, la CSA
(Cloud Security Alliance) propone diferentes tipos de control, asesoramiento
39 Guía para empresas: Seguridad y privacidad del Cloud Computing, http://www.inteco.es/files
66
en las operaciones y la gestión de la seguridad en la cloud computing,
seguridad de la información y protección de los datos.
Los dominios que se consideran para la operación y gestión de información
son los siguientes:40
Dominio 1: Marco de la Arquitectura de Cloud Computing
Se debe tener encuentra las definiciones, características, modelos de
despliegue, modelos de servicio del Cloud Computing y el servicio de e-
learning que se va a proporcionar.
Dominio 2: Gobierno y Gestión de Riesgos de la Empresa
La organización debe contar con un marco de gestión de la seguridad que
les permita llevar un servicio seguro, sostenible y con mejora continua. La
gestión de riesgo necesita identificar e implementar estructuras, procesos y
controles adecuados que permitan realizar acciones sobre el gobierno y la
gestión de la seguridad de la información en la empresa.
Para esto se debe seguir las siguientes recomendaciones:
Capacidad de la empresa para brindar un servicio e-learning 24/7 así
como los parámetros de seguridad de las aplicaciones en uso.
Realizar auditorías para verificar que se cumplen con los requisitos.
El sistema debe trabajar de forma colaborativa y marcar objetivos
alineados al negocio y en concordancia con la seguridad de la
información.
Examinar si el servicio que se le brinda al cliente es el más óptimo si
obtienen el propósito deseado.
Tener en cuenta los SLAs y que se cumplan los requisitos de
seguridad.
Un servicio de cloud computing tiene una relación directa entre la
empresa y el cliente pero también con terceras partes, aún cuando
sea de forma directa, esto implica un análisis de seguridad para la
protección de los datos y la información.
La seguridad en el servicio de e-learning debe incluir:
Identificación de amenazas y vulnerabilidades
Impacto que pueden sufrir los activos.
Niveles y criterios de aceptación de riesgos
Planes de tratamiento de riesgo con múltiples opciones.
Plan de continuidad del negocio, especificación de escenarios
en los cuales contemplan la pérdida del servicio.
40 Guías de Seguridad de Áreas Críticas en Cloud Computing V3.0, http://www.cloudsecurityalliance.org/guidance/csaguide_v3.0.pdf
67
Dominio 3: Cuestiones legales
El proveedor debe garantizar que los datos del cliente van a recibir la misma
atención y manejo cauteloso que si estuvieran en manos del propietario,
además:
Conocer específicamente donde hospedará el proveedor los datos
entregados por parte del usuario.
El proveedor del servicio debe garantizar que la información que se
almacena en la cloud computing se encuentra en su formato original y
es autenticable.
El proveedor debe garantizar que no se viole la confidencialidad de
los datos, no hacer uso indebido de la información suministrada.
Dominio 4: Cumplimiento normativo y auditorias
Chequeo de la normativa existente para la protección de datos y seguridad
de la información.
Dominio 5: Gestión del ciclo de vida de la Información
El objetivo de la seguridad de la información se basa en la protección de los
datos que en la cloud computing debe verse fortalecido.
Ciclo de vida de la información:
Crear
Autenticar
Utilizar
Compartir
Archivar
Destruir
Ciclo de vida de los datos
Datos preparados para adaptarse a la nube
Adaptar el formato o crear un fichero que almacene la información
Datos que viajan a través de internet
Mediante un correo electrónico o una aplicación para importarlos o transferirlos a la nube
Datos procesados en la nube
Desde su almacenamiento hasta el cálculo de complejas operaciones matemáticas los datos pueden ser almacenados en copias de seguridad para facilitar futuros accesos
Datos finales que viajan hacia el usuario
El resultado de la operación que realiza el usuario debe retornar al mismo con la información generada en la nube
Tabla 4 Ciclo de Vida de los Datos
68
Persistencia de los datos: la eliminación de datos debe ser de forma
absoluta y efectiva.
Mezcla de datos: los datos que sean clasificados como sensibles no
deben mezclarse con ningún otro cliente ni en el uso, almacenamiento
o transito.
Planes de backup y recuperación de datos para la restauración: los
datos siempre deben estar disponibles y para esto debe existir
procedimientos de backup y recuperación, ejecutar constantemente
pruebas para medir los procesos de backup y recuperación de datos.
Descubrimiento de los datos: es un reto que garantiza que los datos
sean recuperables en su totalidad.
Agregación de datos e inferencia: establecer prácticas que garanticen
al cliente la protección de la información
Dominio 6: Portabilidad e Interoperabilidad
Se debe garantizar que se brinden todas las facilidades para
portabilidad y la interoperabilidad.
Tomar en cuenta el tamaño de los datos, pues ese parámetro puede
ser decisivo cuando se desee migrar los datos.
Documentar toda la arquitectura, configuración u controles de
seguridad.
Identificar las dependencias de hardware en el caso de realizar una
migración
Dominio 7: Seguridad tradicional, continuidad del negocio, recuperación de
catástrofes
El encargado de la administración de la cloud debe restringir el
acceso a los colaboradores de la empres con el fin de evitar el mal
uso de la información confidencial.
Las prácticas de seguridad deben ser estrictas para que a largo plazo
se pueda disminuir el riesgo.
Revisar los planes de recuperación de catástrofes y continuidad del
negocio.
Dominio 8: Operaciones del centro de Datos
El centro de datos es el elemento más importante dentro de la empresa ya
que es donde se maneja la última tecnología en materia de almacenamiento,
procesamiento y seguridad de los datos.
El centro de datos seguirá el estándar ITIL empleando las mejores prácticas
garantizando un ambiente seguro, restringiendo el acceso a los activos de
información e implementando sistemas de seguridad física para
salvaguardar la información sensible.
69
Al brindar un servicio e-learning 24/7, el centro de datos debe tener recursos
para proveer de este servicio.
La empresa debe contar con procesos de manejo, buenas prácticas de
gestión y software adecuado para la administración; además de contar con
técnicas de manejo de tecnologías de información que aseguren la
disponibilidad, la seguridad en la entrega y la gestión de los activos de
información.
Dominio 9: Respuesta ante incidencias, modificación y subsanación
Es importante definir la responsabilidad de cada una de las partes,
organización y usuarios de tal manera que el proceso de gestión no se vea
comprometido, deberá visualizarse un cambio sustancian en la plataforma
de Cloud Computing debido al servicio e-learning que se va a brindar.
El descuido de la información puede presentar un riesgo potencial para la
integridad de los datos alojados en la plataforma.
Una incidencia tiene un ciclo de vida: detección, análisis y diagnóstico,
corrección, resolución, retroalimentación y cierre, a cada una de estas fases
se debe dar un tratamiento correcto:
Tener una comunicación apropiada entre la organización.
Identificar los tipos de incidentes, verificar cuales son las más
relevantes y diseñar estrategias para la erradicación, soporte y
recuperación de incidentes.
Dominio 10: Seguridad de las Aplicaciones
La seguridad para las aplicaciones presentes en los modelos IaaS, PaaS,
SaaS es un punto sensible que se debe considerar, por lo cual hay que
considerar la vida útil de una aplicación y así mitigar los riesgos que se
puedan presentar.
Se debe contar con máquinas virtuales que tengan imágenes fiables,
además de resguardar las contraseñas de cada una de las aplicaciones.
Se bebe establecer métricas para medir la efectividad de la seguridad de las
aplicaciones y tomar acciones en un eventual intromisión de algún hacker
que pueda atacar el código visible.
Dominio 11: Cifrado y gestión de claves
El cifrado de claves nos ayuda para evitar el escape de información, es
necesario realizar un manejo adecuado de los datos al moverlos a la nube.
70
Dominio 12: Gestión de acceso e identidades
La Cloud computing debe tener una buena gestión en el manejo de
identidades y control de acceso que garantice su éxito en la nube.
La empresa debe asignar un administrador del sistema que establezca un
control de acceso para garantizar que los usuarios solo utilicen los datos o
procesos para los que han sido autorizados.
Dominio 13: Virtualización
Este es un componente importante dentro de la nube ya que permite a la
empresa brindar un servicio eficaz para e-learning 24/7 tan rápido como el
cliente lo desee sin que esto requiera de implementar equipamiento
adicional. Otra de las ventajas es compartir la infraestructura física y brindar
servicios independientes a sus clientes garantizando el aislamiento de forma
segura.
Se debe tomar en cuenta:
Los procedimientos adecuados para evitar errores en el despliegue
rápido en una máquina virtual.
Los dispositivos de red y servidores deben estar perfectamente
distribuidos.
Proteger los ficheros ante la posible extracción de la información.
Evitar problemas en el servidor físico donde están alojadas las
máquinas virtuales.
La empresa debe incluir una autenticación fuerte y la misma gestión
de la identidad que maneje la máquina virtual.
71
CAPÍTULO IV
4.1 PLANIFICACIÓN DEL SISTEMA DE INFORMACIÓN
Al ser una pequeña empresa, se diseñará una cloud como una estrategia de
negocio que abarque las necesidades de la misma orientada a brindar un
servicio de e-learning de calidad que garantice el manejo óptimo de la
información y la protección de los datos.
Una vez establecidos los riesgos y plantear los controles y lineamientos para
mitigarlos, se procederá a diseñar la infraestructura y analizar las
herramientas de software que darán soporte a la plataforma de cloud.
Los datos y la información que se procesará en la plataforma, se manejará
bajo los lineamientos que se establecieron en el análisis de riesgos, de esta
manera se protegerá la información minimizando el impacto en el negocio
ante incidentes de seguridad y vulnerabilidades.
4.2 ESTUDIO DE VIABILIDAD DEL SISTEMA
La empresa consta de aproximadamente 10 empleados, maneja una interfaz
web con servicio de correo electrónico, además de servicios de consultoría
en soluciones de ingeniería y arquitectura para el sector marítimo, por lo que
la seguridad y protección de los datos se debe adaptar a las necesidades de
la empresa, garantizando brindar un servicio que aumente la ventaja
competitiva en el mercado junto con el servicio de e-learning.
La organización debe comprometerse en adaptarse a este nuevo modelo de
servicio como parte de su trabajo y un habilitador de productividad
empresarial; por lo que se debe tener en cuenta un posible crecimiento de
usuarios que utilizarán este servicio y el compromiso de la empresa en
proporcionar un modelo seguro y confiable.
En la cloud computing es muy importante la virtualización como un método
para asegurar el aprovechamiento de los recursos, existen herramientas
propietarias y de código abierto de las cuales se analizarán y se escogerá la
que mejor se adapte a las necesidades del negocio y de esta manera,
aumentar la agilidad en los procesos, reducir costes en infraestructura, y así
expandir el servicio hacia más clientes, asignando los recursos de
computación solicitados por el usuario donde estén disponibles los recursos
físicos.
Si bien en el mercado existen empresas que ofrecen este tipo de servicio,
nos enfocaremos principalmente en diseñar una infraestructura de cloud
propia con herramientas existentes en el mercado; en la cual, no se requiere
inicialmente de una inversión elevada para la adquisición de hardware y
software y así tener la posibilidad de manejar nuestra propia información sin
depender de terceras personas que la administren, invirtiendo en nuestra
72
propia infraestructura, evitando la pérdida o robo de la información por
violaciones de seguridad, apoyado en el manejo responsable de los datos.
4.3 ANÁLISIS DEL SISTEMA DE INFORMACIÓN
Tomando en cuenta la viabilidad del sistema, para el diseño del cloud
privado, se analizarán diferentes componentes de hardware y software para
el despliegue de servicios en la nube.
4.3.1 Infraestructura de Cloud
La selección de hardware para la cloud es un paso muy importante, ya sea
para adquirirlo o utilizar uno ya existente en la empresa.
Dado que manejará información de la empresa y posteriormente brindar un
servicio e-learning, se debe contar con el hardware que realice el trabajo de
procesamiento y almacenamiento de la información.
Es fundamental contar con una conexión a internet ininterrumpida ya que de
esta depende el acceso a los servicios, por lo que es fundamental contar con
dos líneas de acceso independientes para evitar cualquier eventualidad.
4.3.1.1 Sala de Servidores
Se debe elegir y adecuar una sala para la puesta en funcionamiento de los
servidores y debe contar principalmente con los siguientes implementos:
Armario para servidores
Cableado estructurado de interconexión
Sistema de refrigeración
Sistemas para normalización del flujo eléctrico
Servidores
Los servidores (nodos) son el componente principal dentro de la
infraestructura de cloud cada uno de estos tienes características diferentes y
son independientes con el objetivo de gestionar y almacenar la información
que será procesada y dará mayor agilidad para brindar el servicio e-learning.
El prototipo para implementar una pequeña nube privada contará con un
nodo controlador, nodos de computación y un nodo de almacenamiento,
como se muestra en la figura:
73
Figura 1 Prototipo Infraestructura Cloud Computing Privado
Se puede implementar otro nodo controlador dependiendo de las
necesidades de la organización con las mismas características o a su vez
aumentar la capacidad del nodo controlador existente.
Nodo Controlador: en este se instalará la mayor parte de los
servicios de cloud (autenticación, gestión de cloud, API’s etc.), se
debe tener dos controladores funcionando en alta disponibilidad, ya
que cualquier falla de funcionamiento de este equipo dejará el cloud
inoperativo.
Nodo Computador: son los equipos donde se ejecutarán las
instancias que tendrán las máquinas virtuales por lo que deben ser
muy potentes y tener mucha memoria RAM.
Nodo de Almacenamiento: es quien se encarga de almacenar la
información, imágenes de los sistemas y las instancias que se
ejecuten.
4.3.1.2 Requerimientos de Hardware
Nodo Controlador
El nodo controlador tendrá dos interfaces de red de modo que permita
acceder simultáneamente a la red privada y a la red pública. Éste gestiona el
tráfico de información dentro y fuera de la empresa y es el que tendrá el
software para administrar la cloud.
Red Pública
Nodo de Almacenamiento
Nodo 1
Nodo Controlador
Nodo 2
AdministradorUsuario
Administrador Usuario
Nodo Controlador
Firewall
74
Requerimiento mínimo:
1 CPU 64 bits x86
El procesador al menos debería ser del tipo Dual Core, ya que en este nodo corren varios componentes de software.
4 GB de memoria RAM Debido al servicio e-learning se requerirá una buena memoria RAM
80GB disco duro SATA
Se debe tener espacio necesario en disco para que el software que gestionara la cloud se ejecute sin ningún inconveniente.
2 Adaptadores de red100/100 Los adaptadores de red permitirán copiar las máquinas virtuales de la red a los nodos.
Tabla 5 Requerimientos Nodo Controlador
Se proponen estas características mínimas debido a que en el nodo
controlador se van manejar las aplicaciones para levantar la plataforma de
cloud y es donde se ejecutarán los componentes neutrón (para firewall),
nova-network, glance, keystone, etc., además que contará con dos
adaptadores de red para el acceso público y privado de los usuarios y en
espacio en disco permitirá que se ejecuten los componentes sin ningún
inconveniente en un plataforma de 64 bits.
Nodo Computador
El nodo computador proporciona los recursos y memoria para las máquinas
virtuales, en cada nodo puede haber dos máquinas virtuales.
Requerimiento mínimo
1 CPU 64 bits x86 El procesador al menos debería ser Quad Core debido a que este nodo ejecuta las máquinas virtuales.
4 GB de memoria RAM
Este tamaño de memoria procesará la información sin ningún inconveniente hasta para dos máquinas virtuales por nodo.
320 GB disco duro SATA
Este debe tener una gran capacidad y velocidad de acceso para operaciones de entrada/salida y que no se produzcan cuellos de botella.
2 Adaptadores de red100/100 Las imágenes pueden ser muy pesadas y estas tienen que copiarse a través de los nodos.
Tabla 6 Requerimientos Nodo Computador
75
Las características de nodo controlados, se deben a que este ejecutará las
instancias (máquinas virtuales) y las aplicaciones que se ejecutarán para los
usuarios.
Nodo de Almacenamiento
Este nodo va a almacenar y administrar la información de la empresa, tendrá
una conexión directa con el nodo controlador y tendrá un espacio en donde
los usuarios podrán almacenar sus datos en el espacio que sea asignado sin
interferir en la información de la empresa.
Requerimientos mínimos:
1 CPU 64 bits x86 Al menos debería ser un procesador Dual Core.
4 GB de memoria RAM Debido a que es un servidor de almacenamiento manejará datos de entrada/salida.
120 GB disco duro SATA Dependiendo de la cantidad de información que vaya a ser almacenada podría expandirse.
2 Adaptadores de red100/100
Debido al tráfico de información las dos interfaces de red manejarán la información interna y externa que se genera.
Tabla 7 Requerimientos Nodo Almacenamiento
El nodo de almacenamiento guardará la información de la empresa, además
de la de los clientes y manejará datos de entrada y salida mediante los
adaptadores de red tanto para el acceso público como privado.
4.3.1.3 Redes
Las redes que forman parte de la cloud, integrarán las redes locales de la
empresa así como la conexión exterior.
En la matriz de riesgos se plantea los cuidados que debe tener la conexión
de los dispositivos de red.
El nodo controlador, nodos de computación y nodo de almacenamiento
estarán interconectados a través de un switch, para cada una de las redes
que se utilizarán eth0 (red privada) y eth1 (red pública) y estas son:
Red Privada: a través de esta red se gestiona el mayor tráfico del
cloud. Mantener una red privada dentro de la empresa permitirá
gestionar los servicios de la cloud, añadiendo un importante grado de
seguridad y quitando tráfico de red de la red local de la empresa.
Red Pública: a través de esta red, un cliente se conectará
remotamente a una instancia de cloud.
76
4.3.2 Software para Cloud
Existen diferentes alternativas de software propietario como libre para
construir una plataforma de cloud; dado que el objetivo es invertir en una
plataforma de cloud privada, se analizarán las herramientas de software las
cuales tienen sus ventajas e inconvenientes, por lo que se realizará un
análisis de las plataformas más reconocidas en el mercado y estimaremos
cuál de éstas cubre las necesidades de la organización.
4.3.2.1 Software propietario vs Software libre
El software libre no es obligatoriamente gratuito o más barato que el
propietario y existen varios tipos de licencias en los que se entrega la
autorización al usuario para que estos exploten legalmente los recursos del
software libre, no obstante el software propietario es todo lo contrario, este
se ampara en un marco legal que protege su modificación, reproducción y
distribución; controlan el número de usuarios que hacen uso del aplicativo y
las actualizaciones suelen tener un costo.
La gran mayoría de los usuarios tiende a optar por el software propietario
debido a que este ya se encuentra operando en el dispositivo de hardware
que adquiere; en tanto que el software libre, cada vez tiene más acogida por
parte de los usuarios, debido al auge de dispositivos inteligentes que
permiten al usuario descargar e implementar un sinnúmero de programas y
aplicaciones robustas de productividad.
A continuación se presentan las ventajas y desventajas del software
propietario:
Ventajas
De fácil adquisición y en ocasiones ya vienen preinstalados en los
dispositivos de hardware.
Son creados para una tarea en particular.
Quienes proveen éste software son empresas grandes que se
dedican a desarrollar plataformas y dar soporte al cliente en todo
momento.
La interfaz que se presenta ante el usuario es más amigable.
Los programas son más compatibles con los dispositivos de
hardware.
Antes de salir al mercado, pasan por rigurosas pruebas de
funcionamiento y calidad.
Existen en la web manuales para el uso del software a pesar de que
el proveedor se encarga de brindar el soporte técnico necesario.
Son más conocidos y en la actualidad tiene gran cantidad de
usuarios.
77
Tienen una mejor interacción y se unifican entre sí.
Desventajas
El funcionamiento del software se limita a hacer lo que idea el creador
de dicho software.
Si se requiere realizar alguna modificación en el programa no lo podrá
hacer debido a que contraviene el acuerdo de licencia de usuario final
del programa.
No hay versiones del mismo programa para todas las plataformas o
las versiones no tiene las mismas funcionalidades.
Se corre el riesgo de quiebra de la empresa y no exista soporte
técnico o actualizaciones.
Son desarrollados en un solo idioma sin dar la posibilidad de
cambiarlo al idioma nativo.
A continuación se presentan las ventajas y desventajas del software libre:
Ventajas
Adaptabilidad a los diferentes tipos de sistemas operativos en el
mercado (Linux, Windows, Mac)
El usuario final puede usar libremente el programa, y además puede
modificarlo, redistribuirlo y copiarlo siempre y cuando se respeten las
condiciones establecidas por el autor del software para su uso.
Puede ser compartido por un sinnúmero de usuarios que lo requieran,
cada uno puede hacer sus aportes dando así mayor innovación
tecnológica.
Tiene mayor facilidad de ser traducido a cualquier idioma, la libertad
del acceso al código fuente permite que se pueda adaptar a lenguas
nativas.
La migración a otra plataforma es más fácil gracias al acceso al
código fuente.
Desventajas
Debido a que la gran mayoría de usuarios utilizan el software
propietario, se le hace más difícil adaptarse al uso del software libre.
La compatibilidad con hardware no es completa, se requieren de
conocimientos específicos sobre el sistema operativo y el equipo
donde se va a instalar la aplicación.
Dificultad para intercambiar información con usuarios que utilizan
software propietario.
Dificultad para instalar ciertos programas.
78
No se respalda en grandes empresas que garantizan la calidad de
sus productos pero existen empresas que realizan implementaciones
de software en base al software libre.
Existe menor cantidad de aplicaciones para realizar tareas
específicas.
La diversidad de uso y métodos de empaquetamiento puede causar
confusión en un gran número de personas.
No existen controles antes que salgan del mercado.
Se requiere controlar las modificaciones de otros usuarios lo que
dificulta la tarea de mantener un control de cambios.
Es menos conocido que el software libre por lo que la documentación
suele ser escasa.
El soporte es costoso y puede ser mayor que el propietario.
Sin embargo la elección de una solución propietaria o de código abierto será
dada de acuerdo a las necesidades de la cloud en la empresa y a los
profesionales de IT que estarán a cargo de la implementación.
4.3.2.2 Herramientas de software libre para implementar la plataforma
de Cloud Computing
Se analizarán cuatro alternativas de open source más importantes en el
mercado, éstas son:
Eucalyptus
OpenNebula
OpenStack
CloudStack
Eucalyptus
Herramienta de código abierto.
Arquitectura altamente escalable:
79
Gráfica 12 Arquitectura Eucalyptus41
La consola de administración es una interfaz basada en web que
permite a los usuarios en la nube la prestación y gestión de recursos y
a los administradores controlar la gestión de usuarios, grupos y
políticas.
Incluye funciones de gestión de almacenamiento de gran alcance
para crear y gestionar los recursos de almacenamiento.
Permite la creación de nubes de tipo privado e híbrido.
Comunicación segura entre procesos internos.
Soporte para máquinas virtuales Linux y Windows.
Políticas programables y configurables.
Proporciona un conjunto de herramientas de líneas de comandos
euca2ools.
Código basado en Java, C.
Compatibilidad con XEN, KVM, VMware.
Amplios conocimientos para su instalación
Su mantenimiento depende del tamaño de la infraestructura.
Ventajas
Cada servicio web expone una API bien definida independiente del lenguaje
de programación que contiene las operaciones del servicio y puede realizar
las estructuras de datos de entrada y salida.
41 https://www.eucalyptus.com/eucalyptus-cloud/iaas/architecture
UI & API
Cloud
CLUSTER
(Zona de disponibilidad)
NODOS
Almacenamiento
Escalable de
Objetos
Cloud
Controlador
Consola de
Administración
Controlador de
Almacenamiento
Compatibilidad –
AWS & API
Controlador de
Cluster
NODOS
MV MV
NODOS
MV MV
NODOS
MV MV
80
Desventaja
Si bien esta herramienta cumple con los requisitos para el objetivo que
deseamos alcanzar, requiere de grandes conocimientos para manejarla
además su interfaz de administración no está tan desarrollada como otras
soluciones.
OpenNebula
Es un software de open source que nos permite construir cualquier
tipo de nube: privado, público e híbrido.
Diseñado para ser integrado con cualquier tipo de red y
almacenamiento y así adaptarse al centro de datos.
Tiene soporte para virtualización.
Su infraestructura es una arquitectura clásica en clusters con un
frontal y un grupo de nodos para máquinas virtuales.
Su arquitectura se divide en tres capas:
Tools: Herramientas de gestión empleando las interfaces
proporcionadas por OpenNebula.
Core: Componente que gestiona las máquinas virtuales, redes
virtuales y nodos.
Drivers: Proporciona nuevas tecnologías para virtualización,
almacenamiento, monitorización y servicios de cloud.
81
Gráfica 13 Arquitectura OpenNebula42
Sus componentes son:
Front – end: Ejecuta OpenNebula y servicios de cluster.
Nodos: Proporcionan los recursos necesarios a las máquinas
virtuales como el hipervisor.
Repositorio de imágenes: medio para almacenar las imágenes
de las máquinas virtuales.
Dominio OpenNebula: Gestiona el ciclo de vida de las
máquinas virtuales y subsistemas de almacenamiento y redes.
Drivers: Programas que sirven para la interfaz de un hipervisor
o un sistema de almacenamiento específico.
Código base: Java.
Compatible con KVM y XEN.
No requiere amplios conocimientos en instalación.
Fácil mantenimiento de la infraestructura.
42 http://opennebula.org/publication-of-the-opennebula-cloud-os-architecture-in-ieee-computer/
Administrador de
Herramientas
Administrador de
ServiciosPlanificador
Interfaces de
Cloud
Administrador
de
Información
Contabilidad y
Auditoria
Autorización
y
Autenticación
Administrador
de Imágenes
Administrador de
MVGestor de Red Administrador de
Almacenamiento
Gerente de
Federación
Administrador de la Infraestructura FísicaManejador de la
Nube
Sistema Operativo Cloud
He
rra
mie
nta
sN
úcle
oM
an
eja
do
r
Servidores Redes
Nube Externa
Infraestructura Física
Almacenamiento
82
Ventajas
Administra infraestructuras virtuales, combinando tecnologías de
virtualización, administración y redes. Soporta el manejo de redes que
interconectará diferentes máquinas virtuales.
Desventaja
OpenNebula requiere de ciertos conocimientos para una correcta
administración, así mismo la interfaz de la plataforma es pobre y con poca
funcionalidad, por lo que la mayor parte de la administración se debe realizar
a través de la consola y si no se cuenta con el personal especializado puede
ser un inconveniente utilizar este software para cloud.
OpenStack
Proporciona servicios como computación en la nube,
almacenamiento, redes y gestión del sistema.
Permite gestionar el despliegue y ejecución de aplicaciones a través
de múltiples servidores.
Está dividido en tres servicios principales:
Infraestructura de procesamiento (NOVA): controla todas las
actividades para soportar el ciclo de vida de las instancias de
OpenStack.
Infraestructura de almacenamiento (swift): tiene un
almacenamiento distribuido y consistente de objetos virtuales.
Infraestructura de imágenes (Glance): es un sistema lookup y
recuperación de imágenes de máquinas virtuales.
Arquitectura OpenStack
83
Gráfica 14 Arquitectura OpenStack43
Basado en Python.
Compatibilidad con XEN, KVM y VMware.
Conocimientos de instalación y manejo medios.
Se requiere varios componentes para mantenimiento.
Ventajas
Personalización del almacenamiento interno y manejo sencillo del stack
(estructura de datos)
Desventaja
OpenStack se encuentra en una fase poco madura por lo que es complicada
utilizarla en un entorno de producción.
Cloud Stack
Herramienta de open source que permite efectuar el despliegue, la
configuración y la gestión de entornos de computación.
Distribuye las peticiones web mediante el empleo de gestores de
balance de carga.
La infraestructura se basa en:
43 https://laboratoriosvirtuales.files.wordpress.com/2011/12/arquitectura_openstack.png
Almacenamiento de Imagenes
Computador Nova
Instancia Instancia
Servidor de Cola
Red Nova
Planificador Nova
Swift
Volumen Nova
VLAN Plano DHCP
Vistas de Registro
API Nova
Vistas API
84
Nodos de computación: constituye el bloque básico para
efectuar el escalamiento de la plataforma.
Pods: (nodos de computación) no hay limitación en el número
de máquinas que pueden ser asignadas a un pod.
Zona de disponibilidad: Implican un aislamiento físico y de
redundancia, son visibles al usuario final.
Proporciona dos tipos de aislamiento:
Primario: almacena todas las máquinas virtuales, así como los
volúmenes adicionales de almacenamiento de datos.
Secundario: se emplea para almacenar plantillas, capturas de
pantalla de las máquinas virtuales e imágenes ISO. Debe estar
localizado en la misma zona de disponibilidad que las
máquinas a las que sirve.
Posee plantillas que son imágenes de una máquina virtual y pueden
emplearse para instanciar una máquina virtual.
Emplea varios tipos de máquinas virtuales para efectuar las trareas de
cloud.
Basado en código Java.
Compatibilidad con XEN, KVM y VMware.
Amplios conocimientos para su instalación.
Ventaja
Personalización del almacenamiento interno y manejo sencillo del stack.
Desventaja
Centrado en la interfaz de usuario y débil integración con AWS (Amazon
Web Services).
4.3.2.3 Herramientas de software propietario para implementar la
plataforma de Cloud Computing
Entre los proveedores más importantes de Cloud Computing se encuentran
los siguientes:
Google App Engine
Google App Engine permite crear y alojar aplicaciones web en los mismos
sistemas con los que funcionan las aplicaciones de Google. Google App
Engine ofrece procesos de desarrollo rápidos, administración sencilla, sin
necesidad de preocuparse por el hardware, las revisiones o las copias de
seguridad.44
44 http://www.compracloud.com/servicios/google-app-engine
85
Actualmente Google App Engine se encuentra en su versión beta, gratuito
para cada persona que desee usarlo con solo crear una cuenta de correo
electrónico en google y se obtiene 500 MB de almacenamiento gratuito y
aproximadamente 5 millones de páginas vistas gratis al mes, para utilizarlo
requiere de Phyton 2.5.2 instalado en el computador.
Este servicio brinda alojar aplicaciones web en los mismos sistemas con los
que funcionan las aplicaciones de Google.45
Ventajas
Ejecuta las aplicaciones web en la misma infraestructura de Google.
Fácil mantenimiento y actualización de las aplicaciones.
Rendimiento, disponibilidad y seguridad en la infraestructura de
Google.
Permite adquirir más recursos de los que se ofrecen y pagar solo por
lo que se consume.
Responde de igual manera si accede un usuario o 100 usuarios.
Desventajas
Tiempo máximo en cada llamada hacia App Engine es de 60
segundos.
No existe portabilidad hacia otras infraestructuras.
Amazon
(Elastic Compute Cloud), es un servicio Web que provee capacidades de
cómputo elásticas, disponibles a través de una infraestructura cloud
diseñada con la finalidad de proveer computación escalable a entornos Web,
bajo demanda, siguiendo un modelo comercial de pago por uso. (Amazon
Web Services, LLC).46
Ventajas
Es una aplicación que permite reproducir archivos musicales y
dispone de su propia aplicación para smartphones.
Dispones de 5 GB para almacenar la información gratuitamente.
Esta siendo utilizado por empresas para realizar backups y desarrollar
aplicaciones.
Cuenta con una aplicación para teléfonos inteligentes.
Disminución en problemas de mantenimiento.
Actualizaciones inmediatas de software.
45 http://www.compracloud.com/servicios/google-app-engine 46 https://sites.google.com/a/uvirtual.edu.pe/curso-de-herramientas-de-google-apps/introduccin/proveedorescloud
86
Desventajas
La versión web no es compatible con otros navegadores como safari.
Si se desea aumentar el espacio de almacenamiento, estos son muy
costosos.
Requiere una conexión a internet continua y rápida.
Los datos pueden ser accedidos por otros.
Dependencia tecnológica en compañías ajenas.
Windows Azure
Windows Azure es una plataforma de nube abierta y flexible que permite
compilar, implementar y administrar aplicaciones rápidamente, en una red
global de centros de datos administrados por Microsoft. Con Windows Azure
puede compilar y ejecutar aplicaciones en cualquier lenguaje, herramienta o
marco. 47
Ventajas48
Servicio altamente disponible.
El desarrollador puede concentrarse solamente en su aplicación.
Ahorro de dinero en servidores.
Paga solamente el tiempo que esté ocupando el servicio.
Soporte para varios lenguajes.
Desventajas
Según Richard Stallman fundador del software libre, se deja en
manos de terceros aspectos claves del desarrollo de un negocio.
Al ser un servicio en la nube, el usuario necesita más ancho de banda
para ejecutar la aplicación.
Únicamente se pueden adaptar aplicaciones que sean compatibles
con este software y este tiene un costo adicional al contratado por el
usuario.
Tanto el software libre como propietario tiene sus ventajas y desventajas, la
elección del software como plataforma de cloud se debe al énfasis en la
operatividad, independencia en la administración de las aplicaciones, datos,
información, que cumpla con las necesidad de la empresa ofreciendo
47 http://www.compracloud.com/servicios/windows-azure 48 http://www.davidchappell.com/writing/white_papers/Introducing_the_Windows_Azure_Platform,_v1.4--Chappell.pdf
87
herramientas que permitan un manejo dinámico y faciliten la implementación
para pequeñas y medianas empresas
4.3.3 Herramientas de Virtualización
La virtualización es parte de la computación en la nube que ayuda a
provechar los recursos y lograr la reducción de costes.
Desde una perspectiva de negocio, la virtualización nos permite ahorrar
energía, espacio, capacidad de refrigeración y administración ya que se
tienen menos servidores.
La virtualización supone ejecutar varios sistemas operativos y si uno cae por
un fallo, el hipervisor y el resto del sistema operativo continuarán
funcionando.
Las herramientas más conocidas en el mercado para virtualización son las
siguientes:
XEN
Es un hipervisor de código abierto que permite una mejor utilización de los
servidores y consolidación de los mismos al posibilitar que múltiples
imágenes de sistemas operativos se ejecuten simultáneamente en un único
servidor físico.
Asegura que los niveles de servicio de cara aplicación se respete incluyendo
CPU, memoria y entrada/salida, por lo que es una infraestructura de
virtualización rápida y segura.
Comparte recursos con otras aplicaciones e instancias de sistemas
operativos virtualizados.
Se usa más en centros de datos con el objetivo de incrementar la utilización
de servidores, permite a los usuarios hospedar más servidores virtuales por
máquina física ahorrando costes en infraestructura.
Desventajas
Los clientes deben ser modificados para su funcionamiento.
No es compatible con la interfaz avanzada de configuración de
energía en tecnologías portátiles.
No todo el hardware está soportado
Problemas con algunos drivers propietarios.
88
KVM
Ofrece un escenario de virtualización típico con una interfaz entre el sistema
huésped y su anfitrión, encargándose de la planificación de las tareas y la
gestión de la memoria de cada huésped.
Integra el hipervisor en el kernel y se comunica actuando como una interfaz
para una máquina virtual. La programación de tareas y la gestión de
memoria son manejadas desde el mismo kernel, instala tablas de páginas
para él y emula determinada instrucciones clave.
Desventajas
Necesita un procesador con soporte para tecnología de virtualización
.
VMware
Es un sistema de virtualización por software cuyo rendimiento del sistema
virtual varía dependiendo de las características del sistema físico en el que
se ejecute y de los recursos virtuales asignados al sistema virtual.
Posee diferentes soluciones enfocadas al entorno corporativo tanto de pago
como gratuitas: Workstation, Fusion, Player y Wmware Server.
Es una aplicación y se puede instalar en sistemas host Windows o Linux.
Desventajas
Bajo rendimiento con hardware de bajo rendimiento
La versión gratuita es de uso personal y no empresarial.
Al actualizar el kernel se debe ejecutar nuevamente el instalador.
La elección de la herramienta de virtualización será de acuerdo a la
compatibilidad con el software que se elije para la plataforma de cloud y que
sea capaz de administrar las máquinas virtuales repartiendo recursos entre
varios procesos y de fácil manejo.
4.4 DISEÑO DEL SISTEMA DE INFORMACIÓN
Una vez analizados los riesgos a los que se expone la infraestructura, los
datos e información y planteando las mitigaciones, analizadas las diferentes
plataformas para levantar un servicio de cloud y planteado un prototipo de
infraestructura, se propone una guía para el diseño de nube privada que
satisfaga las necesidades del negocio y en la que se pueda administrar la
información de la empresa de manera independiente.
Por lo tanto las principales características que se deben tomar en cuenta
para levantar la plataforma de cloud son las siguientes:
89
Dado que se desea una nube privada se propone la utilización de
soluciones de código abierto que permita el manejo, gestión y
almacenamiento de la información sin depender de terceras personas
y de esta manera reducir el costo del proyecto.
Garantizar el acceso ininterrumpido a los recursos de red,
distribuyendo el acceso a usuarios mediante controles de acceso de
manera que no se comprometa información confidencial de la
empresa.
La infraestructura de red debe poder ser utilizada desde cualquier
lugar y disponer de los recursos que se ofrecen.
Permitir ampliar la infraestructura de acuerdo a las necesidades de la
empresa.
Reducir los gastos de almacenamiento de datos.
Garantizar el uso eficiente de recursos.
4.4.1 Plataforma para el Modelo de Servicio Cloud Computing
El mercado nos ofrece un sinnúmero de plataformas tanto propietarias como
de open source para realizar nubes privadas.
De acuerdo a nuestros requerimientos, el software que se propone para el
modelo de servicio es OpenStack.
El sistema operativo mediante el cual se adapta para establecer un modelo
de cloud computing es Ubuntu 12.04 LTS de 64 bits, debido a que
OpenStack fue construida en base a esta plataforma.
OpenStack es una tecnología de open source que nos permite la creación de
nubes públicas y privadas que proporciona recursos a través de máquinas
virtuales y gestión de la red, además permite a las organizaciones ejecutar
su propia cloud para almacenamiento virtual.
Incluye varios componentes, de los cuales los más importantes son
OpenStack Compute (NOVA), OpenStack Object Storage (Swift) y
OpenStack Image Service (Glance), la cual ayuda a obtener una plataforma
de software completa para la administración y gestión de cloud.
OpenStack Compute (NOVA)
Es el controlador de la infraestructura básica de cloud y de iniciar las
máquinas virtuales (instancias) de los usuarios que acceden al servicio,
gestiona la red.
OpenStack Object Storage
Es el encargado de brindar el apoyo para el almacenamiento de objetos.
90
OpenStack Image Service
Este servicio se encarga de la búsqueda y recuperación de imágenes de
máquinas virtuales, puede también disponer de otros servicios como Object
Storage para el almacenamiento de la información que la nube maneja.
4.4.1.1 Arquitectura OpenStack
OpenStack se basa en tres servicios principales:49
Object Storage (Swift): proporciona almacenamiento de objetos, permite
almacenar y/o recuperar ficheros.
Incluye diferentes componentes:
Servidor proxy: que acepta solicitudes a través de API OpenStack o desde
HTTP, también acepta solicitudes de descarga de archivos o listados de
objetos del contenedor a través de un navegador web.
Servidor de cuentas de usuario: gestiona cuentas de usuario definidas con el
servicio de almacenamiento de objetos.
Servidores de objetos: gestionan objetos reales en los nodos de
almacenamiento.
Image (Glance): proporciona un catálogo y un repositorio de imágenes de
discos virtuales, cualquier infraestructura de cloud de un tamaño
considerable lo necesita.
Está formado por cuatro componentes:
Glance.api: que acepta peticiones a través de su API para el descubrimiento,
recuperación y almacenamiento de imágenes.
Glace.registry: almacena procesa y recupera metainformación sobre las
imágenes tales como tamaño, tipo, etc.
Una base de datos para almacenar la metainformación, esta base de datos
es optativa, pero para entornos de producción utiliza MySQL o PostgreSQL.
Posee un repositorio para el almacenamiento de los ficheros de imágenes,
es configurable y se pueden utilizar desde los directorios locales al propio
servicio swift.
Glance representa un papel central en la arquitectura OpenStack, ya que
acepta peticiones para la gestión de imágenes tanto de los usuarios finales
como de otros servicios como nova.
49 OpenStack, “Software de código abierto para la creación de nubes privadas y públicas” http//www.openstack.org
91
Compute (NOVA): proporciona máquinas virtuales bajo demanda, es capaz
de proporcionar gestión de volúmenes de discos a través de uno de sus
servicios.
Nova posee diferentes dominios que nos permite atender las llamadas del
usuario final y una API para el administrador de cloud.
Nova-compute crea y destruye las máquinas virtuales mediante un hipervisor
(Xen, KVM, VMware).
Nova-volume gestiona, conecta y desconecta máquinas virtuales.
Nova-network realiza tares de red desde la cola de mensajes y modifica el
estado de la red tales como iptables y la interfaz de puente.
Nova-scheduler determina el nodo que ejecuta cada instancia de acuerdo a
un algoritmo seleccionado.
OpenStack ejecuta una base de datos SQL que es el encargado de
administrar toda la información de la cloud tanto en su estado inicial como en
su ejecución.
OpenStack a través de este componente ofrece la alternativa de configurar
ciertos parámetros para crear las instancias de cloud y además se puede
configurar el firewall mediante el componente nova-neutron, que maneja la
red y el firewall, el cual se configura de acuerdo a la carga que va manejar,
disponibilidad del servicio, ancho de banda de la red, uso de cloud, etc.,
especificando las direcciones fijas como flotantes por donde va a transmitir y
recibir la información.
Dashboard (Horizon): proporciona una interfaz de usuario basada en la
web para gestionar los servicios de usuarios y al administrador de cloud;
posee dos módulos, uno que mantiene la lógica de la aplicación e interactúa
con las APIs de OpenStack y el segundo que permite adaptarse e integrarse
con la apariencia del sitio web.
Horizon utiliza los datos del resto de servicio por lo cual almacena mu pocos.
Identity (Keystone): proporciona servicios de autenticación y autorización a
todos los servicios de OpenStack.
Integra los servicios de OpenStack en un único punto en proporcionar
servicios de autenticación, mantenimiento de catálogos y un repositorio de
políticas de identidad, manteniendo un registro de usuarios y los permisos
que tienen cada uno de ellos.
Keystone puede integrarse fácilmente con diferentes almacenamientos como
SQL, LDAP o KVS (Key Value Stores).
92
Estos servicios están diseñados para proporcionar una infraestructura como
servicio completa en la que los usuarios finales de la cloud pueden
interactuar a través de una interfaz web, se autentifican a través de un
mismo servicio e interactúan con el resto de usuarios mediante sus APIs
públicas.
OpenStack no tiene un software de virtualización que permita crear las
máquinas virtuales, por lo que se requiere al menos un hipervisor para
funcionar y controlarlo a través de una API.
De entre los hipervisores para realizar la virtualización se ha escogido KVM
por su compatibilidad con OpenStack y la fácil adaptación con soluciones
libres.
4.4.1.2 Plataforma de Cloud Computing con OpenStack
De acuerdo al prototipo planteado, la distribución del software en los nodos
quedaría de la siguiente forma:
.
Gráfica 15 Ubicación de los Componentes OpenStack en los Nodos
El proceso para establecer un modelo de cloud computing es el siguiente:
Configuración de la red (cada nodo debe estar identificado con un
nombre).
Instalación del servicio MySQL.
Instalación y configuración de keystone (autenticación).
Instalación y configuración de Glance (gestión de imágenes).
Instalación y configuración de Nova (servicios de computación).
Creación de máquinas virtuales (mediante software KVM).
Realizar la prueba de una máquina virtual.
NODO CONTROLADOR
Nova Compute
Nova Network
Nova API
Nova Volume
Horizon
Keystone
Glance
NODO COMPUTADOR
KVM
SWIFT
93
Instalación y configuración del Dash board (horizon).
4.4.1.3 Configuración Básica de la Red
Nodo Controlador: será el encargado de gestionar todos los recursos de
cloud e interactuar con los componentes, éste no ejecuta las máquinas
virtuales.
Nodos de Computación: en este componente se ejecutarán las máquinas
virtuales y recibirá las órdenes del nodo computador.
Nodo de Almacenamiento: este nodo ofrecerá espacio de almacenamiento
y se administrará mediante el nodo controlador.
Se propone una configuración de red que contará con dos tarjetas de red,
eth0 (red privada) y eth1 (red pública) que se puede configurar con VLANs
con las siguientes direcciones IP tanto para los nodos como para las
máquinas virtuales:
Elementos de Información
Rango de Direcciones IP
Eth0
Nodo Controlador
192.168.0.1/24
192.168.0.2
Nodo Computador 192.168.0.3
Nodo de Almacenamiento
192.168.0.4
Máquina Virtual 1 10.0.0.1/24
10.0.0.2
Máquina Virtual 2 10.0.0.3 Tabla 8 Direcciones IP de la Red
94
Gráfica 16 Infraestructura Cloud Computing y direcciones IP en la Red
Se debe tener en cuenta que las direcciones IP asignadas a cada uno de los
componentes son fijas desde su creación hasta su destrucción y las
direcciones IP flotantes son aquellas que nos van a permitir acceder desde
una red pública.
Se crea las VLANs dependiendo del servicio que se va a brindar en este
caso de e-learning como tutorías, entrada y salida de información, etc., se
puede asignar una VLAN diferente para cada actividad de la empresa; de tal
manera que se distribuyan las actividades a través de la IP flotante que nos
permite el acceso a ella desde una red pública.
La creación de direcciones IP privadas para asociar a la red LAN con las
direcciones IP virtuales pueden ser a partir de 172.18.0.0/16 para que los
usuarios de cloud puedan acceder desde fuera a la cloud.
Para mantener todos los servicios sincronizados se debe instalar un servidor
NTP (Network Time Protocol) y reiniciar el servicio con los cambios que se
realicen.
Glance es el componente inicial el cual gestiona las instancias y almacena
las imágenes, aunque también es posible utilizar un componente de
almacenamiento de objetos de OpenStack.
Red Pública
Nodo de Almacenamiento
Nodo 1
Nodo Controlador
AdministradorUsuario
Administrador Usuario
192.168.0.2192.168.0.4
10.0.0.2 10.0.0.3
MV1 MV2
192.168.0.3
Firewall
Nodo Controlador
192.168.0.1
95
A través de keystone se configura los datos para crear los usuarios con
diferentes privilegios quienes administrarán la nube y quienes tienen acceso
para el resto de los componentes de OpenStack.
Glance y Keystone (por defecto utilizan SQLite) guardarán los datos en
MySQL que se debe instalar en el nodo controlador.
Se recomienda utilizar al paquete rabbitmq-server que se encarga de la
gestión de mensajes entre los diferentes paquetes de OpenStack y
memcached que se encarga de cachear en memoria peticiones a base de
datos o a APIs.
OpenStack Networking (Neutrones, anteriormente Quantum) es un sistema
para la gestión de redes y direcciones IP. Asegura que la red no presente el
problema del cuello de botella o el factor limitante en un despliegue en la
nube y ofrece a los usuarios un autoservicio real, incluso a través de sus
configuraciones de red.
OpenStack Networking proporciona modelos de redes para diferentes
aplicaciones o grupos de usuarios. Los modelos estándar incluyen redes
planas o VLAN para la separación de los servidores y el tráfico. Gestiona las
direcciones IP, lo que permite direcciones IP estáticas o DHCP reservados.
Direcciones IP flotantes permiten que el tráfico se redirija dinámicamente a
cualquiera de sus recursos informáticos, que permite redirigir el tráfico
durante el mantenimiento o en caso de fracaso. Los usuarios pueden crear
sus propias redes, controlar el tráfico y conectar los servidores y los
dispositivos a una o más redes. Los administradores pueden aprovechar las
redes definidas por software de tecnología (SDN) como OpenFlow para
permitir altos niveles de multiempresa y escala masiva. OpenStack
Networking tiene un marco que permite la extensión de servicios de red
adicionales, como los sistemas de detección de intrusos (IDS), balanceo de
carga, cortafuegos y redes privadas virtuales (VPN) para ser implementada y
administrada.50
Para administrar la cloud mediante una interfaz y no por la consola se puede
optar por el paquete StackOps que se lo puede descargar y realizar la
instalación igual que cualquier sistema operativo.
De esta manera se muestra una guía en el diseño de una plataforma de
cloud, mostrando que es viable implementar una infraestructura de TI en
pequeñas y medianas empresas, bajo estándares de seguridad y gestión de
la información.
50 http://es.wikipedia.org/wiki/OpenStack
96
4.4.1.4 Guía para la Implementación de la Plataforma de Cloud
Computing
A continuación se muestra el proceso global para la implementación de la
plataforma de cloud computing:
La dirección debe asignar los roles y responsabilidades para el
personal encargado en la implementación y garantiza que los
procedimientos sean documentados de acuerdo a los lineamientos
establecidos en la matriz de riesgos.
Se debe adecuar la infraestructura física del centro de datos,
seguridad física, estructura de red y componentes que se instalarán
en cada equipo como ya se mencionó en el documento dónde se
describe su infraestructura.
Se instalarán los servicios básicos (MySQL, Network Time Protocol
NTP).
Instalación y configuración de:
Keystone (servicio de autenticación)
Glance (servicio de gestión de imágenes)
Nova (servicios de computación)
Añadir imágenes para la configuración de máquinas virtuales.
Instalar una máquina virtual para realizar pruebas.
Instalación y configuración del Dashboard (horizon).
El sistema operativo debe estar actualizado para iniciar el proceso de
instalación/configuración.
Se debe tomar en cuenta el manejo de claves de acuerdo a lo establecido en
la matriz de riesgos.
97
CAPITULO V
5.1 Presupuesto
Infraestructura
CANTIDAD EQUIPO CARACTERÍSTICAS
COSTO (unitario
aproximado usd)
COSTO TOTAL (usd)
2 Nodo Controlador
Procesador Intel Xenon 3.10 GHz, 8M Cache, QuadCore, Disco Duro de 1TB 7200rpm SATA (64bits)
934 1868
3 Nodo Computador
Procesador Intel Xenon 3.10GHz, 8M Cache, QuadCore, Disco Duro 2TB 7200rpm SATA (64 bits)
1124 3372
1 Nodo
Almacenamiento
Procesador Intel Xenon 3.10 GHz, 8M Cache, QuadCore, Disco Duro de 1TB 7200rpm SATA (64bits)
934 934
1 Switch TP-Link 24 puertos Gigabit
125,27 125,27
Subtotal 6.299,27
I.V.A (12%) 755,91
Total 7.055,18 Tabla 9 Presupuesto para Infraestructura51
Este costo se puede diferir a 36 meses sin intereses, por lo que las cuotas
mensuales son de 195,98 usd.
Herramientas para el Centro de Datos52
CANTIDAD ARTÍCULO PRECIO
UNITARIO (usd)
PRECIO TOTAL (usd)
100 Funda conectores RJ45 0,07 7,00
1 Cable UTP Cat5E (305m) 58,13
2 Funda Jack para RJ45 Cat 5E (10u) 0,99 19,80
2 Fundas boot para conectores RJ45 (50u) 0,05 2,50
1 Cámara de video vigilancia 802 E 402 TVL 49,09 49,09
1 Gabinete cerrado Rack Abatible 12ur puerta -Beacoup I-1026
325,00
1 Kit Sistema de Control de Acceso Biométrico 490,00
51http://www.dell.com/ec/empresas/p/poweredge-t110-2/pd 52 http://www.dipromacom.com/ecuador/catalogo/4268/mayoristas-en-computacion-dipromacom-sa-distribuidores-de-computadoras-guayaquil/
98
(cerradura electromagnética, lector de huellas, soporte para cerradura, botón metálico de salida)
Subtotal 951,52
I.V.A (12%)
114,18
Total 1065,70 Tabla 10 Costos Centro de Datos
Seguridad
Sistema Smart-UPS Dell 15000VA53 49,65
Depreciación contable 3 años en equipos de computación
Firewall ASA 5510 Security Appilance 42,36
Depreciación contable 3 años en equipos de computación
Antivirus 150
242,01
Tabla 11 Costos de Seguridad para Cloud
Software Propietario
Tomando como base Windows Azure los costos (mensuales) por
implementar una infraestructura de cloud con software propietario es la
siguiente:54
APP Service usd
mensual
Máquinas virtuales
3.235 Ancho de Banda
Soporte técnico
Máquinas Virtuales usd
mensual
2 Núcleos 7 GB RAM 100 GB SSD
1.990,97 SQL Server Web
Ancho de Banda
Servicios en la Nube
usd mensual
Instancias de rol web y de trabajo
378,93 Bases de Datos
Ancho de banda
53 http://www.dell.com/ec/empresas/p/ups/pd 54 http://azure.microsoft.com/es-es/pricing/calculator/?scenario=virtual-machines
99
Soporte Técnico
Almacenamiento
usd mensual
Dispositivos de Almacenamiento
323,67 Instancias Protegidas
Transacciones de almacenamiento
Backup usd
mensual
Tamaño de Instancias protegidas
530,96
Instancias Protegidas
Almacenamiento de Copias de Seguridad
Máquinas Virtuales Protegidas Cliente
Máquinas Virtuales Protegidas Azure
Bases de Datos
usd mensual
Base de Datos Estándar 95,94
Base de Datos Web y Business
Aprendizaje Automático
usd mensual
Usuarios
224,3 Horas de Experimentación
API Producción
transacciones
Servicio de Cache Administrado
usd mensual
Tamaño de Cache 2 unidades
474 Ancho de Banda
Soporte Técnico
Total Aproximado mensual (usd) 7.253,77 Tabla 12 Costos Software Propietario
El costo del soporte técnico puede aumentar de 300 usd. mensuales
(Estándar) hasta un soporte técnico profesional de 1000 usd. mensuales,
con eso aumentando el costo de la plataforma de cloud.
Ninguno de los proveedores de servicios cloud se encuentran en Ecuador
esto implica que los datos son almacenados en servidores fuera del país, lo
que implicaría un costo extra para obtener un mejor rendimiento.
100
A pesar de que los servicios ofertan su cloud pagando únicamente lo que se
usa, siempre existen costos adicionales tales como actualizaciones, que
tienen un costo extra de pago por el servicio.
Los costos son aproximados, tomando los servicios más básicos, si se
requiere escalar la plataforma el costo del servicio mensual aumentará.
Estos costos se calculan sin contar con las tasas por compras en el exterior,
pago de impuestos y aranceles lo que de igual manera aumentarán los
costos.
Software Libre
Todas las plataformas de open source para cloud son gratuitas, cabe
destacar que primero se requiere establecer cuáles son las necesidades del
negocio y si estas soluciones cubren los requerimientos para brindar un
servicio de calidad.
Los costos de las licencias representan un ahorro para quienes opten por
esta alternativa como plataforma de cloud, por lo que la inversión que se
realizaría sería en la infraestructura y el software puede ser modificado de
acuerdo a las necesidades de la empresa.
Se tomará como base la plataforma OpenStack para determinar el costo de
implementar la plataforma de Cloud mediante esta plataforma.
El software base que se va a utilizar para levantar la plataforma de Cloud
Ubuntu se descarga gratuitamente de la página
http://www.ubuntu.com/download.
OpenStack igualmente puede descargarse gratuitamente de la página
http://www.rackspace.com/es/cloud/private/openstack/software, la cual tiene
toda la capacidad de la nube sin complicaciones en ejecutarla para que se
pueda concentrar en su capacidad principal.55
OpenStack viene preparado para montarlo en los servidores que se tienen o
que se adquirirán en la empresa, dado que la empresa cuenta con personal
de soporte, ellos serían los encargados de brindar el soporte al implementar
la plataforma.
Como ya se analizó anteriormente con OpenStack los costos de licencias
representan un ahorro.
Los costos relacionados a la plataforma de software libre para cloud son los
siguientes:
55 http://www.rackspace.com/es/cloud/private/openstack/software
101
usd mensual
Costo software libre OpenStack 0
Costo soporte técnico 0
Costo almacenamiento 0
Costo máquinas virtuales 0
Costo software virtualización 0
Costo Software Backup 0 Tabla 13 Costos Software Libre
Se estima que las cifras que maneja la empresa antes de implementar la
plataforma de cloud computing son los siguientes:
Ingresos
Ingresos (Aproximado usd mensual)
Diseño y construcción (sector naval) 5.000
Consultorías ingeniería y arquitectura (sector marítimo) 5.000
Distribución de software para el diseño en el sector marítimo 2.000
Total 12.000 Tabla 14 Ingresos de la Empresa
Egresos
Egresos (Aproximado
mensual)
Capacitaciones 1.000
Sueldos 8.000
Gastos Varios 1.000
Total 10000 Tabla 15 Egresos de la Empresa
Con lo que se obtiene una utilidad de 2.000 dólares mensuales a favor de la
empresa.
5.2 Análisis de Costos de E-learning con Software Propietario
Al implementar un modelo de servicio cloud computing para brindar servicios
e-learning se obtienen las siguientes cifras:
Se estima que el servicio de e-learning, se estima que se tendrán
aproximadamente 45 alumnos al mes, estos pueden aumentar de acuerdo al
tipo de tutorías que se brindará. Además se consideran los servicios de
consultoría en soluciones de Ingeniería y arquitectura para el sector
marítimo, estos pueden estimarse en aproximadamente 100 dólares
mensuales, los ingresos se muestran en la siguiente tabla:
102
Ingresos por el servicio E-learning
Número de Personas Costo por Persona (mensual)
Ingreso Mensual
45 $ 80,00 $ 3.600,00
Ingresos por Servicios de Consultoría
Número de Personas (aprox.)
Costo por Persona (mensual)
Ingreso Mensual
10 $ 100,00 $ 1.000,00
Ingreso Mensual Total $ 4.600,00
Tabla 16 Ingresos por Servicios E-learning y Consultorías
Para la implementación del modelo de servicio cloud computing con software
propietario se obtienen los siguientes datos:
Ingresos
Ingresos (Aproximado
mensual)
Diseño y construcción (sector naval) 5.000
Consultorías ingeniería y arquitectura (sector marítimo) 5.000
Distribución de software para el diseño en el sector marítimo 2.000
E-learning y Consultorías 4.600
Total 16.600 Tabla 17 Ingresos con Servicio E-learning (Software Propietario)
Egresos
Egresos (Aproximado
mensual)
Capacitaciones 1.000,00
Sueldos 8.000,00
Gastos Varios 1.000,00
Plataforma Cloud Propietario
7.253,77
Total 17.253,77 Tabla 18 Egresos con Servicio E-learning (Software Propietario)
Con lo que se obtiene una pérdida de 653,77 dólares mensuales, debido a
que el pago por el alquiler de una plataforma cloud no se difiere y estos son
cancelados en su totalidad mensualmente.
5.3 Análisis de Costos de E-learning con Software Libre
Para la implementación del modelo de servicio cloud computing con software
libre se obtienen los siguientes datos:
103
Ingresos
Ingresos (Aproximado
mensual)
Diseño y construcción (sector naval) 5.000
Consultorías ingeniería y arquitectura (sector marítimo) 5.000
Distribución de software para el diseño en el sector marítimo 2.000
E-learning y Consultorías 4.600
Total 16.600 Tabla 19 Ingresos con Servicio E-learning (Software Libre)
Egresos
Costos Infraestructura 195,98
7055,18(Depreciación contable de 3 años en equipos de computación)
Costos Centro de Datos
1.065,70
Capacitaciones 1.000
Plataforma de Cloud 0
Sueldos 8.000
Gastos Varios 1.000
Seguridad 242,01
Total 11.503,69
Tabla 20 Egresos con Servicio E-learning (Software Libre)
Con lo que se obtiene una utilidad de 5.096,32 dólares mensuales a favor de
la empresa, debido a que hay una depreciación contable a 3 años en
equipos de computación.
La utilidad después de adoptar una plataforma de cloud con software libre
aumenta en relación a la utilidad antes de adoptar este modelo de servicio e-
learning por lo que esto se puede invertir en capacitaciones y mantenimiento
de la infraestructura de cloud.
Lo que se busca es tener una infraestructura propia de Cloud en la que los
datos sean administrados y manejados por su propietario, si bien existen
proveedores que garantizan la protección de los datos una vez almacenados
estos pueden ser vulnerables al ser manipulados al estar expuestos y esto
no es lo que se busca.
Por lo que el adoptar nuestra propia infraestructura de cloud y montar un
servicio a través de plataformas de software libre en la cual puedo hacer uso
de los datos responsablemente mediante el análisis de riesgos presentado,
administrar e implementar las aplicaciones que el administrador desee para
104
brindar el servicio de e-learning y experimentar beneficios técnicos y de
negocio mientras se toma en cuenta la arquitectura de la infraestructura.
105
6. Conclusiones
El objetivo de la tesis ha sido analizar definir y generar políticas de
seguridad para el manejo de la información, en la misma se muestra
la matriz de análisis de riesgos en la cual se establecen los elementos
de información que se administrarán en la cloud tanto para datos e
información, sistemas e infraestructura y personal, identificando las
amenazas a las cuales se exponen y planteando los
lineamientos/mitigaciones basados en los estándares ISO/IEC 27001
y 27002.
De acuerdo al servicio e-learning se plantean los acuerdos de nivel de
servicio con los que contará la plataforma de cloud, estableciendo
preparando así un entorno flexible, cómodo y escalable.
El software libre ha evolucionado con el pasar del tiempo brindando la
posibilidad de ahorrar grandes cantidades de dinero en la adquisición
de licencias, con esto reducir los costos del proyecto manteniendo la
calidad del servicio.
En ocasiones es difícil para pequeñas y medianas empresas
implementar nuevas tecnologías de información y adaptase a ellas;
además de competir con empresas grandes. Por ello la utilización de
un software libre para la administración de una plataforma propia de
cloud hará que ésta sea más rápida y fácil haciendo ganar tiempo y
dinero gracias al crecimiento de estas plataformas open source que
guían al encargado de implementarla, obtener todos los servicios que
requiere la empresa y enfocarse en los servicios que pueda ofrecer
sin exponer la información y los datos a terceras personas corriendo
el riesgo de hurto o pérdida de la información.
En la matriz de riesgos se han definido los elementos de información
que formarán parte de la cloud y se han identificado las amenazas
que afectarán a estos, a través de las normas ISO 27001 e ISO 27002
se identifican los controles para cada tipo de amenaza y así disminuir
los riesgos, determinando lineamientos para el manejo de la
información, protección de los datos y manejo de personal que
utilizará la cloud.
Los lineamientos servirán de guía a la dirección de la empresa para
establecer políticas de seguridad a sistemas e infraestructura, datos e
información y personal; con esto, se puede controlar todo un conjunto
de vulnerabilidades concientizando a los empleados de la empresa
sobre la importancia y sensibilidad de la información.
El uso de herramientas ITIL ha sido valioso para tener en cuenta el
uso óptimo de recursos orientado al proceso para entregar una
infraestructura TI como un conjunto de servicios, comprender los
riesgos, los objetivos, analizando el funcionamiento de la cloud en la
organización mejorando la entrega del servicio y administrando
106
recursos, alineando buenas prácticas que va de la mano con el
objetivo del negocio.
La evolución de la plataformas de software libre está en aumento,
brindando mejores y mayores opciones para el beneficio empresarial,
si bien tiene sus desventajas al igual que el software propietario la
adopción de una plataforma de cloud a través de software libre
permite ahorrar gastos en software propietario el cual se puede
invertir en mejorar la infraestructura y capacitar a los encargados de
administrar la plataforma. Cabe destacar que la capacitación del
personal que trabaja en la empresa no es un gasto sino una inversión
para beneficio de la misma organización.
107
7. Recomendaciones
Se debe tener en cuenta los riesgos a los que se expone el manejo de
la información en entornos abiertos, realizando análisis de la
información que se va a exponer, creando estrategias para el
almacenamiento y administración de la información.
Es importante conocer sobre el tipo de servicio que va a disponer la
cloud, determinando el número de usuarios que acceden en la red, el
personal a cargo de su administración, guiándose en las amenazas
que pueden suscitarse y a la política de seguridad de la empresa.
La organización, sus administradores y empleados deben establecer
claramente las políticas de seguridad que regirán al adoptar un
modelo de servicio determinado roles y responsabilidades para
usuarios y administradores que manejan los datos, así como también
accesos, soporte, recuperación de la información, etc., además de
procedimientos a seguir ante eventuales fallos de seguridad y
respuesta ante incidentes teniendo en cuenta la confidencialidad,
disponibilidad e integridad de la información.
Hay que tomar en cuenta que las aplicaciones que se van a utilizar,
cuentan con los elementos y mecanismos de seguridad para poder
cumplir con el servicio que se brindará, así como la compatibilidad
con el software y la capacidad de hardware para procesar las
aplicaciones sin afectar la infraestructura de cloud y la privacidad de
datos personales.
Dado que cada empresa tiene diferentes necesidades, es necesario
considerar que la plataforma que se implementará cubre las
necesidades del negocio, brindará los determinados y a largo plazo
ver si es realmente favorable acceder al uso de esta tecnología.
Se deben realizar las pruebas necesarias del funcionamiento de la
infraestructura antes de ponerla al servicio de los usuarios.
Es importante tomar en cuenta que quien realice la implementación
del sistema debe tener conocimientos en el manejo de la
infraestructura y software utilizando la guía para implementación.
108
8. Bibliografía
1. NIST, National Institute of Standard and Technology, http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html.
2. REESE, George, Cloud Application Architectures: Building Applications and Infrastructure in the Cloud (Theory in Practice (O’Reilly)), April 2009.
3. SOSINSKY, Barrie, Cloud Computing Bible, 2011.
4. COBIT5-and-InfoSec-Spanish.ppt.
5. WILLIAMS, Mark, A quick start guide to Cloud Computing, moving your business into the cloud, 2010.
6. Estándar Internacional ISO/IEC 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de gestión de seguridad de la información – Requerimientos ISO/IEC 27001:2005, Primera Edición.
7. Estándar Internacional ISO/IEC 27002 Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información, Segunda Edición.
8. INTECO, Guía para empresas: Seguridad y privacidad del Cloud Computing, http://www.inteco.es/files.
9. Guías de Seguridad de Áreas Críticas en Cloud Computing V3.0, http://www.cloudsecurityalliance.org/guidance/csaguide_v3.0.pdf
10. “Introduction to server virtualization”, http://articles.techrepublic.com/5100-10878_11-6074941.html,
11. http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_capacidad/proceso_gestion_de_la_capacidad/proceso_gestion_de_la_capacidad.php.
12. “Architecture OpenNebula”, http://opennebula.org/publication-of-the-opennebula-cloud-os-architecture-in-ieee-computer.
13. “Riesgos y recomendaciones para la seguridad de la información” http://www.enisa.europa.eu/beneficios-riesgos-recomendaciones-para-la-seguridad-de -a-información.
14. “Virtualización y servicios distribuidos en red (Cloud Computing): impacto en los proveedores de servicio” http://www.mkm-pi.com/mkmpi.php?article3924.
15. “Arquitectura Open Stack”,
109
https://laboratoriosvirtuales.files.wordpress.com/2011/12/arquitectura_openstack.png.
16. “Gestión de Riesgos” https://protejete.files.wordpress.com/2009/07/abc-de-la-gestion-de-riesgos.pdf.
17. “Análisis de Riesgos”, https://protejete.wordpress.com/gdr_principal/analisis_riesgo.
18. “Arquitectura eucaliptus”, https://www.eucalyptus.com/eucalyptus-cloud/iaas/architecture
19. NIST National Institute of Standard san Technology, http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html
20. OpenStack, “Software de código abierto para la creación de nubes privadas y públicas”, http//www.openstack.org.
21. “Google App Engine”, http://www.compracloud.com/servicios/google-app-engine.
22. “Herramientas de Google Apps”, https://sites.google.com/a/uvirtualledu.pe/curso-de-herramientas-de-google-apps/intoduccin/proveedorescloud.
23. “Calcualdora Virtual de Windows Azure”, http://azure.microsoft.com/es-es/pricing/calculator/?scenario=virtual-machines.
24. “OpenStack”, http://es.wikipedia.org/wiki/OpenStack.
25. “Productos para infraestructura de Centros de Datos para Empresas Pequeñas”, http://www.dell.com/ec/empresas/p/poweredge-t110-2/pd.
26. “Distribuidores Mayoristas de Equipos de Computación DIPROMACOM”, http://www.dipromacom.com/ecuador/catalogo/4268/mayoristas-en-computacion-dipromacom-sa-distribuidores-de-computadoras-guayaquil.
27. “Productos para infraestructura de Centros de Datos para Empresas Pequeñas”, http://www.dell.com/ec/empresas/p/ups/pd.
110
Anexos
111
112
113
114
115
116
117
118
119
120
121
122
