3 PLANTEAMIENTO DEL PROBLEMA

La utilizacin de herramientas en la nube ha reducido los costos de

las empresas y ha estimulado su crecimiento en todo el mundo.

Diversos estudios revelan (La CSA (Cloud Security Alliance) , que

existen varias amenazas en la nube a las que se enfrentan las
organizaciones , lo que torna importante el anlisis de las medidas
ms eficientes para controlar y reducir riesgos, tales como amenazas
de invasin, ataques, perdida de informacin, abusos de servicios en
la nube, secuestro de cuentas entre otros.

La seguridad en la nube es el principal motivo de preocupacin de las

organizaciones en el mundo. La Cloud Security Alliance (CSA) revela
que solo el 16% de las organizaciones posee polticas y controles
completamente implementados para utilizar la nube. La propia CSA
afirma que el 80% de las empresas con ms de cinco mil empleados
no consigue informar cuntas aplicaciones en la nube son utilizadas
por sus profesionales.

El modelo de nube adoptado tambin interfiere en el control de la

infraestructura, las aplicaciones y el banco de datos. Segn el informe
Threat Report, del Crowd Research Partners, el 62% de las personas
considera ms difcil detectar y proteger las amenazas internas que
los ataques externos. La situacin es an ms compleja, pues las
principales fallas ocurren por responsabilidad de los propios usuarios,
siendo que solo el 38% de las organizaciones posee una poltica de
seguridad con reglas y responsabilidades definidas para la proteccin
de los datos.

Las causas de la inseguridad en la nube segn estudios

indican que:

Las organizaciones son las responsables de proteger sus datos

en la nube. La exposicin de la informacin financiera, secretos
comerciales, debido a que estn almacenados en gran cantidad,
se convierten en objetivo de infractores.
Contraseas dbiles, no eliminar el acceso de usuarios que ya
no trabajan en las organizaciones o cuando cambian de funcin
dentro de las empresas, generan inseguridad.
No tener Seguimiento, control, deteccin, revisin de cdigos,
flujos de datos.

Compartir la memoria, bases de datos.

 Falta de inversin en la seguridad , ausencia de profesionales
capacitados

No implementar controles de acceso autenticados con

expiracin por tiempo y por inactividad; gestin de identidades
integrado con los procesos de Recursos Humanos y terceros;
identificacin del tipo de acceso, lugar, hora y perfil

No invertir en monitoreo de infraestructura, movimiento de

datos y aplicaciones

evitar la exposicin de los datos no solo en la transmisin sino

tambin en su almacenamiento.

A. PRONOSTICO

1. Que se creen reas de ataque ,abusos de servicios en la nube,

secuestro de cuentas .Violacin de datos , fraude , espiar las
actividades , modificar datos , clonar servicios, robo de datos
2. Ataques de virus en los sistemas , los hackers que eliminan la
informacin de forma permanente
3. riesgos comerciales, financieros, tcnicos, legales y de
cumplimiento
4. reduccin de la velocidad en la informacin, intercambio de
tecnologas como amenaza.
5. comportamientos perjudiciales y posibles brechas en los
controles;
6. ataques internos o no conseguir medir el tiempo de deteccin
Experimentar un ataque de pausa de servicio que puede durar
horas y hasta das.
7. problemas de disponibilidad de servicios y prdida de datos.
8. Que alguien espi las actividades, manipular las transacciones,
y modificar los datos. Los atacantes tambin pueden ser
capaces de utilizar la aplicacin en la nube para lanzar otros
ataques.

CONTROL DEL PRONOSTICO DIVERSAS ACCIONES Y ESTRATEGIAS

QUE DEBEN EMPRENDERSE PARA SOLUCIONAR LA PROBLEMTICA

Se deben fomentar ciertas polticas como:

libertad: el uso, captura, recoleccin y tratamiento de datos de la

organizacin, solo puede llevarse a cabo con el consentimiento
previo. Los datos de la organizacin no podrn ser obtenidos o
divulgados sin previa autorizacin
 finalidad: el uso, captura, recoleccin y tratamiento de datos de la
organizacin a los que tenga acceso por la nube y sean
recolectados, estarn subordinados y atendern una finalidad
legtima.
veracidad o calidad: la informacin sujeta a uso, captura,
recoleccin y tratamiento de datos de la organizacin, debe ser
veraz, completa, exacta, actualizada, comprobable y comprensible.
Se prohbe el tratamiento de informacin por la nube parcial,
incompleta o que induzcan a error.
acceso y circulacin restringida: los datos de la organizacin, salvo
la informacin pblica, no podrn estar disponibles en la nube u
otros medios de divulgacin o comunicacin masiva, salvo que el
acceso sea tcnicamente controlable para brindar un conocimiento
restringido, solo a los empleados o terceros autorizados.
seguridad: los datos de la organizacin e informacin sujeta a
tratamiento, sern objeto de proteccin en la medida en que los
recursos tcnicos y estndares mnimos as lo permitan, a travs
de la adopcin de medidas tecnolgicas de proteccin, protocolos
y todo tipo de medidas administrativas que sean necesarias para
otorgar seguridad a los registros, evitando su adulteracin,
modificacin, prdida, consulta y en general, en contra de
cualquier uso o acceso no autorizado en la nube.
confidencialidad: todas y cada una de las personas que
administren, manejen, actualicen o tengan acceso a informaciones
en la nube de cualquier tipo que se encuentren en la organizacin,
se comprometen a conservarla y mantenerla de manera
estrictamente confidencial y no revelarla a terceros. Todas las
personas que trabajen actualmente o sean vinculadas a futuro,
debern suscribir un documento adicional para efectos de
asegurar tal compromiso. Esta obligacin persiste y se mantiene
inclusive despus de finalizada su relacin con alguna de las
labores que comprende el tratamiento.

Adems de las polticas, en cuanto a la seguridad en la nube se debe

tener en cuenta lo siguiente:

Tener controles de seguridad para proteger su entorno, que utilicen

la autenticacin de factores mltiples y la encriptacin para
protegerse contra las violaciones de datos
Las claves deben ser protegidas adecuadamente, y es necesaria
una infraestructura de clave pblica bien asegurada, tambin
necesitan ser rotadas peridicamente para hacer que a los
atacantes les resulte ms difcil utilizar las claves que han obtenido
sin autorizacin.
 Eliminar el acceso de los usuarios cuando cambia una funcin de
trabajo, o un usuario abandona la organizacin.
Controles adecuados como lnea de defensa y de deteccin. Las
aplicaciones y sistemas de amenazas, revisiones de cdigo
centradas en la seguridad y pruebas de penetracin rigurosa.
exploracin regular de la vulnerabilidad, y un rpido seguimiento
de las amenazas reportadas.
Prohibir que se compartan las claves de cuenta entre los usuarios y
los servicios. Las cuentas, incluso las cuentas de servicio, deben
ser controladas de manera que cada transaccin se pueda
remontar a un dueo humano. La clave es proteger las cuentas
para que no sean robadas
Control en el proceso de cifrado y las claves, la segregacin de
funciones y la reduccin al mnimo del acceso a los usuarios. Son
tambin crticos el registro eficaz, la vigilancia y la auditora de las
actividades del administrador.
Controles avanzados de seguridad, gestin de procesos, planes de
respuesta a incidentes, y el personal capacitado de TI lleva a
incrementar los presupuestos de seguridad
Distribuir los datos y las aplicaciones a travs de mltiples zonas
para una mayor proteccin. Las medidas adecuadas de respaldo
de datos son esenciales, as como la adhesin a las mejores
prcticas en la continuidad del negocio y la recuperacin de
desastres. La copia de seguridad diaria y el almacenamiento fuera
de las instalaciones siguen siendo importantes en los entornos de
nube
autenticacin de factores mltiples en el sistema de deteccin de
intrusos, aplicar el concepto del privilegio mnimo, segmentacin
de la red, y los recursos compartidos.

8 HIPOTESIS

De acuerdo a los estudios y variables obtenidas por las bases de

datos, en cuanto a la seguridad en la nube.

HIPOTESIS DESCRIPTIVA:

El internet es una herramienta que hace que las organizaciones

guarden informacin, la puedan actualizar y sea un contacto dentro y
fuera.

Actualmente la nube corre riesgos al ser un archivo almacenador de

informacin y est expuesta a varios peligros.
HIPOTESIS CORRELACIONAL:

A mayor seguridad acerca del uso de la nube menor es la

probabilidad de sufrir un peligro.

A mayor falta de informacin mayor son las organizaciones en

peligro en la nube.

HIPOTESIS CAUSAL:

Si la gente manejara adecuadamente la seguridad en la nube

entonces habra menor peligro.

Si las organizaciones son las ms vulnerables entonces pueden

aceptar un mtodo de seguridad en la nube.

9 MARCO METODOLOGICO

A) TIPO DE ESTUDIO (EXPLORATORIO, DESCRITIVO,

EXPLORATORIO DESCRIPTIVO: sirve para aumentar el grado

de familiaridad con fenmenos relativamente
desconocidos, obtener informacin sobre la posibilidad
de llevar a cabo una investigacin ms completa sobre
un contexto particular de la vida real, por lo general
determinan tendencias, identifican relaciones
potenciales entre variables y establecen el `tono' de
investigaciones posteriores ms rigurosas

B) METODO Y O DISEO DE LA INVESTIGACION

El mtodo o diseo de la investigacin estar basado en

estadsticas reales que utilizan este mtodo para obtener una
visin general del sujeto o tema. Es frecuentemente usada
como un antecedente a los diseos de investigacin
cuantitativa, representa el panorama general destinado a dar
algunos valiosos consejos acerca de cules son las variables
que valen la pena probar cuantitativamente. Los experimentos
cuantitativos suelen ser costosos y requieren mucho tiempo, as
que es resulta razonable primero tener una idea de
qu hiptesis son dignas de anlisis .

C) PARTICIPANTES

D) INSTRUMENTOS Y EQUIPOS
E) PROCEDIMIENTO

1. planificacin de actividades necesarias para dar

cumplimiento a la investigacin
2. Investigacin de campo: estudio de mercado en las
organizaciones , encuestas con respuestas a preguntas
abiertas sobre el tema
3. Anlisis , interpretacin e integracin de los resultados