ARTICULO

DESARROLLO DE LA  ACTIVIDAD

a.                  Un (1) artículo para presentar en una ponencia o una revista indexada

Resumen

Esta ponencia se enfoca en brindar solución a la seguridad en la nube, brindando apoyo vital a los grandes proveedores de estos servicios para incrementar la seguridad ofertada, garantizando a los usuarios finales la seguridad en todos los archivos que ellos a bien puedan almacenar en las diferentes cuentas de los proveedores que ofrecen estos servicios.

1. PROPOSITO

Esta ponencia tiene como propósito la Seguridad en la Nube, abarcando la principal problemática de la vulnerabilidad de los archivos alojados en la nueve, en donde se han detectado ataques detectados por empresas líderes en seguridad, es por esta causa que se busca brindar un aumento en la seguridad al momento de disponer de estos servicios por parte de los usuarios minimizando los riesgos actuales para los mismos.

2. ANTECEDENTES

El concepto de “nube” comenzó en proveedores de servicio de Internet como Google, Amazon AWS, Microsoft y otros que construyeron su propia infraestructura.

De los aportes de las mencionadas organizaciones surgió una arquitectura: un sistema de recursos distribuidos horizontalmente, introducidos como servicios virtuales de TI escalados masivamente y manejados como recursos configurados y mancomunados de manera continua.

La Nube es un término informático que se desarrolló a finales de la década del 2000, basado en la utilidad y el consumo de los recursos informáticos compartidos.

Las nubes pueden clasificarse como públicas, privadas o híbridas. En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como servicio, de modo que los usuarios puedan acceder a los servicios disponibles utilizando el Internet sin necesidad de conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan.

3. AMENAZAS NOTORIAS

Actualmente los servicios ofertados en la nube tienen una amenaza notoria, en donde al momento de migrar a la “Nube” debemos tener en cuenta para minimizar el impacto e implementar los controles mínimos que debemos tener para nuestros servicios, plataformas hacia los usuarios.

Dentro de las amenazas encontramos:

1.         Violación de Datos.

2.         Pérdida de Datos.

3.         Secuestro de Cuentas o Servicios.

4.         Interfaces y APIs inseguras.

5.         Negación de Servicio.

6.         Persona interna mal intencionado.

7.         Abuso de servicio en el Nube.

8.         Insuficiente debida diligencia.

9.         Problemas en Tecnologías Compartidas.

Estas amenazas las podemos minimizar con los controles adecuados para cada tipo de posible debilidad en la arquitectura planteada para ofrecer los servicios en la nube para los usuarios.

4. ESTRATEGIA DE SEGURIDAD

Para dar solución a los problemas de seguridad en los servicios de la Nube, planteamos una serie de controles a tener en cuenta por cada uno, evaluando la matriz de riesgo de cada uno, estos controles nos ayudan a tener el control, para brindar de forma eficiente y segura los servicios a los que los usuarios pueden acceder de manera confiable y segura.

4.1. Violación de Datos.

Hace referencia a la información confidencial de los usuarios copiada, transmitida, leída, robada o usada por personas no autorizadas.

Los controles que se sugieren adoptar para mejorar son:

•          Implementar una política de retención.

•          Implementar un borrado seguro de archivos.

•          Implementar política de cifrado de archivos.

•          Implementar manejo de llaves.

•          Implementar credenciales de usuario.

•          Implementar autenticación multifactor.

4.2. Perdida de Datos.

Hace referencia a los errores en los sistemas, fallas de almacenamiento, transmisión y/o procesamiento de la información.

Los controles que se sugieren adoptar para mejorar son:

•          Implementar una política de retención.

•          Implementar una evaluación de riesgos.

•          Minimizar riesgos ambientales.

•          Ubicar adecuadamente los equipos en instalaciones optimizadas para esta función.

4.3. Secuestro de Cuentas o Servicios.

Hace referencia a que una persona mal intencionada secuestre una cuenta a través de algún sistema o dispositivo.

Los controles que se sugieren adoptar para mejorar son:

•          Política de acceso de usuarios.

•          Restricción / Autorización de Accesos.

•          Revocación de Accesos.

•          Revisión de Accesos.

•          Gestión de Incidentes.

•          Credenciales de Usuario.

•          Autenticación multifactor.

•          Registro de Auditoria.

4.4. Interfaces y APIs Inseguras.

Hace referencia a las interfaces de programación de aplicaciones (API) que contienen vulnerabilidades que permitan explotar servicios y datos de manera no autorizada.

Los controles que se sugieren adoptar para mejorar son:

•          Restricción / Autorización de Accesos.

•          Seguridad de Datos / Integridad.

•          Seguridad en Aplicativos.

4.5. Negación de Servicio.

Hace referencia a la interrupción de una red, típicamente causado por un intento mal intencionado.

Los controles que se sugieren adoptar para mejorar son:

•          Requerimientos Base.

•          Planeación de Capacidad / Recursos.

•          Fallas eléctricas en equipos.

•          Seguridad en aplicaciones.

4.6. Persona Interna mal Intencionada.

Hace referencia a un empleado, ex empleado, socio de negocio, proveedor con acceso a la red y datos que puede causar y afectar la confidencialidad e integridad de los datos.

Los controles que se sugieren adoptar para mejorar son:

•          Auditorias a terceros.

•          Políticas de seguridad, etiquetado / manejo.

•          Fuga de información.

•          Acceso de usuarios.

•          Acceso a personas no autorizadas.

•          Autorización fuera de sitio.

•          Investigación de antecedentes.

•          Roles y responsabilidades, separación de funciones, cifrado.

4.7. Abuso de Servicios en la Nube.

Hace referencia al uso de los recursos de la nube para darles mal uso.

Los controles que se sugieren adoptar para mejorar son:

•          Preparación para incidentes legales.

•          Uso aceptable.

4.8. Insuficiente Diligencia.

Hace referencia a la adopción de servicios en la nube sin un entendimiento de los controles de seguridad en el despliegue o no hacer las suficientes validaciones y controles de privacidad en la nube.

Los controles que se sugieren adoptar para mejorar son:

•          Evaluación de riesgos.

•          Conocimiento de la Industria.

•          Capacidades / Planeación de Recursos.

•          Evaluaciones.

•          Gestión del Programa.

•          Análisis de Impacto.

•          Continuidad del Negocio.

•          Seguridad de Datos.

•          Seguridad de Aplicativos.

•          Seguridad en la red.

4.9. Vulnerabilidades en Tecnologías Compartidas.

Hace referencia al uso de las herramientas claves que hacen posible la nube.

Los controles que se sugieren adoptar para mejorar son:

•          Política de acceso a usuarios.

•          Credenciales de usuarios.

•          Segmentación.

•          Redes compartidas.

•          Registro de auditoría.

•          Encripcion.

•          Gestión de Parches.