UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda...

139
UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA ANÁLISIS Y DISEÑO DE CLOUD COMPUTING PROPIETARIO PARA APLICACIONES DE E-LEARNING BAJO ESTÁNDARES ISO 27001 Y 27002 TRABAJO DE GRADUACIÓN PREVIO LA OBTENCIÓN DEL TÍTULO DE INGENIERO INFORMÁTICO AUTOR: MARÍA FERNANDA HERRERA TORRES TUTOR: INGENIERO ROBERT ARTURO ENRÍQUEZ REYES QUITO ECUADOR 2015

Transcript of UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda...

Page 1: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA

CARRERA DE INGENIERÍA INFORMÁTICA

ANÁLISIS Y DISEÑO DE CLOUD COMPUTING PROPIETARIO PARA

APLICACIONES DE E-LEARNING BAJO ESTÁNDARES ISO 27001 Y

27002

TRABAJO DE GRADUACIÓN PREVIO LA OBTENCIÓN DEL TÍTULO DE

INGENIERO INFORMÁTICO

AUTOR:

MARÍA FERNANDA HERRERA TORRES

TUTOR:

INGENIERO ROBERT ARTURO ENRÍQUEZ REYES

QUITO – ECUADOR

2015

Page 2: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

ii

DEDICATORIA

A mis padres Jorge e Isabel que con su paciencia y educación han sabido

guiarme e incentivarme para no dejarme vencer por las adversidades.

Page 3: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

iii

AGRADECIMIENTOS

Al Ing. Robert Enríquez, Lic. Gabriela Mafla e Ing. Yasmina Atarihuana por

su paciencia, tiempo y apertura para el desarrollo de este trabajo.

A mi gran amiga Susana Díaz por estar conmigo en los momentos más

difíciles y brindarme sus consejos y apoyo.

A mi hermano Jorge, mi cuñada Diana y mi hermosa sobrina Vianca Isabella,

por brindarme cariño y comprensión.

Al Ingeniero Naval Rafael Espinosa Semper, quien me brindó su confianza,

apoyo y conocimientos para dar los primeros pasos en los objetivos para la

elaboración de mi proyecto de ingeniería.

Page 4: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

iv

AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL

Page 5: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

v

Page 6: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

vi

Page 7: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

vii

APROBACIÓN DE REVISORES

Page 8: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

viii

Page 9: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

ix

CONTENIDO

DEDICATORIA ......................................................................................................... ii

AGRADECIMIENTOS .............................................................................................. iii

AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL ................................................. iv

APROBACIÓN DE REVISORES ............................................................................ vii

RESULTADO DEL TRABAJO DE GRADUACIÓN ..... ¡Error! Marcador no definido.

CONTENIDO ........................................................................................................... ix

LISTA DE GRÁFICOS ............................................................................................ xii

LISTA DE TABLAS ................................................................................................ xiii

RESUMEN ............................................................................................................. xiv

ABSTRACT ............................................................................................................ xv

CAPÍTULO I ............................................................................................................. 1

1.1 Introducción ............................................................................................. 1

1.2 Planteamiento del Problema ................................................................... 1

1.3 Formulación del Problema ...................................................................... 2

1.4 Objetivos .................................................................................................. 2

1.4.1 Objetivo General ............................................................................... 2

1.4.2 Objetivos Específicos ...................................................................... 2

1.5 Justificación............................................................................................. 2

1.6 Alcance..................................................................................................... 3

CAPÍTULO II ............................................................................................................ 4

2.1 Marco Teórico .......................................................................................... 4

2.2 Cloud Computing .................................................................................... 4

2.2.1 Características de Cloud Computing .............................................. 5

2.3 Arquitectura Cloud Computing............................................................... 6

2.3.1 Modelos de Despliegue .................................................................... 6

2.3.2 Modelos de Servicio ......................................................................... 6

2.4 Virtualización ........................................................................................ 9

2.5 Herramienta de Gestión ITIL (Information Technology Infraestructure

Library)...............................................................................................................10

2.5.1 Gestión de la Capacidad .................................................................11

2.5.2 Gestión de la Disponibilidad ...........................................................13

2.5.3 Gestión de la Seguridad ..................................................................16

2.5.4 Gestión de Incidentes .....................................................................19

Page 10: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

x

2.5.5 Gestión de Problemas .....................................................................20

2.5.6 Gestión de Nivel de Servicio ...........................................................23

CAPÍTULO III ..........................................................................................................25

3.1 Introducción a la Seguridad de la Información ....................................25

3.2 Administración de la información de acuerdo al modelo de servicio

de Cloud Computing .........................................................................................27

3.2.1 Administración de accesos con SaaS............................................27

3.2.2 Protección de datos con PaaS .......................................................27

3.2.3 Administración de máquinas virtuales mediante IaaS ..................28

3.3 Gestión de Riesgos ................................................................................28

3.3.1 Elementos de Información ..............................................................28

3.3.2 Amenazas y Vulnerabilidades ........................................................29

3.3.3 Análisis de Riesgos .........................................................................30

3.3.4 Matriz de Riesgos ............................................................................31

3.3.4.1 Matriz Datos e Información ......................................................32

3.3.4.2 Matriz Sistemas e Infraestructura............................................46

3.3.4.3 Matriz Personal .........................................................................59

3.4 Acuerdos de Nivel de Servicio ..............................................................64

3.5 Política de Seguridad .............................................................................64

3.5.1 Seguridad en Áreas Críticas de Cloud Computing, Manejo de

Datos y Gestión de la Información ...............................................................65

CAPÍTULO IV .........................................................................................................71

4.1 PLANIFICACIÓN DEL SISTEMA DE INFORMACIÓN .............................71

4.2 ESTUDIO DE VIABILIDAD DEL SISTEMA ..............................................71

4.3 ANÁLISIS DEL SISTEMA DE INFORMACIÓN ........................................72

4.3.1 Infraestructura de Cloud .................................................................72

4.3.1.2 Requerimientos de Hardware ......................................................73

4.3.1.3 Redes ........................................................................................75

4.3.2 Software para Cloud ........................................................................76

4.3.2.1 Software propietario vs Software libre ...................................76

4.3.2.2 Herramientas de software libre para implementar la

plataforma de Cloud Computing ...............................................................78

4.3.2.3 Herramientas de software propietario para implementar la

plataforma de Cloud Computing ...............................................................84

4.3.3 Herramientas de Virtualización ......................................................87

4.4 DISEÑO DEL SISTEMA DE INFORMACIÓN ...........................................88

4.4.1 Plataforma para el Modelo de Servicio Cloud Computing ............89

Page 11: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

xi

4.4.1.1 Arquitectura OpenStack ...........................................................90

4.4.1.2 Plataforma de Cloud Computing con OpenStack ..................92

4.4.1.3 Configuración Básica de la Red ..............................................93

4.4.1.4 Guía para la Implementación de la Plataforma de Cloud

Computing ..................................................................................................96

CAPITULO V ..........................................................................................................97

5.1 Presupuesto ............................................................................................97

5.2 Análisis de Costos de E-learning con Software Propietario.............. 101

5.3 Análisis de Costos de E-learning con Software Libre ....................... 102

6.Conclusiones ................................................................................................... 105

7.Recomendaciones ........................................................................................... 107

8.Bibliografía ....................................................................................................... 108

Anexos ................................................................................................................. 110

Page 12: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

xii

LISTA DE GRÁFICOS

Gráfica 1 Representación visual de la definición de la NIST del Cloud Computing ................. 5

Gráfica 2 Modelos de Servicio Cloud Computing .................................................................... 7

Gráfica 3 Modelos definidos por funcionalidad ....................................................................... 9

Gráfica 4 Responsabilidades de la Gestión de la Capacidad .................................................. 12

Gráfica 5 Indicadores clave en los que se sustenta el proceso de Gestión de la Disponibilidad

............................................................................................................................................... 14

Gráfica 6 Fases del ciclo de vida de la interrupción del servicio ............................................ 16

Gráfica 7 Objetivos de la Gestión de la Seguridad ................................................................. 18

Gráfica 8 Proceso de Gestión de Incidentes .......................................................................... 20

Gráfica 9 Conceptos involucrados en la Gestión de Problemas ............................................ 22

Gráfica 10 Gestión de los Niveles de Servicio ........................................................................ 23

Gráfica 11 Matriz de Análisis de Riesgos ............................................................................... 30

Gráfica 12 Arquitectura Eucalyptus ....................................................................................... 79

Gráfica 13 Arquitectura OpenNebula .................................................................................... 81

Gráfica 14 Arquitectura OpenStack ....................................................................................... 83

Gráfica 15 Ubicación de los Componentes OpenStack en los Nodos .................................... 92

Gráfica 16 Infraestructura Cloud Computing y direcciones IP en la Red ............................... 94

Page 13: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

xiii

LISTA DE TABLAS

Tabla 1 Análisis Matriz Datos e Información.......................................................................... 46

Tabla 2 Análisis Matriz Sistemas e Infraestructura ................................................................ 58

Tabla 3 Análisis Matriz Personal ............................................................................................ 63

Tabla 4 Ciclo de Vida de los Datos ......................................................................................... 67

Tabla 5 Requerimientos Nodo Controlador ........................................................................... 74

Tabla 6 Requerimientos Nodo Computador .......................................................................... 74

Tabla 7 Requerimientos Nodo Almacenamiento ................................................................... 75

Tabla 8 Direcciones IP de la Red ............................................................................................ 93

Tabla 9 Presupuesto para Infraestructura ............................................................................. 97

Tabla 10 Costos Centro de Datos ........................................................................................... 98

Tabla 11 Costos de Seguridad para Cloud.............................................................................. 98

Tabla 12 Costos Software Propietario ................................................................................... 99

Tabla 13 Costos Software Libre ............................................................................................ 101

Tabla 14 Ingresos de la Empresa .......................................................................................... 101

Tabla 15 Egresos de la Empresa ........................................................................................... 101

Tabla 16 Ingresos por Servicios E-learning y Consultorías ................................................... 102

Tabla 17 Ingresos con Servicio E-learning (Software Propietario) ....................................... 102

Tabla 18 Egresos con Servicio E-learning (Software Propietario) ........................................ 102

Tabla 19 Ingresos con Servicio E-learning (Software Libre) ................................................. 103

Tabla 20 Egresos con Servicio E-learning (Software Libre) .................................................. 103

Page 14: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

xiv

RESUMEN

ANÁLISIS Y DISEÑO DE CLOUD COMPUTING PROPIETARIO PARA

APLICACIONES E-LEARNING BAJO ESTÁNDARES ISO 27001 Y 27002

En la actualidad la adopción de nuevas tecnologías de información, tal como

cloud computing para brindar servicios, está al alcance para pequeñas y

medianas empresas.

La adopción de una infraestructura propia que nos permita manejar y

almacenar la información de la empresa a través de un análisis de riesgos

para datos e información, sistemas e infraestructura y personal con el

objetivo de establecer lineamientos que mitiguen las amenazas gracias a las

normas ISO 27001 y 27002, hacen posible mantener la confidencialidad,

disponibilidad e integridad de la información.

Este modelo servirá para brindar un servicio e-learning 24/7 que satisfaga

las necesidades económicas y tecnológicas de la empresa.

DESCRIPTORES:

COMPUTACIÓN EN LA NUBE/ TECNOLOGÍAS DE INFORMACIÓN/

MANEJO Y ALMACENAMIENTO DE LA INFORMACIÓN/ ANÁLISIS DE

RIESGOS INFORMÁTICOS/ LINEAMIENTOS INFORMÁTICOS/ ISO 27001

Y 27002/ E-LEARNING

Page 15: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

xv

ABSTRACT

ANALYSIS AND DESIGN OF CLOUD COMPUTING OWNER FOR E-

LEARNING APPLICATIONS UNDER STANDARDS ISO 27001 AND 27002

Today the adoption of new information technologies such as cloud computing

to provide services is available to small and medium companies

The adoption of an own infrastructure that allows us to manage and store

company information through a risk analysis to data and information, system

and infrastructure and staff in order to establish guidelines that mitigate

threats with ISO 27001 and 27002 make it possible to keep the

confidentiality, availability and integrity of information.

This model will serve to provide e-learning service 24/7 to meet the economic

and technological needs of the company.

DESCRIPTORS:

CLOUD COMPUTING/ TECHNOLOGIES OF INFORMATION/ HANDLING

AND STORAGE INFORMATION/ IT RISK ANALYSIS/ COMPUTER

GUIDELINES/ ISO 27001 AND 27002/ E-LEARNING

Page 16: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

xvi

Page 17: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

xvii

Page 18: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

1

CAPÍTULO I

1.1 Introducción

Las empresas en el mundo buscan ir a la par con las nuevas tecnologías de

la información; una de ellas es la cloud computing o “computación en la

nube”, como un medio para almacenar información sin depender de la

capacidad para almacenarla y que esté disponible en tiempo real en

cualquier lugar del mundo a través del internet.

El manejo de la información debe ser compatible tanto en hardware como

software y preparada para formar negocios, contando con una estructura

básica, estableciendo lineamientos y estrategias que eviten amenazas de

seguridad y que reaccionen ante incidentes con el fin de garantizar la

confidencialidad, integridad y disponibilidad de datos.

Para esto se cuenta con normas establecidas que garantizan el correcto

manejo de los datos, estableciendo acuerdos de servicio con sus respectivas

funcionalidades y dominios de control que cubren completamente la gestión

de la seguridad de la información.

El análisis y diseño de una cloud propietaria bajo estas normas orientadas a

pequeñas y medianas empresas, constituye un nuevo modelo de servicios

de negocio y tecnología, flexible ante demandas; además de proteger los

activos de información minimizando riesgos y de esta forma contribuir a una

mejor gestión de la organización.

1.2 Planteamiento del Problema

Se busca realizar un análisis de un modelo de seguridad bajo normas y

estándares internacionales para implementar una interesante tecnología

emergente para la gestión de la información; creando una cultura de

seguridad de la organización y salvaguardar los recursos informáticos.

Es importante estudiar los requerimientos de la organización y determinar el

propósito para el cual se va a implementar la cloud, estableciendo las

utilidades de manera específica y brindar una herramienta confiable para la

realización de sus operaciones.

Además basándonos en acuerdos de servicio, adaptar los recursos de

tecnologías de información y garantizar la prestación de servicios de manera

fácil y rápida, dando soporte a cargas de trabajo dinámicas, consolidando

una infraestructura física y tecnológica a bajo costo, que posteriormente va a

ser utilizada para aplicaciones de e-learning.

Page 19: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

2

1.3 Formulación del Problema

Debido a las necesidades de almacenamiento, la gestión eficiente de

procesos y transferencia de los datos; los proveedores de servicios de cloud

utilizan el mismo hardware y software para la manipulación de la

información, exponiendo en muchas ocasiones a la pérdida o piratería de la

misma con constantes violaciones de seguridad.

El manejo responsable de los datos y la alternativa que ofrecen las

tecnologías de información para diseñar un modelo de cloud privado, bajo

estándares y acuerdos de seguridad, cumplimiento y servicio, con la

posibilidad de adaptar aplicaciones de e-learning; permitirá optimizar

procesos y recursos para satisfacer las necesidades tecnológicas de la

empresa FAMORSA S.A.

1.4 Objetivos

1.4.1 Objetivo General

Analizar, definir y generar políticas de seguridad para la implementación de

una cloud propietaria escalable, estableciendo niveles de servicio SLA’s, que

permita satisfacer las necesidades económicas y tecnológicas de la empresa

FAMORSA S.A.

1.4.2 Objetivos Específicos

Definir políticas de seguridad para la información de una nube

privada, preparada para crecer, de manera que pueda asumir altas

demandas de servicio.

Identificar las seguridades física y lógica, como, redes y recursos

humanos.

Diseñar una metodología que describa los procedimientos

necesarios para implementar acuerdos de servicio aplicados a la

computación en la nube.

Definir recursos de hardware y software de acuerdo a las

necesidades y estrategias de la empresa, optimizar procesos y

preparar un entorno de e-learning flexible, cómoda y escalable.

1.5 Justificación

La tecnología está evolucionando en varias ramas en una organización; por

lo que, contar con un sistema de almacenamiento escalable (cloud), permite

estandarizar los procesos operacionales y el acceso a la información se lo

puede realizar desde cualquier lugar.

Page 20: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

3

Los costos de tecnologías de información son más económicos, la velocidad

de procesamiento de la información y la productividad aumentan,

permitiendo el acceso a múltiples usuarios; de tal manera que, resulta

atractivo que las empresas cuenten con un servicio propio que garantice que

los datos almacenados sean exclusivamente de quien los emite y proteger

de esta manera la información de posibles violaciones a derechos de autor y

pérdida de la misma, bajo estándares que ayuden a optimizar los recursos

orientándolos a un uso exclusivo.

Mediante acuerdos de servicio, estándares de seguridad y manejo de la

información que se implementarán en los requisitos de la computación en la

nube, permitirá a la empresa FAMORSA S.A., satisfacer las necesidades

económica y tecnológicas del negocio hacia la cloud computing y determinar

las ventajas y desventajas de un sistema operativo específico y la

oportunidad de obtener posteriormente este servicio para fines educativos,

tal como e-learning, con acceso en cualquier sitio donde exista acceso a

internet, creando un ambiente más seguro y confiable en la gestión de

servicios para procesos de negocio.

1.6 Alcance

Establecer un modelo de cloud computing utilizando estándares

internacionales de seguridad y gestión de la información de la empresa

FAMORSA S.A., contando con marcos de referencia ITIL para en lo posterior

brindar un servicio e-learning 24/7 y satisfacer las necesidades de la

organización.

Page 21: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

4

CAPÍTULO II

2.1 Marco Teórico

Las TIC’s constituyen una infraestructura tecnológica como base para el

emprendimiento y desarrollo de pequeñas y medianas empresas, para el

soporte de datos y gestión de la información; estas tecnologías integran

plataformas de computación, aplicaciones informáticas, servicios de gestión

de almacenamiento de los datos, servicios online, entre otras.

En la actualidad la empresa FAMORSA S.A. cuenta con una gama de

servicios para la industria naval; tales como: consultoría en arquitectura e

ingeniería naval, desarrollo de proyectos navales e inspecciones de obras

navales.

La posibilidad de adaptar un modelo de servicios dedicado a usuarios y

clientes corporativos que garantice la agilidad, rapidez y simplificación de

tiempo y espacio en el manejo de los datos satisfaciendo las necesidades

económicas y tecnológicas de la empresa con el objetivo de llegar a ser la

primera opción en consultoría, capacitación y desarrollo de negocios navales

e industriales.

Las tecnologías de la información son un conjunto de procesos de sistemas

de información; la cual, mejora la eficiencia y la efectividad al tratamiento de

la información que, a mediano o largo plazo crea organizaciones más

eficaces.

2.2 Cloud Computing

Durante la década de los 60’s las representaciones que se utilizaban para

diseñar redes computacionales eran generalmente una nube; simulando que

la información se trasladaba en diferentes direcciones y estaba disponible

para la mayoría de las personas que tenía acceso a la red.

Este concepto de alguna manera sirvió para tener ahora lo que se conoce

como Cloud Computing o Computación en la Nube, que describe el uso de

múltiples servicios, aplicaciones o información bajo una infraestructura

dispuesta para recursos computacionales, redes o almacenamiento

escalables incluyendo software y plataformas de desarrollo.

Este concepto de tecnologías de información se ha adoptado de tal manera,

que se distribuya la carga de trabajo de una forma sencilla, proporcionando a

cada actividad (dependiendo de su uso) los recursos necesarios para su

desarrollo.

Page 22: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

5

Según la NIST1, el cloud computing es un modelo tecnológico que permite el

acceso ubicuo, adaptado y bajo demanda en red a un conjunto compartido

de recursos de computación configurables compartidos (por ejemplo: redes,

servidores, equipos de almacenamiento, aplicaciones y servicios), que

pueden ser rápidamente aprovisionados y liberados con un esfuerzo de

gestión reducido o interacción mínima con el proveedor de servicio.

Hay que tener en cuenta que cloud computing no es una nueva tecnología;

sino un nuevo modelo para prestación de servicios que está orientado a

atender altas demandas de servicio de manera ágil, eficiente, en el tiempo;

de forma que todo se perciba ágil, rápido, fácil, escalable.

Gráfica 1 Representación visual de la definición de la NIST del Cloud Computing

En la gráfica se muestran distintos modelos de despliegue, en la que se

basa este proyecto es en el modelo de despliegue privado, cuyas capas a

definir son infraestructura, plataforma y software con una gran capa de

virtualización y protocolos de comunicación.

2.2.1 Características de Cloud Computing

El cloud computing tiene características únicas que la hacen diferenciarse de

la computación tradicional, estas son:

Auto-servicio.- El usuario hace uso del servidor y almacenamiento sin

requerir la intervención humana.

1 NIST National Institute of Standard san Technology http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html

Page 23: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

6

Acceso a red.- Mediante mecanismos estándar de red se fomenta el uso

por parte de plataformas pequeñas tanto ligeras como pesadas.

Reserva de recursos en común.- El proveedor pone a disposición recursos

para que puedan ser utilizadas por los usuarios con diferentes recursos

físicos y virtuales asignados dinámicamente y reasignados según la

demanda de los usuarios tales como, almacenamiento, procesamiento de

memoria, ancho de banda de red y máquinas virtuales.

Rapidez y elasticidad.- Los recursos para cada usuario son administrados

de manera rápida y elástica para poder realizar el redimensionado

correspondiente rápidamente.

Supervisión de Servicio.- El uso del servicio de cloud se controla y se

supervisa las 24 horas del día, los 7 días a la semana (24/7); de esta

manera, aporta transparencia para el usuario como para el administrador del

servicio utilizado.

2.3 Arquitectura Cloud Computing

2.3.1 Modelos de Despliegue

Hay cuatro formas de modelo de despliegue de servicios en la nube, que se

detallan a continuación:

Cloud Pública: Dispuesta para el público en general, es administrada y

operada por una empresa, entidad académica u organización o la

combinación de estos.

Cloud Privada: Esta es de uso exclusivo de una organización, es operada

por la organización y administrada dentro o fuera de la misma.

Cloud Híbrida: Es una combinación de dos o más nubes de distintas

infraestructuras, éstas siguen siendo entidades únicas normalizadas

tecnológicamente y el balanceo de carga se distribuye entre todas las nubes

en un eventual flujo de tráfico de datos.

Cloud Comunitaria: Su infraestructura es compartida con diferentes

organizaciones y la comunidad que tienen intereses en común. Es

gestionada por terceros o uno o varios miembros de la organización, sus

instalaciones están en la organización o fuera de ella.

2.3.2 Modelos de Servicio

Page 24: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

7

Gráfica 2 Modelos de Servicio Cloud Computing

Infraestructura como servicio (IaaS)

Consiste en poner a disposición del cliente infraestructura informática

(espacio en disco, bases de datos, etc.), como un servicio; de esta manera,

se resolverían necesidades computacionales sin límites de escalabilidad

tomando lo que se necesita y cuando se necesita.

IaaS es un modelo de servicio en el cual el hardware está virtualizado en la

nube.2

IaaS está dirigido a cualquier empresa que desee delegar la implantación de

sus sistemas de software y aplicaciones en la infraestructura hardware de un

proveedor externo (conocido tradicionalmente como hosting) o que requiera

de servicios de almacenamiento externo, copias de seguridad de sus datos,

cálculos complejos que requieran software de elevadas prestaciones, etc. El

proveedor les permitirá gestionar dichos sistemas en un entorno

virtualizado.2

Este modelo proporciona al usuario servidores, almacenamiento, redes, etc.;

así las aplicaciones son accesibles mediante diferentes dispositivos cliente a

través de una interfaz de cliente ligero, como un navegador web o una

interfaz de programa.

Plataforma como Servicio (PaaS)

Este modelo de servicio se sitúa por encima de IaaS en lo que se refiere a

abstracción de los recursos de tecnologías de información.

2 Cloud Application Architectures: Building Applications and Infrastructure in the Cloud (Theory in Practice (O’Reilly) by George Reese (Paperback – Apr 10 2009).

Page 25: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

8

Este modelo propone un entorno software en el cual un desarrollador puede

crear y customizar soluciones dentro de un contexto de herramientas de

desarrollo que la plataforma proporciona.3

El modelo PaaS, los clientes interactúa con el software para introducir o

recuperar datos, realizar acciones; pero no tienen responsabilidad de

mantener el hardware o software o el desarrollo de las aplicaciones, solo se

tiene responsabilidad de la interacción con la plataforma.4

El objetivo de este modelo de servicio es que se pueda soportar estándares

de desarrollo tales como: JAVASCRIPT, HTML, CSS, XML.

Las plataformas como servicio no sólo deber ser una base donde interactúa

el usuario; sino que debe ser compatible en cuanto al almacenaje de

archivos, gestión de base de datos, balanceo de máquinas de ancho de

banda, depende del servicio que se contrata y por el que se paga; de esta

manera, ahorrar costes y concentrarse en la aplicación como dos de las

ventajas de las plataformas de servicio.

Para reconocer que se tiene una plataforma sólida, se deben considerar los

siguientes aspectos:

Entorno basado en un navegador: Si se requiere instalar un

software para desarrollar aplicaciones, no es PaaS.

Entorno de ejecución transparente: El desarrollador despliega su

aplicación PaaS, si se requiere asesoría para instalar la aplicación,

no es PaaS.

Herramientas de monitoreo y gestión: A pesar de que las

soluciones basadas en la nube son efectivas en lo que refiere a

costos, es difícil gestionarlas sin las correctas herramientas de

monitoreo propia para escalar la aplicación, no es PaaS.

Software como Servicio (SaaS)

El modelo de servicio más completo es aquel que ofrece el software y

hardware como un servicio conjunto.3 El SaaS ofrece a los usuarios

software, infraestructura y solución para su uso como un servicio bajo

demanda. Se puede acceder al software mediante un navegador o

dispositivos móviles como celular o Tablet. Los usuarios pagan por el

servicio mediante suscripciones que son válidas por un determinado tiempo

y teniendo la posibilidad de acceder a todos sus servicios.

3 Dr. Mark I. Williams, A quick start guide to Cloud Computing, moving your business into the cloud 2010 4 Barrie Sosinsky, Cloud Computing bible, 2011

Page 26: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

9

Cabe recalcar que las actualizaciones, mejoras o parches deben ser

distribuidos de manera responsable al usuario y este no debe hacer ningún

tipo de configuración.

SaaS debe cumplir ciertos requisitos mínimos:

Rendimiento: SaaS debe ofrecer un rendimiento mínimo y aceptable;

es decir, los tiempos de respuesta para el acceso a los datos,

ejecución de procesos de negocio y comunicación con la aplicación

deben ser óptimos.

Acuerdo de nivel de servicio: Hay que tener en cuenta si este tipo

de servicio es 8/5 (5 días a la semana, 8 horas) o 24/7. Se deben

tener los mecanismos necesarios para ofrecer estos acuerdos tales

como backup, clúster de alta disponibilidad de datos y aplicación.

Privacidad de los datos: Se debe asegurar que los datos que se

manejan sean accesibles única y exclusivamente por el dueño del

dato.

Monitorización de la aplicación: La supervisión de los datos debe

ser constante, considerando accesos a las aplicaciones, quién

accede, a qué datos, qué procesos realiza, consumo de espacio en

disco o cualquier situación cambiante.

Acceso a datos: Mediante APIs o Web Services.

Se debe definir el objetivo real del SaaS, teniendo en cuenta cual es la

funcionalidad que se requiere cubrir en la empresa u organización.

Gráfica 3 Modelos definidos por funcionalidad 3

2.4 Virtualización

Una nube es un tipo de sistema paralelo y distribuido que consta de una

colección de ordenadores interconectados y virtuales, que están

aprovisionados dinámicamente y se presenta como uno o más recursos de

computación unificada, basada en acuerdos de niveles de servicio

Page 27: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

10

establecido a través de la negociación entre proveedor de servicio y

consumidores.

La virtualización aprovecha recursos de hardware subutilizados y Cloud

Computing la toma como base para ofrecer servicios de infraestructura,

plataforma y software a clientes que solamente requieren de estos servicios

bajo demanda, permitiendo al usuario pagar al proveedor de este servicio,

únicamente por lo que consume.

En otras palabras la virtualización es un método que se utiliza para ejecutar

sistemas operativos múltiples e independientes en una sola máquina física.5

La virtualización y Cloud Computing son tecnologías que pueden adoptarse

juntas ó cada una de forma individual. La virtualización es parte fundamental

de Cloud Computing ya que gracias a ella es posible disponer de los

servicios que se ofrecen.

En la actualidad la virtualización y Cloud Computing están siendo aceptados

y adoptados por un número creciente de usuarios.6

2.5 Herramienta de Gestión ITIL (Information Technology

Infraestructure Library)

ITIL es un conjunto de mejores prácticas en la gestión de tecnologías de

servicios informáticos. Ha sido y es útil para las organizaciones en todos los

sectores a través de su adopción por innumerables compañías como base

para consulta, educación y soporte de herramientas de software.

La relación entre Cloud Computing e ITIL es principalmente un conjunto de

servicios previstos gracias a la credibilidad, disponibilidad y capacidad que

actualmente cuenta la red de internet.

Una de las características es que se puede tener el servicio “bajo demanda”

es decir, cuando se requiere y la capacidad está en función de la necesidad.

Dado que Cloud Computing incluye software, plataforma e infraestructura

como servicio, ITIL nos guía a que ésto sea fiable, consistente, de alta

calidad y de coste aceptable que junto con los acuerdo de servicio se

definen características, entornos de operación y condiciones de servicio que

recibirá el cliente.

Cloud Computing será de gran ayuda para todo tipo de empresas; pero la

organización TI delega la responsabilidad de adquirir y operar la

5 http://articles.techrepublic.com/5100-10878_11-6074941.html “Introduction to server virtualization” 6 http://www.mkm-pi.com/mkmpi.php?article3924 “Virtualización y servicios distribuidos en red (Cloud Computing): impacto en los proveedores de servicio”

Page 28: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

11

infraestructura en el operador de la nube, sin embargo sigue siendo

responsable por el servicio.

ITIL debe controlar al menos tres características en la Cloud Computing:

capacidad, disponibilidad y seguridad, estos deben controlarse en forma

eficaz y efectiva mediante la implantación disciplinada de los procesos

eficientes que apoyan la garantía de la definición de valor del servicio de

ITIL.

Para la adecuada operación del servicio en la nube y una buena

comunicación entre proveedor y cliente se debe tomar en cuenta la Gestión

de Incidentes y Gestión de Problemas, esto, con el propósito de llevar un

registro adecuado y escalable de los incidentes así como medir la gestión en

forma proactiva para tomar las acciones necesarias antes que el servicio se

vea afectado mediante las recomendaciones de proceso de la Gestión de

Problemas.

Adicionalmente se implementan las normas ISO, las cuales nos garantizará

que los procesos sean sólidos para dar un buen servicio y se encuentren

bajo control.

2.5.1 Gestión de la Capacidad

Para que la organización brinde un servicio de e-learning óptimo; es

necesario determinar que se cubran las necesidades de TI tanto presentes

como futuras, de tal manera que la enseñanza sea flexible. Para esto la

gestión de la capacidad se encargará de suministrar los servicios previstos,

estableciendo principalmente los planes de capacidad, además de

monitorizar el rendimiento de la infraestructura de TI y realizar simulaciones

de requisitos de capacidad para diferentes escenarios previstos.

Page 29: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

12

Gráfica 4 Responsabilidades de la Gestión de la Capacidad

Sin una correcta Gestión de la Capacidad, los recursos no se aprovechan

adecuadamente y se realizan inversiones innecesarias que acarrean gastos

adicionales de mantenimiento y administración. O peor aún, lo recursos sin

insuficientes con la consecuente degradación de la calidad del servicio.7

Su objetivo es poner a disposición de clientes y usuarios y el propio

departamento TI los recursos informáticos necesarios para desempeñar de

manera eficiente sus tareas sin incurrir en costes desproporcionados.

Para ello la Gestión de la Capacidad debe:8

Conocer el estado actual de la tecnología y futuros desarrollos.

Conocer los planes de negocio y acuerdos de nivel de servicio para

prever la capacidad necesaria.

Analizar el rendimiento de la infraestructura para monitorizar el uso de

la capacidad existente.

Realizar modelos y simulaciones de capacidad para diferentes

escenarios futuros previsibles.

7 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_capacidad/vision_general_gestion_de_la_capacidad/vision_general_gestion_de_la_capacidad.php 8

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_capacidad/introduccion_objetiv

os_gestion_de_la_capacidad/introduccion_objetivos_gestion_de_la_capacidad.php

Page 30: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

13

Dimensionar adecuadamente los servicios y aplicaciones alineándolos

a los procesos de negocio y necesidades reales del cliente.

Gestionar la demanda de servicios informáticos racionalizando su

uso.

Proceso

Las principales actividades de la Gestión de la Capacidad se resumen en:9

Desarrollo del Plan de Capacidad.

Modelado y simulación de diferentes escenarios de capacidad.

Monitorización del uso y rendimiento de la infraestructura TI.

Gestión de la demanda.

Creación y mantenimiento de la Base de Datos de Capacidad (CDB).

2.5.2 Gestión de la Disponibilidad

En la actualidad es esencial que los servicios TI estén disponibles de

continuo y sin interrupciones, además de asegurar que los servicios TI:10

Estén disponibles siempre que lo soliciten.

Sean fiables y tengan buen margen operativo.

Estén correctamente mantenidos.

Un servicio de e – learning debe estar disponible y en estrecha relación con

otros procesos TI, de tal manera que se ajusten a las necesidades del

negocio, cumpliendo con los niveles de disponibilidad acordados en los SLA;

por lo tanto la Gestión de la Disponibilidad es responsable de optimizar y

monitorizar los servicios TI para que estos funcionen ininterrumpidamente y

de manera fiable, cumpliendo los SLAs y todo ello a un coste razonable. La

satisfacción del cliente y la rentabilidad de los servicios TI dependen der

gran medida de su éxito.

El rápido desarrollo tecnológico implica una constante renovación de equipos

y servicios. Como proveedores nos enfrentamos al reto de evolucionar sin

apenas margen para el error pues nuestros sistemas han de encontrarse a

disposición del cliente prácticamente 24/7.11

9 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_capacidad/proceso_gestion_de_la_capacidad/proceso_gestion_de_la_capacidad.php 10

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/pr

ovision_del_servicio.php 11 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/vision_general_gestion_de_la_disponibilidad/vision_general_gestion_de_la_disponibilidad.php

Page 31: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

14

Su objetivo primordial es asegurar que los servicios TI estén disponibles y

funcionen correctamente siempre que los clientes y usuarios deseen hacer

uso de ellos en el marco de los SLA en vigor.12

Entre sus responsabilidades están:

Determinar los requisitos de disponibilidad en estrecha colaboración

con los clientes.

Garantizar el nivel de disponibilidad establecido para los servicios TI.

Monitorizar la disponibilidad de los sistemas TI.

Proponer mejoras en la infraestructura y servicios TI con el objetivo de

aumentar los niveles de disponibilidad.

Supervisar el cumplimiento de los OLAs y UCs acordados con

proveedores internos y externos.

Gráfica 5 Indicadores clave en los que se sustenta el proceso de Gestión de la Disponibilidad

Proceso

Entre las actividades de la Gestión de la Disponibilidades en encuentran:13

Determinar cuáles son los requisitos de disponibilidad reales del

negocio.

Desarrollar un plan de disponibilidad donde se estimen las

necesidades de disponibilidad futura a corto y mediano plazo.

12

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/introduccion_obj

etivos_gestion_de_la_disponibilidad/introduccion_objetivos_gestion_de_la_disponibilidad.php

13

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/proceso_gestion_

de_la_disponibilidad/proceso_gestion_de_la_disponibilidad.php

Page 32: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

15

Mantenimiento del servicio en operación y recuperación del mismo en

caso de fallo.

Realizar diagnósticos periódicos sobre la disponibilidad de los

sistemas y servicios.

Evaluar la capacidad de servicio de los proveedores internos y

externos.

Monitorizar la disponibilidad de los servicios TI.

Elaborar informes de seguimiento con la información recopilada sobre

disponibilidad, fiabilidad, Mantenibilidad y cumplimiento de OLAs y

UCs.

Evaluar el impacto de las políticas de seguridad en la disponibilidad.

Es indispensable cuantificar los requisitos de disponibilidad para la correcta

elaboración de los SLAs.

Aunque en principio todos los clientes estarán de acuerdo con unas

elevadas cotas de disponibilidad es importante hacerles ver que una alta

disponibilidad puede generar unos costes injustificados dadas sus

necesidades reales.14

Para una eficiente tarea es necesario tomar en cuenta:

Identificar las actividades clave del negocio.

Cuantificar los intervalos razonables de interrupción de los diferentes

servicios dependiendo de sus respectivos impactos.

Establecer los protocolos de mantenimiento y revisión de los servicios

TI.

Determinar las franjas horarias de disponibilidad de los servicios TI

(24/7, 12/5, etc.).

Independientemente de las interrupciones del servicio causadas por

incidencias, es habitualmente necesario interrumpir el servicio para realizar

labores de mantenimiento y/o actualización.15

Estas interrupciones programadas pueden afectar a la disponibilidad del

servicio y por lo tato han de ser cuidadosamente planificadas para minimizar

su impacto.

14

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/proceso_gestion_

de_la_disponibilidad/requisitos_de_disponibilidad.php

15

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/proceso_gestion_

de_la_disponibilidad/mantenimiento_y_seguridad_gestion_de_la_disponibilidad.php

Page 33: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

16

En aquellos casos en que los servicios no son 24/7 es obvio que, siempre

que ello sea posible, deben aprovecharse las franjar horarias de inactividad

para realizar las tareas que implican una degradación o interrupción del

servicio.

Si el servicio es 24/7 y la interrupción es necesaria se debe:

Consultar con el cliente en que franja horaria la interrupción del

servicio afectará menos a sus actividades de negocio.

Informar con la antelación suficiente a todos los agentes implicados.

Incorporar dicha información a los SLAs.

Algunos de los parámetros que suele utilizar la Gestión de la disponibilidad y

que debe poner a disposición del cliente en los informes de disponibilidad

correspondientes incluyen:16

Tiempo Medio de Parada (Downtime): que es tiempo promedio de

duración de una interrupción de servicio, e incluye el tiempo de

detección, respuesta y resolución.

Tiempo Medio entre Fallos (Uptime): es el tiempo medio durante el

cual el servicio está disponible sin interrupciones.

Tiempo Medio entre Incidentes: es el tiempo medio transcurrido

entre incidentes que es igual a la suma del tiempo medio de parada y

el tiempo medio entre fallos. El tiempo medio entre incidentes es una

medida de fiabilidad del sistema.

Gráfica 6 Fases del ciclo de vida de la interrupción del servicio

2.5.3 Gestión de la Seguridad

Desde el advenimiento de las redes de comunicación y en especial los

problemas asociado a la seguridad de la información se han agravado

considerablemente y nos afectan prácticamente a todos.17

16

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_disponibilidad/proceso_gestion_

de_la_disponibilidad/monitorizacion_de_la_disponibilidad.php

Page 34: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

17

Para ello el servicio de e – learning que proporcionará la nube debe contar

con estándares ISO alineados a las necesidades de la organización,

estableciendo planes y medidas de seguridad necesarias para el correcto

funcionamiento del negocio; teniendo en cuenta los RFCs (peticiones de

cambio) para mejorar los niveles de seguridad o adecuarlos a los nuevos

desarrollos tecnológicos.

La información está relacionada al negocio y su correcta gestión debe

apoyarse en tres pilares fundamentales:

Confidencialidad: la información debe ser sólo accesible a sus

destinatarios predeterminados.

Integridad: la información debe ser correcta y completa.

Disponibilidad: tener acceso a la información cuando la

necesitamos.

La gestión de la seguridad debe velar para que la información sea correcta y

completa, esté siempre a disposición del negocio y sea utilizada sólo por

aquellos que tienen autorización para hacerlo.

Los principales objetivos de la gestión de la seguridad se resumen en:

Diseñar una política de seguridad, en colaboración con clientes y

proveedores correctamente alineada con las necesidades del

negocio.

Asegurar el cumplimiento de los estándares de seguridad acordados.

Minimizar los riesgos de seguridad que amenacen la continuidad del

servicio.

La gestión de la seguridad debe conocer en profundidad el negocio y los

servicios que presta la organización TI para establecer protocolos de

seguridad que se aseguren que la información esté accesible cuando se

necesita por aquellos que tengan autorización para utilizarla. Una vez que

éstos se hallen convenientemente plasmados en los SLAs correspondientes

para, a renglón seguido garantizar su cumplimiento; además se debe tener

en cuenta los riesgos generales a los que está expuesta la infraestructura TI,

que sea proactiva y evalúe a priori los riesgos de seguridad que pueden

17

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/vision_general_gestio

n_de_la_seguridad/vision_general_gestion_de_la_seguridad.php

Page 35: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

18

suponer los cambios realizados en la infraestructura, nuevas líneas de

negocio, etc.18

Gráfica 7 Objetivos de la Gestión de la Seguridad

Proceso19

Establecer una clara y definida política de seguridad que sirva de guía

todos los otros procesos.

Elaborar un plan de seguridad que incluya los niveles de seguridad

adecuados tanto en los servicios prestados a los clientes como en los

acuerdos de servicio firmados con proveedores internos y externos.

Implementar el plan de seguridad. Monitorizar y evaluar el

cumplimiento de dicho plan

Supervisar proactivamente los niveles de seguridad analizando

tendencias, nuevos riesgos y vulnerabilidades.

Realizar periódicamente auditorías de seguridad.

18

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/introduccion_objetiv

os_gestion_de_la_seguridad/introduccion_objetivos_gestion_de_la_seguridad.php

19

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/proceso_gestion_de_

la_seguridad/proceso_gestion_de_la_seguridad.php

Page 36: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

19

Con el apoyo de las normas ISO se determinará una política global clara

donde se fijen objetivos, responsabilidades y recursos que se utilizarán en la

nube para brindar el servicio de e - learning.

En particular la política de seguridad debe determinar:20

La relación con la política general del negocio.

La coordinación con los otros procesos TI.

Los protocolos de acceso a la información.

Los procedimientos de análisis de riesgos.

Los programas de formación.

El nivel de monitorización de la seguridad.

Qué informes deber ser emitidos periódicamente.

El alcance del plan de seguridad.

La estructura y responsables del proceso de gestión de la seguridad.

Los procesos y procedimientos empleados.

Los responsables de cada subproceso.

Los auditores externos e internos de seguridad.

Los recursos necesarios: software, hardware y personal.

2.5.4 Gestión de Incidentes

Dado que el servicio de e – learning a través de la cloud computing está

expuesta a inminentes ataques, caídas en la red que provocan la

interrupción del servicio, este se debe resolver de manera rápida y eficaz

posible; la Gestión de Incidentes no se preocupa por encontrar y analizar las

causas subyacentes a un determinado incidente sino exclusivamente a

restaurar el servicio, sin embargo, existe una fuerte relación con la gestión

de problemas.

Los objetivos principales son:

Detectar cualquier alteración en los servicios TI.

Registrar y clasificar estas alteraciones.

Asignar el personal encargado de restaurar el servicio según se

define en el SLA correspondiente.

Aunque el concepto de incidencia se asocia naturalmente con cualquier

malfuncionamiento de los sistemas de hardware y software, un incidente

es:21

20

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_seguridad/proceso_gestion_de_

la_seguridad/politica_y_planes_de_seguridad.php

Page 37: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

20

“Cualquier evento que no forma parte de la operación estándar de un

servicio y que causa, o puede causar, una interrupción o una reducción de

calidad del mismo”.22

Gráfica 8 Proceso de Gestión de Incidentes

Los beneficios de una correcta gestión de Incidentes incluyen:

Mejorar la productividad de los usuarios.

Cumplimiento de los niveles de servicio acordados en el SLA.

Mayor control de los procesos y monitorización del servicio.

Optimización de los recursos disponibles.

Una CMDB más precisa pues se registran los incidentes en relación

con los elementos de configuración.

Mejora la satisfacción general de clientes y usuarios.

2.5.5 Gestión de Problemas

Para que la comunicación de los usuarios que utilices los servicios de e –

learning en la nube sea óptima, es imprescindible encontrar las causas que

provocan la interrupción del servicio y analizarlos de tal manera que en un

futura no sea afectada la infraestructura TI por errores desconocidos en la

calidad del servicio.

Sus funciones principales son:23

Investigar las causas subyacentes a toda alteración, real o potencial,

del servicio TI.

Determinar posibles soluciones.

Proponer peticiones de cambio (RFC).

Realizar revisiones Post – Implementación (PIR) en colaboración con

la gestión de cambios.

21

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_incidentes/introduccion_objetivos_

gestion_de_incidentes/introduccion_objetivos_gestion_de_incidentes.php

22 Soporte del Servicio de ITIL® 23 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/vision_general_gestion_de_problemas/vision_general_gestion_de_problemas.php

Page 38: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

21

La gestión de problemas puede ser:

Reactiva: analiza los incidentes ocurridos para descubrir su causa y

propone soluciones a los mismos.

Proactiva: monitoriza la calidad de la infraestructura TI y analiza su

configuración con el objetivo de prevenir incidentes incluso antes de que

estos ocurran.

Cuando algún tipo de incidente se convierte en recurrente o tiene un fuerte

impacto en la infraestructura TI es la función de la gestión de problemas el

determinar sus causas y encontrar posibles soluciones.24

Cabe diferenciar entre:

Problema: causa subyacente, aún no identificada, de una serie de

incidentes o un incidente aislado de importancia significativa.

Error conocido: un problema se transforma en un error conocido cuando se

han determinado sus causas.

Proceso

Las principales actividades son:

Control de Problemas: se encarga de registrar y clasificar los

problemas para determinar sus causas y convertirlos en errores

conocidos.

Control de Errores: registra los errores conocidos y propone

soluciones a los mismos mediante RFCs que son enviadas a la

gestión de cambios. Asimismo efectúa la revisión post –

implementación de los mismos en estrecha colaboración la gestión de

cambios.

24 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/introduccion_objetivos_gestion_de_problemas/introduccion_objetivos_gestion_de_problemas.php

Page 39: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

22

INCIDENCIA

Cualquier interrupción o

reducción de calidad de

servicio

SLAs

CMDB

GESTIÓN PROACTIVA

CAPACIDAD DISPONIBILIDAD

Análisis de la

infraestructura y detección

de incidentes potenciales

PROBLEMA

Un problema es la causa subyacente, aún no

identificada, de una serie de incidentes o un

incidente aislado de importancia significativa.

ERROR

CONOCIDO

Un problema se transforma en un error

conocido cuando se han determinado sus

causas.

SOLUCIÓN

TEMPORAL

La Gestión de Problemas puede y debe

proporcionar soluciones temporales a la

Gestión de Incidentes para minimizar el

impacto del problema y/o error conocido en

la prestación de servicios.

SOLUCIÓN

Se propone una solución definitiva al

problema.

Se analiza su:

Posible impacto

Su vialidad

Su conveniencia

RFC

GESTIÓN DE CAMBIOS

PIR

Revisión Postimplementación (PIR)

Seguimiento de la implementación del

cambio en colaboración con la gestión de

cambios.

Gráfica 9 Conceptos involucrados en la Gestión de Problemas

Cuando la estructura de la organización lo permite, desarrollar una gestión

de problemas proactiva que ayude a detectar problemas incluso antes de

que estos se manifiesten provocando un deterioro en la calidad del

servicio.25

El objetivo de la gestión de problemas no es otro que el de mejorar el

funcionamiento de la infraestructura TI y para evaluar su eficacia es

25 http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/proceso_gestion_de_problemas/proceso_gestion_de_problemas.php

Page 40: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

23

imprescindible realizar un continuo seguimiento de los procesos

relacionados y evaluar su rendimiento.26

En particular una buena gestión de problemas debe traducirse en una:

Disminución del número de incidentes y una más rápida resolución de

los mismos.

Mayor eficacia en la resolución de problemas.

Gestión proactiva que permita identificar problemas potenciales antes

de que estos se manifiesten o provoquen una seria degradación de la

calidad del servicio.

2.5.6 Gestión de Nivel de Servicio

Al proporcionar un servicio de e – learning se deben definir los acuerdos de

servicios prestados y niveles operativos que tomen en cuenta las

necesidades de los clientes como los costes asociados.

El objetivo de la gestión de niveles de servicio es poner la tecnología como

un medio para aportar valor a los usuarios y clientes; cuya responsabilidad

de buscar un compromiso realista entre las necesidades y expectativas del

cliente y los costes de los servicios asociados, de forma que éstos sean

asumibles tanto por el cliente como por la organización TI.27

Para cumplir sus objetivos es imprescindible que la gestión de niveles de

servicio:

Conozca las necesidades de sus clientes.

Defina correctamente los servicios ofrecidos.

Monitorice la calidad del servicio respecto a los objetivos establecidos

en los SLAs.

Gráfica 10 Gestión de los Niveles de Servicio

26

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/control_proceso_gestio

n_de_problemas/control_proceso_gestion_de_problemas.php

27

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_problemas/control_proceso_gestio

n_de_problemas/control_proceso_gestion_de_problemas.php

Page 41: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

24

La gestión de niveles de servicio debe:28

Documentar todos los servicios TI ofrecidos.

Presentar los servicios de forma comprensible para el cliente.

Centrarse en el cliente y su negocio y no en la tecnología.

Colaborar estrechamente con el cliente para proponer servicios TI

realistas y ajustados a sus necesidades.

Establecer los acuerdos necesarios con clientes y proveedores para

ofrecer los servicios requeridos.

Establecer los indicadores clave de rendimiento del servicio TI.

Monitorizar la calidad de los servicios acordados con el objetivo último

de mejorarlos a un coste aceptable por el cliente.

Elaborar informes sobre la calidad del servicio y los planes de mejora

del servicio (SIP).

Proceso 29

Las principales actividades de la gestión de niveles de servicio se resumen

en:

Planificación:

Asignación de recursos.

Elaboración de un catálogo de servicios.

Desarrollo de SLAs tipo.

Herramientas para la monitorización de la calidad del servicio.

Análisis e identificación de las necesidades del cliente.

Elaboración de los requisitos de nivel de servicio, hojas de

especificación del servicio y plan de calidad del servicio.

Implementación:

Negociación

Acuerdos de nivel de operación.

Contratos de soporte.

Supervisión y revisión de los acuerdos de nivel de servicio:

Elaboración de informes de rendimiento.

Control de los proveedores externos.

Elaboración de programas de mejora del servicio.

28

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_niveles_de_servicio/introduccion_o

bjetivos_gestion_de_niveles_de_servicio/introduccion_objetivos_gestion_de_niveles_de_servicio.p

hp

29

http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_niveles_de_servicio/proceso_gestio

n_de_niveles_de_servicio/proceso_gestion_de_niveles_de_servicio.php

Page 42: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

25

CAPÍTULO III

3.1 Introducción a la Seguridad de la Información

La seguridad es un factor determinante en el diseño para la implementación

de una Cloud Computing en una empresa que proporcionará servicios de e-

learning 24/7; como tal, es importante establecer parámetros que garanticen

la protección de los datos ya sean en grandes o pequeños volúmenes.

Para un entorno e-learning en donde interactúan diferentes tipos de

usuarios, la cloud ofrecerá servicios en los cuales es necesario determinar

políticas de seguridad en el manejo de la información.

Un escenario de cloud que brinde servicios e-learning debe garantizar al

usuario la protección de los datos, debido a que es considerado un punto

muy atractivo para los atacantes; hay que tener en cuenta la privacidad de

los datos, controles de acceso, protección de la información por eventuales

fallos, daños en la plataforma de la nube, de tal manera que se definan al

menos los temas básicos sobre seguridad de la información en la empresa

para la utilización de este tipo de tecnología.

Los aspectos de seguridad que se deben tomar en cuenta para proveer un

servicio e-learning 24/7 son: seguridad física y lógica, aspectos puntuales

tales como: autenticación, autorización, disponibilidad, confidencialidad,

integridad; apoyándose en normas y estándares que faciliten el control y la

gestión de toda la información que se almacena en la cloud.

Estos estándares servirán de apoyo para la gestión de responsabilidades en

el manejo de datos y protección de la información

ISO 27000

Son un conjunto de estándares publicados por la International Organization

Standarization, como guía para el manejo de la seguridad de la información.

Estas normas proporcionan el apoyo en las empresas en la implementación

de un sistema de gestión de seguridad de la información (SGSI), de tal

manera que los riesgos de los activos de la empresa sean mínimos y

accesibles, garantizando la confiabilidad, integridad y disponibilidad del

sistema.

Para implementar la ISO en la Cloud Computing se debe tomar en cuenta el

modelo de servicio que proporciona la nube: infraestructura, plataforma u

software enfocados en aplicaciones e-learning.

La norma ISO 27001 brinda el apoyo en la gestión de responsabilidades

específicas en cuanto a la seguridad de la información, esta debe ser

planificada, implementada supervisada, revisada y mejorada, con esto se

Page 43: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

26

permite disminuir los riesgos. Por otra parte la ISO 27002 no distingue entre

los controles que debe aplicarse a una organización determinada y los que

no lo son, se utilizan ambas normas, debido a que si fuera una única norma

sería demasiado larga y compleja para que sea práctica.

Al brindar un servicio de e-learning 24/7 se debe establecer una política de

seguridad y determinar los controles ante posibles riesgos debe ser

desarrollada cuidadosamente tomando en cuenta el modelo en el que se

basa el diseño de la Cloud Computing:

Seguridad en IaaS, SaaS, PaaS.

Control de acceso a la información para e-learning.

Controlar la disponibilidad del servicio 24/7 sobre la infraestructura,

hardware y software.

Disponibilidad, almacenamiento, capacidad de procesamiento para

solicitudes de usuarios que accedan al servicio de e-learning.

Ámbito

La empresa utilizará la cloud para almacenar información en beneficio de la

misma, los usuarios tendrán contacto con la información que se almacena

previa la autorización del administrador de la plataforma.

El administrador es el encargado de señalar las consecuencias del

incumplimiento de la política de seguridad del sistema.

La política de seguridad de la nube se aplica a usuarios finales de SaaS,

desarrolladores de PaaS y arquitectos de infraestructura y de red IaaS; así

como para los usuarios dentro de la organización, quienes accederán a los

servicios de acuerdo al rol que ocupan dentro de la organización, cualquier

usuario final, desarrollador o arquitecto de red cuyas acciones infrinjan las

políticas de acceso o manipulen la información almacenada en la nube

estará sujeto a limitaciones o pérdida de privilegios.

Como proveedor de un servicio e-learning se debe utilizar mecanismos de

virtualización y la segmentación de datos para reforzar los servicios de la

nube.

La virtualización aumentará la seguridad de los procesos que se ejecutan en

la nube, cada máquina puede operar mediante el mismo servidor y ejecutar

un sistema operativo de forma aislada.

La segmentación de datos ayudará a que los datos de un cliente residan en

varios servidores, incluso en diferentes centros de datos; de tal manera que

frente a un robo la información, está protegida y a la vez se pueden realizar

copias de seguridad en tiempo real permitiendo la continuidad del negocio.

Page 44: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

27

3.2 Administración de la información de acuerdo al modelo de servicio

de Cloud Computing

De acuerdo al modelo de Cloud Computing para e-learning, la empresa tiene

toda la responsabilidad de operar y adquirir la infraestructura así como la

plataforma y software que manejará, especificar y clarificar las expectativas

de funcionamiento, establecer responsabilidades y detallar alternativas y

consecuencias sobre si el funcionamiento o la calidad no son las adecuadas

para los usuarios.

Se enfocará en la administración de los usuarios, la protección de los datos y

las máquinas virtuales así como el nivel de control que el usuario tiene sobre

las aplicaciones desplegadas, sistemas operativos, hardware, software y red

para un modelo de entrega en la nube.

3.2.1 Administración de accesos con SaaS

La política de seguridad para acceso de usuarios en aplicaciones específicas

dentro de la cloud se realizará con la finalidad de proteger los datos y la

información ante la posibilidad de suplantaciones de identidad o robo de la

información.

Todo el contenido de la cloud será manejado por el administrador y estarán

a disponibilidad del usuario en cualquier lugar aumentando la

interoperabilidad sobre la plataforma, disminuyendo tiempos, brindando un

servicio continuo 24/7 y aumentando la calidad del contenido. El usuario

accederá al servicio de e-learning desde un computador de escritorio, portátil

o teléfono móvil.

3.2.2 Protección de datos con PaaS

La plataforma como servicio se centrará en la protección de los datos y la

administración de aplicaciones que se usarán para e-learning. La protección

de los datos incluye la mitigación del riesgo de uso de la PaaS como centros

de comando y control. Configurar las operaciones de un firewall para uso de

instalación de aplicaciones.

Las posibles variables que influencian en la seguridad de la PaaS son:

Desarrollador de aplicaciones de PaaS: el desarrollador proveerá de

un software específico que funcionará en la plataforma que almacena

la cloud; el administrador despliega y ejecuta sobre la plataforma de la

cloud, controla upgrades y parches para las funcionalidades de esa

aplicación.

Proveedor de PaaS: la empresa como proveedor del servicio, controla

sistemas operativos, hardware, infraestructura de red y gestión de

Page 45: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

28

recursos. El servicio e-learning 24/7 que proveerá la empresa define

los niveles de la solicitudes de usuarios, recursos y datos.

3.2.3 Administración de máquinas virtuales mediante IaaS

La política de seguridad se enfoca en la administración de máquinas

virtuales, protección de datos y administración de acceso a usuarios y a la

infraestructura de los recursos que contengan a la máquina virtual, las

variables que influencian la seguridad de IaaS son:

Infraestructura de IaaS y especialista en red: el especialista controla

los sistemas operativos, equipos de red y aplicaciones desplegadas

en la maquina virtual.

Proveedor con IaaS: el encargado en la empresa controla la

infraestructura de recursos de computación en el entorno de la cloud;

además definirá el tope de las solicitudes de usuarios, recursos y

datos.

3.3 Gestión de Riesgos

El adoptar un modelo de servicio bajo demanda para la prestación de

servicios TI, puede ser beneficioso pero a la vez tiene sus riesgos dado que

está diseñado para acceder desde cualquier parte por cualquier persona.

3.3.1 Elementos de Información

Se han establecido tres elementos generales que contienen o guardan la

información, estos son los activos de la empresa que se deben proteger para

evitar su pérdida, uso inadecuado y perjudicar los objetivos del negocio en el

servicio que brinda la Cloud Computing, estos han sido clasificados en tres

grupos:

Datos e información.- que son generados y almacenados por la

organización.

Sistemas e infraestructura.- componentes de hardware que gestionan

la información

Personal.- individuos que están involucrados en el mantenimiento,

cuidado y protección de los dispositivos de hardware y software, así

como de la información almacenada, gestionada y procesada en la

misma.

Page 46: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

29

3.3.2 Amenazas y Vulnerabilidades

Amenazas

Las amenazas dentro de un Cloud Computing se centran en sus principales

características: confidencialidad, integridad y disponibilidad, además de

aquellas que la complementan: autenticación y autorización.

Estas amenazas se han dividido en tres grupos:30

Criminalidad común.- en la que están involucrados todos quienes

cometan algún tipo de manejo errado, robo, o violación a los derechos

de autor de la información.

Suceso de origen físico.- que corresponde a sucesos naturales y

técnicos.

Negligencia.- son todas las acciones, decisiones u omisiones por

parte de las personas que tienen poder e influencia sobre el sistema,

se relaciona con el comportamiento humano.

Vulnerabilidades

Al ser un modelo de servicio que prestará servicios e-learning, está sujeto a

amenazas y como consecuencia sufrir algún daño, por lo que la capacidad y

posibilidad de responder a las peticiones se verá debilitado.

Algunas de las vulnerabilidades que pueden influenciar en el funcionamiento

de la Cloud Computing son las siguientes:31

Sistema débil de autenticación y autorización.

Falta de aislamiento en los recursos del cliente.

Limitación a tecnologías.

Error en la asignación de recursos.

Fallas de red interna o externa

Falta de certificación en procedimientos o normas internacionales

(gobierno, calidad y seguridad).

Deficiencia en procesos de recuperación.

Debilidades en sincronización de responsabilidades y acuerdos de

nivel de servicio.

Débil cifrado en el almacenamiento y transmisión de datos.

Debilidad en el procedimiento para la generación y administración de

claves.

Vulnerabilidades de software.

30 https://protejete.files.wordpress.com/2009/07/abc-de-la-gestion-de-riesgos.pdf 31 http://www.enisa.europa.eu/beneficios-riesgos-recomendaciones-para-la-seguridad-de -a-informacion

Page 47: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

30

3.3.3 Análisis de Riesgos

Con el objetivo de determinar los riesgos de hardware y software a los que

se expone la infraestructura de cloud computing, se presenta una matriz de

riesgos que ayudará a tener una visión clara de los posibles daños a los que

se expone la adopción de este modelo de servicio, localizado y enfocado a

los recursos con los que cuenta la organización y con esto ser capaces de

tomar decisiones inmediatas para mitigar cualquier impacto negativo,

superando vulnerabilidades y reduciendo amenazas.

La matriz se basa en la formula Riesgo = Probabilidad de Amenaza x

Magnitud del Daño.32

Gráfica 11 Matriz de Análisis de Riesgos33

El riesgo está considerado en tres rangos y determinado por un color:

Alto Riesgo (12 – 16): ataque inminente y no existen condiciones que

puedan evitar el desarrollo del ataque.

Medio Riesgo (8 – 9): son las condiciones en las que se hace probable un

ataque, pero no son suficientes para evitarlo a largo plazo.

Bajo Riesgo (1 – 6): condiciones lejanas de que se desarrolle un ataque.

Escala:

1 Insignificante

2 Baja

3 Mediana

4 Alta

32 https://protejete.files.wordpress.com/2009/07/abc-de-la-gestion-de-riesgos.pdf 33 https://protejete.wordpress.com/gdr_principal/analisis_riesgo/

Page 48: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

31

Para dar valor a las amenazas que se presentan en el modelo de servicio se

han tomado en cuenta el interés por parte de agentes externos para acceder

a la información almacenada en la cloud, las vulnerabilidades que presenta

el modelo de servicio y la frecuencia en la que ocurrirían determinados

incidentes.

La magnitud del daño está valorada de acuerdo a un posible ataque exitoso

que pudiera ocurrir a los elementos de información de la organización, se

considera la posibilidad de perder información, acceso a información

corporativa, manipulación de datos, etc.

La escala que maneja los elementos de información para la magnitud del

daño es la siguiente:

Insignificante.- Ningún tipo de impacto

Bajo.- daño aislado que no perjudica a ningún componente de la

organización

Mediano.- puede perjudicar algún componente de la organización,

quedando inhabilitado

Alto.- los componentes de la organización quedan seriamente

afectados provocando la denegación del servicio permanentemente

3.3.4 Matriz de Riesgos

Para elaborar la matriz de riesgos, se utiliza una serie de herramientas bajo

el marco de gobierno de las tecnologías de información COBIT; en la que,

para el modelo de servicio Cloud Computing, se contemplan aspectos de:

Datos e Información;

Sistemas e Infraestructura;

Personal;

Con el objetivo de establecer roles y responsabilidades de seguridad,

políticas, estándares y procedimientos de TI; además junto con las normas

ISO 27001 y 27002 se determinan los controles y lineamientos para mitigar

los riesgos, debilidades o incidentes de seguridad identificados en la Cloud

Computing y proteger los activos, minimizando el impacto en el negocio

causado por incidentes de seguridad o vulnerabilidades.34

Las valoraciones de las matrices de análisis de riesgos se presentan en el

anexo.

Una vez obtenidos las valoraciones de los riesgos para nuestro objetivo,

planteamos una serie de controles con ayuda de las normas ISO 27001 y

27002 para minimizar el impacto en la organización.

34 COBIT5-and-InfoSec-Spanish.ppt

Page 49: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

32

3.3.4.1 Matriz Datos e Información

ANÁLISIS DE LA MATRIZ

ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Documentos institucionales (proyectos, planes, evaluaciones, informes, etc.)

Directorio de contactos

Productos institucionales (investigaciones, folletos, fotos, etc.)

Bases de datos internos

Bases de datos externos

Página web interna (intranet)

Página web externa

Respaldos

Informática (planes, documentación, etc.)

Base de datos de contraseñas

Datos e información no institucionales

Sabotaje (ataque físico y electrónico)

Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.

Los medios de procesamiento de información manejados por la organización deberían estar físicamente separados de aquellas manejadas por terceros.

Robo/Hurto de información electrónica

Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.

Se deberían instalar adecuados sistemas de detección de intrusos según estándares nacionales, regionales e internacionales y debería ser probados regularmente para abarcar todas las puertas externas y ventanas accesibles, las áreas no ocupadas deberían contar con alarma en todo momento, también se debería proveer protección para otras áreas, por ejemplo el cuarto de cómputo o cuarto de comunicaciones.

Page 50: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

33

Intrusión a red interna

Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario.

Establecer una política formal para proteger contra riesgos asociados con la obtención de archivos, ya sea a través de redes externas o cualquier otro medio, indicando las medidas de protección a tomarse.

Infiltración

Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario.

El uso de dos o más productos de software para protegerse de códigos maliciosos a través del ambiente de procesamiento de la información de diferentes vendedores puede mejorar la actividad de la protección contra códigos maliciosos.

Virus/Ejecución no autorizada de

programas

Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario.

La instalación y actualización regular de software para la detección o reparación de códigos maliciosos para revisar las computadoras y medios como un control preventivo o una medida rutinaria; los chequeos llevados a cabo deberían incluir: 1. Chequeo de cualquier

archivo en medios electrónicos y ópticos y los archivos recibidos a través de la red para detectar códigos maliciosos antes de utilizarlo

2. Chequear los adjuntos y descargas de los correos

Page 51: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

34

electrónicos para detectar códigos maliciosos antes de utilizarlos, este chequeo debería llevarse a cabo en lugares diferentes; por ejemplo, servidores de correo electrónico, computadoras desktop y cuando se ingresa a la red de la organización.

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Datos e información no institucionales

Robo/Hurto (Físico)

Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.

Los perímetros de un edificio o local que contienen los medios de procesamiento de información deberían ser físicamente sólidos (es decir, no deberían existir brechas en el perímetro o áreas donde fácilmente pueda ocurrir un ingreso no autorizado); las paredes externas del local deberían ser una construcción sólida y todas las puertas externas deberían estar adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control; por ejemplo, vallas, alarmas, relojes, etc.; las puertas y ventanas deberían quedar aseguradas cuando están

Page 52: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

35

desatendidas.

SUCESOS DE ORIGEN FÍSICO

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Bases de datos internos

Bases de datos externos

Falla de corriente (apagones)

Se debería proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte.

Se recomienda un dispositivo de suministro de energía (UPS) para apagar o el funcionamiento continuo del equipo que soporta las operaciones comerciales críticas. Los planes de contingencia para la energía deberían abarcar la acción a tomarse en el caso de una falla de energía prolongada. el equipo UPS y los generadores se deberían chequear regularmente para asegurar que tengan la capacidad adecuada y para probar su concordancia con las recomendaciones del fabricante.

Fallo de sistema/daño disco duro

Se debería mantener correctamente el equipo para asegurar su continua

Se deberían mantener registros de todas las fallas sospechadas y reales, y todo mantenimiento

Page 53: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

36

disponibilidad e integridad. preventivo y correctivo. Se deberían implementar los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organización; cuando sea necesario, se debería revisar la información confidencial del equipo, o se debería verificar al personal de mantenimiento.

SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES

INSTITUCIONALES

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL

LINEAMIENTOS/MITIGACIÓN

Bases de datos internos

Bases de datos externos

Datos e información no institucionales

Falta de inducción, capacitación y

sensibilización sobre riesgos

Todos los empleados de la organización y, cuando sea relevante, los contratista y terceras personas deberán recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos organizacionales conforme sea relevante para su función laboral.

Las actividades de conocimiento, educación y capacitación deberían ser adecuados y relevantes par el rol, responsabilidades y capacidades de la persona, y deberían incluir información sobre amenazas conocidas, a quien contactar para mayor consultoría sobre seguridad y los canales apropiados para reportar los incidentes de seguridad de información.

Page 54: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

37

Falta de pruebas de software nuevo con datos productivos

Se deberían establecer procedimientos para el controlar de la instalación del software en los sistemas operacionales.

El software de las aplicaciones y el sistema de operación solo se debería implementar después de una prueba extensa y satisfactoria, las pruebas deberían incluir pruebas de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se deberían llevar a cabo en sistemas separados; se deberían asegurar que se hayan actualizados todas las bibliotecas fuente correspondientes del programa. Se debería establecer una estrategia de “regreso a la situación original (rollback) antes de implementar los cambios.

Infección de sistemas a través de unidades portables sin escaneo

Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario.

La instalación y actualización regular de software para la detección o reparación de códigos maliciosos para revisar las computadoras y medios como un control preventivo o una medida rutinaria, los chequeos llevados a cabo deberían incluir: 1. Chequeo de cualquier

archivo en medios electrónico u ópticos, y los archivos recibidos a través de la red para detectar códigos maliciosos antes de

Page 55: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

38

utilizarlo.

Transmisión de contraseñas por

teléfono

Se deberían establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación.

Recordar al personal que debería tomar las precauciones apropiadas, por ejemplo, no revelar información confidencial cuando realiza una llamada telefónica para evitar ser escuchado o interceptado.

Sobrepasar autoridades

La gerencia debería requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la organización.

Las responsabilidades de la gerencia deberían incluir asegurar que los usuarios empleados, contratistas y terceras personas estén apropiadamente información sobre sus roles y responsabilidades de seguridad antes de otorgarles acceso a información confidencial o a los sistemas de información.

Falta de mantenimiento físico (proceso, repuestos,

insumos)

Se debería mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.

Solo el personal de mantenimiento autorizado deberá llevar a cabo las reparaciones y dar servicio al equipo.

Falta de normas y reglas claras (no institucionalizar el

estudio de los riesgos

La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado,

La gerencia debe: Formular, revisar y aprobar la política de seguridad de la información. Proporcionar los recursos

Page 56: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

39

asignación explícita y reconociendo las responsabilidades de la seguridad de la información.

necesarios para la seguridad de la información. Aprobar la asignación de roles y responsabilidades específicas para la seguridad de la información a lo largo de toda la organización. Asegurar que la implementación de los controles de seguridad de la información sea coordinado en toda la organización.

Falta de mecanismos de verificación de

normas y reglas/análisis

inadecuado de los datos de control

Se deben identificar, documentar e implementar reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la información.

La gerencia relevante deberá proporcionar reglas o lineamientos específicos. Los empleados, contratistas y terceros que usan o tienen acceso a los activos de la organización deberán estar al tanto de los límites existentes para su uso de la información y los activos asociados con los medios y recursos del procesamiento de la información de la organización. Ellos deberán ser responsables por el uso que le den a cualquier recurso de procesamiento de información, y de cualquier uso realizado bajo su responsabilidad.

Ausencia de documentación

Los procedimientos de operación se deben documentar, mantener y

Se deben preparar procedimientos documentados para las actividades del sistema

Page 57: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

40

poner a disposición de todos los usuarios que lo necesiten.

asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos par encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad.

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL

LINEAMIENTOS/MITIGACIÓN

Documentos institucionales (proyectos, planes, evaluaciones

Directorio de contactos

Productos institucionales (investigaciones, folletos, fotos, etc.)

Bases de datos internos

Bases de datos externos

Página web interna

Página web externa

Respaldos

Informática (planes, documentación, etc.)

Bases de datos de contraseñas

Datos e información no

Mal manejo de sistemas y

herramientas

Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la información en concordancia con el esquema de clasificación adoptado por la organización.

Los procedimientos para el etiquetado de la información necesitan abarcar los activos de información en formatos físicos y electrónicos. Para cada nivel de clasificación, se debe definir los procedimientos de manejo seguros; incluyendo el procesamiento, almacenaje, transmisión, des-clasificación y destrucción. Esto también deberá incluir los procedimientos de la cadena de custodia y el registro de cualquier incidente de seguridad relevante.

Utilización de programas no

Se debe restringir y controlar estrechamente el uso de los

Se debe considerar los siguientes lineamientos para el uso de las

Page 58: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

41

institucionales autorizados/software pirateado

programas de utilidad que podrían ser capaces de superar los controles del sistema y la aplicación.

utilidades del sistema: Uso de los procedimientos de identificación, autentificación y autorización para las utilidades del sistema.

Pérdida de datos

Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado.

Se debe considerar el siguiente lineamiento: Se debe registrar la fecha y la hora de entrada y salida de los visitantes y todos los visitantes deben ser supervisados a no ser que su acceso haya sido previamente aprobado; solo se les debe permitir acceso por propósitos específicos y autorizados y se deben emitir las instrucciones sobre los requerimientos de seguridad del área y sobre los procedimientos de emergencia.

Manejo inadecuado de datos críticos (codificar,

borrar)

Se debe restringir y controlar estrechamente el uso de los programas de utilidad que podrían ser capaces de superar los controles del sistema y la aplicación.

Se debe considerar el uso de los procedimientos de identificación, autenticación y autorización para las utilidades del sistema.

Manejo inadecuado de contraseñas

(inseguras, no cambiar, compartidas, BD)

Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.

Las reglas de control del acceso y los derechos para cada usuario o grupos de usuarios se deben establecer claramente en la política de control de acceso., los controles de acceso son tanto

Page 59: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

42

lógicos como físicos y estos deben ser considerados juntos. Se debe proporcionar a los usuarios y proveedores del servicio un enunciado claro de los requerimientos comerciales que deben cumplir los controles de acceso.

Compartir contraseñas o permisos a terceros

no autorizados

Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.

Las personas con responsabilidades de seguridad asignadas pueden delegar las tareas de seguridad a otros. No obstante, ellos siguen siendo responsables y deben determinar si cualquier tarea delegada ha sido realizada correctamente.

Exposición o extravío de equipos, unidades de almacenamiento,

etc.

Se debe asignar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre.

El equipo de reemplazo y los medios de respaldo deben ubicarse a una distancia segura para evitar el daño de un desastre que afecte el local principal. Se debe requerir que todos los usuarios empleados, contratistas y terceras personas y todos los visitantes usen alguna forma de identificación visible y se debe notificar inmediatamente al personal de seguridad si se encuentre a un visitante no acompañado y cualquiera que no use una identificación visible.

Page 60: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

43

Falta de definición de perfil, privilegios y restricciones del

personal

Se debe restringir y controlar la asignación y uso de privilegios.

Se debe considerar los privilegios de acceso asociados con cada producto del sistema; por ejemplo, sistema de operación, sistema de gestión de base de datos y cada aplicación, y se debe identificar los usuarios a quienes se les necesita asignar privilegios. Los privilegios se deben asignar a los usuarios sobre la base de “solo lo que necesitan saber” y sobre una base de evento-por-evento en línea con la política de control de acceso; es decir, los requerimientos mínimos para su rol funcional, solo cuando necesitan.

Falta de actualización de software (proceso y

recursos)

No se deben fomentar modificaciones a los paquetes de software, de debe limitar a los cambios necesarios y todos los cambios deben ser estrictamente controlados.

Cuando se modifica un paquete de software se debe considerar los siguientes puntos: El riesgo de comprometer los controles incorporados y los procesos de integridad. Si se debe obtener el consentimiento del vendedor. La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del programa estándar. El impacto de si como resultado de los cambio, la organización se

Page 61: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

44

hace responsable del mantenimiento futuro del software.

Fallas en permisos de usuarios (acceso a

archivos)

Se debe requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas.

Se debe advertir a todos los usuarios que: Se deben seleccionar claves secretas de calidad con el largo mínimo suficiente que sean:

Fáciles de recordar.

No se basen en nada que otro pueda adivinar fácilmente u obtener utilizando la información relacionada con la persona; por ejemplo, nombres, números telefónicos y fechas de nacimiento, etc.

No sean vulnerables a los ataques de diccionarios (es decir, que no consista de palabras incluidas en los diccionarios).

Acceso electrónico no autorizado a sistemas

externos

Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.

La política debe tomar en cuenta los requerimientos para la autorización formal de las solicitudes de acceso.

Acceso electrónico no autorizado a sistemas

Se debe establecer, documentar y revisar la

La política debe tomar en cuenta los requerimientos para la

Page 62: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

45

internos

política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.

revisión periódica de los controles de acceso.

Red cableada expuesta para el acceso no

autorizado

Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.

La política debe tomar en cuenta la gestión de los derechos de acceso en un ambiente distribuido y en red que reconoce todos los tipos de conexiones disponibles.

Red inalámbrica

expuesta al acceso no autorizado

En todo contrato de redes se debe identificar e incluir las características de seguridad, niveles de servicio y requerimientos de gestión de todos los servicios de red, ya sea que estos servicios sean provistos interna o externamente.

Las características de seguridad de los servicios de red pueden ser los parámetros técnicos requeridos para una conexión segura con los servicios de red en concordancia con las reglas de seguridad y conexión de red.

Dependencia a servicio

técnico externo

Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que los necesiten.

Se deben preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad. Tener un contrato con claras definiciones

Page 63: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

46

de SLAs.

Tabla 1 Análisis Matriz Datos e Información35

3.3.4.2 Matriz Sistemas e Infraestructura

ANÁLISIS DE LA MATRIZ

ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Equipos de la red cableada (router switch, etc.)

Equipos de la red inalámbrica

Cortafuego

Sabotaje (ataque físico y electrónico)

Se debe ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades para acceso no autorizado.

Se deben monitorear las condiciones ambientales; tales como temperatura y humedad, que pudiera afectar adversamente la operación de los medios de procesamiento de la información.

35 Estándar Internacional ISO/IEC 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de gestión de seguridad de la información – Requerimientos ISO/IEC 27001:2005 Primera Edición Estándar Internacional ISO/IEC 27002 Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información Segunda Edición

Page 64: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

47

Portátiles

Programas de administración

Intrusión a red interna

El cableado de la energía y las telecomunicaciones que llevan la data o dan soporte a los servicios de información deben protegerse contra la intercepción o daño.

El cableado de la red debe estar protegido contra intercepciones no autorizadas o daños, por ejemplo, utilizando un tubo o evitando las rutas a través de áreas públicas.

Robo/Hurto de

información electrónica

El cableado de la energía y las telecomunicaciones que llevan la data o dan soporte a los servicios de información deben protegerse contra la intercepción o daño.

Se debe utilizar rutas alternativas y/o medios de transmisión que proporcionen una seguridad adecuada.

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Cortafuegos

Servidores

Robo/Hurto (físico)

Se deben identificar todos los activos y se debe elaborar y mantener un inventario de todos los activos importantes.

Una organización debe identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debe incluir toda la información necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencias y un valor comercial. El inventario no debe duplicar innecesariamente otros inventarios, pero se debe

Page 65: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

48

asegurar que el contenido esté alineado.

Infiltración

Se debe diseñar y aplicar la protección física y los lineamientos para trabajar en áreas aseguradas.

Se debe considerar evitar el trabajo no supervisado en el área asegurada tanto por razones de seguridad como para evitar las oportunidades para actividades maliciosas.

Virus/ejecución no autorizado de programas

Se deben establecer procedimientos para el control de la instalación del software en los sistemas operacionales.

Para minimizar el riesgo de corrupción de los sistemas operacionales, se deben considerar los siguientes lineamientos para controlar los cambios, la actualización del software operacional, aplicaciones y bibliotecas de programas sólo debe ser realizada por administradores capacitados con la apropiada autorización gerencial.

SUCESOS DE RIESGO FÍSICO

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Servidores

Cortafuegos

Falla de corriente (apagones)

Se debe proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte.

Se recomienda un dispositivo de suministro de energía ininterrumpido (UPS) para apagar o el funcionamiento continuo del equipo que soporta las operaciones comerciales críticas. Se debe considerar un generador

Page 66: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

49

de emergencia si se requiere que el procesamiento continúe en el caso de una falla de energía prolongada. Estos dispositivos se deben chequear continuamente para asegurar que tengan la capacidad adecuada y para probar su concordancia con las recomendaciones del fabricante.

Falla de sistema/daño disco duro

Se debe mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.

Sólo el personal de mantenimiento autorizado debe llevar a cabo las reparaciones y dar servicio al equipo.

SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES

INSTITUCIONALES

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Servidores

Cortafuegos

Falta de inducción, capacitación y

sensibilización sobre riesgos

Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceras personas deben recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos organizacionales conforme sea relevante para su función

La capacitación y el conocimiento deben comenzar con un proceso de inducción formal diseñado para introducir las políticas y expectativas de seguridad de la organización antes de otorgar acceso a la información o servicios. La capacitación constante debe incluir los requerimientos de seguridad, responsabilidades

Page 67: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

50

laboral. legales y controles comerciales, asó como la capacitación en el uso correcto de los medios de procesamiento de información; por ejemplo, procedimiento de registro, uso de paquetes de software e información sobre los procesos disciplinarios.

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Equipos de la red cableada (router switch, etc.)

Equipos de red inalámbrica (router, puntos de acceso, etc.)

Cortafuego

Servidores

Computadoras

Portátiles

Programas de administración ( contabilidad, manejo de personal, etc.)

Mal manejo de sistemas y

herramientas

Se debe controlar los cambios en los medios y sistemas de procesamiento de la información.

Se debe establecer las responsabilidades y procedimientos gerenciales formales para asegurar un control satisfactorio de todos los cambios en el equipo, software o procedimientos. Cuando se realizan los cambios, se debe mantener un registro de auditoría conteniendo toda la información relevante.

Utilización de programas

autorizados/software pirateado

Los medios de desarrollo, prueba y operación deben estar separados para reducir los riesgos de acceso no autorizado o cambios en el sistema operacional.

Cuando el personal de desarrollo y prueba tiene acceso al sistema operacional y su información, ellos pueden introducir un código no autorizado o no probado o alterar la data de operación. En algunos sistemas esta capacidad puede ser mal utilizada para cometer fraude o introducir un

Page 68: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

51

código no probado o malicioso, el cual puede causar serios problemas operacionales

Pérdida de datos

Se debe ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades para el acceso no autorizado.

Se deben adoptar controles para minimizar el riesgo de amenazas potenciales; por ejemplo, robo, fuego, explosivos, humo, agua (o falla en el suministro de agua), polvo, vibración, efectos químicos, interferencias en el suministro eléctrico, interferencia en las comunicaciones, radiación electromagnética y vandalismo.

Manejo inadecuado de datos críticos (codificar,

borrar, etc.)

Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.

La asignación de las responsabilidades de la seguridad de la información debe realizarse en concordancia con la política de seguridad de la información. Se deben definir claramente las responsabilidades para la protección de los activos individuales y llevar a cabo los procesos de seguridad específicos. Cuando sea necesario, esta responsabilidad debe ser complementada con un lineamiento más detallado para locales y medios de procesamiento de información específicos. Se deben definir claramente las responsabilidades locales para la protección de

Page 69: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

52

activos y para llevar a cabo procesos de seguridad específicos, como la planeación de la continuidad del negocio.

Compartir contraseñas o permisos a terceros

no autorizados

Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.

Las personas con responsabilidades de seguridad asignada pueden delegar las tareas de seguridad a otros. No obstante, ellos siguen siendo responsables y deben determinar si cualquier tarea delegada ha sido realizada correctamente.

Exposición o extravío de equipo, unidades de almacenamiento, etc.

Se debe diseñar y aplicar la seguridad física para las oficinas, habitaciones y medios.

Se debe considerar donde sea aplicables, los edificios deben ser discretos y dar una indicación mínima de su propósito, sin carteles obvios dentro y fuera del edificio que indiquen la presencia de actividades de procesamiento de información.

Falta de definición de

perfil, privilegios y restricciones de

personal

Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado.

El acceso a áreas donde se procesa o almacena información sensible se debe controlar y restringir solo a personas autorizadas; se deben utilizar controles de autenticación por ejemplo, tarjeta de control de acceso, para autorizar y validar todos los accesos, se debe mantener un rastro de auditoría de todos los accesos.

Page 70: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

53

Falta de actualización de software (procesos

y recursos)

No se debe fomentar modificaciones a los paquetes de software, se debe limitar a los cambios necesarios y todos los cambios deben ser estrictamente controlados.

Si son necesarios cambios, se debe mantener el software original y se deben aplicar los cambios en una copia claramente identificada. Se debe implementar un proceso de gestión de actualizaciones del software para asegurar que la mayoría de los parches aprobados hasta la fecha y las actualizaciones de la aplicación se instalan para todo software autorizado.

Fallas en permisos de usuarios (acceso a

archivos)

Los sistemas para el manejo de claves secretas deben ser interactivos y deben asegurar claves secretas adecuadas.

Se debe aplicar el uso de IDs de usuarios individuales y claves secretas para mantener la responsabilidad. Las claves secretas son uno de los principales medios para validar la autoridad del usuario para tener acceso a un servicio de cómputo.

Acceso electrónico no autorizado a sistemas

externos

Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.

Se debe tomar en cuenta la consistencia entre el control de acceso y las políticas de clasificación de la información de los diferentes sistemas y redes.

Page 71: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

54

Acceso no autorizado a sistemas internos

Toda la información y los activos asociados con los medios de procesamiento de información deben ser propiedad de una parte designada de la organización.

Se debe definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando en cuenta las políticas de control de acceso aplicables.

Red cableada expuesta para el acceso no

autorizado

Para las redes compartidas, especialmente aquellas que se extienden a través de las fronteras de la organización, se deberá restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales.

Se puede restringir la capacidad de conexión de los usuarios a través de gateways, switch, firewall, etc. de la red que filtran el tráfico por medio de tablas o reglas predefinidas.

Red inalámbrica expuesta al acceso no

autorizado

Los usuarios sólo deben tener acceso a los servicios para los cuales hayan sido específicamente autorizados.

Se debe formular una política relacionada con el uso de las redes y los servicios de la red mediante controles y procedimientos gerenciales para proteger el acceso a las conexiones de la red y los servicios en red.

Dependencia a servicio técnico

Se debe asignar personal responsable del mantenimiento de los sistemas y así evitar terceras personas en el manejo de información.

Page 72: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

55

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Servidores

Cortafuegos

Falta de pruebas de software con nuevos

datos productivos

Se debe establecer procedimientos para el control de la instalación del software en los sistemas operacionales.

El software de las aplicaciones y el sistema de operación solo se debería implementar después de una prueba extensa y satisfactoria, las pruebas deberían incluir pruebas de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se deberían llevar a cabo en sistemas separados; se deberían asegurar que se hayan actualizados todas las bibliotecas fuente correspondientes del programa.

Infección de sistemas a través de unidades portables sin escaneo

Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se deben implementar procedimientos para el apropiado conocimiento del usuario.

Se puede instalar software para protegerse de códigos maliciosos para proporcionar actualizaciones automáticas de archivos de definición y motores de lectura para asegurarse que la protección esté actualizada. Además, este software se puede instalar en cada desktop para que realice chequeos automáticos.

Transmisión de contraseñas por

teléfono

Se deben establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a

Se debe recordar al personal que debe tomar las precauciones apropiadas; por ejemplo, no revelar información confidencial cuando se realiza una llamada

Page 73: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

56

través del uso de todos los tipos de medios de comunicación.

telefónica para evitar ser escuchado o interceptado.

Sobrepasar autoridades

La gerencia debe requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la organización.

Se debe asegurar que los usuarios empleados, contratistas y terceras personas estén: apropiadamente informados Sobre sus roles y responsabilidades de seguridad antes de otorgarles acceso a información confidencial o a los sistemas de información.

Reciban lineamientos para establecer las expectativas de seguridad de su rol dentro de la organización.

Que cumplan con los términos y condiciones de empleo, los cuales incluyen la política de seguridad de la información de la organización y los métodos de trabajo apropiados.

Page 74: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

57

Falta de mantenimiento físico (proceso, repuestos,

insumos)

Se deber mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.

El equipo se debe mantener en concordancia con los intervalos y especificaciones de servicio recomendados por el proveedor. Se debe implementar los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en le local o fuera de la organización; cuando sea necesario, se deberá revisar la información confidencial del equipo o se debe verificar el personal de mantenimiento.

Falta de normas y reglas claras (no institucionalizar el

estudio de riesgos)

Las actividades de la seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes.

Se debe asegurar que las actividades de seguridad sean ejecutadas en conformidad con la política de seguridad de la información. Se debe identificar cambios significativos en las amenazas y la exposición de la información y los medios de procesamiento de la información ante amenazas.

Falta de mecanismos

de verificación de normas y

reglas/análisis inadecuado de datos

La gerencia deberá apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, asignación explícita y reconociendo las

La gerencia deberá:

Asegurar que los objetivos de seguridad de la información estén identificados, cumplan con los requerimientos organizacionales y estés

Page 75: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

58

responsabilidades de la seguridad de la información.

integrados en los procesos relevantes.

Formular, revisar y aprobar la política de seguridad e la información.

Revisar la efectividad de la implementación de la política de seguridad de la información.

Ausencia de documentación

Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que lo necesiten.

Se deben preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos par encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad. Tener un contrato con claras definiciones de SLAs.

Tabla 2 Análisis Matriz Sistemas e Infraestructura36

36 36 Estándar Internacional ISO/IEC 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de gestión de seguridad de la información – Requerimientos ISO/IEC 27001:2005 Primera Edición Estándar Internacional ISO/IEC 27002 Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información Segunda Edición

Page 76: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

59

3.3.4.3 Matriz Personal

ANÁLISIS DE LA MATRIZ

ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN

Administración

Personal técnico

Informática/soporte técnico interno

Soporte técnico externo

Sabotaje (ataque físico y electrónico)

Se deben definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de seguridad de la información de la organización.

Proteger los activos contra el acceso, divulgación, modificación, destrucción o interferencia no autorizada.

Robo/Hurto de información electrónica

Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que solo se le permita el acceso al personal autorizado.

El acceso a áreas donde se procesa o almacena información sensible se debe controlar y restringir solo a personas autorizadas; se deben utilizar controles de autenticación; por ejemplo, tarjeta de control de acceso, para autorizar y validar todos los accesos; se debe mantener un rastro de auditoría de todos los accesos.

Intrusión a red interna Los usuarios solo deben tener acceso a los servicios

Se debe formular una política relacionada con el uso de las

Page 77: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

60

para los cuales haya sido específicamente autorizado.

redes y los servicios de red que abarque los controles y procedimientos gerenciales para proteger el acceso a las conexiones de la red y los servicios en red.

SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES

INSTITUCIONALES

ELEMENTOS DE INFORMACIÓN

AMENAZA CONTROL

LINEAMIENTOS/MITIGACIÓN

Administración

Personal técnico

Informática (soporte técnico)

Soporte técnico externo

Mal manejo de sistemas y

herramientas

Los acuerdos o contratos con terceros que involucran el acceso, procesamiento, comunicación o manejo de la información o medios de procesamiento de información de la compañía, o agregan productos o servicios a los medios de procesamiento de información deben abarcar todos los requerimientos de seguridad relevantes.

Se debe considerar la capacitación del usuario y administrador en métodos, procedimientos y seguridad.

Utilización de programas no

autorizados/software pirateado

Un proceso de la gerencia para la autorización de facilidades nuevas de procesamiento de información, debe ser definido e implementado.

En este procesamiento el hardware y el software deben ser chequeados para asegurar que son compatibles con otros componentes del sistema. Hacer auditorias de software.

Page 78: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

61

Pérdida de datos

Se debe tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización.

Los términos de seguridad deben incluir procedimientos para proteger los activos de la organización, incluyendo información y software, y el manejo de las vulnerabilidades conocidas.

Manejo inadecuado de datos críticos (codificar,

borrar, etc.)

Se debe tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización.

Debe incluir procedimientos para determinar si algún activo está comprometido por ejemplo, cuando ha ocurrido una pérdida o modificación de data.

Manejo inadecuado de contraseñas o

permisos a terceros no autorizados

Se debe tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización.

Debe abarcar un enunciado que establezca que está prohibido todo acceso que no esté explícitamente autorizado.

Exposición o extravío de equipo, unidades de almacenamiento, etc.

Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.

Se debe designar la entidad responsable de cada activo o proceso de seguridad y se debe documentar los detalles de esta responsabilidad.

Falta de definición de

perfil, privilegios y restricciones del

personal

Todas las responsabilidades de la seguridad de la información deben estar claramente definidas.

Se debe definir y documentar claramente los niveles de autorización.

Falta de actualización de software (procesos

Se debe definir y documentar los roles y

Se debe asegurar que se asigne a la persona la responsabilidad

Page 79: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

62

y recursos) responsabilidades de la seguridad de los empleados, contratista y terceros en concordancia con la política de seguridad de la organización.

por las acciones tomadas. Debe estar definido claramente en los SLAs con terceros.

Fallas en permisos de

usuarios (acceso a archivos)

Las actividades de la seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes.

Se debe evaluar la idoneidad y coordinar la implementación de los controles de la seguridad de información.

Acceso electrónico no autorizado a sistemas

externos

Se debe identificar los riesgos para la información y los medios de procesamiento de la información de la organización a raíz de procesos comerciales que involucran a grupos externos y se deben implementar controles apropiados antes de otorgarles acceso.

Se debe establecer los controles necesarios para proteger la información que no está destinada a ser accesible para los grupos externos.

Acceso no autorizado a sistemas internos

Se deben tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización.

Debe abarcar un proceso para revocar los derechos de acceso o interrumpir la conexión entre los sistemas.

Red cableada expuesta para el acceso no

Los acuerdos o contratos con terceros que involucran

Debe abarcar un enunciado que establezca que está prohibido

Page 80: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

63

autorizado

el acceso, procesamiento, comunicación o manejo de la información o medios de procesamiento de información de la compañía, o agregan productos o servicios a los medios de procesamiento de información deben abarcar todos los requerimientos de seguridad relevantes.

todo acceso que no esté explícitamente autorizado.

Red inalámbrica expuesta para el

acceso no autorizado

Dependencia a servicio técnico externo

Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que los necesiten.

Se deben prepara procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de computa, manejo del correo y seguridad.

Tabla 3 Análisis Matriz Personal37

37 37 Estándar Internacional ISO/IEC 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de gestión de seguridad de la información – Requerimientos ISO/IEC 27001:2005 Primera Edición Estándar Internacional ISO/IEC 27002 Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información Segunda Edición

Page 81: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

64

3.4 Acuerdos de Nivel de Servicio

No existe como tal un estándar que facilite la redacción de los acuerdos de

servicio, para esto se manejará un criterio propio que establezca el manejo

de información y protección de los datos dentro de la empresa. De igual

manera para el servicio e-learning 24/7. La empresa garantizará que se

tomen en cuenta los siguientes aspectos:38

El uso de la plataforma será 24/7 los 365 días del año.

Tendrá un soporte técnico 6x8 para incidentes.

En caso de fallo se notificará al usuario garantizando la protección de

los datos y la seguridad de la información.

La empresa realizará informes de disponibilidad del servicio en donde

se tomará en cuenta el tiempo durante el cual el servicio está

disponible (uptime), interrupción del servicio y respuesta de resolución

(downtime).

Debido a que el servicio es 24/7 se debe notificar a los usuarios el

tiempo de la interrupción del servicio, garantizando que no serán

afectados los datos y la información, elaborar informes mensuales de

los agentes implicados en el mantenimiento de la plataforma.

El tiempo de interrupción del servicio deberá ser en horarios donde la

actividad de la plataforma es mínima y tendrá que ser

cuidadosamente planificada mediante avisos de mantenimiento

sábados 23h00 a domingo 03h00 am).

Utilizar componentes de hardware y software legales.

3.5 Política de Seguridad

La empresa debe tener en cuenta la protección de los datos y el manejo de

la información, orientados a contrarrestar los riesgos y las vulnerabilidades

que afectan el correcto funcionamiento de la cloud. Para esto se tomarán

aspectos relacionados con los controles que mantienen relación con el

sistema de gestión de seguridad de la información y los estándares usados

en la organización (ISO 27000, NIST, ENISA, etc.).

La empresa como proveedor de servicios e-learning y almacenamiento de

información de su organización debe disponer de infraestructura informática

necesaria para hospedar el software siguiendo con el modelo cloud

computing.

El propósito de la política de seguridad es evitar riesgos de que un tipo de

servicio de nube sea instalado con aplicaciones que protejan la información

almacenada y los datos de los usuarios.

38 http://itil.osiatis.es/Curso_ITIL.php

Page 82: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

65

La organización se encargará de garantizar la seguridad física y lógica de la

infraestructura. Debe impedir que personas no autorizadas manipulen los

equipos físicos y de la misma manera debe mantener al personal

especializado ante posibles amenazas en internet.

La verificación de los usuarios que hacen uso de esa información debe ser

comprobada para evitar que un pirata informático se pase como usuario

autorizado.

La supervisión de las solicitudes de datos debe ser monitoreadas

continuamente a fin de evitar niveles de latencia alta debido a la

acumulación de solicitudes.

Se debe tomar en cuenta que los mecanismos que se deben adoptar al

momento de transferir los datos a través de internet sean exclusivamente los

necesarios, de esta manera se evita que un posible atacante pueda

interceptarlos, almacenaros y procesarlos en una infraestructura ajena al

control de usuario.

La integridad de los datos en una cloud computing es una tarea crítica,

debido a que los usuarios deciden y/o modifican la información y los mismos

pueden terminar corrompiéndose debido a errores en su manipulación; por lo

tanto, se utilizarán los siguientes mecanismos:39

Control de integridad: utilizar funciones de resumen o hash para

verificar que los datos no han sufrido modificaciones, esto no se

utilizará únicamente para la información sino también para máquinas

virtuales o para las copias de seguridad.

Gestión de cambios: se deben mantener un historial de cambio de

datos o información almacenada en la nube, cada usuario tiene un

historial de modificaciones realizadas verificando la fecha,

comprobando la versión y analizando su validez; si se detecta un error

de integridad se puede volver a la versión anterior que sea correcta.

Copias de seguridad: utilizar las herramientas adecuadas en la nube

se pueden programar copias de seguridad cada cierto tiempo, si se

declara algún fallo se debe volver a la versión anterior del sistema

almacenada en la copia de seguridad.

3.5.1 Seguridad en Áreas Críticas de Cloud Computing, Manejo de

Datos y Gestión de la Información

Una vez establecidos los riesgos que existen en el servicio de cloud, la CSA

(Cloud Security Alliance) propone diferentes tipos de control, asesoramiento

39 Guía para empresas: Seguridad y privacidad del Cloud Computing, http://www.inteco.es/files

Page 83: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

66

en las operaciones y la gestión de la seguridad en la cloud computing,

seguridad de la información y protección de los datos.

Los dominios que se consideran para la operación y gestión de información

son los siguientes:40

Dominio 1: Marco de la Arquitectura de Cloud Computing

Se debe tener encuentra las definiciones, características, modelos de

despliegue, modelos de servicio del Cloud Computing y el servicio de e-

learning que se va a proporcionar.

Dominio 2: Gobierno y Gestión de Riesgos de la Empresa

La organización debe contar con un marco de gestión de la seguridad que

les permita llevar un servicio seguro, sostenible y con mejora continua. La

gestión de riesgo necesita identificar e implementar estructuras, procesos y

controles adecuados que permitan realizar acciones sobre el gobierno y la

gestión de la seguridad de la información en la empresa.

Para esto se debe seguir las siguientes recomendaciones:

Capacidad de la empresa para brindar un servicio e-learning 24/7 así

como los parámetros de seguridad de las aplicaciones en uso.

Realizar auditorías para verificar que se cumplen con los requisitos.

El sistema debe trabajar de forma colaborativa y marcar objetivos

alineados al negocio y en concordancia con la seguridad de la

información.

Examinar si el servicio que se le brinda al cliente es el más óptimo si

obtienen el propósito deseado.

Tener en cuenta los SLAs y que se cumplan los requisitos de

seguridad.

Un servicio de cloud computing tiene una relación directa entre la

empresa y el cliente pero también con terceras partes, aún cuando

sea de forma directa, esto implica un análisis de seguridad para la

protección de los datos y la información.

La seguridad en el servicio de e-learning debe incluir:

Identificación de amenazas y vulnerabilidades

Impacto que pueden sufrir los activos.

Niveles y criterios de aceptación de riesgos

Planes de tratamiento de riesgo con múltiples opciones.

Plan de continuidad del negocio, especificación de escenarios

en los cuales contemplan la pérdida del servicio.

40 Guías de Seguridad de Áreas Críticas en Cloud Computing V3.0, http://www.cloudsecurityalliance.org/guidance/csaguide_v3.0.pdf

Page 84: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

67

Dominio 3: Cuestiones legales

El proveedor debe garantizar que los datos del cliente van a recibir la misma

atención y manejo cauteloso que si estuvieran en manos del propietario,

además:

Conocer específicamente donde hospedará el proveedor los datos

entregados por parte del usuario.

El proveedor del servicio debe garantizar que la información que se

almacena en la cloud computing se encuentra en su formato original y

es autenticable.

El proveedor debe garantizar que no se viole la confidencialidad de

los datos, no hacer uso indebido de la información suministrada.

Dominio 4: Cumplimiento normativo y auditorias

Chequeo de la normativa existente para la protección de datos y seguridad

de la información.

Dominio 5: Gestión del ciclo de vida de la Información

El objetivo de la seguridad de la información se basa en la protección de los

datos que en la cloud computing debe verse fortalecido.

Ciclo de vida de la información:

Crear

Autenticar

Utilizar

Compartir

Archivar

Destruir

Ciclo de vida de los datos

Datos preparados para adaptarse a la nube

Adaptar el formato o crear un fichero que almacene la información

Datos que viajan a través de internet

Mediante un correo electrónico o una aplicación para importarlos o transferirlos a la nube

Datos procesados en la nube

Desde su almacenamiento hasta el cálculo de complejas operaciones matemáticas los datos pueden ser almacenados en copias de seguridad para facilitar futuros accesos

Datos finales que viajan hacia el usuario

El resultado de la operación que realiza el usuario debe retornar al mismo con la información generada en la nube

Tabla 4 Ciclo de Vida de los Datos

Page 85: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

68

Persistencia de los datos: la eliminación de datos debe ser de forma

absoluta y efectiva.

Mezcla de datos: los datos que sean clasificados como sensibles no

deben mezclarse con ningún otro cliente ni en el uso, almacenamiento

o transito.

Planes de backup y recuperación de datos para la restauración: los

datos siempre deben estar disponibles y para esto debe existir

procedimientos de backup y recuperación, ejecutar constantemente

pruebas para medir los procesos de backup y recuperación de datos.

Descubrimiento de los datos: es un reto que garantiza que los datos

sean recuperables en su totalidad.

Agregación de datos e inferencia: establecer prácticas que garanticen

al cliente la protección de la información

Dominio 6: Portabilidad e Interoperabilidad

Se debe garantizar que se brinden todas las facilidades para

portabilidad y la interoperabilidad.

Tomar en cuenta el tamaño de los datos, pues ese parámetro puede

ser decisivo cuando se desee migrar los datos.

Documentar toda la arquitectura, configuración u controles de

seguridad.

Identificar las dependencias de hardware en el caso de realizar una

migración

Dominio 7: Seguridad tradicional, continuidad del negocio, recuperación de

catástrofes

El encargado de la administración de la cloud debe restringir el

acceso a los colaboradores de la empres con el fin de evitar el mal

uso de la información confidencial.

Las prácticas de seguridad deben ser estrictas para que a largo plazo

se pueda disminuir el riesgo.

Revisar los planes de recuperación de catástrofes y continuidad del

negocio.

Dominio 8: Operaciones del centro de Datos

El centro de datos es el elemento más importante dentro de la empresa ya

que es donde se maneja la última tecnología en materia de almacenamiento,

procesamiento y seguridad de los datos.

El centro de datos seguirá el estándar ITIL empleando las mejores prácticas

garantizando un ambiente seguro, restringiendo el acceso a los activos de

información e implementando sistemas de seguridad física para

salvaguardar la información sensible.

Page 86: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

69

Al brindar un servicio e-learning 24/7, el centro de datos debe tener recursos

para proveer de este servicio.

La empresa debe contar con procesos de manejo, buenas prácticas de

gestión y software adecuado para la administración; además de contar con

técnicas de manejo de tecnologías de información que aseguren la

disponibilidad, la seguridad en la entrega y la gestión de los activos de

información.

Dominio 9: Respuesta ante incidencias, modificación y subsanación

Es importante definir la responsabilidad de cada una de las partes,

organización y usuarios de tal manera que el proceso de gestión no se vea

comprometido, deberá visualizarse un cambio sustancian en la plataforma

de Cloud Computing debido al servicio e-learning que se va a brindar.

El descuido de la información puede presentar un riesgo potencial para la

integridad de los datos alojados en la plataforma.

Una incidencia tiene un ciclo de vida: detección, análisis y diagnóstico,

corrección, resolución, retroalimentación y cierre, a cada una de estas fases

se debe dar un tratamiento correcto:

Tener una comunicación apropiada entre la organización.

Identificar los tipos de incidentes, verificar cuales son las más

relevantes y diseñar estrategias para la erradicación, soporte y

recuperación de incidentes.

Dominio 10: Seguridad de las Aplicaciones

La seguridad para las aplicaciones presentes en los modelos IaaS, PaaS,

SaaS es un punto sensible que se debe considerar, por lo cual hay que

considerar la vida útil de una aplicación y así mitigar los riesgos que se

puedan presentar.

Se debe contar con máquinas virtuales que tengan imágenes fiables,

además de resguardar las contraseñas de cada una de las aplicaciones.

Se bebe establecer métricas para medir la efectividad de la seguridad de las

aplicaciones y tomar acciones en un eventual intromisión de algún hacker

que pueda atacar el código visible.

Dominio 11: Cifrado y gestión de claves

El cifrado de claves nos ayuda para evitar el escape de información, es

necesario realizar un manejo adecuado de los datos al moverlos a la nube.

Page 87: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

70

Dominio 12: Gestión de acceso e identidades

La Cloud computing debe tener una buena gestión en el manejo de

identidades y control de acceso que garantice su éxito en la nube.

La empresa debe asignar un administrador del sistema que establezca un

control de acceso para garantizar que los usuarios solo utilicen los datos o

procesos para los que han sido autorizados.

Dominio 13: Virtualización

Este es un componente importante dentro de la nube ya que permite a la

empresa brindar un servicio eficaz para e-learning 24/7 tan rápido como el

cliente lo desee sin que esto requiera de implementar equipamiento

adicional. Otra de las ventajas es compartir la infraestructura física y brindar

servicios independientes a sus clientes garantizando el aislamiento de forma

segura.

Se debe tomar en cuenta:

Los procedimientos adecuados para evitar errores en el despliegue

rápido en una máquina virtual.

Los dispositivos de red y servidores deben estar perfectamente

distribuidos.

Proteger los ficheros ante la posible extracción de la información.

Evitar problemas en el servidor físico donde están alojadas las

máquinas virtuales.

La empresa debe incluir una autenticación fuerte y la misma gestión

de la identidad que maneje la máquina virtual.

Page 88: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

71

CAPÍTULO IV

4.1 PLANIFICACIÓN DEL SISTEMA DE INFORMACIÓN

Al ser una pequeña empresa, se diseñará una cloud como una estrategia de

negocio que abarque las necesidades de la misma orientada a brindar un

servicio de e-learning de calidad que garantice el manejo óptimo de la

información y la protección de los datos.

Una vez establecidos los riesgos y plantear los controles y lineamientos para

mitigarlos, se procederá a diseñar la infraestructura y analizar las

herramientas de software que darán soporte a la plataforma de cloud.

Los datos y la información que se procesará en la plataforma, se manejará

bajo los lineamientos que se establecieron en el análisis de riesgos, de esta

manera se protegerá la información minimizando el impacto en el negocio

ante incidentes de seguridad y vulnerabilidades.

4.2 ESTUDIO DE VIABILIDAD DEL SISTEMA

La empresa consta de aproximadamente 10 empleados, maneja una interfaz

web con servicio de correo electrónico, además de servicios de consultoría

en soluciones de ingeniería y arquitectura para el sector marítimo, por lo que

la seguridad y protección de los datos se debe adaptar a las necesidades de

la empresa, garantizando brindar un servicio que aumente la ventaja

competitiva en el mercado junto con el servicio de e-learning.

La organización debe comprometerse en adaptarse a este nuevo modelo de

servicio como parte de su trabajo y un habilitador de productividad

empresarial; por lo que se debe tener en cuenta un posible crecimiento de

usuarios que utilizarán este servicio y el compromiso de la empresa en

proporcionar un modelo seguro y confiable.

En la cloud computing es muy importante la virtualización como un método

para asegurar el aprovechamiento de los recursos, existen herramientas

propietarias y de código abierto de las cuales se analizarán y se escogerá la

que mejor se adapte a las necesidades del negocio y de esta manera,

aumentar la agilidad en los procesos, reducir costes en infraestructura, y así

expandir el servicio hacia más clientes, asignando los recursos de

computación solicitados por el usuario donde estén disponibles los recursos

físicos.

Si bien en el mercado existen empresas que ofrecen este tipo de servicio,

nos enfocaremos principalmente en diseñar una infraestructura de cloud

propia con herramientas existentes en el mercado; en la cual, no se requiere

inicialmente de una inversión elevada para la adquisición de hardware y

software y así tener la posibilidad de manejar nuestra propia información sin

depender de terceras personas que la administren, invirtiendo en nuestra

Page 89: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

72

propia infraestructura, evitando la pérdida o robo de la información por

violaciones de seguridad, apoyado en el manejo responsable de los datos.

4.3 ANÁLISIS DEL SISTEMA DE INFORMACIÓN

Tomando en cuenta la viabilidad del sistema, para el diseño del cloud

privado, se analizarán diferentes componentes de hardware y software para

el despliegue de servicios en la nube.

4.3.1 Infraestructura de Cloud

La selección de hardware para la cloud es un paso muy importante, ya sea

para adquirirlo o utilizar uno ya existente en la empresa.

Dado que manejará información de la empresa y posteriormente brindar un

servicio e-learning, se debe contar con el hardware que realice el trabajo de

procesamiento y almacenamiento de la información.

Es fundamental contar con una conexión a internet ininterrumpida ya que de

esta depende el acceso a los servicios, por lo que es fundamental contar con

dos líneas de acceso independientes para evitar cualquier eventualidad.

4.3.1.1 Sala de Servidores

Se debe elegir y adecuar una sala para la puesta en funcionamiento de los

servidores y debe contar principalmente con los siguientes implementos:

Armario para servidores

Cableado estructurado de interconexión

Sistema de refrigeración

Sistemas para normalización del flujo eléctrico

Servidores

Los servidores (nodos) son el componente principal dentro de la

infraestructura de cloud cada uno de estos tienes características diferentes y

son independientes con el objetivo de gestionar y almacenar la información

que será procesada y dará mayor agilidad para brindar el servicio e-learning.

El prototipo para implementar una pequeña nube privada contará con un

nodo controlador, nodos de computación y un nodo de almacenamiento,

como se muestra en la figura:

Page 90: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

73

Figura 1 Prototipo Infraestructura Cloud Computing Privado

Se puede implementar otro nodo controlador dependiendo de las

necesidades de la organización con las mismas características o a su vez

aumentar la capacidad del nodo controlador existente.

Nodo Controlador: en este se instalará la mayor parte de los

servicios de cloud (autenticación, gestión de cloud, API’s etc.), se

debe tener dos controladores funcionando en alta disponibilidad, ya

que cualquier falla de funcionamiento de este equipo dejará el cloud

inoperativo.

Nodo Computador: son los equipos donde se ejecutarán las

instancias que tendrán las máquinas virtuales por lo que deben ser

muy potentes y tener mucha memoria RAM.

Nodo de Almacenamiento: es quien se encarga de almacenar la

información, imágenes de los sistemas y las instancias que se

ejecuten.

4.3.1.2 Requerimientos de Hardware

Nodo Controlador

El nodo controlador tendrá dos interfaces de red de modo que permita

acceder simultáneamente a la red privada y a la red pública. Éste gestiona el

tráfico de información dentro y fuera de la empresa y es el que tendrá el

software para administrar la cloud.

Red Pública

Nodo de Almacenamiento

Nodo 1

Nodo Controlador

Nodo 2

AdministradorUsuario

Administrador Usuario

Nodo Controlador

Firewall

Page 91: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

74

Requerimiento mínimo:

1 CPU 64 bits x86

El procesador al menos debería ser del tipo Dual Core, ya que en este nodo corren varios componentes de software.

4 GB de memoria RAM Debido al servicio e-learning se requerirá una buena memoria RAM

80GB disco duro SATA

Se debe tener espacio necesario en disco para que el software que gestionara la cloud se ejecute sin ningún inconveniente.

2 Adaptadores de red100/100 Los adaptadores de red permitirán copiar las máquinas virtuales de la red a los nodos.

Tabla 5 Requerimientos Nodo Controlador

Se proponen estas características mínimas debido a que en el nodo

controlador se van manejar las aplicaciones para levantar la plataforma de

cloud y es donde se ejecutarán los componentes neutrón (para firewall),

nova-network, glance, keystone, etc., además que contará con dos

adaptadores de red para el acceso público y privado de los usuarios y en

espacio en disco permitirá que se ejecuten los componentes sin ningún

inconveniente en un plataforma de 64 bits.

Nodo Computador

El nodo computador proporciona los recursos y memoria para las máquinas

virtuales, en cada nodo puede haber dos máquinas virtuales.

Requerimiento mínimo

1 CPU 64 bits x86 El procesador al menos debería ser Quad Core debido a que este nodo ejecuta las máquinas virtuales.

4 GB de memoria RAM

Este tamaño de memoria procesará la información sin ningún inconveniente hasta para dos máquinas virtuales por nodo.

320 GB disco duro SATA

Este debe tener una gran capacidad y velocidad de acceso para operaciones de entrada/salida y que no se produzcan cuellos de botella.

2 Adaptadores de red100/100 Las imágenes pueden ser muy pesadas y estas tienen que copiarse a través de los nodos.

Tabla 6 Requerimientos Nodo Computador

Page 92: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

75

Las características de nodo controlados, se deben a que este ejecutará las

instancias (máquinas virtuales) y las aplicaciones que se ejecutarán para los

usuarios.

Nodo de Almacenamiento

Este nodo va a almacenar y administrar la información de la empresa, tendrá

una conexión directa con el nodo controlador y tendrá un espacio en donde

los usuarios podrán almacenar sus datos en el espacio que sea asignado sin

interferir en la información de la empresa.

Requerimientos mínimos:

1 CPU 64 bits x86 Al menos debería ser un procesador Dual Core.

4 GB de memoria RAM Debido a que es un servidor de almacenamiento manejará datos de entrada/salida.

120 GB disco duro SATA Dependiendo de la cantidad de información que vaya a ser almacenada podría expandirse.

2 Adaptadores de red100/100

Debido al tráfico de información las dos interfaces de red manejarán la información interna y externa que se genera.

Tabla 7 Requerimientos Nodo Almacenamiento

El nodo de almacenamiento guardará la información de la empresa, además

de la de los clientes y manejará datos de entrada y salida mediante los

adaptadores de red tanto para el acceso público como privado.

4.3.1.3 Redes

Las redes que forman parte de la cloud, integrarán las redes locales de la

empresa así como la conexión exterior.

En la matriz de riesgos se plantea los cuidados que debe tener la conexión

de los dispositivos de red.

El nodo controlador, nodos de computación y nodo de almacenamiento

estarán interconectados a través de un switch, para cada una de las redes

que se utilizarán eth0 (red privada) y eth1 (red pública) y estas son:

Red Privada: a través de esta red se gestiona el mayor tráfico del

cloud. Mantener una red privada dentro de la empresa permitirá

gestionar los servicios de la cloud, añadiendo un importante grado de

seguridad y quitando tráfico de red de la red local de la empresa.

Red Pública: a través de esta red, un cliente se conectará

remotamente a una instancia de cloud.

Page 93: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

76

4.3.2 Software para Cloud

Existen diferentes alternativas de software propietario como libre para

construir una plataforma de cloud; dado que el objetivo es invertir en una

plataforma de cloud privada, se analizarán las herramientas de software las

cuales tienen sus ventajas e inconvenientes, por lo que se realizará un

análisis de las plataformas más reconocidas en el mercado y estimaremos

cuál de éstas cubre las necesidades de la organización.

4.3.2.1 Software propietario vs Software libre

El software libre no es obligatoriamente gratuito o más barato que el

propietario y existen varios tipos de licencias en los que se entrega la

autorización al usuario para que estos exploten legalmente los recursos del

software libre, no obstante el software propietario es todo lo contrario, este

se ampara en un marco legal que protege su modificación, reproducción y

distribución; controlan el número de usuarios que hacen uso del aplicativo y

las actualizaciones suelen tener un costo.

La gran mayoría de los usuarios tiende a optar por el software propietario

debido a que este ya se encuentra operando en el dispositivo de hardware

que adquiere; en tanto que el software libre, cada vez tiene más acogida por

parte de los usuarios, debido al auge de dispositivos inteligentes que

permiten al usuario descargar e implementar un sinnúmero de programas y

aplicaciones robustas de productividad.

A continuación se presentan las ventajas y desventajas del software

propietario:

Ventajas

De fácil adquisición y en ocasiones ya vienen preinstalados en los

dispositivos de hardware.

Son creados para una tarea en particular.

Quienes proveen éste software son empresas grandes que se

dedican a desarrollar plataformas y dar soporte al cliente en todo

momento.

La interfaz que se presenta ante el usuario es más amigable.

Los programas son más compatibles con los dispositivos de

hardware.

Antes de salir al mercado, pasan por rigurosas pruebas de

funcionamiento y calidad.

Existen en la web manuales para el uso del software a pesar de que

el proveedor se encarga de brindar el soporte técnico necesario.

Son más conocidos y en la actualidad tiene gran cantidad de

usuarios.

Page 94: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

77

Tienen una mejor interacción y se unifican entre sí.

Desventajas

El funcionamiento del software se limita a hacer lo que idea el creador

de dicho software.

Si se requiere realizar alguna modificación en el programa no lo podrá

hacer debido a que contraviene el acuerdo de licencia de usuario final

del programa.

No hay versiones del mismo programa para todas las plataformas o

las versiones no tiene las mismas funcionalidades.

Se corre el riesgo de quiebra de la empresa y no exista soporte

técnico o actualizaciones.

Son desarrollados en un solo idioma sin dar la posibilidad de

cambiarlo al idioma nativo.

A continuación se presentan las ventajas y desventajas del software libre:

Ventajas

Adaptabilidad a los diferentes tipos de sistemas operativos en el

mercado (Linux, Windows, Mac)

El usuario final puede usar libremente el programa, y además puede

modificarlo, redistribuirlo y copiarlo siempre y cuando se respeten las

condiciones establecidas por el autor del software para su uso.

Puede ser compartido por un sinnúmero de usuarios que lo requieran,

cada uno puede hacer sus aportes dando así mayor innovación

tecnológica.

Tiene mayor facilidad de ser traducido a cualquier idioma, la libertad

del acceso al código fuente permite que se pueda adaptar a lenguas

nativas.

La migración a otra plataforma es más fácil gracias al acceso al

código fuente.

Desventajas

Debido a que la gran mayoría de usuarios utilizan el software

propietario, se le hace más difícil adaptarse al uso del software libre.

La compatibilidad con hardware no es completa, se requieren de

conocimientos específicos sobre el sistema operativo y el equipo

donde se va a instalar la aplicación.

Dificultad para intercambiar información con usuarios que utilizan

software propietario.

Dificultad para instalar ciertos programas.

Page 95: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

78

No se respalda en grandes empresas que garantizan la calidad de

sus productos pero existen empresas que realizan implementaciones

de software en base al software libre.

Existe menor cantidad de aplicaciones para realizar tareas

específicas.

La diversidad de uso y métodos de empaquetamiento puede causar

confusión en un gran número de personas.

No existen controles antes que salgan del mercado.

Se requiere controlar las modificaciones de otros usuarios lo que

dificulta la tarea de mantener un control de cambios.

Es menos conocido que el software libre por lo que la documentación

suele ser escasa.

El soporte es costoso y puede ser mayor que el propietario.

Sin embargo la elección de una solución propietaria o de código abierto será

dada de acuerdo a las necesidades de la cloud en la empresa y a los

profesionales de IT que estarán a cargo de la implementación.

4.3.2.2 Herramientas de software libre para implementar la plataforma

de Cloud Computing

Se analizarán cuatro alternativas de open source más importantes en el

mercado, éstas son:

Eucalyptus

OpenNebula

OpenStack

CloudStack

Eucalyptus

Herramienta de código abierto.

Arquitectura altamente escalable:

Page 96: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

79

Gráfica 12 Arquitectura Eucalyptus41

La consola de administración es una interfaz basada en web que

permite a los usuarios en la nube la prestación y gestión de recursos y

a los administradores controlar la gestión de usuarios, grupos y

políticas.

Incluye funciones de gestión de almacenamiento de gran alcance

para crear y gestionar los recursos de almacenamiento.

Permite la creación de nubes de tipo privado e híbrido.

Comunicación segura entre procesos internos.

Soporte para máquinas virtuales Linux y Windows.

Políticas programables y configurables.

Proporciona un conjunto de herramientas de líneas de comandos

euca2ools.

Código basado en Java, C.

Compatibilidad con XEN, KVM, VMware.

Amplios conocimientos para su instalación

Su mantenimiento depende del tamaño de la infraestructura.

Ventajas

Cada servicio web expone una API bien definida independiente del lenguaje

de programación que contiene las operaciones del servicio y puede realizar

las estructuras de datos de entrada y salida.

41 https://www.eucalyptus.com/eucalyptus-cloud/iaas/architecture

UI & API

Cloud

CLUSTER

(Zona de disponibilidad)

NODOS

Almacenamiento

Escalable de

Objetos

Cloud

Controlador

Consola de

Administración

Controlador de

Almacenamiento

Compatibilidad –

AWS & API

Controlador de

Cluster

NODOS

MV MV

NODOS

MV MV

NODOS

MV MV

Page 97: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

80

Desventaja

Si bien esta herramienta cumple con los requisitos para el objetivo que

deseamos alcanzar, requiere de grandes conocimientos para manejarla

además su interfaz de administración no está tan desarrollada como otras

soluciones.

OpenNebula

Es un software de open source que nos permite construir cualquier

tipo de nube: privado, público e híbrido.

Diseñado para ser integrado con cualquier tipo de red y

almacenamiento y así adaptarse al centro de datos.

Tiene soporte para virtualización.

Su infraestructura es una arquitectura clásica en clusters con un

frontal y un grupo de nodos para máquinas virtuales.

Su arquitectura se divide en tres capas:

Tools: Herramientas de gestión empleando las interfaces

proporcionadas por OpenNebula.

Core: Componente que gestiona las máquinas virtuales, redes

virtuales y nodos.

Drivers: Proporciona nuevas tecnologías para virtualización,

almacenamiento, monitorización y servicios de cloud.

Page 98: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

81

Gráfica 13 Arquitectura OpenNebula42

Sus componentes son:

Front – end: Ejecuta OpenNebula y servicios de cluster.

Nodos: Proporcionan los recursos necesarios a las máquinas

virtuales como el hipervisor.

Repositorio de imágenes: medio para almacenar las imágenes

de las máquinas virtuales.

Dominio OpenNebula: Gestiona el ciclo de vida de las

máquinas virtuales y subsistemas de almacenamiento y redes.

Drivers: Programas que sirven para la interfaz de un hipervisor

o un sistema de almacenamiento específico.

Código base: Java.

Compatible con KVM y XEN.

No requiere amplios conocimientos en instalación.

Fácil mantenimiento de la infraestructura.

42 http://opennebula.org/publication-of-the-opennebula-cloud-os-architecture-in-ieee-computer/

Administrador de

Herramientas

Administrador de

ServiciosPlanificador

Interfaces de

Cloud

Administrador

de

Información

Contabilidad y

Auditoria

Autorización

y

Autenticación

Administrador

de Imágenes

Administrador de

MVGestor de Red Administrador de

Almacenamiento

Gerente de

Federación

Administrador de la Infraestructura FísicaManejador de la

Nube

Sistema Operativo Cloud

He

rra

mie

nta

sN

úcle

oM

an

eja

do

r

Servidores Redes

Nube Externa

Infraestructura Física

Almacenamiento

Page 99: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

82

Ventajas

Administra infraestructuras virtuales, combinando tecnologías de

virtualización, administración y redes. Soporta el manejo de redes que

interconectará diferentes máquinas virtuales.

Desventaja

OpenNebula requiere de ciertos conocimientos para una correcta

administración, así mismo la interfaz de la plataforma es pobre y con poca

funcionalidad, por lo que la mayor parte de la administración se debe realizar

a través de la consola y si no se cuenta con el personal especializado puede

ser un inconveniente utilizar este software para cloud.

OpenStack

Proporciona servicios como computación en la nube,

almacenamiento, redes y gestión del sistema.

Permite gestionar el despliegue y ejecución de aplicaciones a través

de múltiples servidores.

Está dividido en tres servicios principales:

Infraestructura de procesamiento (NOVA): controla todas las

actividades para soportar el ciclo de vida de las instancias de

OpenStack.

Infraestructura de almacenamiento (swift): tiene un

almacenamiento distribuido y consistente de objetos virtuales.

Infraestructura de imágenes (Glance): es un sistema lookup y

recuperación de imágenes de máquinas virtuales.

Arquitectura OpenStack

Page 100: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

83

Gráfica 14 Arquitectura OpenStack43

Basado en Python.

Compatibilidad con XEN, KVM y VMware.

Conocimientos de instalación y manejo medios.

Se requiere varios componentes para mantenimiento.

Ventajas

Personalización del almacenamiento interno y manejo sencillo del stack

(estructura de datos)

Desventaja

OpenStack se encuentra en una fase poco madura por lo que es complicada

utilizarla en un entorno de producción.

Cloud Stack

Herramienta de open source que permite efectuar el despliegue, la

configuración y la gestión de entornos de computación.

Distribuye las peticiones web mediante el empleo de gestores de

balance de carga.

La infraestructura se basa en:

43 https://laboratoriosvirtuales.files.wordpress.com/2011/12/arquitectura_openstack.png

Almacenamiento de Imagenes

Computador Nova

Instancia Instancia

Servidor de Cola

Red Nova

Planificador Nova

Swift

Volumen Nova

VLAN Plano DHCP

Vistas de Registro

API Nova

Vistas API

Page 101: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

84

Nodos de computación: constituye el bloque básico para

efectuar el escalamiento de la plataforma.

Pods: (nodos de computación) no hay limitación en el número

de máquinas que pueden ser asignadas a un pod.

Zona de disponibilidad: Implican un aislamiento físico y de

redundancia, son visibles al usuario final.

Proporciona dos tipos de aislamiento:

Primario: almacena todas las máquinas virtuales, así como los

volúmenes adicionales de almacenamiento de datos.

Secundario: se emplea para almacenar plantillas, capturas de

pantalla de las máquinas virtuales e imágenes ISO. Debe estar

localizado en la misma zona de disponibilidad que las

máquinas a las que sirve.

Posee plantillas que son imágenes de una máquina virtual y pueden

emplearse para instanciar una máquina virtual.

Emplea varios tipos de máquinas virtuales para efectuar las trareas de

cloud.

Basado en código Java.

Compatibilidad con XEN, KVM y VMware.

Amplios conocimientos para su instalación.

Ventaja

Personalización del almacenamiento interno y manejo sencillo del stack.

Desventaja

Centrado en la interfaz de usuario y débil integración con AWS (Amazon

Web Services).

4.3.2.3 Herramientas de software propietario para implementar la

plataforma de Cloud Computing

Entre los proveedores más importantes de Cloud Computing se encuentran

los siguientes:

Google App Engine

Google App Engine permite crear y alojar aplicaciones web en los mismos

sistemas con los que funcionan las aplicaciones de Google. Google App

Engine ofrece procesos de desarrollo rápidos, administración sencilla, sin

necesidad de preocuparse por el hardware, las revisiones o las copias de

seguridad.44

44 http://www.compracloud.com/servicios/google-app-engine

Page 102: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

85

Actualmente Google App Engine se encuentra en su versión beta, gratuito

para cada persona que desee usarlo con solo crear una cuenta de correo

electrónico en google y se obtiene 500 MB de almacenamiento gratuito y

aproximadamente 5 millones de páginas vistas gratis al mes, para utilizarlo

requiere de Phyton 2.5.2 instalado en el computador.

Este servicio brinda alojar aplicaciones web en los mismos sistemas con los

que funcionan las aplicaciones de Google.45

Ventajas

Ejecuta las aplicaciones web en la misma infraestructura de Google.

Fácil mantenimiento y actualización de las aplicaciones.

Rendimiento, disponibilidad y seguridad en la infraestructura de

Google.

Permite adquirir más recursos de los que se ofrecen y pagar solo por

lo que se consume.

Responde de igual manera si accede un usuario o 100 usuarios.

Desventajas

Tiempo máximo en cada llamada hacia App Engine es de 60

segundos.

No existe portabilidad hacia otras infraestructuras.

Amazon

(Elastic Compute Cloud), es un servicio Web que provee capacidades de

cómputo elásticas, disponibles a través de una infraestructura cloud

diseñada con la finalidad de proveer computación escalable a entornos Web,

bajo demanda, siguiendo un modelo comercial de pago por uso. (Amazon

Web Services, LLC).46

Ventajas

Es una aplicación que permite reproducir archivos musicales y

dispone de su propia aplicación para smartphones.

Dispones de 5 GB para almacenar la información gratuitamente.

Esta siendo utilizado por empresas para realizar backups y desarrollar

aplicaciones.

Cuenta con una aplicación para teléfonos inteligentes.

Disminución en problemas de mantenimiento.

Actualizaciones inmediatas de software.

45 http://www.compracloud.com/servicios/google-app-engine 46 https://sites.google.com/a/uvirtual.edu.pe/curso-de-herramientas-de-google-apps/introduccin/proveedorescloud

Page 103: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

86

Desventajas

La versión web no es compatible con otros navegadores como safari.

Si se desea aumentar el espacio de almacenamiento, estos son muy

costosos.

Requiere una conexión a internet continua y rápida.

Los datos pueden ser accedidos por otros.

Dependencia tecnológica en compañías ajenas.

Windows Azure

Windows Azure es una plataforma de nube abierta y flexible que permite

compilar, implementar y administrar aplicaciones rápidamente, en una red

global de centros de datos administrados por Microsoft. Con Windows Azure

puede compilar y ejecutar aplicaciones en cualquier lenguaje, herramienta o

marco. 47

Ventajas48

Servicio altamente disponible.

El desarrollador puede concentrarse solamente en su aplicación.

Ahorro de dinero en servidores.

Paga solamente el tiempo que esté ocupando el servicio.

Soporte para varios lenguajes.

Desventajas

Según Richard Stallman fundador del software libre, se deja en

manos de terceros aspectos claves del desarrollo de un negocio.

Al ser un servicio en la nube, el usuario necesita más ancho de banda

para ejecutar la aplicación.

Únicamente se pueden adaptar aplicaciones que sean compatibles

con este software y este tiene un costo adicional al contratado por el

usuario.

Tanto el software libre como propietario tiene sus ventajas y desventajas, la

elección del software como plataforma de cloud se debe al énfasis en la

operatividad, independencia en la administración de las aplicaciones, datos,

información, que cumpla con las necesidad de la empresa ofreciendo

47 http://www.compracloud.com/servicios/windows-azure 48 http://www.davidchappell.com/writing/white_papers/Introducing_the_Windows_Azure_Platform,_v1.4--Chappell.pdf

Page 104: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

87

herramientas que permitan un manejo dinámico y faciliten la implementación

para pequeñas y medianas empresas

4.3.3 Herramientas de Virtualización

La virtualización es parte de la computación en la nube que ayuda a

provechar los recursos y lograr la reducción de costes.

Desde una perspectiva de negocio, la virtualización nos permite ahorrar

energía, espacio, capacidad de refrigeración y administración ya que se

tienen menos servidores.

La virtualización supone ejecutar varios sistemas operativos y si uno cae por

un fallo, el hipervisor y el resto del sistema operativo continuarán

funcionando.

Las herramientas más conocidas en el mercado para virtualización son las

siguientes:

XEN

Es un hipervisor de código abierto que permite una mejor utilización de los

servidores y consolidación de los mismos al posibilitar que múltiples

imágenes de sistemas operativos se ejecuten simultáneamente en un único

servidor físico.

Asegura que los niveles de servicio de cara aplicación se respete incluyendo

CPU, memoria y entrada/salida, por lo que es una infraestructura de

virtualización rápida y segura.

Comparte recursos con otras aplicaciones e instancias de sistemas

operativos virtualizados.

Se usa más en centros de datos con el objetivo de incrementar la utilización

de servidores, permite a los usuarios hospedar más servidores virtuales por

máquina física ahorrando costes en infraestructura.

Desventajas

Los clientes deben ser modificados para su funcionamiento.

No es compatible con la interfaz avanzada de configuración de

energía en tecnologías portátiles.

No todo el hardware está soportado

Problemas con algunos drivers propietarios.

Page 105: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

88

KVM

Ofrece un escenario de virtualización típico con una interfaz entre el sistema

huésped y su anfitrión, encargándose de la planificación de las tareas y la

gestión de la memoria de cada huésped.

Integra el hipervisor en el kernel y se comunica actuando como una interfaz

para una máquina virtual. La programación de tareas y la gestión de

memoria son manejadas desde el mismo kernel, instala tablas de páginas

para él y emula determinada instrucciones clave.

Desventajas

Necesita un procesador con soporte para tecnología de virtualización

.

VMware

Es un sistema de virtualización por software cuyo rendimiento del sistema

virtual varía dependiendo de las características del sistema físico en el que

se ejecute y de los recursos virtuales asignados al sistema virtual.

Posee diferentes soluciones enfocadas al entorno corporativo tanto de pago

como gratuitas: Workstation, Fusion, Player y Wmware Server.

Es una aplicación y se puede instalar en sistemas host Windows o Linux.

Desventajas

Bajo rendimiento con hardware de bajo rendimiento

La versión gratuita es de uso personal y no empresarial.

Al actualizar el kernel se debe ejecutar nuevamente el instalador.

La elección de la herramienta de virtualización será de acuerdo a la

compatibilidad con el software que se elije para la plataforma de cloud y que

sea capaz de administrar las máquinas virtuales repartiendo recursos entre

varios procesos y de fácil manejo.

4.4 DISEÑO DEL SISTEMA DE INFORMACIÓN

Una vez analizados los riesgos a los que se expone la infraestructura, los

datos e información y planteando las mitigaciones, analizadas las diferentes

plataformas para levantar un servicio de cloud y planteado un prototipo de

infraestructura, se propone una guía para el diseño de nube privada que

satisfaga las necesidades del negocio y en la que se pueda administrar la

información de la empresa de manera independiente.

Por lo tanto las principales características que se deben tomar en cuenta

para levantar la plataforma de cloud son las siguientes:

Page 106: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

89

Dado que se desea una nube privada se propone la utilización de

soluciones de código abierto que permita el manejo, gestión y

almacenamiento de la información sin depender de terceras personas

y de esta manera reducir el costo del proyecto.

Garantizar el acceso ininterrumpido a los recursos de red,

distribuyendo el acceso a usuarios mediante controles de acceso de

manera que no se comprometa información confidencial de la

empresa.

La infraestructura de red debe poder ser utilizada desde cualquier

lugar y disponer de los recursos que se ofrecen.

Permitir ampliar la infraestructura de acuerdo a las necesidades de la

empresa.

Reducir los gastos de almacenamiento de datos.

Garantizar el uso eficiente de recursos.

4.4.1 Plataforma para el Modelo de Servicio Cloud Computing

El mercado nos ofrece un sinnúmero de plataformas tanto propietarias como

de open source para realizar nubes privadas.

De acuerdo a nuestros requerimientos, el software que se propone para el

modelo de servicio es OpenStack.

El sistema operativo mediante el cual se adapta para establecer un modelo

de cloud computing es Ubuntu 12.04 LTS de 64 bits, debido a que

OpenStack fue construida en base a esta plataforma.

OpenStack es una tecnología de open source que nos permite la creación de

nubes públicas y privadas que proporciona recursos a través de máquinas

virtuales y gestión de la red, además permite a las organizaciones ejecutar

su propia cloud para almacenamiento virtual.

Incluye varios componentes, de los cuales los más importantes son

OpenStack Compute (NOVA), OpenStack Object Storage (Swift) y

OpenStack Image Service (Glance), la cual ayuda a obtener una plataforma

de software completa para la administración y gestión de cloud.

OpenStack Compute (NOVA)

Es el controlador de la infraestructura básica de cloud y de iniciar las

máquinas virtuales (instancias) de los usuarios que acceden al servicio,

gestiona la red.

OpenStack Object Storage

Es el encargado de brindar el apoyo para el almacenamiento de objetos.

Page 107: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

90

OpenStack Image Service

Este servicio se encarga de la búsqueda y recuperación de imágenes de

máquinas virtuales, puede también disponer de otros servicios como Object

Storage para el almacenamiento de la información que la nube maneja.

4.4.1.1 Arquitectura OpenStack

OpenStack se basa en tres servicios principales:49

Object Storage (Swift): proporciona almacenamiento de objetos, permite

almacenar y/o recuperar ficheros.

Incluye diferentes componentes:

Servidor proxy: que acepta solicitudes a través de API OpenStack o desde

HTTP, también acepta solicitudes de descarga de archivos o listados de

objetos del contenedor a través de un navegador web.

Servidor de cuentas de usuario: gestiona cuentas de usuario definidas con el

servicio de almacenamiento de objetos.

Servidores de objetos: gestionan objetos reales en los nodos de

almacenamiento.

Image (Glance): proporciona un catálogo y un repositorio de imágenes de

discos virtuales, cualquier infraestructura de cloud de un tamaño

considerable lo necesita.

Está formado por cuatro componentes:

Glance.api: que acepta peticiones a través de su API para el descubrimiento,

recuperación y almacenamiento de imágenes.

Glace.registry: almacena procesa y recupera metainformación sobre las

imágenes tales como tamaño, tipo, etc.

Una base de datos para almacenar la metainformación, esta base de datos

es optativa, pero para entornos de producción utiliza MySQL o PostgreSQL.

Posee un repositorio para el almacenamiento de los ficheros de imágenes,

es configurable y se pueden utilizar desde los directorios locales al propio

servicio swift.

Glance representa un papel central en la arquitectura OpenStack, ya que

acepta peticiones para la gestión de imágenes tanto de los usuarios finales

como de otros servicios como nova.

49 OpenStack, “Software de código abierto para la creación de nubes privadas y públicas” http//www.openstack.org

Page 108: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

91

Compute (NOVA): proporciona máquinas virtuales bajo demanda, es capaz

de proporcionar gestión de volúmenes de discos a través de uno de sus

servicios.

Nova posee diferentes dominios que nos permite atender las llamadas del

usuario final y una API para el administrador de cloud.

Nova-compute crea y destruye las máquinas virtuales mediante un hipervisor

(Xen, KVM, VMware).

Nova-volume gestiona, conecta y desconecta máquinas virtuales.

Nova-network realiza tares de red desde la cola de mensajes y modifica el

estado de la red tales como iptables y la interfaz de puente.

Nova-scheduler determina el nodo que ejecuta cada instancia de acuerdo a

un algoritmo seleccionado.

OpenStack ejecuta una base de datos SQL que es el encargado de

administrar toda la información de la cloud tanto en su estado inicial como en

su ejecución.

OpenStack a través de este componente ofrece la alternativa de configurar

ciertos parámetros para crear las instancias de cloud y además se puede

configurar el firewall mediante el componente nova-neutron, que maneja la

red y el firewall, el cual se configura de acuerdo a la carga que va manejar,

disponibilidad del servicio, ancho de banda de la red, uso de cloud, etc.,

especificando las direcciones fijas como flotantes por donde va a transmitir y

recibir la información.

Dashboard (Horizon): proporciona una interfaz de usuario basada en la

web para gestionar los servicios de usuarios y al administrador de cloud;

posee dos módulos, uno que mantiene la lógica de la aplicación e interactúa

con las APIs de OpenStack y el segundo que permite adaptarse e integrarse

con la apariencia del sitio web.

Horizon utiliza los datos del resto de servicio por lo cual almacena mu pocos.

Identity (Keystone): proporciona servicios de autenticación y autorización a

todos los servicios de OpenStack.

Integra los servicios de OpenStack en un único punto en proporcionar

servicios de autenticación, mantenimiento de catálogos y un repositorio de

políticas de identidad, manteniendo un registro de usuarios y los permisos

que tienen cada uno de ellos.

Keystone puede integrarse fácilmente con diferentes almacenamientos como

SQL, LDAP o KVS (Key Value Stores).

Page 109: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

92

Estos servicios están diseñados para proporcionar una infraestructura como

servicio completa en la que los usuarios finales de la cloud pueden

interactuar a través de una interfaz web, se autentifican a través de un

mismo servicio e interactúan con el resto de usuarios mediante sus APIs

públicas.

OpenStack no tiene un software de virtualización que permita crear las

máquinas virtuales, por lo que se requiere al menos un hipervisor para

funcionar y controlarlo a través de una API.

De entre los hipervisores para realizar la virtualización se ha escogido KVM

por su compatibilidad con OpenStack y la fácil adaptación con soluciones

libres.

4.4.1.2 Plataforma de Cloud Computing con OpenStack

De acuerdo al prototipo planteado, la distribución del software en los nodos

quedaría de la siguiente forma:

.

Gráfica 15 Ubicación de los Componentes OpenStack en los Nodos

El proceso para establecer un modelo de cloud computing es el siguiente:

Configuración de la red (cada nodo debe estar identificado con un

nombre).

Instalación del servicio MySQL.

Instalación y configuración de keystone (autenticación).

Instalación y configuración de Glance (gestión de imágenes).

Instalación y configuración de Nova (servicios de computación).

Creación de máquinas virtuales (mediante software KVM).

Realizar la prueba de una máquina virtual.

NODO CONTROLADOR

Nova Compute

Nova Network

Nova API

Nova Volume

Horizon

Keystone

Glance

NODO COMPUTADOR

KVM

SWIFT

Page 110: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

93

Instalación y configuración del Dash board (horizon).

4.4.1.3 Configuración Básica de la Red

Nodo Controlador: será el encargado de gestionar todos los recursos de

cloud e interactuar con los componentes, éste no ejecuta las máquinas

virtuales.

Nodos de Computación: en este componente se ejecutarán las máquinas

virtuales y recibirá las órdenes del nodo computador.

Nodo de Almacenamiento: este nodo ofrecerá espacio de almacenamiento

y se administrará mediante el nodo controlador.

Se propone una configuración de red que contará con dos tarjetas de red,

eth0 (red privada) y eth1 (red pública) que se puede configurar con VLANs

con las siguientes direcciones IP tanto para los nodos como para las

máquinas virtuales:

Elementos de Información

Rango de Direcciones IP

Eth0

Nodo Controlador

192.168.0.1/24

192.168.0.2

Nodo Computador 192.168.0.3

Nodo de Almacenamiento

192.168.0.4

Máquina Virtual 1 10.0.0.1/24

10.0.0.2

Máquina Virtual 2 10.0.0.3 Tabla 8 Direcciones IP de la Red

Page 111: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

94

Gráfica 16 Infraestructura Cloud Computing y direcciones IP en la Red

Se debe tener en cuenta que las direcciones IP asignadas a cada uno de los

componentes son fijas desde su creación hasta su destrucción y las

direcciones IP flotantes son aquellas que nos van a permitir acceder desde

una red pública.

Se crea las VLANs dependiendo del servicio que se va a brindar en este

caso de e-learning como tutorías, entrada y salida de información, etc., se

puede asignar una VLAN diferente para cada actividad de la empresa; de tal

manera que se distribuyan las actividades a través de la IP flotante que nos

permite el acceso a ella desde una red pública.

La creación de direcciones IP privadas para asociar a la red LAN con las

direcciones IP virtuales pueden ser a partir de 172.18.0.0/16 para que los

usuarios de cloud puedan acceder desde fuera a la cloud.

Para mantener todos los servicios sincronizados se debe instalar un servidor

NTP (Network Time Protocol) y reiniciar el servicio con los cambios que se

realicen.

Glance es el componente inicial el cual gestiona las instancias y almacena

las imágenes, aunque también es posible utilizar un componente de

almacenamiento de objetos de OpenStack.

Red Pública

Nodo de Almacenamiento

Nodo 1

Nodo Controlador

AdministradorUsuario

Administrador Usuario

192.168.0.2192.168.0.4

10.0.0.2 10.0.0.3

MV1 MV2

192.168.0.3

Firewall

Nodo Controlador

192.168.0.1

Page 112: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

95

A través de keystone se configura los datos para crear los usuarios con

diferentes privilegios quienes administrarán la nube y quienes tienen acceso

para el resto de los componentes de OpenStack.

Glance y Keystone (por defecto utilizan SQLite) guardarán los datos en

MySQL que se debe instalar en el nodo controlador.

Se recomienda utilizar al paquete rabbitmq-server que se encarga de la

gestión de mensajes entre los diferentes paquetes de OpenStack y

memcached que se encarga de cachear en memoria peticiones a base de

datos o a APIs.

OpenStack Networking (Neutrones, anteriormente Quantum) es un sistema

para la gestión de redes y direcciones IP. Asegura que la red no presente el

problema del cuello de botella o el factor limitante en un despliegue en la

nube y ofrece a los usuarios un autoservicio real, incluso a través de sus

configuraciones de red.

OpenStack Networking proporciona modelos de redes para diferentes

aplicaciones o grupos de usuarios. Los modelos estándar incluyen redes

planas o VLAN para la separación de los servidores y el tráfico. Gestiona las

direcciones IP, lo que permite direcciones IP estáticas o DHCP reservados.

Direcciones IP flotantes permiten que el tráfico se redirija dinámicamente a

cualquiera de sus recursos informáticos, que permite redirigir el tráfico

durante el mantenimiento o en caso de fracaso. Los usuarios pueden crear

sus propias redes, controlar el tráfico y conectar los servidores y los

dispositivos a una o más redes. Los administradores pueden aprovechar las

redes definidas por software de tecnología (SDN) como OpenFlow para

permitir altos niveles de multiempresa y escala masiva. OpenStack

Networking tiene un marco que permite la extensión de servicios de red

adicionales, como los sistemas de detección de intrusos (IDS), balanceo de

carga, cortafuegos y redes privadas virtuales (VPN) para ser implementada y

administrada.50

Para administrar la cloud mediante una interfaz y no por la consola se puede

optar por el paquete StackOps que se lo puede descargar y realizar la

instalación igual que cualquier sistema operativo.

De esta manera se muestra una guía en el diseño de una plataforma de

cloud, mostrando que es viable implementar una infraestructura de TI en

pequeñas y medianas empresas, bajo estándares de seguridad y gestión de

la información.

50 http://es.wikipedia.org/wiki/OpenStack

Page 113: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

96

4.4.1.4 Guía para la Implementación de la Plataforma de Cloud

Computing

A continuación se muestra el proceso global para la implementación de la

plataforma de cloud computing:

La dirección debe asignar los roles y responsabilidades para el

personal encargado en la implementación y garantiza que los

procedimientos sean documentados de acuerdo a los lineamientos

establecidos en la matriz de riesgos.

Se debe adecuar la infraestructura física del centro de datos,

seguridad física, estructura de red y componentes que se instalarán

en cada equipo como ya se mencionó en el documento dónde se

describe su infraestructura.

Se instalarán los servicios básicos (MySQL, Network Time Protocol

NTP).

Instalación y configuración de:

Keystone (servicio de autenticación)

Glance (servicio de gestión de imágenes)

Nova (servicios de computación)

Añadir imágenes para la configuración de máquinas virtuales.

Instalar una máquina virtual para realizar pruebas.

Instalación y configuración del Dashboard (horizon).

El sistema operativo debe estar actualizado para iniciar el proceso de

instalación/configuración.

Se debe tomar en cuenta el manejo de claves de acuerdo a lo establecido en

la matriz de riesgos.

Page 114: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

97

CAPITULO V

5.1 Presupuesto

Infraestructura

CANTIDAD EQUIPO CARACTERÍSTICAS

COSTO (unitario

aproximado usd)

COSTO TOTAL (usd)

2 Nodo Controlador

Procesador Intel Xenon 3.10 GHz, 8M Cache, QuadCore, Disco Duro de 1TB 7200rpm SATA (64bits)

934 1868

3 Nodo Computador

Procesador Intel Xenon 3.10GHz, 8M Cache, QuadCore, Disco Duro 2TB 7200rpm SATA (64 bits)

1124 3372

1 Nodo

Almacenamiento

Procesador Intel Xenon 3.10 GHz, 8M Cache, QuadCore, Disco Duro de 1TB 7200rpm SATA (64bits)

934 934

1 Switch TP-Link 24 puertos Gigabit

125,27 125,27

Subtotal 6.299,27

I.V.A (12%) 755,91

Total 7.055,18 Tabla 9 Presupuesto para Infraestructura51

Este costo se puede diferir a 36 meses sin intereses, por lo que las cuotas

mensuales son de 195,98 usd.

Herramientas para el Centro de Datos52

CANTIDAD ARTÍCULO PRECIO

UNITARIO (usd)

PRECIO TOTAL (usd)

100 Funda conectores RJ45 0,07 7,00

1 Cable UTP Cat5E (305m) 58,13

2 Funda Jack para RJ45 Cat 5E (10u) 0,99 19,80

2 Fundas boot para conectores RJ45 (50u) 0,05 2,50

1 Cámara de video vigilancia 802 E 402 TVL 49,09 49,09

1 Gabinete cerrado Rack Abatible 12ur puerta -Beacoup I-1026

325,00

1 Kit Sistema de Control de Acceso Biométrico 490,00

51http://www.dell.com/ec/empresas/p/poweredge-t110-2/pd 52 http://www.dipromacom.com/ecuador/catalogo/4268/mayoristas-en-computacion-dipromacom-sa-distribuidores-de-computadoras-guayaquil/

Page 115: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

98

(cerradura electromagnética, lector de huellas, soporte para cerradura, botón metálico de salida)

Subtotal 951,52

I.V.A (12%)

114,18

Total 1065,70 Tabla 10 Costos Centro de Datos

Seguridad

Sistema Smart-UPS Dell 15000VA53 49,65

Depreciación contable 3 años en equipos de computación

Firewall ASA 5510 Security Appilance 42,36

Depreciación contable 3 años en equipos de computación

Antivirus 150

242,01

Tabla 11 Costos de Seguridad para Cloud

Software Propietario

Tomando como base Windows Azure los costos (mensuales) por

implementar una infraestructura de cloud con software propietario es la

siguiente:54

APP Service usd

mensual

Máquinas virtuales

3.235 Ancho de Banda

Soporte técnico

Máquinas Virtuales usd

mensual

2 Núcleos 7 GB RAM 100 GB SSD

1.990,97 SQL Server Web

Ancho de Banda

Servicios en la Nube

usd mensual

Instancias de rol web y de trabajo

378,93 Bases de Datos

Ancho de banda

53 http://www.dell.com/ec/empresas/p/ups/pd 54 http://azure.microsoft.com/es-es/pricing/calculator/?scenario=virtual-machines

Page 116: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

99

Soporte Técnico

Almacenamiento

usd mensual

Dispositivos de Almacenamiento

323,67 Instancias Protegidas

Transacciones de almacenamiento

Backup usd

mensual

Tamaño de Instancias protegidas

530,96

Instancias Protegidas

Almacenamiento de Copias de Seguridad

Máquinas Virtuales Protegidas Cliente

Máquinas Virtuales Protegidas Azure

Bases de Datos

usd mensual

Base de Datos Estándar 95,94

Base de Datos Web y Business

Aprendizaje Automático

usd mensual

Usuarios

224,3 Horas de Experimentación

API Producción

transacciones

Servicio de Cache Administrado

usd mensual

Tamaño de Cache 2 unidades

474 Ancho de Banda

Soporte Técnico

Total Aproximado mensual (usd) 7.253,77 Tabla 12 Costos Software Propietario

El costo del soporte técnico puede aumentar de 300 usd. mensuales

(Estándar) hasta un soporte técnico profesional de 1000 usd. mensuales,

con eso aumentando el costo de la plataforma de cloud.

Ninguno de los proveedores de servicios cloud se encuentran en Ecuador

esto implica que los datos son almacenados en servidores fuera del país, lo

que implicaría un costo extra para obtener un mejor rendimiento.

Page 117: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

100

A pesar de que los servicios ofertan su cloud pagando únicamente lo que se

usa, siempre existen costos adicionales tales como actualizaciones, que

tienen un costo extra de pago por el servicio.

Los costos son aproximados, tomando los servicios más básicos, si se

requiere escalar la plataforma el costo del servicio mensual aumentará.

Estos costos se calculan sin contar con las tasas por compras en el exterior,

pago de impuestos y aranceles lo que de igual manera aumentarán los

costos.

Software Libre

Todas las plataformas de open source para cloud son gratuitas, cabe

destacar que primero se requiere establecer cuáles son las necesidades del

negocio y si estas soluciones cubren los requerimientos para brindar un

servicio de calidad.

Los costos de las licencias representan un ahorro para quienes opten por

esta alternativa como plataforma de cloud, por lo que la inversión que se

realizaría sería en la infraestructura y el software puede ser modificado de

acuerdo a las necesidades de la empresa.

Se tomará como base la plataforma OpenStack para determinar el costo de

implementar la plataforma de Cloud mediante esta plataforma.

El software base que se va a utilizar para levantar la plataforma de Cloud

Ubuntu se descarga gratuitamente de la página

http://www.ubuntu.com/download.

OpenStack igualmente puede descargarse gratuitamente de la página

http://www.rackspace.com/es/cloud/private/openstack/software, la cual tiene

toda la capacidad de la nube sin complicaciones en ejecutarla para que se

pueda concentrar en su capacidad principal.55

OpenStack viene preparado para montarlo en los servidores que se tienen o

que se adquirirán en la empresa, dado que la empresa cuenta con personal

de soporte, ellos serían los encargados de brindar el soporte al implementar

la plataforma.

Como ya se analizó anteriormente con OpenStack los costos de licencias

representan un ahorro.

Los costos relacionados a la plataforma de software libre para cloud son los

siguientes:

55 http://www.rackspace.com/es/cloud/private/openstack/software

Page 118: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

101

usd mensual

Costo software libre OpenStack 0

Costo soporte técnico 0

Costo almacenamiento 0

Costo máquinas virtuales 0

Costo software virtualización 0

Costo Software Backup 0 Tabla 13 Costos Software Libre

Se estima que las cifras que maneja la empresa antes de implementar la

plataforma de cloud computing son los siguientes:

Ingresos

Ingresos (Aproximado usd mensual)

Diseño y construcción (sector naval) 5.000

Consultorías ingeniería y arquitectura (sector marítimo) 5.000

Distribución de software para el diseño en el sector marítimo 2.000

Total 12.000 Tabla 14 Ingresos de la Empresa

Egresos

Egresos (Aproximado

mensual)

Capacitaciones 1.000

Sueldos 8.000

Gastos Varios 1.000

Total 10000 Tabla 15 Egresos de la Empresa

Con lo que se obtiene una utilidad de 2.000 dólares mensuales a favor de la

empresa.

5.2 Análisis de Costos de E-learning con Software Propietario

Al implementar un modelo de servicio cloud computing para brindar servicios

e-learning se obtienen las siguientes cifras:

Se estima que el servicio de e-learning, se estima que se tendrán

aproximadamente 45 alumnos al mes, estos pueden aumentar de acuerdo al

tipo de tutorías que se brindará. Además se consideran los servicios de

consultoría en soluciones de Ingeniería y arquitectura para el sector

marítimo, estos pueden estimarse en aproximadamente 100 dólares

mensuales, los ingresos se muestran en la siguiente tabla:

Page 119: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

102

Ingresos por el servicio E-learning

Número de Personas Costo por Persona (mensual)

Ingreso Mensual

45 $ 80,00 $ 3.600,00

Ingresos por Servicios de Consultoría

Número de Personas (aprox.)

Costo por Persona (mensual)

Ingreso Mensual

10 $ 100,00 $ 1.000,00

Ingreso Mensual Total $ 4.600,00

Tabla 16 Ingresos por Servicios E-learning y Consultorías

Para la implementación del modelo de servicio cloud computing con software

propietario se obtienen los siguientes datos:

Ingresos

Ingresos (Aproximado

mensual)

Diseño y construcción (sector naval) 5.000

Consultorías ingeniería y arquitectura (sector marítimo) 5.000

Distribución de software para el diseño en el sector marítimo 2.000

E-learning y Consultorías 4.600

Total 16.600 Tabla 17 Ingresos con Servicio E-learning (Software Propietario)

Egresos

Egresos (Aproximado

mensual)

Capacitaciones 1.000,00

Sueldos 8.000,00

Gastos Varios 1.000,00

Plataforma Cloud Propietario

7.253,77

Total 17.253,77 Tabla 18 Egresos con Servicio E-learning (Software Propietario)

Con lo que se obtiene una pérdida de 653,77 dólares mensuales, debido a

que el pago por el alquiler de una plataforma cloud no se difiere y estos son

cancelados en su totalidad mensualmente.

5.3 Análisis de Costos de E-learning con Software Libre

Para la implementación del modelo de servicio cloud computing con software

libre se obtienen los siguientes datos:

Page 120: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

103

Ingresos

Ingresos (Aproximado

mensual)

Diseño y construcción (sector naval) 5.000

Consultorías ingeniería y arquitectura (sector marítimo) 5.000

Distribución de software para el diseño en el sector marítimo 2.000

E-learning y Consultorías 4.600

Total 16.600 Tabla 19 Ingresos con Servicio E-learning (Software Libre)

Egresos

Costos Infraestructura 195,98

7055,18(Depreciación contable de 3 años en equipos de computación)

Costos Centro de Datos

1.065,70

Capacitaciones 1.000

Plataforma de Cloud 0

Sueldos 8.000

Gastos Varios 1.000

Seguridad 242,01

Total 11.503,69

Tabla 20 Egresos con Servicio E-learning (Software Libre)

Con lo que se obtiene una utilidad de 5.096,32 dólares mensuales a favor de

la empresa, debido a que hay una depreciación contable a 3 años en

equipos de computación.

La utilidad después de adoptar una plataforma de cloud con software libre

aumenta en relación a la utilidad antes de adoptar este modelo de servicio e-

learning por lo que esto se puede invertir en capacitaciones y mantenimiento

de la infraestructura de cloud.

Lo que se busca es tener una infraestructura propia de Cloud en la que los

datos sean administrados y manejados por su propietario, si bien existen

proveedores que garantizan la protección de los datos una vez almacenados

estos pueden ser vulnerables al ser manipulados al estar expuestos y esto

no es lo que se busca.

Por lo que el adoptar nuestra propia infraestructura de cloud y montar un

servicio a través de plataformas de software libre en la cual puedo hacer uso

de los datos responsablemente mediante el análisis de riesgos presentado,

administrar e implementar las aplicaciones que el administrador desee para

Page 121: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

104

brindar el servicio de e-learning y experimentar beneficios técnicos y de

negocio mientras se toma en cuenta la arquitectura de la infraestructura.

Page 122: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

105

6. Conclusiones

El objetivo de la tesis ha sido analizar definir y generar políticas de

seguridad para el manejo de la información, en la misma se muestra

la matriz de análisis de riesgos en la cual se establecen los elementos

de información que se administrarán en la cloud tanto para datos e

información, sistemas e infraestructura y personal, identificando las

amenazas a las cuales se exponen y planteando los

lineamientos/mitigaciones basados en los estándares ISO/IEC 27001

y 27002.

De acuerdo al servicio e-learning se plantean los acuerdos de nivel de

servicio con los que contará la plataforma de cloud, estableciendo

preparando así un entorno flexible, cómodo y escalable.

El software libre ha evolucionado con el pasar del tiempo brindando la

posibilidad de ahorrar grandes cantidades de dinero en la adquisición

de licencias, con esto reducir los costos del proyecto manteniendo la

calidad del servicio.

En ocasiones es difícil para pequeñas y medianas empresas

implementar nuevas tecnologías de información y adaptase a ellas;

además de competir con empresas grandes. Por ello la utilización de

un software libre para la administración de una plataforma propia de

cloud hará que ésta sea más rápida y fácil haciendo ganar tiempo y

dinero gracias al crecimiento de estas plataformas open source que

guían al encargado de implementarla, obtener todos los servicios que

requiere la empresa y enfocarse en los servicios que pueda ofrecer

sin exponer la información y los datos a terceras personas corriendo

el riesgo de hurto o pérdida de la información.

En la matriz de riesgos se han definido los elementos de información

que formarán parte de la cloud y se han identificado las amenazas

que afectarán a estos, a través de las normas ISO 27001 e ISO 27002

se identifican los controles para cada tipo de amenaza y así disminuir

los riesgos, determinando lineamientos para el manejo de la

información, protección de los datos y manejo de personal que

utilizará la cloud.

Los lineamientos servirán de guía a la dirección de la empresa para

establecer políticas de seguridad a sistemas e infraestructura, datos e

información y personal; con esto, se puede controlar todo un conjunto

de vulnerabilidades concientizando a los empleados de la empresa

sobre la importancia y sensibilidad de la información.

El uso de herramientas ITIL ha sido valioso para tener en cuenta el

uso óptimo de recursos orientado al proceso para entregar una

infraestructura TI como un conjunto de servicios, comprender los

riesgos, los objetivos, analizando el funcionamiento de la cloud en la

organización mejorando la entrega del servicio y administrando

Page 123: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

106

recursos, alineando buenas prácticas que va de la mano con el

objetivo del negocio.

La evolución de la plataformas de software libre está en aumento,

brindando mejores y mayores opciones para el beneficio empresarial,

si bien tiene sus desventajas al igual que el software propietario la

adopción de una plataforma de cloud a través de software libre

permite ahorrar gastos en software propietario el cual se puede

invertir en mejorar la infraestructura y capacitar a los encargados de

administrar la plataforma. Cabe destacar que la capacitación del

personal que trabaja en la empresa no es un gasto sino una inversión

para beneficio de la misma organización.

Page 124: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

107

7. Recomendaciones

Se debe tener en cuenta los riesgos a los que se expone el manejo de

la información en entornos abiertos, realizando análisis de la

información que se va a exponer, creando estrategias para el

almacenamiento y administración de la información.

Es importante conocer sobre el tipo de servicio que va a disponer la

cloud, determinando el número de usuarios que acceden en la red, el

personal a cargo de su administración, guiándose en las amenazas

que pueden suscitarse y a la política de seguridad de la empresa.

La organización, sus administradores y empleados deben establecer

claramente las políticas de seguridad que regirán al adoptar un

modelo de servicio determinado roles y responsabilidades para

usuarios y administradores que manejan los datos, así como también

accesos, soporte, recuperación de la información, etc., además de

procedimientos a seguir ante eventuales fallos de seguridad y

respuesta ante incidentes teniendo en cuenta la confidencialidad,

disponibilidad e integridad de la información.

Hay que tomar en cuenta que las aplicaciones que se van a utilizar,

cuentan con los elementos y mecanismos de seguridad para poder

cumplir con el servicio que se brindará, así como la compatibilidad

con el software y la capacidad de hardware para procesar las

aplicaciones sin afectar la infraestructura de cloud y la privacidad de

datos personales.

Dado que cada empresa tiene diferentes necesidades, es necesario

considerar que la plataforma que se implementará cubre las

necesidades del negocio, brindará los determinados y a largo plazo

ver si es realmente favorable acceder al uso de esta tecnología.

Se deben realizar las pruebas necesarias del funcionamiento de la

infraestructura antes de ponerla al servicio de los usuarios.

Es importante tomar en cuenta que quien realice la implementación

del sistema debe tener conocimientos en el manejo de la

infraestructura y software utilizando la guía para implementación.

Page 125: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

108

8. Bibliografía

1. NIST, National Institute of Standard and Technology, http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html.

2. REESE, George, Cloud Application Architectures: Building Applications and Infrastructure in the Cloud (Theory in Practice (O’Reilly)), April 2009.

3. SOSINSKY, Barrie, Cloud Computing Bible, 2011.

4. COBIT5-and-InfoSec-Spanish.ppt.

5. WILLIAMS, Mark, A quick start guide to Cloud Computing, moving your business into the cloud, 2010.

6. Estándar Internacional ISO/IEC 27001 Tecnología de la Información – Técnicas de Seguridad – Sistemas de gestión de seguridad de la información – Requerimientos ISO/IEC 27001:2005, Primera Edición.

7. Estándar Internacional ISO/IEC 27002 Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información, Segunda Edición.

8. INTECO, Guía para empresas: Seguridad y privacidad del Cloud Computing, http://www.inteco.es/files.

9. Guías de Seguridad de Áreas Críticas en Cloud Computing V3.0, http://www.cloudsecurityalliance.org/guidance/csaguide_v3.0.pdf

10. “Introduction to server virtualization”, http://articles.techrepublic.com/5100-10878_11-6074941.html,

11. http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_la_capacidad/proceso_gestion_de_la_capacidad/proceso_gestion_de_la_capacidad.php.

12. “Architecture OpenNebula”, http://opennebula.org/publication-of-the-opennebula-cloud-os-architecture-in-ieee-computer.

13. “Riesgos y recomendaciones para la seguridad de la información” http://www.enisa.europa.eu/beneficios-riesgos-recomendaciones-para-la-seguridad-de -a-información.

14. “Virtualización y servicios distribuidos en red (Cloud Computing): impacto en los proveedores de servicio” http://www.mkm-pi.com/mkmpi.php?article3924.

15. “Arquitectura Open Stack”,

Page 126: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

109

https://laboratoriosvirtuales.files.wordpress.com/2011/12/arquitectura_openstack.png.

16. “Gestión de Riesgos” https://protejete.files.wordpress.com/2009/07/abc-de-la-gestion-de-riesgos.pdf.

17. “Análisis de Riesgos”, https://protejete.wordpress.com/gdr_principal/analisis_riesgo.

18. “Arquitectura eucaliptus”, https://www.eucalyptus.com/eucalyptus-cloud/iaas/architecture

19. NIST National Institute of Standard san Technology, http://www.csrc.nist.gov/groups/SNS/cloud-computing/index.html

20. OpenStack, “Software de código abierto para la creación de nubes privadas y públicas”, http//www.openstack.org.

21. “Google App Engine”, http://www.compracloud.com/servicios/google-app-engine.

22. “Herramientas de Google Apps”, https://sites.google.com/a/uvirtualledu.pe/curso-de-herramientas-de-google-apps/intoduccin/proveedorescloud.

23. “Calcualdora Virtual de Windows Azure”, http://azure.microsoft.com/es-es/pricing/calculator/?scenario=virtual-machines.

24. “OpenStack”, http://es.wikipedia.org/wiki/OpenStack.

25. “Productos para infraestructura de Centros de Datos para Empresas Pequeñas”, http://www.dell.com/ec/empresas/p/poweredge-t110-2/pd.

26. “Distribuidores Mayoristas de Equipos de Computación DIPROMACOM”, http://www.dipromacom.com/ecuador/catalogo/4268/mayoristas-en-computacion-dipromacom-sa-distribuidores-de-computadoras-guayaquil.

27. “Productos para infraestructura de Centros de Datos para Empresas Pequeñas”, http://www.dell.com/ec/empresas/p/ups/pd.

Page 127: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

110

Anexos

Page 128: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

111

Page 129: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

112

Page 130: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

113

Page 131: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

114

Page 132: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

115

Page 133: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

116

Page 134: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

117

Page 135: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

118

Page 136: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

119

Page 137: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

120

Page 138: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

121

Page 139: UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE …privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica,

122