DESARROLLO DE LA ACTIVIDAD
a.
Un (1)
artículo para presentar en una ponencia o una revista indexada
Resumen
Esta ponencia se enfoca en brindar solución a
la seguridad en la nube, brindando apoyo vital a los grandes proveedores de
estos servicios para incrementar la seguridad ofertada, garantizando a los
usuarios finales la seguridad en todos los archivos que ellos a bien puedan
almacenar en las diferentes cuentas de los proveedores que ofrecen estos
servicios.
1. PROPOSITO
Esta ponencia tiene como propósito la
Seguridad en la Nube, abarcando la principal problemática de la vulnerabilidad
de los archivos alojados en la nueve, en donde se han detectado ataques
detectados por empresas líderes en seguridad, es por esta causa que se busca
brindar un aumento en la seguridad al momento de disponer de estos servicios
por parte de los usuarios minimizando los riesgos actuales para los mismos.
2. ANTECEDENTES
El concepto de “nube” comenzó en proveedores
de servicio de Internet como Google, Amazon AWS, Microsoft y otros que
construyeron su propia infraestructura.
De los aportes de las mencionadas
organizaciones surgió una arquitectura: un sistema de recursos distribuidos
horizontalmente, introducidos como servicios virtuales de TI escalados
masivamente y manejados como recursos configurados y mancomunados de manera
continua.
La Nube es un término informático que se
desarrolló a finales de la década del 2000, basado en la utilidad y el consumo
de los recursos informáticos compartidos.
Las nubes pueden clasificarse como públicas,
privadas o híbridas. En este tipo de computación todo lo que puede ofrecer un
sistema informático se ofrece como servicio, de modo que los usuarios puedan acceder
a los servicios disponibles utilizando el Internet sin necesidad de
conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que
usan.
3. AMENAZAS NOTORIAS
Actualmente los servicios ofertados en la nube
tienen una amenaza notoria, en donde al momento de migrar a la “Nube” debemos
tener en cuenta para minimizar el impacto e implementar los controles mínimos
que debemos tener para nuestros servicios, plataformas hacia los usuarios.
Dentro de las amenazas encontramos:
1. Violación
de Datos.
2. Pérdida
de Datos.
3. Secuestro
de Cuentas o Servicios.
4. Interfaces
y APIs inseguras.
5. Negación
de Servicio.
6. Persona
interna mal intencionado.
7. Abuso
de servicio en el Nube.
8. Insuficiente
debida diligencia.
9. Problemas
en Tecnologías Compartidas.
Estas amenazas las podemos minimizar con los
controles adecuados para cada tipo de posible debilidad en la arquitectura
planteada para ofrecer los servicios en la nube para los usuarios.
4. ESTRATEGIA DE SEGURIDAD
Para dar solución a los problemas de seguridad
en los servicios de la Nube, planteamos una serie de controles a tener en
cuenta por cada uno, evaluando la matriz de riesgo de cada uno, estos controles
nos ayudan a tener el control, para brindar de forma eficiente y segura los servicios
a los que los usuarios pueden acceder de manera confiable y segura.
4.1. Violación de Datos.
Hace referencia a la información confidencial
de los usuarios copiada, transmitida, leída, robada o usada por personas no
autorizadas.
Los controles que se sugieren adoptar para
mejorar son:
• Implementar
una política de retención.
• Implementar
un borrado seguro de archivos.
• Implementar
política de cifrado de archivos.
• Implementar
manejo de llaves.
• Implementar
credenciales de usuario.
• Implementar
autenticación multifactor.
4.2. Perdida de Datos.
Hace referencia a los errores en los sistemas,
fallas de almacenamiento, transmisión y/o procesamiento de la información.
Los controles que se sugieren adoptar para
mejorar son:
• Implementar
una política de retención.
• Implementar
una evaluación de riesgos.
• Minimizar
riesgos ambientales.
• Ubicar
adecuadamente los equipos en instalaciones optimizadas para esta función.
4.3. Secuestro de Cuentas o Servicios.
Hace referencia a que una persona mal intencionada
secuestre una cuenta a través de algún sistema o dispositivo.
Los controles que se sugieren adoptar para
mejorar son:
• Política
de acceso de usuarios.
• Restricción
/ Autorización de Accesos.
• Revocación
de Accesos.
• Revisión
de Accesos.
• Gestión
de Incidentes.
• Credenciales
de Usuario.
• Autenticación
multifactor.
• Registro
de Auditoria.
4.4. Interfaces y APIs Inseguras.
Hace referencia a las interfaces de
programación de aplicaciones (API) que contienen vulnerabilidades que permitan explotar
servicios y datos de manera no autorizada.
Los controles que se sugieren adoptar para
mejorar son:
• Restricción
/ Autorización de Accesos.
• Seguridad
de Datos / Integridad.
• Seguridad
en Aplicativos.
4.5. Negación de Servicio.
Hace referencia a la interrupción de una red,
típicamente causado por un intento mal intencionado.
Los controles que se sugieren adoptar para
mejorar son:
• Requerimientos
Base.
• Planeación
de Capacidad / Recursos.
• Fallas
eléctricas en equipos.
• Seguridad
en aplicaciones.
4.6. Persona Interna mal Intencionada.
Hace referencia a un empleado, ex empleado,
socio de negocio, proveedor con acceso a la red y datos que puede causar y
afectar la confidencialidad e integridad de los datos.
Los controles que se sugieren adoptar para
mejorar son:
• Auditorias
a terceros.
• Políticas
de seguridad, etiquetado / manejo.
• Fuga
de información.
• Acceso
de usuarios.
• Acceso
a personas no autorizadas.
• Autorización
fuera de sitio.
• Investigación
de antecedentes.
• Roles
y responsabilidades, separación de funciones, cifrado.
4.7. Abuso de Servicios en la Nube.
Hace referencia al uso de los recursos de la
nube para darles mal uso.
Los controles que se sugieren adoptar para
mejorar son:
• Preparación
para incidentes legales.
• Uso
aceptable.
4.8. Insuficiente Diligencia.
Hace referencia a la adopción de servicios en
la nube sin un entendimiento de los controles de seguridad en el despliegue o
no hacer las suficientes validaciones y controles de privacidad en la nube.
Los controles que se sugieren adoptar para
mejorar son:
• Evaluación
de riesgos.
• Conocimiento
de la Industria.
• Capacidades
/ Planeación de Recursos.
• Evaluaciones.
• Gestión
del Programa.
• Análisis
de Impacto.
• Continuidad
del Negocio.
• Seguridad
de Datos.
• Seguridad
de Aplicativos.
• Seguridad
en la red.
4.9. Vulnerabilidades en Tecnologías
Compartidas.
Hace referencia al uso de las herramientas
claves que hacen posible la nube.
Los controles que se sugieren adoptar para
mejorar son:
• Política
de acceso a usuarios.
• Credenciales
de usuarios.
• Segmentación.
• Redes
compartidas.
• Registro
de auditoría.
• Encripcion.
• Gestión
de Parches.
