Visite nuestro blog y manténgase informado de nuestras últimas novedades.

Conclusiones del Workshop “Cloud Computing, Seguridad y Confianza en la nube”

El concepto cloud computing, que podemos traducir por computación en la nube, proviene de los diagramas de red en los que Internet se representa como una nube, donde no es posible o no es fundamental conocer el periplo de la información. Las motivaciones principales para la adopción de servicios basados en cloud computing son el ahorro de costes y la agilidad y rapidez de su puesta en marcha, pero aún existen dudas sobre las garantías de seguridad y las posibilidades de portabilidad e integración que ofrece este modelo de servicios.

Con el fin de despejar algunas de estas dudas, durante 2010 y 2011 Safelayer lidera el proyecto “TaaS – Trust as a Service: Servicios de Confianza en y para la nube”, que está parcialmente financiado por el Programa AVANZA, con referencia TSI-020100-2010-482, y se realiza en cooperación con el Grupo de Análisis, Seguridad y Sistemas de la Universidad Complutense de Madrid.

Los servicios ofrecidos en cualquiera de los modelos de cloud computing (Platform, Infrastructure o Software as a Service) están estrechamente relacionados con la movilidad, y por lo tanto tienen una fuerte dependencia de la continuidad de la conectividad, la calidad de servicio y la seguridad que pueden ofrecer las redes para que la experiencia de usuario sea óptima.

Por otro lado, según el informe Benefits, risks and recommendations for information security de ENISA, para todos los modelos de cloud existe un único conjunto de responsabilidades de seguridad que recae en el cliente y no en el proveedor de servicios de cloud, y que se refieren al “Sistema de Gestión de Identidad y Autenticación”.

El cloud computing ofrece nuevas posibilidades a las empresas para gestionar sus infraestructuras y nuevos modelos de negocio. En especial puede suponer un gran avance para pequeñas y medianas empresas, que tienen en el cloud la oportunidad de reducir costes en administración y mantenimiento de infraestructuras propietarias, y les permitirá acercar sus posibilidades tecnológicas a las de las grandes empresas. Sin embargo, las dudas sobre la seguridad y gestión de estos nuevos sistemas puede frenar este crecimiento a corto plazo.

Por estos motivos, los objetivos del proyecto TaaS se centran en tres grandes ejes:

  • La contribución a la familia de estándares IEEE 802, para conseguir que las transiciones (handovers) entre redes de distintos proveedores o incluso de distintas tecnologías se lleven a cabo de manera transparente para las aplicaciones.
  • La adaptación de los servicios de gestión de la identidad y el control de acceso (Identity and Access Management, IAM) para garantizar la seguridad de los servicios ofrecidos en alguna de las modalidades de cloud computing (servicios para la nube).
  • La adaptación y migración de servicios de confianza para que puedan ser gestionados y ofrecidos desde la nube, principalmente con el fin de hacerlos accesibles a pymes y organizaciones con necesidades puntuales (servicios en la nube).

Los resultados de los primeros meses de trabajo en cada uno de estos ejes se han debatido en la jornada “Cloud Computing, Seguridad y Confianza en la nube”, a la que, además de los participantes en el proyecto TaaS, también asistieron representantes del capítulo español de Cloud Security Alliance y de la Universidad Politécnica de Cataluña.

En la jornada se comentaron varias de las iniciativas que llevan a cabo organizaciones como Cloud Security Alliance, su capítulo español o ENISA, que trabajan en la detección de las amenazas de seguridad que aparecen en los nuevos escenarios propiciados por el cloud computing. Estas organizaciones trabajan en la definición de estándares y certificaciones especialmente pensadas para la Nube.

Al igual que en los escenarios tradicionales, la privacidad de los usuarios, así como una gestión adecuada de sus datos sensibles, también se ha convertido en una de las principales preocupaciones de empresas y organizaciones a la hora de migrar sus aplicaciones y sistemas a la Nube. En la Nube, la responsabilidad de la protección de la información también recae en la entidad que gestiona esta información (es decir, el proveedor del servicio final), por lo que necesita usar nuevas herramientas que le ayuden a identificar y controlar el acceso de los usuarios, específicas para este nuevo escenario.

Otro de los temas destacados fue el de la movilidad, muy importante en el ámbito de la Nube donde los dispositivos móviles tienen mayor relevancia y uso, siendo el objeto de estudio principal los handovers que permiten mantener la conectividad de estos dispositivos entre distintas redes. Ya se dispone de estándares para redes móviles para hacer traspaso entre operadores y el objetivo actual es conseguir que estos sean make-before-break, intra-domain e intra technology. Para conseguirlo se está trabajando en la elaboración de nuevos protocolos. Sin embargo, este trabajo depende en gran parte de la voluntad de los operadores, quienes deberían compartir la información necesaria para realizar un traspaso, como el coste, el ancho de banda, los canales, la ubicación, el operador…, y así ofrecer un servicio óptimo a sus clientes.

Conclusiones de la Jornada

La principal conclusión de la Jornada es que mientras no estén más implantadas las iniciativas de estandarización y las certificaciones —tanto a organizaciones como a técnicos— es más recomendable que los datos críticos corporativos se alojen en nubes privadas o híbridas. De aquí se desprende que un posible modelo de negocio para los proveedores de cloud computing es que ofrezcan su propia transparencia y la seguridad de la información como valor añadido, en oposición a las plataformas más cerradas. De hecho, las infraestructuras de cloud computing exhiben como argumento a favor que están protegidas por especialistas en seguridad, una figura de la que muchas organizaciones no disponen.

La Nube es ya una realidad para muchas empresas que ya han migrado la parte menos crítica de su infraestructura y servicios. Para las pequeñas y medianas empresas esta migración cobra mucho sentido pues en el cloud tienen la oportunidad, no sólo de reducir costes, sino de acceder a tecnologías y sistemas previamente impensables en una modalidad de propiedad.

Utilizamos cookies para mejorar nuestro sitio web y su experiencia al usarlo. Las cookies utilizadas para el funcionamiento esencial de este sitio ya se han establecido. Para obtener más información sobre las cookies que utilizamos y cómo eliminarlas, ver nuestra Política de Privacidad.Acepto las cookies de este sitio