Ventajas y Riesgos

Todo lo que la empresas deben

tener en cuenta para encontrar un
proveedor confiable de 'IT Cloud'.

MEGANUBE Ventajas y Riesgos | 2

Introduccin
El uso de la nube (Cloud) est
transformando rpidamente el entorno
de TI, y la conversacin alrededor de la
adopcin de tecnologas en ella, que ha
pasado de "si" a "cundo".
Las empresas estn mostrando un gran inters en conocer las ofertas
de nube que puede ayudarles a reducir los costos y aumentar la
agilidad del negocio.
Algunos proveedores ofrecen servicios en la nube, que significan
enormes beneficios econmicos, pero tambin plantean riesgos
potenciales significativos para empresas que deben proteger los
activos de informacin corporativa, respetando las regulaciones de la
industria y del gobierno.
Muchos proveedores de servicios cloud pueden ofrecer la
seguridad de que las empresas necesitan y (Secure Sockets
Layer) certificados SSL.
Ms especficamente, SSL es la solucin para asegurar los
datos cuando estn en movimiento. El objetivo de este ebook
es ayudar a las empresas a tomar decisiones pragmticas acerca
de dnde y cundo utilizar soluciones cloud esbozando cuestiones
especficas que las empresas deben conocer de los proveedores de
hosting antes de elegir uno.
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 3

Cloud Computing:
Nuevas oportunidades, nuevos
retos de seguridad
La mayora de las organizaciones citan el ahorro de costos como el
beneficio ms inmediato de la nube. Para la empresa, contar con
los servicios de la nube significa menores gastos de capital en TI y
los costos de operacin, sumando capacidad de aprovisionamiento.
El proveedor de servicios, a su vez, logra mejoras en su economa
de escala, proporcionando un conjunto estandarizado de recursos
informticos a una gran base de clientes. Muchos proveedores de
alojamiento ya estn bien posicionados en el mercado y tienen las
competencias bsicas (personas, procesos, tecnologa) para entregar
la promesa de Cloud computing para la empresa.
A pesar de los claros beneficios econmicos del uso de servicios en
la nube, las preocupaciones sobre la seguridad, el cumplimiento
y la privacidad de los datos han frenado la adopcin empresarial.
Una encuesta de ejecutivos de TI revela que la seguridad es el reto
nmero uno .
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 4

Gartner Research ha identificado siete reas especficas de

riesgo en seguridad asociadas con la nube informtica para
empresas, y recomienda que las organizaciones aborden varios
aspectos clave en la seleccin de un proveedor de cloud hosting:
Los privilegios de acceso. Los proveedores de servicios
de nube deben demostrar que son capaces de sostener la
contratacin, supervisin y controles de acceso adecuados.
Cumplimiento de normativas. Las empresas son
responsables de sus propios datos cuando estn en una nube
pblica, y deben asegurarse de que sus proveedores estn listos y
dispuestos a someterse a auditoras.
Procedencia de datos. Al seleccionar un proveedor,
pregunte donde se encuentran sus centros de datos y si pueden
comprometerse con requisitos especficos de privacidad.
La segregacin de datos. La mayora de las nubes
pblicas son entornos compartidos, y es fundamental para que
los proveedores ofrezcan un hosting seguro a la empresa.
La recuperacin de datos. Las empresas deben
asegurarse de que su proveedor de hosting tiene la capacidad de
hacer una restauracin completa en caso de un desastre.
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 5

Seguimiento y presentacin de informes. Es difcil

hacer un seguimiento y registro de la actividad de la nube
pblica, por lo que las empresas deben pedir una prueba de
que sus proveedores de hosting pueden hacer investigaciones
de apoyo.
Continuidad del negocio. Las empresas van y vienen,
y las empresas deben realizar preguntas sobre la portabilidad
de sus datos para evitar una potencial prdida si el negocio
falla.
Para aprovechar los beneficios de Cloud computing, sin aumentar
la seguridad y los riesgos de cumplimiento, las empresas deben
asegurarse de que funcionan slo con servicios de confianza,
proveedores que puedan abordar estos y otros desafos a la
seguridad cloud. Cuando las empresas pasan de usar slo un
servicio basado en la nube para usar los servicios de diferentes
proveedores, deben gestionar todas estas cuestiones a travs de
mltiples operadores, cada uno con diferentes infraestructuras,
polticas operativas y habilidades de seguridad. Esta complejidad
de los requisitos fiduciarios impulsa la necesidad de encontrar
un mtodo altamente fiable para proteger sus datos mientras se
mueve hacia, desde y alrededor de la nube.

COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 6

SSL es la clave para

el Secure Cloud Computing
para Empresas
SSL es un protocolo de seguridad
utilizado por los navegadores Web
y servidores Web para ayudar a
los usuarios a proteger sus datos
durante la transferencia. SSL es el
estndar para confiar en los intercambios
de informacin a travs de Internet. Sin la
ubicuidad de SSL, cualquier fideicomiso
a travs de Internet simplemente no sera
posible. SSL entra en juego con los datos
en cualquier momento. Si una empresa
mantiene sus datos en la nube, con una
red segura el acceso a ella es importante.
Adems, esos datos es probable que
deban moverse entre servidores en la nube
cuando el prestador ejerza las funciones
de gestin de rutina.
SSL proporciona dos servicios que
ayudan a resolver algunos problemas
de seguridad en la nube. En primer
lugar, SSL cifrado mantiene los ojos curiosos

Si los datos se
mueven entre
el servidor y
el navegador
o entre el
servidor y
el servidor,
SSL ayuda a
asegurarlos.

alejados de la lectura de los datos privados,

COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 7

ya que se transmite de un servidor a otro y entre el servidor y el

navegador. El segundo beneficio, posiblemente incluso ms importante,
es el de establecer la confianza en un servidor especfico y de dominio.
Un certificado SSL puede autenticar que un servidor
especfico y dominio pertenecen a la persona u organizacin
que dice representar. Los riesgos de segregacin de datos estn
cada vez ms presentes en almacenamiento en la nube. Con domicilio
tradicional de almacenamiento, el propietario de la empresa controla
donde se encuentra los datos exactamente y quin puede acceder a
ellos. En un entorno de nube, ese escenario cambia: hay que controlar
a los proveedores de servicios cloud, donde los servidores y los datos
estn situados. Sin embargo, una correcta aplicacin de SSL puede
proteger los datos sensibles, ya que estn siendo transmitidos desde
un lugar a otro en la nube, y entre el proveedor de la nube, servidores
y usuarios finales en los navegadores.

Encryption
Las empresas deben exigir a su proveedor de nube utilizar una
combinacin de SSL y servidores que dan soporte, como mnimo,
un cifrado de sesin de 128 bits (o, preferiblemente, la fuerte
encriptacin de 256 bits). De esta manera sus datos se protegen con
estndares de la industria en niveles de encriptacin o mejor, ya que
se mueve entre servidores o entre el servidor y navegador, evitando
los interceptores no autorizados de sus datos y la posibilidad de
leerlo.
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 8

Autenticacin
Las empresas tambin deben exigir que la propiedad del servidor
se autentique antes que un bit de transferencia de datos entre
servidores. Los Certificados SSL autofirmados no proporcionan de
autenticacin. Slo, certificados SSL de terceros independientes
pueden ofrecer autenticacin de propiedad legtima. La exigencia
de un certificado SSL emitido comercialmente, de una CA de
otro fabricante que haya autenticado el servidor hace que sea
prcticamente imposible establecer un servidor pirata que puede
infiltrarse en el proveedor de la nube.

Validez Certificado
Una vez que un servidor y dominio se autentican, el certificado
SSL es emitido para que el dispositivo sea vlido por un perodo de
tiempo definido. En el raro caso de que un SSL certificado haya sido
comprometido de alguna manera, hay un cheque a prueba de fallos
para verificar que el certificado no ha sido revocado en tiempo desde
que se emiti originalmente.
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 9

Cada vez que el SSL se inicia, se comprueba el certificado

SSL contra una base de datos actual de certificados
revocados.
Actualmente hay dos estndares utilizados para esta comprobacin
de validez, los certificados en lnea Status Protocol (OCSP) y
lista de certificados revocados (CRL). Con OCSP, una consulta
se enva a la CA preguntando si este certificado ha sido revocado;
la CA responde s o no. CRL, por otra parte, requiere que el
navegador descargue la lista de revocacin ms reciente de la CA y
compruebe la lista en s para ver si el certificado aparece en ella.
El perfil de la lnea de estado de certificados se considera el mtodo
ms fiable debido a que siempre est al da y es menos probable
que se alargue el tiempo de espera debido al trfico de la red.
Los certificados SSL que se basan slo en el estndar CRL son
menos deseables, debido a que en los casos de altas cantidades
de trfico de la red, este paso se puede desaprovechar: algunos
navegadores malinterpretan una revisin incompleta CRL como la
confirmacin de que un certificado no est en la lista de revocacin,
en consecuencia, inicia una sesin basada en un certificado SSL
revocado. En tal escenario, un servidor pirata podra utilizar
un certificado revocado para pasar con xito como un servidor
legtimo, creando una condicin ptima para una violacin de
datos.

COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 10

Facilitar los esfuerzos de

cumplimiento de normativas
Los siguientes son los riesgos de cumplimiento normativo.
Cuando se trata de asegurar y confidencialidad de datos, las
empresas estn cargadas de una gran cantidad de regulaciones.
Desde leyes como la Ley Sarbanes-Oxley (SOX), que afecta slo
a las empresas pblicas, a la Payment Card Industry Security
Standard (PCI-DSS), que afecta a cualquier empresa que acepta
tarjetas de pago, para el Seguro de Salud de Portabilidad y Federal
Accountability Act (HIPAA), que afecta a las empresas con la ms
remota posibilidad de tocar los datos de un paciente.
En Europa existe la Directiva de Privacidad de Datos de la UE
y Canad tiene un equivalente de proteccin de informacin y
electrnica, Ley de Documentos (PIPEDA).
Cuando una organizacin externaliza TI a un proveedor de servicios
de nube, la organizacin sigue siendo responsable de mantener
el cumplimiento de SOX, PCI, HIPAA y cualquier otro reglamento
aplicable, y posiblemente ms, dependiendo de donde los servidores
y los datos estn en cualquier momento dado. Como resultado, la
empresa se hace responsable de la seguridad y la integridad de los
datos, incluso si se subcontrata.
Dado que la empresa de TI no puede basarse nicamente en el
proveedor de la nube para cumplir estos requisitos, las empresa
debe exigir al proveedor de la nube buscar algn tipo de supervisin
de cumplimiento.
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 11

Los proveedores
de cloud computing
que se niegan
a someterse a
auditoras y la
seguridad exterior
de certificaciones,
estn "dando seales
de que los clientes
slo pueden usarlos
para las funciones
ms triviales ", segn
Gartner Research.

Adems, los cambios tecnolgicos en el entorno de Cloud

Computing pueden, sin saberlo, reducir poco a poco el
cumplimiento de un proveedor.
Caracterstica tales como modificaciones de permisos, nuevas
capacidades, introduccin de dispositivos mviles, y los cambios de
la red tambin pueden afectar este cumplimiento.
Aqu, al igual que con la segregacin de datos, la encriptacin
SSL impide la divulgacin accidental de datos protegidos o
privados porque la diligencia, regulacin y acceso a los datos est
automatizada.
El Cifrado SSL hace que todos los datos sensibles, intiles para que
cualquier tercero pueda interceptar o verlos.
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 12

Monitoreo
Procedencia de datos
SSL se dirige a la tercera zona de riesgo, la ubicacin de
datos, de la misma manera. Las nubes son como cajas
negras: mientras que permiten el acceso ubicuo a los datos,
tambin ofuscan la ubicacin fsica de los servidores y los datos.
Pero si un proveedor de la nube utiliza SSL para cifrar los datos a
medida que cambian de lugar, una empresa puede estar segura de
que sus datos estarn seguros mientras se mueven alrededor de la
nube.
Adems, un proveedor de SSL de terceros legtimos, tales como
Symantec no le har emitir un certificado SSL en un servidor en
un pas de interdiccin como Corea del Norte e Irn. Por lo tanto,
siempre y cuando el proveedor de la nube requiera autenticacin de
confianza y cifrado en todos sus servidores a travs de SSL de una
CA raz de una prctica, una empresa sabr que el proveedor de la
nube no es solo el almacenamiento de sus datos en el hardware de
TI de estos pases.

Otras reas
en las que SSL puede ayudar
La empresa tiene que saber cmo su proveedor de
la nube, con todos sus servidores en todo el mundo,
protege los datos en caso de un desastre. Gartner afirma
que "cualquier oferta que no replica la infraestructura de
datos y aplicaciones a travs de mltiples sitios, es vulnerable
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 13

al fracaso total ", y que cualquier negocio en la nube tiene

el deber de conocer si el proveedor de la nube es capaz de
restaurar completamente los datos de las copias de seguridad o
duplicados, y cunto tiempo tomar. Para evitar la prdida de
datos, los proveedores de servicios de nube deberan mantener
en los repositorios de datos una copia de seguridad. Si ocurre un
accidente, los proveedores de la nube intentarn recuperar datos
de los servidores de respaldo. SSL aade una capa adicional de
proteccin al proceso de copia de seguridad y recuperacin para
un negocio, garantizando que los datos sern accesibles desde
servidores de copia de seguridad o duplicados y que se cifran en
trnsito, accediendo a los servidores para obtener una copia de
seguridad de datos y se autentican como fuentes legtimas de esa
informacin.

Uso de certificados SSL para

establecer la confianza en la Nube
El uso de un proveedor de servicios de nube requiere un
alto nivel de confianza y seguridad.
Las aplicaciones crticas de negocio no pueden depender de
ensayo y error. Las empresas deben insistir en una ecuacin de
confiabilidad crtica para establecer la confianza, y los certificados
SSL proporcionan una manera muy visible y reconocible de
inmediato para lograr eso. Alternativamente, SSL falta se puede
destruir la confianza al instante.

COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 14

Por ejemplo: supongamos que la

empresa opta por un proveedor de
la nube para alojar su pgina web de
comercio electrnico, pero el proveedor
tiene un problema con el certificado
SSL del sitio. Un usuario visita el sitio
y es recibido inmediatamente con la
alarmante "Secure Error de conexin" o
"Hay un problema con la seguridad del
sitio Web, mensaje de certificado". Ser
que el usuario ignora la advertencia

Ser que el
usuario ignora
la advertencia
del navegador
y hace clic para
completar una
transaccin
en un sitio
aparentemente
de poca
confianza?

del navegador y hace clic para

completar una transaccin en un sitio
aparentemente de poca confianza? No
es probable.
La cadena de confianza se extiende
ms all del proveedor de la nube y su
proveedor de seguridad. El proveedor
de seguridad de la nube asegura

la fiabilidad de la tecnologa de seguridad que utilizan. Los

proveedores de cloud deben utilizar SSL desde que se establecen,
para ser fiables y asegurar CA independiente.
Su SSL debe entregar como mnimo una sesin de 128 bits
cifrado y ptimamente un cifrado de 256 bits. Y debe requerir un
riguroso proceso de autenticacin.
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 15

La Autenticacin
Genera confianza
La confianza de una credencial depende de la confianza en el
emisor de credenciales, porque el emisor da fe de la autenticidad
de la credencial. CAs utiliza una variedad de mtodos de
autenticacin para verificar la informacin facilitada por las
organizaciones.
Lo mejor es elegir un proveedor de la nube que se estandariza en
una CA que es bien conocida y la confianza de los proveedores
de navegadores, mientras que mantiene una autenticacin con
rigurosa metodologa y una infraestructura altamente confiable.
Hay cuatro niveles de autenticacin de SSL. Todos permiten un
intercambio cifrado de informacin; la diferencia se encuentra
dentro de la fuerza de la autenticacin de servidor y de dominio.
Los certificados autofirmados permiten el
cifrado, y eso es todo. Este tipo de SSL no proporciona
la seguridad requerida por una empresa.
Los certificados de dominio validado ofrecen
autenticacin bsica slo porque confirman que la
persona que solicita el certificado tiene el derecho a utilizar
un determinado nombre de dominio. Estos certificados no se
recomiendan para servidores

COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 16

Las Organizaciones que validan certificados

ofrecen una autenticacin fiable para la
nube. Validan que la organizacin es responsable del
dominio o un servidor que existe, y que la persona que
solicita el certificado SSL para ese dominio o servidor es
un representante autenticado. Estos certificados SSL son
opciones aceptables para un servidor o navegador, pero no
ofrecen el ms alto nivel de fomento de la confianza para el
usuario final.
Los certificados Extended Validation (EV)
son la mejor opcin para un servidor, ya que
ofrecen el nivel ms fuerte de autenticacin y la validacin
ms clara de que la conexin es segura. Con los certificados
EV, existencia fsica y operativa de la organizacin se
verifica, cual es el derecho de esa organizacin y el uso
de ese dominio. Usando EV asegura que la identidad de
la organizacin ha sido verificada a travs de los registros
oficiales mantenidos por un tercero autorizado, y que la
persona que solicita el certificado es un agente autorizado
de la organizacin.
Un certificado SSL con este alto nivel de autenticacin identifica
inequvocamente un usuario final en el navegador web. La Direccin
del navegador muestra el nombre de la organizacin, y el nombre
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 17

de la CA que ha emitido el SSL. Cuando los usuarios finales se

encuentran con la barra de direccin verde, tienen la completa
seguridad de que su conexin es segura. Numerosas empresas
han reportado elevaciones notables en las transacciones
realizadas despus de desplegar el SSL de validacin
extendido. Por estas y otras razones, EV es la opcin preferida el
uso de aplicaciones y servicios en la nube.

COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 18

Conclusin:
Vaya con lo que saben
SSL es una tecnologa probada y una piedra angular de la seguridad
en la nube. Cuando una empresa Selecciona un proveedor de cloud
computing, la empresa debe tener en cuenta la seguridad y las
opciones seleccionadas por ese proveedor de la nube. Sabiendo que
un proveedor utiliza SSL se puede recorrer un largo camino hacia el
establecimiento del compromiso del proveedor para salvaguardar los
datos en su poder. Cuando se selecciona un proveedor de servicio
en la nube, las empresas tambin tiene que ser muy claras con sus
socios relacionados con el manejo y mitigacin de los factores de
riesgo no direccionables por SSL.
COMPARTE
ESTE EBoOK

itsoluciones

MEGANUBE Ventajas y Riesgos | 19

Nuestro objetivo nmero 1 es

apoyarte a impulsar el crecimiento.
Nuestros consultores van a escucharte.

NecesitaS
ayuda para
no perder
clientes?
Programa una cita

COMPARTE
ESTE EBoOK

itsoluciones