Scribd Logo
Upload

Welcome to Scribd!

  • Guia Per A Empreses Sobre Cloud Computing: Implicacions de Seguretat I Privacitat (Versió Catalá)

    Uploaded by

    INTECO
    47 views15 pages
    Cloud computing, o informàtica “en el núvol”, és una proposta tecnològica o model que permet oferir serveis informàtics a través d’Internet, en la qual els recursos, el programari i les dades s’ofereixen sota demanda. L’objectiu d’aquest nou model és que l’empresa o l’usuari final no hagi de preocupar-se pels detalls tècnics i pugui utilitzar qualsevol aplicació amb el seu navegador Web. Aquesta proposta ofereix grans possibilitats per a tot tipus d’organitzacions, tant en termes d’inversió com en economies d’escala, deslocalització, accés a la informació des de qualsevol lloc, continuïtat de negoci, etc. La Guia per a empreses: seguretat i privacitat del cloud computing mostra els diferents nivells de núvols, la forma en què es despleguen els serveis, així com el marc legal de referència, detenint-se a les principals implicacions pel que fa a seguretat i privacitat, claus per garantir l’èxit en la utilització de serveis de cloud computing. Finalment, la Guia inclou un capítol que resumeix els principals passos que tota empresa o entitat ha d’adoptar per “donar el salt al núvol”. Disponible la guia completa en castellà i anglès i la ressenya en català, èuscar, gallec i valencià. Així mateix, el vídeo tutorial de la guia es pot visualitzar des de la secció Multimèdia de l’Observatori.

    Original Title

    Guia per a empreses sobre cloud computing: implicacions de seguretat i privacitat (Versió Catalá)

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Cloud computing, o informàtica “en el núvol”, és una proposta tecnològica o model que permet oferir serveis informàtics a través d’Internet, en la qual els recursos, el programari i les dades s’ofereixen sota demanda. L’objectiu d’aquest nou model és que l’empresa o l’usuari final no hagi de preocupar-se pels detalls tècnics i pugui utilitzar qualsevol aplicació amb el seu navegador Web. Aquesta proposta ofereix grans possibilitats per a tot tipus d’organitzacions, tant en termes d’inversió com en economies d’escala, deslocalització, accés a la informació des de qualsevol lloc, continuïtat de negoci, etc. La Guia per a empreses: seguretat i privacitat del cloud computing mostra els diferents nivells de núvols, la forma en què es despleguen els serveis, així com el marc legal de referència, detenint-se a les principals implicacions pel que fa a seguretat i privacitat, claus per garantir l’èxit en la utilització de serveis de cloud computing. Finalment, la Guia inclou un capítol que resumeix els principals passos que tota empresa o entitat ha d’adoptar per “donar el salt al núvol”. Disponible la guia completa en castellà i anglès i la ressenya en català, èuscar, gallec i valencià. Així mateix, el vídeo tutorial de la guia es pot visualitzar des de la secció Multimèdia de l’Observatori.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    47 views15 pages

    Guia Per A Empreses Sobre Cloud Computing: Implicacions de Seguretat I Privacitat (Versió Catalá)

    Uploaded by

    INTECO
    Cloud computing, o informàtica “en el núvol”, és una proposta tecnològica o model que permet oferir serveis informàtics a través d’Internet, en la qual els recursos, el programari i les dades s’ofereixen sota demanda. L’objectiu d’aquest nou model és que l’empresa o l’usuari final no hagi de preocupar-se pels detalls tècnics i pugui utilitzar qualsevol aplicació amb el seu navegador Web. Aquesta proposta ofereix grans possibilitats per a tot tipus d’organitzacions, tant en termes d’inversió com en economies d’escala, deslocalització, accés a la informació des de qualsevol lloc, continuïtat de negoci, etc. La Guia per a empreses: seguretat i privacitat del cloud computing mostra els diferents nivells de núvols, la forma en què es despleguen els serveis, així com el marc legal de referència, detenint-se a les principals implicacions pel que fa a seguretat i privacitat, claus per garantir l’èxit en la utilització de serveis de cloud computing. Finalment, la Guia inclou un capítol que resumeix els principals passos que tota empresa o entitat ha d’adoptar per “donar el salt al núvol”. Disponible la guia completa en castellà i anglès i la ressenya en català, èuscar, gallec i valencià. Així mateix, el vídeo tutorial de la guia es pot visualitzar des de la secció Multimèdia de l’Observatori.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 15

    Guia per a empreses: seguretat i privacitat del cloud computing

    OBSERVATORI DE LA SEGURETAT DE LA INFORMACI

    Edici: Octubre 2011


    La Guia per a empreses: seguretat i privacitat del cloud computing ha estat elaborada per lequip de lObservatori de la Seguretat de la Informaci dINTECO: Pablo Prez San-Jos (direcci) Cristina Gutirrez Borge (coordinaci) Eduardo lvarez Alonso Susana de la Fuente Rodrguez Laura Garca Prez

    L'Institut Nacional de Tecnologies de la Comunicaci (INTECO) (http://www.inteco.es), societat estatal adscrita al Ministeri d'Indstria, Turisme i Comer a travs de la Secretaria d'Estat de Telecomunicacions i per a la Societat de la Informaci, s una plataforma per al desenvolupament de la Societat del Coneixement a travs de projectes de lmbit de la innovaci i la tecnologia. La missi d'INTECO s aportar valor i innovaci als ciutadans, a les pimes, a les Administracions Pbliques i al sector de les tecnologies de la informaci, a travs del desenvolupament de projectes que contribueixin a reforar la confiana en els serveis de la Societat de la Informaci al nostre pas, promovent a ms una lnia de participaci internacional. Per aix, INTECO desenvolupar actuacions en les segents lnies: Seguretat, Accessibilitat, Qualitat TIC i Formaci. LObservatori de la Seguretat de la Informaci (http://observatorio.inteco.es) sinsereix dins de la lnia estratgica dactuaci dINTECO en matria de Seguretat Tecnolgica, sent un referent nacional i internacional al servei dels ciutadans, empreses, i administracions espanyoles per a descriure, analitzar, assessorar i difondre la cultura de la seguretat i la confiana de la Societat de la Informaci.
    INTECO vol agrair especialment la collaboraci de lAssociaci Professional Espanyola de Privacitat (APEP) (http://www.apep.es) en lelaboraci daquesta guia:

    Aquesta publicaci pertany a l'Institut Nacional de Tecnologies de la Comunicaci (INTECO) i est sota una llicncia Reconeixement-No comercial 3.0 Espanya de Creative Commons, per tant est perms copiar, distribuir i comunicar pblicament aquesta obra sota les condicions segents:

    Reconeixement: El contingut d'aquest informe es pot reproduir totalment o parcialment per tercers, citant-ne la procedncia i fent referncia expressa tant a INTECO com al seu lloc web: www.inteco.es. El dit reconeixement no podr en cap cas suggerir que INTECO ofereix suport a dit tercer o dna suport a l's que fa de la seva obra. s no comercial: El material original i els treballs derivats poden ser distributs, copiats i exhibits mentre no sigui amb fins comercials.

    En reutilitzar o distribuir l'obra, han de quedar ben clar els termes de la llicncia d'aquesta obra. Alguna d'aquestes condicions pot no aplicar-se si s'obt el perms d'INTECO com a titular dels drets d'autor. Cap terme en aquesta llicncia menyscaba o restringeix els drets morals d'INTECO. http://creativecommons.org/licenses/by-nc/3.0/es/ Aquest document compleix les condicions d'accessibilitat del format PDF (Portable Document Format). Es tracta d'un document estructurat i etiquetat, provet d'alternatives a tot element no textual, marcat d'idioma i ordre de lectura adequat. Per ampliar informaci sobre la construcci de documents PDF accessibles pot consultar la guia disponible a la secci Guia per a empreses: seguretat i privacitat del cloud computing Pgina 2 de 15 Accessibilitat > Formaci > Manuals i Guies de la pgina http://www.inteco.es Observatori de la Seguretat de la Informaci

    2. BIENES JURDICOS A PROTEGER EN LA WEB 2.0

    NDICE

    ndex

    1 INTRODUCCI AL CLOUD COMPUTING .............................................. 4 2 CARACTERSTIQUES PRINCIPALS DEL CLOUD COMPUTING ......... 5 3 MARC LEGAL .......................................................................................... 6 4 RISCOS DEL CLOUD COMPUTING ....................................................... 9 5 SEGURETAT AL NVOL ...................................................................... 10 6 PRIVACITAT AL NVOL....................................................................... 12 7 PASSOS P ER A ENTRAR AL NVOL ................................................ 13

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 3 de 15

    1.
    1

    Introducci al cloud computing

    INTRODUCCI AL CLOUD COMPUTING

    En els ltims anys, les organitzacions assisteixen amb expectaci al sorgiment i desenvolupament del cloud computing o paradigma de computaci en el nvol (tamb anomenat el nvol), segons el qual, tots els recursos dinformaci poden ser emmagatzemats en servidors de tercers i accessibles a travs dInternet. Els provedors disposen de centres de processament de dades per donar servei a mltiples usuaris. En canvi, els clients reben un suport flexible a les necessitats i particularitats de la seva activitat en cada moment. Cloud computing, o informtica en el nvol, s una proposta tecnolgica o model que permet oferir serveis informtics a travs dInternet, en la qual els recursos, el programari i les dades sofereixen sota demanda. Lobjectiu daquest nou model s que lempresa o lusuari final no hagi de preocupar-se pels detalls tcnics i puguin utilitzar qualsevol aplicaci amb el seu navegador Web. 1.1 CLOUD COMPUTING COM A EVOLUCI DE TECNOLOGIES

    Cloud computing s la suma de levoluci de diferents tecnologies: 1.2 Augment de la capacitat de processament. Connexi a Internet. Dispositius mbils. NIVELLS DEL SERVEI

    Per comprendre el funcionament del cloud computing s fonamental comprendre els tres nivells en qu pot proporcionar-se el servei. 1 Infraestructura com a Servei (IaaS, per les seves sigles en angls Infrastructure as a Service). Es tracta del nivell ms alt de servei. Lusuari disposa duna o diverses mquines virtuals en el nvol amb les quals, per exemple, pot augmentar la grandria del disc dur en uns minuts, obtenir ms capacitat de processament o encaminadors 1 i pagar noms pels recursos que utilitzi. Plataforma com a Servei (PaaS, per les seves sigles en angls Platform as a Service). Es tracta del nivell intermedi, sencarrega de lliurar una plataforma de processament completa a lusuari, plenament funcional i sense haver de comprar i mantenir el maquinari i el programari.

    Encaminador o router: Dispositiu que distribueix trnsit entre xarxes.

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 4 de 15

    Software com a Servei (SaaS, per les seves sigles en angls Software as a Service). Aquest nivell sencarrega de lliurar el programari com un servei a travs dInternet, sempre que ho solliciti lusuari. MODELS DE DESPLEGAMENT DE SERVEIS

    1.3

    Els sistemes de cloud computing es poden agrupar en les segents categories principals: Els nvols pblics sn aquells en els quals tot el control dels recursos, processos i dades est en mans de tercers. Els nvols privats sn aquells creats i administrats per una nica entitat que decideix on i com sexecuten els processos dins del nvol. Als nvols hbrids coexisteixen els dos models anteriors. Per exemple, una empresa fa s dun nvol pblic per mantenir el seu servidor web mentre que mant el seu servidor de bases de dades al seu nvol privat. Sapunta a ms un quart model de desplegament de serveis, els nvols comunitaris, que sn compartits entre diverses organitzacions que formen una comunitat amb principis similars. TIPOLOGIA DE PROVEDORS Els serveis de cloud hosting sn similars als serveis oferts per empreses dhostatge tradicional per pagant per all que sutilitza. Els serveis de cloud computing oferts per les grans empreses del sector informtic permeten obtenir una major personalitzaci en la soluci informtica contractada, per tamb exigeixen un major coneixement tcnic.

    1.4

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 5 de 15

    2.
    2

    Caracterstiques cloud computing

    principals

    del

    CARACTERSTIQUES PRINCIPALS DEL CLOUD COMPUTING

    2.1

    ACCS UBIC A LES DADES

    La caracterstica principal del cloud computing s laccs ubic (des de qualsevol lloc) a les dades. Noms cal disposar dun navegador web i connexi a Internet per gaudir dels serveis en el nvol, no cal tenir un sistema operatiu determinat o installar un programari especfic en cada client. Es pot utilitzar un porttil, un telfon mbil o una consola de joc connectat a la xarxa per accedir a les aplicacions del nvol en qualsevol moment. 2.2 ASPECTES ECONMICS

    A lhora de desplegar un servei nou, el model informtic basat en cloud computing permet reduir costos en relaci al model tradicional, ats que els recursos que lentitat ha de destinar sn menors, tant directes (pel que fa a maquinari, manteniment, personal, etc.) com indirectes (installacions, subministraments, etc.) de manera que part dels costos fixos passen a ser variables. 2.3 ESCALABILITAT I FLEXIBILITAT

    La senzillesa amb la qual es poden afegir o eliminar recursos tamb suposa un avantatge enfront del model tradicional. A causa de la gran escalabilitat i flexibilitat del cloud computing, tots els provedors de serveis ofereixen la possibilitat dafegir o eliminar recursos en qesti de minuts, augmentant lemmagatzematge o el nombre de processadors sense afectar a laplicaci. 2.4 DESLOCALITZACI DE DADES I PROCESSAMENTS

    El model en el nvol utilitza diferents tecnologies de virtualitzaci per poder oferir totes les funcionalitats necessries, per es perd el control sobre la localitzaci fsica de les dades i els processaments. Aix no significa que les dades o processaments estiguin perduts a Internet, ja que el client mant el control sobre qui s capa daccedir o modificar aquesta informaci. La localitzaci de les dades pot incidir significativament en el rgim jurdic aplicable i en les condicions del contracte. 2.5 DEPENDNCIA DE TERCERS

    Tant si es treballa amb un nvol pblic o amb un nvol hbrid, existir una empresa contractada per proveir els serveis necessaris. Els beneficis de comptar amb aquestes empreses s que sencarreguen de tot el manteniment del maquinari, recintes especialitzats per als centres de processament de dades, subministrament elctric i connectivitat a Internet, etc. Tamb allotjaran tots els processos i dades que estan al nvol, a ms de les cpies de seguretat. s a dir, que comparteixen part del seu control amb lusuari o organitzaci.

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 6 de 15

    3.
    3 MARC LEGAL

    Marc legal

    El cloud computing t el seu fonament principal en la gesti remota de la informaci, per la qual cosa poden entrar en joc dos o ms jurisdiccions. En signar el corresponent contracte o termes ds, el client o contractant es vincula a acceptar una jurisdicci concreta. El marc europeu lintegren la Directiva 95/46/CE 2 (i les seves transposicions nacionals de cada Estat membre), aix com les Decisions i Comunicacions de la Comissi Europea i documents adoptats pels principals actors a nivell europeu en la matria, com s el cas de la Xarxa dAgncies Europees de Seguretat de la Informaci (ENISA) 3. 3.1 REGULACI DE LA LOPD

    La Llei Orgnica 15/1999 de 13 de desembre de Protecci de Dades de Carcter Personal o LOPD regula els aspectes relatius al tractament de les dades personals i la lliure circulaci de les dades. Si les dades amb les quals es va a treballar al nvol pertanyen a la categoria de dada personal (art. 3 LOPD), lempresa que les tracti ha de complir prviament amb el conjunt dobligacions previstes a la LOPD: la inscripci de fitxers, deures relacionats amb la informaci en la recollida, el consentiment i la qualitat de les dades, garantia dels anomenats drets ARCO (Accs, Rectificaci, Cancellaci i Oposici) o ladopci de mesures de seguretat 4. En el cas del cloud computing shan de revisar les condicions del contracte sobre la presncia dun encarregat del tractament i/o una transferncia internacional de dades personals. 3.1.1 Prestaci de serveis per tercers aliens al responsable

    En la prestaci de serveis de cloud computing per tercers aliens (prestador/provedor) a lorganitzaci responsable es produeix el que la LOPD i el seu Reglament de Desenvolupament (RDLOPD) 5 denominen un encrrec del tractament. En els casos en qu apareix un encarregat del tractament han dobservar-se els articles segents de la normativa de protecci de dades: Article 12 de la LOPD i articles 20, 21 i 22 del RDLOPD, en relaci a laccs a les dades per compte de tercers.

    2 Directiva 95/46/CE del Parlament Europeu i del Consell, de 24 doctubre de 1995, relativa a la protecci de les persones fsiques pel que fa al tractament de dades personals i a la lliure circulaci daquestes dades. 3 4 5

    Font: ENISA (2011).Security and Resilience in Governmental Clouds. Ms informaci: Agncia Espanyola de Protecci de Dades (2008) Guia del responsable de fitxers.

    Reial Decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desenvolupament de la Llei Orgnica 15/1999, de 13 de desembre, de protecci de dades de carcter personal o RLOPD.

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 7 de 15

    Article 9 de la LOPD i articles continguts al Ttol VIII del RDLOPD quant a seguretat de les dades. Trasps de fronteres de les dades

    3.1.2

    La transferncia internacional de dades 6 obliga a distingir entre els pasos integrats a lEspai Econmic Europeu i tercers estats aliens a aquest mbit geogrfic. En el primer cas, regeixen les regles ordinries sobre lencarregat del tractament. Si la prestaci es realitza en pasos aliens a l'Espai Econmic Europeu, operar el rgim previst pels articles 33 i 34 de la LOPD. 3.2 REGULACI DE LA LSSI

    Els prestadors de serveis de la societat de la informaci han de complir amb els requisits establerts a la Llei 34/2002, de Serveis de la Societat de la Informaci i del Comer Electrnic (LSSI). A ms daquests preceptes legals, la Llei 32/2003 General de Telecomunicacions tamb vetlla pel compliment de les obligacions en el secret de les comunicacions i protecci de dades personals, aix com dels drets i obligacions de carcter pblic vinculats amb les xarxes i serveis de comunicacions electrniques, imposant al seu torn les sancions corresponents pel seu incompliment. 3.3 REGULACI DEL CODI PENAL

    El ventall de qestions que planteja en un entorn de cloud pot ser molt complex, si b en aquest apartat sanalitza de manera particular el delicte destafa. Les caracterstiques del model al nvol poden invitar a possibles estafadors a crear llocs web falsos al nvol per apropiar-se dinformaci sensible bolcada pels usuaris. El Codi Penal regula el delicte destafa a larticle 248 (reformat recentment segons la Llei Orgnica 5/2010, de 22 de juny). 3.4 EL SISTEMA JURDIC DELS PASOS DE DESTINACI

    Lelecci del pas de destinaci de les dades que siguin objecte duna prestaci basada en el cloud computing ha de tenir molt en compte el conjunt de lordenament jurdic. La Constituci Espanyola i els Tractats de la Uni Europea salvaguarden els drets fonamentals de les persones, per la qual cosa larticle 37.1.f i larticle 70.3 RDLOPD permeten denegar o suspendre temporalment una transferncia quan no es garanteixin aquests drets al pas de destinaci de les dades.

    6 La transferncia internacional de dades es defineix com el tractament de dades que suposa una transmissi daquestes fora del territori de lEspai Econmic Europeu, tant si constitueix una cessi o comunicaci de dades, com si t per objecte la realitzaci dun tractament de dades per compte del responsable del fitxer establert al territori espanyol.

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 8 de 15

    4.
    4 RISCOS DEL CLOUD COMPUTING

    Riscos del cloud computing

    Com tota tecnologia, el cloud computing no est exempt de riscos de seguretat i privacitat 7. 4.1 ABS I S MALINTENCIONAT

    Els pirates informtics estan aprofitant el cloud computing per realitzar atacs com ara el robatori de contrasenyes, enviament de spam, granges de captches o atacs de denegaci de servei. 4.2 FUGIDES INTERNES DINFORMACI

    Lamenaa tamb pot provenir de la prpia empresa, b per errors humans, b per accions deliberades dels usuaris del cloud. Aquests incidents desencadenen prdues dinformaci, amb els consegents danys en la imatge de lempresa i les possibles conseqncies legals i/o jurdiques. 4.3 API INSEGURES

    Les API sn lnic punt dinteracci amb els programes que sestan executant al nvol, per la qual cosa sn un punt crtic de la seguretat i privacitat del sistema. Sense una poltica de seguretat correcta, les API poden sofrir atacs de programari malicis que persegueixen el robatori i/o accs a la informaci de la vctima. 4.4 SUPLANTACI DIDENTITAT

    En la majoria dels sistemes informtics cal identificar-se abans de realitzar qualsevol tasca. Habitualment, aquesta identificaci es produeix mitjanant la combinaci del nom dusuari i una clau secreta o password. Cal investigar altres sistemes molt ms segurs per evitar la suplantaci didentitat a la xarxa, utilitzant el DNI electrnic com a mecanisme didentificaci. 4.5 DESCONEIXEMENT DEL PERFIL DE RISC

    El cloud computing comporta una evoluci no coneguda fins ara: hi ha menys experincia datacs i els experts en seguretat estudien els nous modus operandi dels usuaris malintencionats alhora que les possibles fallades de disseny. Els experts destaquen ls de tecnologies compartides 8, especialment quant a lallament necessari de la informaci de diferents usuaris en una mateixa infraestructura. Per tant, els provedors de serveis cloud han de mantenir els seus esforos per garantir un servei en el qual cada usuari tingui accs nicament a la seva prpia informaci.

    7 8

    Font: Banegas, M. (Telefnica Espaa Grans Clients) Presentaci Seguretat en Cloud Computing. ENISE 4 (2010). Font: INTECO-CERT (2011). Riscos i amenaces en cloud computing.

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 9 de 15

    5.
    5 SEGURETAT AL NVOL

    Seguretat al nvol

    Utilitzar els serveis al nvol comporta un canvi en la manera dentendre la seguretat informtica. En fer s de cloud computing una part important de la seguretat del sistema recau sobre lempresa que proveeix els serveis al nvol. Per entendre el model de seguretat de la informaci aplicat al cloud computing cal conixer els diferents actors que hi participen: Provedor de serveis al nvol: empresa que disposa de la infraestructura informtica necessria per allotjar els programes seguint el model de cloud computing. Client: persona, organitzaci o empresa que contracta els serveis al nvol. El client s qui paga certa quantitat de diners per beneficiar-se de les prestacions de la computaci al nvol. Lusuari final o la persona, o grups de persones, que utilitza el programa pot ser diferent del client.

    Illustraci 1: Exemple de participants al cloud computing

    Els mecanismes de seguretat que es poden aplicar per protegir les dades allotjades al nvol han de considerar-se com un treball collaboratiu entre les dues parts (provedor de serveis al nvol i client), ja que ambdues han dassumir unes responsabilitats.

    5.1

    SEGURETAT PER PART DEL PROVEDOR DE CLOUD COMPUTING

    El provedor de serveis al nvol sencarrega de garantir la seguretat fsica als seus centres de processament de dades, aix com mantenir els seus equips actualitzats, tant a nivell de maquinari com de programari, per fer front a les amenaces existents a Internet. Virtualitzaci. Diferents mquines virtuals poden executar-se en un nic servidor, per cada mquina virtual executa un sistema operatiu de manera allada. Deslocalitzaci de les dades. Permet que les dades dun client resideixin en diferents servidors, fins i tot en diferents centres de dades, protegint aquestes dades davant dun hipottic robatori a les installacions del provedor de serveis.

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 10 de 15

    5.2

    SEGURETAT PER PART DEL CLIENT El client s responsable de mantenir el sistema operatiu actualitzat i installar els pedaos de seguretat que apareguin. Mantenir poltiques de seguretat tradicionals com ara el control dusuaris, lesborrament de comptes dusuari que ja no sutilitzin, o la revisi del programari per comprovar que no t vulnerabilitats. Adequat control perimetral utilitzant tallafocs o Intrusion Detection System o IDS. La criptografia proporciona un nivell superior de seguretat en tres aspectes principals: o Protecci de les connexions de xarxa entre els usuaris i les aplicacions al nvol (usant SSL i TLS). Protecci de les connexions entre els administradors del sistema i els serveis del nvol (usant SSH i VPN).

    Illustraci 2: Protecci de connexions al cloud computing

    Protecci de les dades utilitzant criptografia.

    Illustraci 3: Utilitzaci darxius xifrats en Ubuntu One

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 11 de 15

    6.
    6 PRIVACITAT AL NVOL

    Privacitat al nvol

    La informaci s lactiu ms important de les organitzacions, per la qual cosa resulta crucial garantir la seva privacitat a lhora dutilitzar serveis de cloud computing. 6.1 PROTECCI DE DADES

    El simple fet que les dades abandonin lorganitzaci pot constituir un risc des del punt de vista de la privacitat: un usuari malintencionat podria interceptar les dades mentre sestan transferint per Internet. Fins i tot si sn interceptades, estan sent emmagatzemades i processades en una infraestructura informtica aliena al control de lusuari. 6.2 INTEGRITAT

    Mantenir una correcta integritat de les dades significa que aquestes romanen idntiques durant les operacions de transferncia, emmagatzematge o recuperaci. El control dintegritat fa s de funcions matemtiques (funcions resum o hash) per verificar que les dades no han sofert modificacions durant el seu trasllat. La gesti de canvis mant un historial de modificacions de les dades o fitxers emmagatzemats al nvol. Finalment, les cpies de seguretat sn lltima lnia defensiva per garantir la integritat de les dades. CONTROL DACCS

    6.3

    Cal diferenciar clarament entre els serveis que sofereixen de manera lliure i gratuta al nvol i la utilitzaci de recursos al nvol per a finalitats personals o empresarials. Per a les aplicacions empresarials s imprescindible decidir quina part de les dades o processos sn accessibles per a cada usuari o grup dusuaris. 6.4 PREVENCI DAVANT DE PRDUA

    Una poltica de seguretat correcta limita la llibertat dels usuaris per esborrar elements del sistema, protegeix els equips davant latac de programari malintencionat i impedeix laccs a tercers aliens a lorganitzaci. Una poltica de cpies de seguretat correcta permet recuperar les dades fins i tot quan han fallat totes les mesures de seguretat.

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 12 de 15

    7.
    7

    Passos per a entrar al nvol

    PASSOS PER A ENTRAR AL NVOL

    A lhora de valorar si lempresa o entitat dna el salt al nvol es pot seguir un esquema per a la presa de decisions com aquest:

    Illustraci 4: Esquema de presa de decisions

    7.1

    ANLISI DE NECESSITATS I OPORTUNITATS Les caracterstiques de la seva activitat: rees de negoci adequades per a la migraci, usuaris, aspectes econmics, etc.

    Illustraci 5: Exemple de valoraci de variables operatives

    Els parmetres de seguretat i tolerncia a fallades: preparaci de lorganitzaci, lliurament del servei, resposta i recuperaci i compliment legal.

    Els nivells de servei i models de desplegament (veure apartats 1.2 i 1.3)

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 13 de 15

    7.2

    RESPONSABILITAT I TERMES DS

    Els termes ds sencarreguen de definir les especificacions tcniques ms importants relacionades amb el lliurament i la qualitat del servei. Acords de Nivell de Servei (Service Level Agreements, SLAs) amb els seus corresponents informes peridics. Confidencialitat, fonamentalment en les operacions de trasllat de dades i emmagatzematge en servidors. Disponibilitat. Normalment tots els provedors de servei mantenen un nivell de disponibilitat de gaireb el 100% Rendiment. Requisits dels nivells de potncia de clcul, emmagatzematge i ample de banda contractats amb el provedor de serveis. Seguretat. El provedor de serveis es compromet a mantenir un nivell de seguretat suficient a les seves installacions per allotjar les seves dades i processos. Pagaments. Aquesta secci cont els detalls dels pagaments que ha de realitzar el client per gaudir dels serveis contractats. Serveis de suport. Cont detalls com el temps que el provedor requereix per recuperar el sistema quan sha produt un error. Terminaci o modificaci. Lacord legal ha de contenir clarament les opcions de modificaci del contracte o terminaci daquest. Privacitat i compliment de lleis locals. Especialment les relatives a la privacitat i protecci de dades vigents al territori espanyol o europeu si no nhi ha. UTILITZACI DE MECANISMES DE MIGRACI

    7.3

    La migraci ha de ser seqencial: En primer lloc, shan de migrar les aplicacions ms pesades i reservar les dades i aplicacions sensibles en el model tradicional. Un cop comprovat si la frmula funciona, es pot realitzar una migraci total al nvol utilitzant els mecanismes de suport. Per permetre la continutat de negoci correcta s molt important mantenir una cpia completa del sistema en el model tradicional durant un temps.

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    Pgina 14 de 15

    Web

    http://observatorio.inteco.es Perfil Facebook de l'ObservaINTECO: http://www.facebook.com/ObservaINTECO Perfil Twitter de l'ObservaINTECO: http://www.twitter.com/ObservaINTECO Perfil Scribd de l'ObservaINTECO: http://www.scribd.com/ObservaINTECO Perfil Youtube de l'ObservaINTECO: http://www.youtube.com/ObservaINTECO Bloc de l'Observatori de la Seguretat de la Informaci: http://www.inteco.es/blog/Seguridad/Observatorio/BlogSeguridad

    observatorio@inteco.es

    Guia per a empreses: seguretat i privacitat del cloud computing Observatori de la Seguretat de la Informaci

    www.inteco.es

    Pgina 15 de 15

    You might also like