La utilizacin de herramientas en la nube ha reducido los costos de
las empresas y ha estimulado su crecimiento en todo el mundo.
Diversos estudios revelan (La CSA (Cloud Security Alliance) , que
existen varias amenazas en la nube a las que se enfrentan las organizaciones , lo que torna importante el anlisis de las medidas ms eficientes para controlar y reducir riesgos, tales como amenazas de invasin, ataques, perdida de informacin, abusos de servicios en la nube, secuestro de cuentas entre otros.
La seguridad en la nube es el principal motivo de preocupacin de las
organizaciones en el mundo. La Cloud Security Alliance (CSA) revela que solo el 16% de las organizaciones posee polticas y controles completamente implementados para utilizar la nube. La propia CSA afirma que el 80% de las empresas con ms de cinco mil empleados no consigue informar cuntas aplicaciones en la nube son utilizadas por sus profesionales.
El modelo de nube adoptado tambin interfiere en el control de la
infraestructura, las aplicaciones y el banco de datos. Segn el informe Threat Report, del Crowd Research Partners, el 62% de las personas considera ms difcil detectar y proteger las amenazas internas que los ataques externos. La situacin es an ms compleja, pues las principales fallas ocurren por responsabilidad de los propios usuarios, siendo que solo el 38% de las organizaciones posee una poltica de seguridad con reglas y responsabilidades definidas para la proteccin de los datos.
Las causas de la inseguridad en la nube segn estudios
indican que:
Las organizaciones son las responsables de proteger sus datos
en la nube. La exposicin de la informacin financiera, secretos comerciales, debido a que estn almacenados en gran cantidad, se convierten en objetivo de infractores. Contraseas dbiles, no eliminar el acceso de usuarios que ya no trabajan en las organizaciones o cuando cambian de funcin dentro de las empresas, generan inseguridad. No tener Seguimiento, control, deteccin, revisin de cdigos, flujos de datos.
Compartir la memoria, bases de datos.
Falta de inversin en la seguridad , ausencia de profesionales capacitados
No implementar controles de acceso autenticados con
expiracin por tiempo y por inactividad; gestin de identidades integrado con los procesos de Recursos Humanos y terceros; identificacin del tipo de acceso, lugar, hora y perfil
No invertir en monitoreo de infraestructura, movimiento de
datos y aplicaciones
evitar la exposicin de los datos no solo en la transmisin sino
tambin en su almacenamiento.
A. PRONOSTICO
1. Que se creen reas de ataque ,abusos de servicios en la nube,
secuestro de cuentas .Violacin de datos , fraude , espiar las actividades , modificar datos , clonar servicios, robo de datos 2. Ataques de virus en los sistemas , los hackers que eliminan la informacin de forma permanente 3. riesgos comerciales, financieros, tcnicos, legales y de cumplimiento 4. reduccin de la velocidad en la informacin, intercambio de tecnologas como amenaza. 5. comportamientos perjudiciales y posibles brechas en los controles; 6. ataques internos o no conseguir medir el tiempo de deteccin Experimentar un ataque de pausa de servicio que puede durar horas y hasta das. 7. problemas de disponibilidad de servicios y prdida de datos. 8. Que alguien espi las actividades, manipular las transacciones, y modificar los datos. Los atacantes tambin pueden ser capaces de utilizar la aplicacin en la nube para lanzar otros ataques.
CONTROL DEL PRONOSTICO DIVERSAS ACCIONES Y ESTRATEGIAS
QUE DEBEN EMPRENDERSE PARA SOLUCIONAR LA PROBLEMTICA
Se deben fomentar ciertas polticas como:
libertad: el uso, captura, recoleccin y tratamiento de datos de la
organizacin, solo puede llevarse a cabo con el consentimiento previo. Los datos de la organizacin no podrn ser obtenidos o divulgados sin previa autorizacin finalidad: el uso, captura, recoleccin y tratamiento de datos de la organizacin a los que tenga acceso por la nube y sean recolectados, estarn subordinados y atendern una finalidad legtima. veracidad o calidad: la informacin sujeta a uso, captura, recoleccin y tratamiento de datos de la organizacin, debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohbe el tratamiento de informacin por la nube parcial, incompleta o que induzcan a error. acceso y circulacin restringida: los datos de la organizacin, salvo la informacin pblica, no podrn estar disponibles en la nube u otros medios de divulgacin o comunicacin masiva, salvo que el acceso sea tcnicamente controlable para brindar un conocimiento restringido, solo a los empleados o terceros autorizados. seguridad: los datos de la organizacin e informacin sujeta a tratamiento, sern objeto de proteccin en la medida en que los recursos tcnicos y estndares mnimos as lo permitan, a travs de la adopcin de medidas tecnolgicas de proteccin, protocolos y todo tipo de medidas administrativas que sean necesarias para otorgar seguridad a los registros, evitando su adulteracin, modificacin, prdida, consulta y en general, en contra de cualquier uso o acceso no autorizado en la nube. confidencialidad: todas y cada una de las personas que administren, manejen, actualicen o tengan acceso a informaciones en la nube de cualquier tipo que se encuentren en la organizacin, se comprometen a conservarla y mantenerla de manera estrictamente confidencial y no revelarla a terceros. Todas las personas que trabajen actualmente o sean vinculadas a futuro, debern suscribir un documento adicional para efectos de asegurar tal compromiso. Esta obligacin persiste y se mantiene inclusive despus de finalizada su relacin con alguna de las labores que comprende el tratamiento.
Adems de las polticas, en cuanto a la seguridad en la nube se debe
tener en cuenta lo siguiente:
Tener controles de seguridad para proteger su entorno, que utilicen
la autenticacin de factores mltiples y la encriptacin para protegerse contra las violaciones de datos Las claves deben ser protegidas adecuadamente, y es necesaria una infraestructura de clave pblica bien asegurada, tambin necesitan ser rotadas peridicamente para hacer que a los atacantes les resulte ms difcil utilizar las claves que han obtenido sin autorizacin. Eliminar el acceso de los usuarios cuando cambia una funcin de trabajo, o un usuario abandona la organizacin. Controles adecuados como lnea de defensa y de deteccin. Las aplicaciones y sistemas de amenazas, revisiones de cdigo centradas en la seguridad y pruebas de penetracin rigurosa. exploracin regular de la vulnerabilidad, y un rpido seguimiento de las amenazas reportadas. Prohibir que se compartan las claves de cuenta entre los usuarios y los servicios. Las cuentas, incluso las cuentas de servicio, deben ser controladas de manera que cada transaccin se pueda remontar a un dueo humano. La clave es proteger las cuentas para que no sean robadas Control en el proceso de cifrado y las claves, la segregacin de funciones y la reduccin al mnimo del acceso a los usuarios. Son tambin crticos el registro eficaz, la vigilancia y la auditora de las actividades del administrador. Controles avanzados de seguridad, gestin de procesos, planes de respuesta a incidentes, y el personal capacitado de TI lleva a incrementar los presupuestos de seguridad Distribuir los datos y las aplicaciones a travs de mltiples zonas para una mayor proteccin. Las medidas adecuadas de respaldo de datos son esenciales, as como la adhesin a las mejores prcticas en la continuidad del negocio y la recuperacin de desastres. La copia de seguridad diaria y el almacenamiento fuera de las instalaciones siguen siendo importantes en los entornos de nube autenticacin de factores mltiples en el sistema de deteccin de intrusos, aplicar el concepto del privilegio mnimo, segmentacin de la red, y los recursos compartidos.
8 HIPOTESIS
De acuerdo a los estudios y variables obtenidas por las bases de
datos, en cuanto a la seguridad en la nube.
HIPOTESIS DESCRIPTIVA:
El internet es una herramienta que hace que las organizaciones
guarden informacin, la puedan actualizar y sea un contacto dentro y fuera.
Actualmente la nube corre riesgos al ser un archivo almacenador de
informacin y est expuesta a varios peligros. HIPOTESIS CORRELACIONAL:
A mayor seguridad acerca del uso de la nube menor es la
probabilidad de sufrir un peligro.
A mayor falta de informacin mayor son las organizaciones en
peligro en la nube.
HIPOTESIS CAUSAL:
Si la gente manejara adecuadamente la seguridad en la nube
entonces habra menor peligro.
Si las organizaciones son las ms vulnerables entonces pueden
aceptar un mtodo de seguridad en la nube.
9 MARCO METODOLOGICO
A) TIPO DE ESTUDIO (EXPLORATORIO, DESCRITIVO,
EXPLORATORIO DESCRIPTIVO: sirve para aumentar el grado
de familiaridad con fenmenos relativamente desconocidos, obtener informacin sobre la posibilidad de llevar a cabo una investigacin ms completa sobre un contexto particular de la vida real, por lo general determinan tendencias, identifican relaciones potenciales entre variables y establecen el `tono' de investigaciones posteriores ms rigurosas
B) METODO Y O DISEO DE LA INVESTIGACION
El mtodo o diseo de la investigacin estar basado en
estadsticas reales que utilizan este mtodo para obtener una visin general del sujeto o tema. Es frecuentemente usada como un antecedente a los diseos de investigacin cuantitativa, representa el panorama general destinado a dar algunos valiosos consejos acerca de cules son las variables que valen la pena probar cuantitativamente. Los experimentos cuantitativos suelen ser costosos y requieren mucho tiempo, as que es resulta razonable primero tener una idea de qu hiptesis son dignas de anlisis .
C) PARTICIPANTES
D) INSTRUMENTOS Y EQUIPOS E) PROCEDIMIENTO
1. planificacin de actividades necesarias para dar
cumplimiento a la investigacin 2. Investigacin de campo: estudio de mercado en las organizaciones , encuestas con respuestas a preguntas abiertas sobre el tema 3. Anlisis , interpretacin e integracin de los resultados