//
Archivos

servicios cloud

Esta etiqueta está asociada a 7 entradas

¿Cuál es la madurez de los servicios Cloud?

Publicado por Deja un comentario

Imagen_post_madurez_cloudPues si hacemos caso a CSA e ISACA habría que decir que se encuentran en su más tierna infancia. Efectivamente esta ha sido la conclusión del estudio que han realizado ambas organizaciones y en el que he tenido el placer de colaborar. Sobre la base de una encuesta en la que han participado 252 organizaciones de 48 países (principalmente en Norteamérica – 48% – y Europa – 23% – y usuarios de SaaS – 62%) se ha concluido que, considerando cuatro niveles de madurez (infancia, crecimiento, madurez y declive), los servicios de infraestructura y plataforma como servicio (IaaS y PaaS, respectivamente) se encuentran en la etapa inicial y los de software como servicio (SaaS) están entrando en la fase de crecimiento.

Y, aunque la conclusión es que el mercado piensa que los servicios en la nube están cumpliendo las expectativas estratégicas y de servicio y que los problemas serán superados, no es menos cierto que se identifican ciertas preocupaciones:

  • Que la computación en la nube sea considerada un aspecto técnico (una nueva versión del típico outsourcing) y que, como está pasando, sus riesgos sean analizados como riesgos tecnológicos más que como riesgos de negocio, puesto que este tratamiento limitará el potencial la nube.
  • Las dificultades existentes para especificar los riesgos técnicos y de negocio en los contratos.
  • La longevidad del proveedor
  • La comprensión de las responsabilidades del propietario de datos y del custodio
  • Los aspectos legales
  • El lock-in en los contratos
  • La disposición de estrategias de salida en caso de querer volver a un tratamiento in house o ir a otro proveedor
  • Las regulaciones gubernamentales porque sigan una evolución muy diferente al mercado
  • Y, en definitiva, que los usuarios necesitan confiar en los servicios por lo que los mecanismos de garantía y de transparencia deben mejorar

Frente a esto, los participantes en el estudio también han identificado los aspectos que están siendo adecuadamente contemplados por la computación en la nube:

  • La disponibilidad
  • La continuidad del negocio
  • La recuperación en caso de desastres
  • El rendimiento del servicio
  • Los cortes en el servicio
  • La resolución de problemas

Finalmente, destacar que los factores que inciden en la toma de decisiones son, por orden de importancia:

  1. Los facilitadores de negocio (principalmente, fiabilidad y disponibilidad)
  2. Las consideraciones financieras (especialmente, la reducción de costes)
  3. La reducción de la huella en el medio

Como se puede ver, un estudio que nos ayuda a entender la situación actual, que dibuja un futuro esperanzados para la computación en la nube y que nos ayuda a identificar los retos para los próximos años… veremos si somos capaces de superarlos…

Fuente: Inteco

10/10/2012, por Antonio Ramos García

Cloud Computing: La seguridad y confidencialidad de los datos: el secreto profesional

Publicado por Deja un comentario

Uno de los principios esenciales de la protección de datos es el de seguridad y un derecho irrenunciable de la profesión de abogado es el secreto profesional, la responsabilidad ética y jurídica de salvaguardar la información de los clientes. Este derecho-deber impone a los responsables de tratamientos una diligencia cualificada sobre la observancia por el proveedor de servicios de todas las garantías legales relativas a los requerimientos de seguridad exigidos en relación con los datos, documentos y actuaciones amparadas por el secreto profesional.

             El artículo 12.2 de la LOPD dispone que “en el contrato entre responsable y encargado se estipularán las medidas de seguridad que deberá implementar el encargado”

             En materia de seguridad y confidencialidad, y desde un punto de vista técnico, los aspectos esenciales a tener en cuenta durante la selección del proveedor de servicios Cloud son los siguientes:

 • Como cuestión previa, tanto el responsable que contrata como cliente estos servicios como el propio prestador de servicios han de actuar diligentemente solicitando y ofreciendo una información detallada sobre las medidas que vayan a garantizar la seguridad y confidencialidad de la información. A tal efecto deberán intercambiar información sobre la naturaleza de los datos para establecer un nivel de seguridad apropiado.

• El proveedor de servicios Cloud ha de garantizar la conservación de los datos, mediante la realización de copias de seguridad periódicas y dotando a su infraestructura de los mayores niveles de seguridad física y lógica.

• El proveedor ha de establecer mecanismos seguros de autenticación para el acceso a la información por parte de los responsables del tratamiento así como por parte de los clientes, en los términos que el responsable determine. Estos mecanismos han de permitir la compartición e intercambio de información sin que por supuesto sea posible que personas no autorizadas accedan a información reservada o confidencial.

• El cifrado de los datos almacenados es una necesaria medida de seguridad. El proveedor ha de dar a conocer al responsable el nivel de seguridad ofrecido por las técnicas de cifrado de la información que aplique en sus sistemas. Asimismo, es fundamental acordar el procedimiento de recuperación y migración de los datos a la terminación de la relación entre el responsable y el proveedor; así como el mecanismo de borrado de los datos por parte del proveedor una vez que estos han sido transferidos al responsable o al nuevo proveedor designado por éste.

• Habida cuenta de que en numerosos casos los ficheros contendrán datos especialmente protegidos es necesario que el encargado del tratamiento establezca un registro de los accesos realizados a los datos.

• En el caso de que no sea posible verificar directamente las medidas de seguridad del prestador de servicios, deben contemplarse garantías alternativas que cumplan el mismo objetivo, tales como la intervención de un tercero independiente de acreditado prestigio que audite las medidas de seguridad implantadas.

• Que, en todo caso, si se producen incidencias de seguridad que afecten a los datos personales de los que es responsable el cliente del servicio de Cloud Computing, sean puestos en su conocimiento por el prestador del servicio junto con las medidas adoptadas para corregir los daños producidos y evitar que se reproduzcan dichos incidentes.

             Las medidas adoptadas deberán ajustarse a las previsiones contenidas en los artículos 79 y ss. del RLOPD, teniendo en cuenta que no todos los datos de carácter personal gozan del mismo nivel de protección, dado que existen datos especialmente protegidos, entre los que se encuentran por ejemplo los relativos a salud, orientación sexual, ideología o religión, para los cuales las medidas de protección que debe adoptar el encargado del tratamiento del fichero son especialmente rigurosas.

             Así se establecen tres niveles de seguridad (básico, medio y alto) que se asocian a tres categorías de datos en función del nivel de protección de los mismos. El encargado del tratamiento (el prestador del servicio Cloud) es quien debe implementar estas medidas, que le debe exigir el responsable del tratamiento mediante el oportuno contrato escrito.

Fuente: AGPD

Cloud Computing: Aplicación de la normativa sobre protección de datos

Publicado por Deja un comentario

Con carácter previo es necesario resaltar que el cumplimento de la legislación de protección de datos es un aspecto esencial a la hora de contratar servicios Cloud por parte de un responsable del tratamiento.

Debe considerarse que las modalidades de computación y las modalidades de servicios condicionan la aplicación de los preceptos correspondientes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y de su Reglamento, aprobado por Real Decreto 1720/2007, de 21 de diciembre (RLOPD)1.

En cualquier caso, a los responsables del tratamiento que contraten servicios de Cloud Computing (art. 3.d) de la LOPD y art. 5.1.q) del RLOPD), les corresponde la decisión sobre la finalidad, el contenido y el uso del tratamiento, así como la decisión sobre optar por la computación en la nube y sobre su modalidad. Por su parte, el prestador de servicios de Cloud Computing tendrá la naturaleza de encargado del tratamiento (art. 3.g) de la LOPD y (art. 5.1.i) del RLOPD, pues en definitiva trata datos personales por cuenta del responsable.

En este marco, el contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros tiene una gran importancia.

En cualquier caso, la dinámica del Cloud Computing exige buscar soluciones que, siendo plenamente respetuosas con la LOPD y su Reglamento, permitan que los responsables del tratamiento puedan contratar tales servicios con garantías jurídicas y de seguridad en el tratamiento de los datos de carácter personal.

En este sentido, y sin perjuicio del cumplimiento de las previsiones que contiene la legislación, y en particular las relativas al respeto a los principios de protección de datos y a la garantía de los derechos de los afectados (derechos de acceso, rectificación, cancelación y oposición), los artículos 20 a 22 del Reglamento, referentes al encargado del tratamiento, pueden ofrecer soluciones adaptadas a esta nueva realidad.

Fuente: AGPD

Guía de ISACA facilita la migración segura a la nube

Publicado por Deja un comentario
El cómputo en la nube está teniendo un impacto importante en la forma en que las empresas operan, y como resultado de su valor, las compañías están migrando cada vez más a la nube. Sin embargo, las preocupaciones por seguridad y la privacidad de los datos son problemas críticos a considerar antes de adoptar los servicios de cómputo en la nube. Consideraciones de Seguridad para el Cómputo en la Nube de ISACA, la asociación de TI global sin fines de lucro, presenta una guía práctica para los profesionales de TI y empresariales para ayudarles a moverse con seguridad a la nube.
El libro, disponible como una descarga gratuita para los miembros de ISACA y por $75 dólares para quienes no son miembros, detalla la forma en que el cómputo en la nube ganará importancia conforme los mercados de la nube y los proveedores de servicios en la nube maduren. Sobre todo en tiempos en los que hay que optimizar los costos y se enfrenta una crisis económica, la nube puede percibirse como un acercamiento rentable al soporte tecnológico de la empresa. Sin embargo, antes de emigrar a la nube, ISACA recomienda considerar los siguientes factores, que pueden incrementar el riesgo:
  • Requerimientos legales transfronterizos – Los proveedores de servicios de nube a menudo traspasan fronteras, y diferentes países tienen diferentes requerimientos legales, especialmente respecto a la información personal y privada.
  • Ausencia de planes de recuperación de desastres – La ausencia de procedimientos de respaldo adecuados implica un alto riesgo para cualquier empresa.
  • Seguridad física de los recursos de cómputo – Los recursos de cómputo físicos pueden compartirse con otras entidades en la nube. Si se da acceso físico a la infraestructura del proveedor de servicios de nube, esa entidad podría tener potencialmente acceso a los activos de información de otras entidades.
  • Eliminación de datos – La eliminación adecuada de datos es imperativo para prevenir la divulgación no autorizada.
  • Autenticidad de los proveedores de nube – Aunque las comunicaciones entre la empresa y el proveedor de nube pueden asegurarse con medios técnicos, es importante verificar la identidad del proveedor de nube para asegurar que no sea un impostor.

Ya que el cómputo en la nube es algo más que sólo infraestructura de TI, plataformas y aplicaciones, los desarrolladores de Consideraciones de Seguridad para el Cómputo en la Nube enfatizan que la decisión de operar en la nube no debe ser tomada únicamente por las organizaciones de TI. El uso de los servicios de nube podría suponer un alto riesgo para el negocio y debe ser evaluado por las partes responsables de las diferentes funciones de control dentro de una empresa.

«El cómputo en la nube puede presentar varios retos y riesgos con respecto a la seguridad, la privacidad y la confianza”, señaló Yves Le Roux, CISM, consultor principal de CA Technologies y miembro del equipo de desarrollo de publicaciones. “Este libro ofrece una guía práctica a los posibles usuarios de la nube sobre los problemas que deben ser resueltos por la administración de la empresa y por aquellos responsables de asegurar la protección de la información y los procesos de negocio cuando se selecciona o se implementa una solución de nube».

Consideraciones de Seguridad para el Cómputo en la Nube está diseñado para permitir el análisis efectivo y la medición del riesgo a través de un kit de herramientas que contiene elementos como árboles de decisiones y listas de verificación que esbozan los factores de seguridad a considerar cuando se evalúa a la nube como una solución potencial.

Fuente: ISACA y segu-info
.

Problemas en centro de datos causaron interrupción:Twitter

Publicado por Deja un comentario
LONDRES (AP) — Twitter reveló que la interrupción de este jueves, que generó que usuarios de diversas partes del mundo tuvieran problemas para acceder a la red social, se debió a fallas de su sistema y no a una aglomeración del tráfico en la red debido a los Juegos Olímpicos.
La compañía, con sede en San Francisco, informó que la interrupción fue causada por una “notable” doble falla en sus centros de datos. Cuando un sistema falla, se supone que otro paralelo se hace cargo, pero coincidentemente los dos sistemas dejaron de trabajar casi al mismo tiempo, de acuerdo con Twitter.
Desearía decir que la interrupción de hoy puede explicarse por las olimpiadas o incluso por un error en cascada”, dijo Mazen Rawashdeh, vicepresidente de ingeniería, en un comunicado en el que pidió disculpas a los usuarios. “En vez de eso, se debió a este doble revés infraestructural”.
Se disculpó por ofrecer a los usuarios “nada de nada” en vez de servicio, y agregó que la compañía “invierte agresivamente” en sus sistemas para evitar que se repita la situación.
Los usuarios del sitio fueron recibidos el jueves por un mensaje incompleto que indicaba que “Twitter está fuera de servicio por el momento”. Los campos donde deberían aparecer las razones de la falla y un plazo para restaurar el servicio estaban ocupados por códigos de programación.
La interrupción del servicio fue reportada por más de una hora en varios países en América, Europa, Asia y Africa. Algunos usuarios lograron publicar actualizaciones a través de sus teléfonos o aplicaciones de intermediarios. Tuits sobre la antorcha olímpica, que recorre Londres, siguen siendo publicados, aunque más lentamente que durante las primeras horas del día. Se espera que los Juegos Olímpicos generen un aumento sin precedentes en la actividad de los fans de los deportes en Twitter y otras redes sociales una vez que den inicio el viernes en Londres.
Durante la reciente final del campeonato europeo de fútbol, los usuarios dispararon más de 15.000 tuits por segundo, estableciendo un récord relacionado con el deporte para el sitio.
Fuente: bsecure.com.mx
Fuente: Cryptex-Segu-info

Dar seguridad, el desafío del cloud computing

Publicado por Deja un comentario

Una encuesta realizada entre más de 1.200 funcionarios de gobierno y ejecutivos de 10 países reiteró que el almacenamiento de la información en la nube es lo que detiene la migración hacia ese tipo de servicios

Dar seguridad, el desafío del cloud computing

El 47% de los participantes de una encuesta realizada por KPMG mostró que la seguridad es el desafío más significativo al que se enfrentarán empresas y gobiernos al momento de migrar los servicios y los procesos a las plataformas de cloud computing.

Las inquietudes en torno a la seguridad fueron particularmente importantes entre las principales entidades gubernamentales, donde el 56% de los encuestados mencionó estar preocupado por este tema.

Sin embargo, casi el 80% de todos los encuestados mencionó que su confianza en los servicios de cloud computing aumentaría si un organismo gubernamental los certificara.

“Las entidades gubernamentales, por lo general, tienen acceso a información extremadamente confidencial y, por lo tanto, son objetivo habitual de los crackers”, advirtió John Herhalt, presidente Global de Gobierno e Infraestructura de KPMG.

“Los líderes del área de TI del sector público necesitarán asegurarse de que sus proveedores de servicios de cloud computing pueden brindar protocolos de seguridad y protección sólidos antes de migrar los servicios e información clave a estas plataformas”, mencionó Herhalt.
“Al prestar los servicios mediante una plataforma de cloud computing, los gobiernos comprueban cada vez más que pueden mejorar la manera en que los ciudadanos acceden a la información y –a la vez–lograr una experiencia más transparente y receptiva en la interacción con las áreas clave del sector público,” afirmó Herhalt.

“Sin embargo, garantizar la seguridad de la información será fundamental, particularmente, en relación con la información personal de los ciudadanos y la información gubernamental crítica”, finalizó.

Privados, al frente
Los resultados de la encuesta se resumen en el informe Análisis de los servicios de cloud computing: un estudio global de la adopción de estos servicios por parte del sector público.

La encuesta comprueba que el avance de las entidades gubernamentales es significativamente menor al que experimentan las empresas con fines de lucro según la relación 9-13 por ciento.

Solamente 12% de los funcionarios del gobierno manifiesta que más del 10% de los gastos totales de TI de dichas instituciones fueron destinados a los servicios de cloud computing en 2011. Se prevé que esta cifra aumente más del doble alcanzando el 28% hacia fines de 2012.

“La era de la nube ha comenzado y la pregunta no radica en si las organizaciones se decidirán o no por su adopción, sino más bien en qué tan rápido y en qué modalidad. Tanto en los sectores público como privado existe aún escepticismo, mostrándose el sector público como el más cuidadoso. Aún así, las crecientes experiencias a nivel mundial en ambos sectores y la incremental madurez de los proveedores  terminarán de disipar el escepticismo en el corto plazo”, afirmó Walter Risi, director de IT Advisory de KPMG en Argentina.

“La nube presenta una oportunidad de mejora que va más allá de los ahorros en infraestructura, abarcando también la agilización en los modelos operativos y la optimización del esquema de relacionamiento con los proveedores de servicios de IT. Estas promesas darán sus frutos en la medida de que las organizaciones adecúen su arquitectura empresarial para aprovechar los beneficios de la nube, elijan a los proveedores de servicios de IT más adecuados para acompañarlas y transformen sus modelos de gobierno de proveedores consecuentemente”, agregó Risi.

Por otro lado, casi un tercio de los encuestados del sector público se inclinó hacia la adopción de un entorno privado de cloud computing, mientras que el 22% afirmó que está analizando la posibilidad de utilizar una plataforma pública.

El informe de KPMG también identifica ciertas jurisdicciones que han ocupado una posición de liderazgo en la adopción de los servicios de cloud computing.

Especialmente, los gobiernos de Australia, Italia, Dinamarca, Singapur y los EEUU parecen haber progresado considerablemente en la implementación de esta tecnología, ya que casi el 30% de los encuestados de estos países señalaron que ya han implementado los servicios de cloud computing parciamente o en su totalidad.

Fuente: http://www.infobae.com

Sigue leyendo

Servicios Cloud: seguridad y ventajas para la pyme

Publicado por 3 comentarios

La externalización de la mano de los servicios en la nube abre nuevas posibilidades en seguridad para las organizaciones.

La externalización como concepto no es algo nuevo, desde hace tiempo las empresas externalizan departamentos, áreas, infraestructuras e incluso personas, pero con la llegada de la computación en la nube, la externalización va un paso más allá, permitiendo a la empresas y organizaciones disponer de todo tipo de aplicaciones y productos que pueden ser contratados como un servicio.

La computación en la nube abre interesantes posibilidades para las empresas y organizaciones, pero en especial para las pymes, ya que los servicios en la nube poseen características muy atractivas para las pequeñas y medianas empresas: reducido coste, rápido despliegue e implantación, y una contratación muy flexible, que permite disponer de distintos planes y modalidades.

Las ventajas parecen evidentes, pero un modelo tecnológico basado en la externalización también plantea riesgos y uno de los aspectos que más preocupa a los expertos en seguridad es el hecho de que este nuevo modelo supone poner en manos de terceras personas una parte de la información que tradicionalmente se encontraba dentro de la organización. Este problema no es nuevo y desde luego no es exclusivo del Cloud Computing. En cualquier caso, las ventajas que ofrece son muy valoradas por las empresas y las organizaciones, lo que está provocando una rápida adopción de este nuevo modelo tecnológico.

Las tecnologías Cloud también han llegado a la industria de seguridad TIC, aunque la externalización como concepto en las soluciones de seguridad no es nueva, de hecho, desde hace tiempo existe un concepto denominado Seguridad Gestionada (Managed Security) que consiste básicamente en externalizar las infraestructuras, servicios y operaciones de seguridad de las organizaciones para centralizarlas en lo que se conoce como SOC (Security Operation Center) o Centro de Operaciones de Seguridad.

Los SOC son básicamente centros de proceso de datos (CPD), pero a diferencia de estos, los SOC, son centros a través de los cuales se examina, filtra y bloquea el tráfico de red con el objetivo de eliminar todo tipo de amenazas, como el malware, el spam o ataques de denegación de servicio. Los SOC pueden proteger a decenas o cientos de empresas y organizaciones al mismo tiempo. Si los comparamos con los proveedores de servicios de internet, las compañías que ofrecen este tipo de servicios, son proveedores de servicios de seguridad.

Gracias a las tecnologías Cloud, la industria de seguridad TIC ha comenzado a ofrecer interesantes soluciones de seguridad basadas en estas tecnologías, pero también es cierto que en la mayoría de los casos, se trata de evoluciones de soluciones de seguridad que ya existían y que ahora se aprovechan de estas tecnologías. Tal es el caso de los servicios de copias de seguridad on-line, disponibles desde hace años, aunque no con la oferta y posibilidades que podemos encontrar en la actualidad.

Otro ejemplo son las soluciones para protección contra código malicioso (anti-malware), en las cuales encontramos fabricantes que ofrecen este tipo de aplicaciones basadas en “la nube” o que aprovechan estas tecnologías para mejorar sus soluciones, facilitando su despliegue e implantación o ayudándose de estas tecnologías para el desarrollo de sistemas de detección de amenazas más evolucionados. En realidad, los tipos de soluciones de seguridad que aprovechan la tecnología Cloud actualmente son relativamente pocos, concentrándose la mayoría de ellas en servicios de respaldo y recuperación ante desastres.

Los servicios Cloud poseen una característica que ayuda a las empresas a mejorar su seguridad y es la propia externalización. Aparentemente, ceder el control de los datos a una empresa externa o utilizar aplicaciones en la nube en vez de aplicaciones tradicionales instaladas en el puesto de trabajo, entraña riesgos, puesto que básicamente perdemos el control de una parte de los recursos y activos de la organización, pero también es cierto, que para muchas empresas lo ideal sería poder dedicar todos sus esfuerzos a la actividad que genera negocio y les reporta beneficio, dejando que otros se ocupen del resto, de aquellas tareas en las cuales no son expertos o no disponen de recursos para poder llevarlas a cabo de forma adecuada.

Si tomamos como ejemplo las empresas de gran tamaño o que cuentan con distintos departamentos o áreas, estas suelen externalizar parte de sus actividades de gestión o de infraestructura, pero su tamaño y capacidad es tal, que pueden contar con su propio personal, por ejemplo, para soporte informático, gestión de recursos humanos, administración, etc. En cambio en las pymes, micro-pymes o los autónomos, el panorama es bien distinto. Sus recursos suelen ser muy limitados, no disponen de personal y no tienen tiempo para dedicarlo a la seguridad o al mantenimiento de infraestructuras. La externalización forma parte de su modelo de negocio.

Los servicios de Cloud encajan muy bien con las pymes, que buscan soluciones de bajo coste, fáciles de desplegar e implantar y de cuya gestión se encargan otras empresas, aportando un servicio especializado, que de otra forma no sería posible. En este sentido, no es descabellado pronosticar que en los próximos años los servicios Cloud serán ampliamente aceptados por las empresas y organizaciones y en especial, por las pymes.

Desde INTECO-CERT, queremos hacer hincapié en la necesidad de ser conscientes de los riesgos que implican los servicios en el Cloud. Es fundamental que los proveedores de servicios Cloud puedan ofrecer garantías a sus clientes. Por otro lado, es fundamental que las empresas interesadas en este tipo de servicios, sopesen adecuadamente las distintas opciones y opten siempre por proveedores que ofrezcan garantías.

Fuente: Inteco

Estadística del blog

  • 172.292 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: