• Author / Uploaded
• carlos

• Categories
• Plataforma como servicio
• Apoyo
• Método científico
• Autenticación
• Información

Citation preview

3 PLANTEAMIENTO DEL PROBLEMA

La utilización de herramientas en la nube ha reducido los costos de las empresas y ha estimulado su crecimiento en todo el mundo. Diversos estudios revelan (La CSA (Cloud Security Alliance) , que existen varias amenazas en la nube a las que se enfrentan las organizaciones , lo que torna importante el análisis de las medidas más eficientes para controlar y reducir riesgos, tales como amenazas de invasión, ataques, perdida de información, abusos de servicios en la nube, secuestro de cuentas entre otros. La seguridad en la nube es el principal motivo de preocupación de las organizaciones en el mundo. La Cloud Security Alliance (CSA) revela que solo el 16% de las organizaciones posee políticas y controles completamente implementados para utilizar la nube. La propia CSA afirma que el 80% de las empresas con más de cinco mil empleados no consigue informar cuántas aplicaciones en la nube son utilizadas por sus profesionales. El modelo de nube adoptado también interfiere en el control de la infraestructura, las aplicaciones y el banco de datos. Según el informe Threat Report, del Crowd Research Partners, el 62% de las personas considera más difícil detectar y proteger las amenazas internas que los ataques externos. La situación es aún más compleja, pues las principales fallas ocurren por responsabilidad de los propios usuarios, siendo que solo el 38% de las organizaciones posee una política de seguridad con reglas y responsabilidades definidas para la protección de los datos. Las causas de la inseguridad en la nube según estudios indican que: 







Las organizaciones son las responsables de proteger sus datos en la nube. La exposición de la información financiera, secretos comerciales, debido a que están almacenados en gran cantidad, se convierten en objetivo de infractores. Contraseñas débiles, no eliminar el acceso de usuarios que ya no trabajan en las organizaciones o cuando cambian de función dentro de las empresas, generan inseguridad. No tener Seguimiento, control, detección, revisión de códigos, flujos de datos. Compartir la memoria, bases de datos.



Falta de inversión en la seguridad , ausencia de profesionales capacitados



No implementar controles de acceso autenticados con expiración por tiempo y por inactividad; gestión de identidades integrado con los procesos de Recursos Humanos y terceros; identificación del tipo de acceso, lugar, hora y perfil



No invertir en monitoreo de infraestructura, movimiento de datos y aplicaciones



evitar la exposición de los datos no solo en la transmisión sino también en su almacenamiento.

A. PRONOSTICO 1. Que se creen áreas de ataque ,abusos de servicios en la nube, secuestro de cuentas .Violación de datos , fraude , espiar las actividades , modificar datos , clonar servicios, robo de datos 2. Ataques de virus en los sistemas , los hackers que eliminan la información de forma permanente 3. riesgos comerciales, financieros, técnicos, legales y de cumplimiento 4. reducción de la velocidad en la información, intercambio de tecnologías como amenaza. 5. comportamientos perjudiciales y posibles brechas en los controles; 6. ataques internos o no conseguir medir el tiempo de detección Experimentar un ataque de pausa de servicio que puede durar horas y hasta días. 7. problemas de disponibilidad de servicios y pérdida de datos. 8. Que alguien espié las actividades, manipular las transacciones, y modificar los datos. Los atacantes también pueden ser capaces de utilizar la aplicación en la nube para lanzar otros ataques. CONTROL DEL PRONOSTICO DIVERSAS ACCIONES Y ESTRATEGIAS QUE DEBEN EMPRENDERSE PARA SOLUCIONAR LA PROBLEMÁTICA Se deben fomentar ciertas políticas como:  libertad: el uso, captura, recolección y tratamiento de datos de la organización, solo puede llevarse a cabo con el consentimiento previo. Los datos de la organización no podrán ser obtenidos o divulgados sin previa autorización

 finalidad: el uso, captura, recolección y tratamiento de datos de la organización a los que tenga acceso por la nube y sean recolectados, estarán subordinados y atenderán una finalidad legítima.  veracidad o calidad: la información sujeta a uso, captura, recolección y tratamiento de datos de la organización, debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el tratamiento de información por la nube parcial, incompleta o que induzcan a error.  acceso y circulación restringida: los datos de la organización, salvo la información pública, no podrán estar disponibles en la nube u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido, solo a los empleados o terceros autorizados.  seguridad: los datos de la organización e información sujeta a tratamiento, serán objeto de protección en la medida en que los recursos técnicos y estándares mínimos así lo permitan, a través de la adopción de medidas tecnológicas de protección, protocolos y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteración, modificación, pérdida, consulta y en general, en contra de cualquier uso o acceso no autorizado en la nube.  confidencialidad: todas y cada una de las personas que administren, manejen, actualicen o tengan acceso a informaciones en la nube de cualquier tipo que se encuentren en la organización, se comprometen a conservarla y mantenerla de manera estrictamente confidencial y no revelarla a terceros. Todas las personas que trabajen actualmente o sean vinculadas a futuro, deberán suscribir un documento adicional para efectos de asegurar tal compromiso. Esta obligación persiste y se mantiene inclusive después de finalizada su relación con alguna de las labores que comprende el tratamiento. Además de las políticas, en cuanto a la seguridad en la nube se debe tener en cuenta lo siguiente:  Tener controles de seguridad para proteger su entorno, que utilicen la autenticación de factores múltiples y la encriptación para protegerse contra las violaciones de datos  Las claves deben ser protegidas adecuadamente, y es necesaria una infraestructura de clave pública bien asegurada, también necesitan ser rotadas periódicamente para hacer que a los atacantes les resulte más difícil utilizar las claves que han obtenido sin autorización.

 Eliminar el acceso de los usuarios cuando cambia una función de trabajo, o un usuario abandona la organización.  Controles adecuados como línea de defensa y de detección. Las aplicaciones y sistemas de amenazas, revisiones de código centradas en la seguridad y pruebas de penetración rigurosa.  exploración regular de la vulnerabilidad, y un rápido seguimiento de las amenazas reportadas.  Prohibir que se compartan las claves de cuenta entre los usuarios y los servicios. Las cuentas, incluso las cuentas de servicio, deben ser controladas de manera que cada transacción se pueda remontar a un dueño humano. La clave es proteger las cuentas para que no sean robadas  Control en el proceso de cifrado y las claves, la segregación de funciones y la reducción al mínimo del acceso a los usuarios. Son también críticos el registro eficaz, la vigilancia y la auditoría de las actividades del administrador.  Controles avanzados de seguridad, gestión de procesos, planes de respuesta a incidentes, y el personal capacitado de TI lleva a incrementar los presupuestos de seguridad  Distribuir los datos y las aplicaciones a través de múltiples zonas para una mayor protección. Las medidas adecuadas de respaldo de datos son esenciales, así como la adhesión a las mejores prácticas en la continuidad del negocio y la recuperación de desastres. La copia de seguridad diaria y el almacenamiento fuera de las instalaciones siguen siendo importantes en los entornos de nube  autenticación de factores múltiples en el sistema de detección de intrusos, aplicar el concepto del privilegio mínimo, segmentación de la red, y los recursos compartidos.

8 HIPOTESIS De acuerdo a los estudios y variables obtenidas por las bases de datos, en cuanto a la seguridad en la nube. HIPOTESIS DESCRIPTIVA: El internet es una herramienta que hace que las organizaciones guarden información, la puedan actualizar y sea un contacto dentro y fuera. Actualmente la nube corre riesgos al ser un archivo almacenador de información y está expuesta a varios peligros.

HIPOTESIS CORRELACIONAL: A mayor seguridad acerca del probabilidad de sufrir un peligro.

uso

de

la

nube menor es

la

A mayor falta de información mayor son las organizaciones en peligro en la nube. HIPOTESIS CAUSAL: Si la gente manejara adecuadamente la seguridad en la nube entonces habría menor peligro. Si las organizaciones son las más vulnerables entonces pueden aceptar un método de seguridad en la nube. 9 MARCO METODOLOGICO A) TIPO DE ESTUDIO (EXPLORATORIO, DESCRITIVO, EXPLORATORIO DESCRIPTIVO: sirve para aumentar el grado de familiaridad con fenómenos relativamente desconocidos, obtener información sobre la posibilidad de llevar a cabo una investigación más completa sobre un contexto particular de la vida real, por lo general determinan tendencias, identifican relaciones potenciales entre variables y establecen el `tono' de investigaciones posteriores más rigurosas B) METODO Y O DISEÑO DE LA INVESTIGACION El método o diseño de la investigación estará basado en estadísticas reales que utilizan este método para obtener una visión general del sujeto o tema. Es frecuentemente usada como un antecedente a los diseños de investigación cuantitativa, representa el panorama general destinado a dar algunos valiosos consejos acerca de cuáles son las variables que valen la pena probar cuantitativamente. Los experimentos cuantitativos suelen ser costosos y requieren mucho tiempo, así que es resulta razonable primero tener una idea de qué hipótesis son dignas de análisis . C) PARTICIPANTES D) INSTRUMENTOS Y EQUIPOS

E) PROCEDIMIENTO 1. planificación de actividades necesarias para dar cumplimiento a la investigación 2. Investigación de campo: estudio de mercado en las organizaciones , encuestas con respuestas a preguntas abiertas sobre el tema 3. Análisis , interpretación e integración de los resultados