Plantilla de Ejemplo
Plantilla de Ejemplo
Plantilla de Ejemplo
INTRODUCCIÓN.......................................................................................................................................4
JUSTIFICACIÓN........................................................................................................................................8
OBJETIVOS.............................................................................................................................................12
CAPÍTULO I............................................................................................................................................15
CAPÍTULO II...........................................................................................................................................26
2.1.2..............................................................................................................................................28
CAPÍTULO III..........................................................................................................................................30
CONCLUSIONES.....................................................................................................................................30
RECOMENDACIONES.............................................................................................................................33
REFERENCIAS BIBLIOGRÁFICAS.............................................................................................................35
ANEXOS.................................................................................................................................................36
INTRODUCCIÓN
En los últimos años, las tecnologías asociadas a internet han cambiado en forma
notable, las cuales vienen a ser vitales para el mundo empresarial y han permitido
que la Computación en la Nube irrumpa como un paradigma o modelo a costos
moderados, para proveer y acceder a recursos de computación a través de internet.
En esta investigación se trabaja el tema de Computación en la Nube desde la
perspectiva de aplicación a ambientes de educación, verificando los beneficios y
riesgos de esta en el manejo de las informaciones, en este caso aplicado al Instituto
Técnico Superior Comunitario.
4
estas en 7 áreas de formación, salud, informática, artes, construcción, industrial y
electromecánica. En los dos primeros períodos académicos se obtuvo una matrícula
de 1850 estudiantes en las distintas áreas de formación que ofrece la institución, la
cual está dirigida en su más alto nivel, por el Dr. Víctor Hugo De Lancer como
RECTOR, Julio Peña como VICERRECTOR ADMINISTRATIVO, la Mtra. Marcia Corporán
en la VICERRECTORÍA ACADÉMICA, Cristóbal Polanco en la función de VICERRECTOR
DE VINCULACIÓN Y EXTENSIONES.
5
Para este estudio se realizaron los siguientes tipos de investigación:
Investigación de campo: Durante este proceso, las informaciones derivaron entre
otras, de entrevistas a personal del área afectada y encuesta, para hacer una
recopilación de información de los procesos actuales, lo que permitió entender mejor
los mecanismos internos y sus operaciones.
En esta investigación se podrán percibir una serie de contenidos, que van desde
conceptos elementales de Computación en la Nube y seguridad, hasta el punto de
proponer un sistema de Computación en la Nube para el Instituto Técnico Superior
Comunitario, en el capítulo I, se procede a dar introducción a conceptos y
terminologías básicas relacionadas a la Computación en la Nube, así como a las
distintas formas de arquitecturas en que puede ser implementada una Nube.
Los tipos de Nubes, beneficios y retos que se presentan en la Computación en la
Nube son temas de estudio, por ende se despliegan estos elementos en este primer
capítulo. Sin dejar fuera elementos tan importantes como la seguridad de los datos,
metodologías para entrar e implementar la Nube y los distintos mecanismos para el
acuerdo de contratación de servicios en la Nube. Además de otros elementos
altamente interesantes.
Este escrito presenta los pasos a seguir por una institución interesada en
implementar una arquitectura de Nube para sus recursos informáticos, además de
presentar un contraste entre las desventajas y factibilidades de realizar la migración
de su plataforma o arquitectura de negocios (sea parcial o total) a una arquitectura
en la Nube. Y este enfoque es el que muestra el capítulo IV, orientando esto último al
Instituto Técnico Superior Comunitario.
7
JUSTIFICACIÓN
8
estos trayendo con sigo una serie de beneficios a la empresa, claro está, en forma
individual todas estas implementaciones asientan sus implicaciones económicas,
comerciales, de seguridad y de tiempo de acceso. Elementos todos a ser
considerados al momento de pensar en Cloud Computing.
En los últimos años, las tecnologías relacionadas a Internet, vienen presentando
cambios significativos, los cuales trascienden en el mundo empresarial, esto ha
permitido que la Computación en la Nube penetre como un modelo a costos
plausibles para proveer y tener acceso a recursos informáticos en la web.
Para el Instituto Técnico Superior Comunitario, es razonable poseer todos los por
menores referentes a las opciones que brinda la Computación en la Nube, así como
los distintos proveedores de estos servicios.
Hoy día la tendencia empresarial se está volcando a no adquirir su propia
infraestructura, sino a solo adquirir los servicios que necesitan y estos en la Nube.
Por lo que el tema en cuestión se presenta interesante y de mucha importancia para
la materialización de esta tendencia.
Es bien sabido que las empresas de hoy requieren presencia global y para lograr
esto, la Computación en la Nube puede constituirse en una herramienta poderosa en
favor de tales fines, permitiendo brindar servicios diversos a larga distancia y sin
presencia física, claro está, dependiendo del servicio que se proyecte. Por lo que es
muy acertado contemplar e incluso incursionar en este arquetipo informático, lo que
permite denotar la importancia que tiene el poseer conocimiento de esta herramienta
y por ende se estudia de manera minuciosa los elementos, características e
implementación relacionados a la Computación en la Nube.
Una vez concluidas las investigaciones relacionadas al tema en cuestión, son
múltiples los entes beneficiados, por una parte el autor, quien al aplicar los
conocimientos teóricos en el proceso de recopilación de datos, obtiene esa
experiencia práctica que consolida lo teórico y por ende estará ampliando sus
conocimientos en un tema de vanguardia, beneficio este que se extiende al Instituto
Técnico Superior Comunitario (entidad caso de estudio), dado que estos
conocimientos adquiridos, serán compartido con dicha entidad, quien ha de decidir, si
adentrarse o no en este paradigma informático, no se debe olvidar a los más
9
beneficiados (en caso de este planteamiento realizarse), es decir, los estudiantes de
esta casa de estudios, que son los más influenciados por los procesos actuales de
inscripción y matriculación. Esto a la vez, motiva la escogencia de la Computación en
la Nube como tema de investigación.
10
DESCRIPCIÓN Y SISTEMATIZACIÓN DEL PROBLEMA
11
OBJETIVOS
OBJETIVO GENERAL
Analizar los beneficios y riesgos en el manejo de la información con el uso de Cloud
Computing en la administración de los datos estudiantiles.
OBJETIVOS ESPECÍFICOS
Describir beneficios, riesgos y amenazas en el uso del Cloud Computing.
Reseñar mecanismos y políticas de seguridad aplicables al Cloud Computing
para mitigar amenazas.
Explicar procesos de aseguramiento de la Nube y tecnologías emergentes
relacionadas a la virtualización.
Analizar el modelo de Cloud Computing en la reducción de costos operativos y
de mejoraras de las prestaciones en los servicios ofrecidos, sintetizando
informaciones sobre el manejo actual de los datos del XXX
.
12
METODOLOGÍA DE INVESTIGACIÓN UTILIZADA
Fuentes de investigación
Primarias: Para este escudriñamiento se utilizaron como fuentes de información
primarias, las recopiladas mediante entrevistas a empleados de las áreas
directamente afectadas (registro y documentación), encargados del área académica
de informática y personal de informática.
13
Fuentes Secundarias: En este proyecto, se le llaman fuentes secundarias a libros y
revistas que aportaron luz al desarrollo de la investigación, además de documentos
de la institución, tales como planes operativos, también monografías de
universidades locales y con gran participación el internet, que proporcionaron
suficientes informaciones en relación al tema.
14
CAPÍTULO I
BENEFICIOS, RIESGOS Y AMENAZAS EN EL USO
DEL CLOUD COMPUTING
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ ZZZZZZZZZZZZZZZZZZZZZZZZ.
1
Cloud Security Alliance, Guía para la seguridad en áreas críticas de atención en Cloud Computing.
Noviembre 2009
15
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ
ZZZZZZZZZZZZZZZZZZZZZ
16
1.1.1 Arquitectura del Cloud Computing
por los recursos consumidos. “Este servicio puede ser visto como una evolución de los
servidores privados virtuales que ofrecen actualmente las empresas de hosting”2
Ilustración 1 San José Pablo Pérez, et al. Octubre 2011 Guia Para Empresas: Seguridad y privacidad del Cloud Computing
2
Guía para empresas: Seguridad y privacidad del Cloud Computing, Octubre 2011
17
1.2 Tipos de Nubes
“Desde el punto de vista económico, utilizando una Nube pública (también conocida como
Nube externa) puede ahorrar costos económicos de modo inmediato a una organización” 3
El implementar una plataforma de servicios escalables y pago solo por servicio
medido o consumido, es un elemento también interesante y a tener en cuenta para la
implementación de una Nube pública.
existir tanto en las instalaciones como fuera de ella. 4 La estructura de este tipo de Nube
es gestionada solo por una entidad, sea a través de la organización misma (esto es
conocido según el NIST como On Premise) o por un tercero a veces referido como
Off Primise).
3
Joyanes Aguilar, Luis. Computación en la Nube, Alfaomega
4
Cloud Security Alliance, Guia para la seguridad en áreas críticas de atención en Cloud Computing,
versión 2, noviembre 2009
18
Nube (generalmente virtualizado) se encuentra ubicado en el perímetro de seguridad
de la institución, esto reguardado por cortafuegos (Firewall), sistemas de detección
de intrusos (IDS, siglas en ingles), sistemas de prevención de intrusos (IPS, siglas en
ingles) y demás políticas que protegen el acceso a los recursos allí almacenados.
Un ejemplo de Nube privada podría ser una compañía de ciencias de la salud (hospital, clínica,
etc.). Las normas de protección de datos requieren que los datos de sus pacientes estén
almacenados dentro del país. En este caso la norma será que los datos se guarden en una
Nube privada. Un caso muy llamativo de Nube privada es el de la Fuerza Área de los Estados
Unidos, que ha encargado a IBM el diseño de un entorno de Nube privada destinado a
gestionar y proteger la información confidencial que circula por su red (100 bases aéreas en
todo el mundo y 700,000 mil militares en activo). 5
Las Nubes privadas a menudo referidas como Nubes internas, hacen referencia en
su funcionamiento a un modelo muy parecido a las redes internas (intranet) o centro
de datos privados (Data Center), la Nube privada rara vez requiere migrar de Nube
privada a Nube publica, dado que desde una apariencia práctica prosigue el modelo
de hardware, que plantea comprar algo y/o alquilar algo, entendiendo que la Nube
privada respalda su arquitectura con hardware provisto por la organización misma
(sus propios servidores físicos o virtualizados) en su centro de datos o arrendados a
un proveedor de servicios.
Para lograr el control de la Nube privada el cliente debe comprar, construir y
administrar la Nube, por lo que los importes y condiciones para su gestión serán
considerablemente más altos. Por esto los clientes corporativos y organizacionales
de la Nube privada son los garantes del buen funcionamiento de esta.
Las grandes empresas suelen enfocarse en Nubes híbridas para abaratar los costos
de hardware y de este modo evitar la compleja tarea de migrar de una Nube privada
a una publica, evitando así el exponer sus datos sensibles en una Nube pública.
En general, la gestión de cada una de las operaciones de los servicios diarios y la
seguridad en una modelo de despliegue de Nube privada, es responsabilidad del
departamento de TI de la empresa o de una entidad contratada para tales fines,
19
mediante un contrato de nivel de servicio (Service Level Agreement o SLA) por sus
siglas en ingles.
La principal ventaja de modelo de despliegue privado es el control. Se posee control
sobre toda la infraestructura y se obtienen las ventajas brindadas por la virtualización
de servicios. No obstante el cliente debe tener un elevado nivel de control sobre
aspectos lógicos y físicos de la seguridad del modelo de despliegue de Nube privada,
este manejo le permitirá al cliente cumplir con sus estándares de seguridad y control,
así como con sus políticas de seguridad y regulación.
“El NIST (ya citado en este escrito) por su parte define la Nube híbrida como una composición
de dos o más Nubes (privada, comunitaria, pública) que permanecen como entidades .” Para
dar ejemplo de este modelo de despliegue de Nube se presenta el escenario
siguiente:
“una empresa hace uso de una Nube pública para mantener su servidor web mientras que
mantiene su servidor de bases de datos en su Nube privada. De este modo, se establece un
canal de comunicación entre la Nube pública y privada mediante el cual los datos sensibles
permanecen bajo estricto control mientras que el servidor web es administrado por un
6
tercero”.
Este tipo de Nube es una solución que baja considerablemente la complejidad y los
costos de la Nube privada.
6
San José Pablo Pérez, et al. Octubre 2011 Guía para empresas: Seguridad y privacidad del
Cloud Computing,
20
El doctor Joyanes Aguilar dice: “las Nubes híbridas son Nubes privadas que pueden tener
también acceso a recursos externos al cortafuegos “firewall” durante periodos de máxima
1.4.6 Integridad
Es posible evitar que los datos manejados por la Nube queden inutilizables o no
estén disponibles, se esgrimen primordialmente tres métodos o mecanismos:
7
Computación en la Nube. Alfaomega
21
Control De Integridad – Gestión De Cambios – Copias De Seguridad
22
1.4.7 Control en el acceso
Del mismo modo que las arquitecturas tradicionales, el control de acceso juega un
papel trascendental en la Computación en la Nube. Aunque esta tecnología se
personifique informalmente como una en la que se interconecta todo el mundo desde
sus equipos (sean fijos o dispositivos móviles), no implica en absoluto que cualquier
sujeto pueda acceder a cualquier información o proceso ofrecido en el Cloud.
Es preciso diferenciar claramente entre los servicios ofrecidos de manera libre o
gratuita en la Nube y el uso de recursos alojado en la Nube con fines empresariales
y/o personales.
Se pueden utilizar sistemas de correo electrónico en la Nube, como Gmail o MSN
Hotmail, y eso no significa que cualquier persona pueda leer el correo de otra
libremente. Aunque tal vez el ejemplo más completo para hablar del control de acceso
en la Nube sea Picasa. Picasa es un sistema de almacenamiento y organización gratuito
de fotos en la Nube. Cuando se va a crear un nuevo álbum de todo, el usuario tiene la
posibilidad de elegir si esas fotos serán públicas y visibles para todo el mundo, si solo
podrán ser vistas por un conjunto de personas o si es una galería privada a la que
solo el usuario tendrá acceso. En este caso concreto, es el usuario de Picasa el que
establece la política de control de acceso utilizando el sistema como un expositor de
imágenes para todo el mundo o como un sistema de backups privado de fotos. 8
8
San José Pablo Pérez, et al. Octubre 2011 Guía para empresas: Seguridad y privacidad del Cloud
Computing, Pag 44
23
este modelo de despliegue de servicios virtuales. El siguiente es un posible esquema
que ha de ayudar a tomar tan importante decisión.
Ilustración 2 San José Pablo Pérez, et al. Octubre 2011 Guia Para Empresas: Seguridad y privacidad del Cloud Computing
24
1.5.3 Compromisos y términos
25
CAPÍTULO II
MECANISMOS Y POLÍTICAS DE SEGURIDAD APLICABLES AL
CLOUD COMPUTING PARA MITIGAR AMENAZAS
26
contratos, imágenes, base de datos, faxes, documentos y una amplia gama de
posibles elementos más.
La finalidad de la protección de la información no son los datos en sí mismo, sino el
contenido de estas informaciones sobre personas y organizaciones, para evitar el
abuso de estos.
Cuando se identifican los activos de información es muy importante tener a
consideración que estos pueden proceder de fuentes distintas dentro de la
organización y que su soporte puede encontrarse en papel o medios digitales, sin
olvidar que la información tiene un tiempo de vida útil, lo que hoy es considerado
importante o de alto secreto, mañana podría no tener relevancia.
Tal como se indicó con anterioridad, para garantizar la integridad y seguridad de
todas las informaciones en la empresa, es posible contar con un sistema de gestión
de seguridad de la información, esta herramienta metodológica permitirá ordenar y
analizar toda la estructura de los sistemas de información, además dará las
facilidades para definir procedimientos de trabajo para mantener la seguridad y un
último punto que facilitará, es la posibilidad de controles que permitan o ayuden en la
medición de la eficacia de aquellas medidas tomadas.
Todas estas acciones que brinda un sistema de gestión de seguridad de la
información permitirán que la empresa sea protegida de amenazas, riesgos y
vulnerabilidades que podrían poner en peligro la continuidad del negocio en sus
niveles de competitividad y rentabilidad requeridos para alcanzar los objetivos de la
empresa. De esta forma se podrán mantener bajo control los riesgos previstos para
las informaciones del negocio incluso por debajo del nivel asumible por la empresa.
El gestionar los riegos a través de un sistema de gestión de seguridad de la
información permitirá conservar la confidencialidad, disponibilidad e integridad de la
misma a lo interno de la organización y ante los clientes con los que se posee un
compromiso de servicio.
Es importante tener clara la diferencia e importancia de la confidencialidad, la
disponibilidad, así como de la integridad, dado que estos elementos son los que se
desean preservar en el proceso de aseguramiento de la información.
27
La confidencialidad involucra el acceso a la información por parte única y
exclusivamente de aquellos que están autorizados a ello.
La integridad conlleva garantizar la exactitud de la información, así como su
estatus de completitud y sus distintos métodos de proceso.
La disponibilidad involucra el acceso a los datos y los sistemas de
procesamiento de información por los usuarios autorizados en el tiempo que lo
demanden.
El acrónimo que se utiliza cuando se habla de estos parámetros elementales de la
seguridad de la información es el llamado CID en sus siglas en español y (CIA) en
inglés.
Con la intención de brindar un marco para la gestión de la seguridad de información
que pueda ser utilizable por cualquier organismo o institución, se creó un conjunto de
estándares registrado bajo el nombre de ISO/IEC 27000. Estas normativas como
otras tantas que ya existen permitirán minimizar el impacto de los posibles riesgos
sin tener que invertir dinero excesivo en softwares de aplicación o sin la existencia de
una estructura de personal grande.
2.1.2
28
2.1.5 Seguridad del lado del cliente de servicios en la Nube
mplementación y efectividad.
se preocupan más por la integridad que por la confidencialidad, claro está, sin quitar
merito e importancia a la confidencialidad
Sujetos y objetos
En estpo que se declara el desastre y el tiempo en que su base de datos esté lista
para funcionar con los datos actuales.
29
2.3.3 Espejo remoto
CAPÍTULO III
PROCESOS DE ASEGURAMIENTO DE LA NUBE Y TECNOLOGÍAS
EMERGENTES RELACIONADAS A LA VIRTUALIZACIÓN
CONCLUSIONES
Tras analizar los datos obtenidos mediante este estudio investigativo, se extraen
conclusiones exactas sobre problemáticas y puntos de vista comunes (beneficios,
seguridad, amenazas, soluciones a las amenazas, etc.) en entornos de Computación
en la Nube.
30
Entendiendo a cabalidad la utilidad y beneficios que podrá obtener el Instituto
Técnico Superior Comunitario, se ultima, que la utilización del Cloud Computing
brindará las herramientas necesarias para acelerar el acceso a los recursos de
múltiple acceso que brinda la institución.
Desde una óptica más directa, se concluye y entiende lo siguiente en relación a los
objetivos específicos planteados en este escrito:
31
La Computación en la Nube posee una gestión de servicios de alcance
mundial, su arquitectura e infraestructura suministra una enorme capacidad
ante recuperación de desastres, mayor que otras arquitecturas, convirtiéndola
esto en altamente beneficiosa.
32
RECOMENDACIONES
Partiendo que el XXX ya posee un servicio en la Nube del tipo SaaS, en este caso el
uso de Office 365, es viable completar la integración de su Nube, colocando un
servicio IaaS para el sistema académico, lo que facilitara a los usuarios el acceso al
mismo con mayor eficiencia y a este, crearle un respaldo de archivos en sus
servidores locales.
Antes de iniciarse el proceso de migración a la Nube, se recomienda al XXX tener en
cuenta la siguiente lista de comprobación, con la finalidad de confirmar que se
obtendrá el servicio que dará solución a la problemática planteada:
¿Brinda el proveedor de la Nube información transparente, fidedigna y un
control total en relación a la ubicación física de los datos? Muy a menudo, la
alta aseguración de los datos se ve traumada por la ubicación.
¿Posee el proveedor soporte para el sistema del cliente?
¿Qué garantías brinda el proveedor de que el sistema y/o recursos del cliente
están totalmente aislados (es decir, que no se comparte máquina virtual o
física)?
¿Posee el proveedor alguna certificación en seguridad o la ISO 27001/2 y cual
es el ámbito para la aplicación de esta certificación?
Los productos que utiliza el proveedor, ¿se sujetan a criterios de certificación
comunes?
¿Qué perfil de aseguramiento o protección se establece para el producto?
¿Posee el proveedor garantías de refuerzo para las imágenes de
virtualización?
33
Se recomienda al Instituto Técnico Superior Comunitario, acuñar la continuidad en el
proceso de migración a la Computación en la Nube, obedeciendo esto a la reducción
de costos que ha de obtener en cuanto a mantenimiento de equipos, actualización y
compra de dispositivos (servidores), dado que estos gastos serán adsorbidos por el
proveedor de servicios en la Nube pública.
Dado que la Computación en la Nube posee una gestión de servicios con alcance
mundial, es acertado recomendar su implementación, dada su capacidad de respaldo
a los datos ya procesados y su fácil y ágil accedo a través de la nube, con el internet
como intermediario, además de su rápida recuperación ante desastres.
34
REFERENCIAS BIBLIOGRÁFICAS
San José Pablo Pérez, et al. (Octubre 2011) Guía para empresas: Seguridad y
privacidad del Cloud Computing.
Stewart James Michael, Tittel Ed, Chapple Mike. (2008) Certified Information
Systems Security Professional Study Guide. (4ta edición). Sybex. Canada.
35
ANEXOS
Glosario de términos
36
PaaS: Plataforma como servicio, tiene como objetivo entregar al usuario toda una
plataforma de procesamiento, completamente funcional y sin tener que comprar o
invertir en mantenimiento del hardware y software.
DAFO: El Análisis DAFO, también conocido como Matriz o Análisis FODA, es una
metodología de estudio de la situación de una empresa o un proyecto, analizando
sus características internas y su situación externa en una matriz cuadrada.
37
38
39