Características de los servicios en la nube

Los servicios en la nube están cambiando la realidad de los negocios. La posibilidad

y necesidad de acceder a la información desde cualquier sitio, en cualquier
momento y con prácticamente cualquier dispositivo, ha puesto a prueba nuestros
sistemas de IT.

La magnitud del valor que ofrezcan los servicios en la nube dependerá de la

necesidad del consumidor, del proveedor y de la solución. También es importante
que se aclare que los servicios en la nube no son una solución universal o bien,
depende de las necesidades que cada negocio o cliente pueda tener. Lo importante
a resaltar es que este servicio puede ser flexible y personalizado según las
necesidades de los clientes potenciales, esto sin mencionar que hay una reducción
importante de costos.

Según el National Institute of Standards and Technology-NIST , existen cinco

características esenciales de la computación en la nube que las empresas deben
conocer:

1. Self-service on demand:

El consumidor puede acceder y utilizar los servicios en función de sus necesidades.

2. Amplio acceso de red:

Una característica clave de la computación en la nube es que los servicios se

encuentran disponibles en una red que puede ser privada, compartida o pública.

3. Pool de recursos:

La mayoría de las veces esta característica se refiere a los recursos de hardware,

como la capacidad de procesamiento, la asignación de memoria o el
almacenamiento.

4. Elasticidad:

La escalabilidad en los métodos de despliegue tradicionales exige planificación para

los recursos tanto físicos como financieros
5. Medición de servicios:

El control y la elaboración de informes sobre el uso del servicio, contribuyen al

control y optimización de los recursos por parte de los proveedores de servicios en
la nube.

¿Cómo Funciona?

Para comprender mejor cómo funciona la nube, resulta útil pensar en el sistema de
la nube como dos partes separadas: el front end y el back end. Para que el sistema
funcione, las dos partes deben estar conectadas entre sí a través de internet.

En el front end tenemos el ordenador o red de ordenadores del usuario final y el

programa que usa para acceder a la nube. En el caso de los servicios de correo
electrónico, este programa será sencillamente un navegador de internet, como
Google Chrome, Internet Explorer o Mozilla. Sin embargo, en otros casos será
necesario contar con una aplicación especialmente dedicada para obtener acceso.

En el back end tenemos los ordenadores, servidores y sistemas de almacenamiento

de datos que conforman la nube. Normalmente, cada aplicación cuenta con su
propio servidor. Un servidor central se encarga de controlar el tráfico para
asegurarse de que todo funciona correctamente y de que las demandas de los
clientes (ordenadores locales que acceden a la nube) quedan satisfechas. Este
servidor sigue una serie de reglas llamadas protocolos y usa un software especial
llamado middleware. El middleware permite que los ordenadores de la red se
comuniquen entre ellos. Para asegurar que los datos siempre estarán accesibles,
los sistemas de computación en nube tienen al menos el doble de los dispositivos
necesarios para almacenarlos y realizan copias de los datos en diferentes lugares.
Así, si uno de los ordenadores tiene un problema, siempre será posible acceder a
la copia. Este sistema de copias de seguridad de los datos se llama redundancia.

¿Cuáles son los principales beneficios que ofrece la nube?

Permite centrarse en generar valor e innovar.

Reduce costes, tanto iniciales como de mantenimiento posterior.

Incrementa la productividad y por tanto, la competitividad de las empresas.

Aumenta la disponibilidad de los servicios informáticos, 24x7x365

Acelera la puesta en marcha de nuevas aplicaciones y servicios (time to market)

Evita inversiones en activos tales como hardware y software.

Se paga sólo por el uso necesario.

Siempre actualizado, al día.

Permite ajustar el servicio o crecer en cualquier momento

Permite diferenciar el servicio por usuario, ajustando todavía más el coste.

Riesgos
Las amenazas pueden transformarse en incidentes si se dan las circunstancias para
ello, provocando daños en la reputación y pérdidas económicas. Para ser
consciente de estas circunstancias es necesario realizar una evaluación de los
riesgos que afectan al servicio que vamos a contratar para así poder poner las
medidas adecuadas para tratarlos.
Acceso de usuarios con privilegios
Este riesgo, pérdida de confidencialidad, integridad e incluso disponibilidad, aparece
cuando un empleado con privilegios de administrador accede cuando no debería o
actúa de forma maliciosa (empleados descontentos por ejemplo) alterando datos o
configuraciones. También es posible que se den privilegios por error a empleados
que no deban tenerlos y estos por desconocimiento provoquen daños.
Incumplimiento normativo
Este tipo de riesgos, que puede tener consecuencias administrativas o penales,
aparece cuando el proveedor no cumple, o no nos permite cumplir con nuestras
obligaciones legales. Por este tipo de infracciones nos podemos enfrentar a
sanciones legales.
Desconocimiento de la localización de los datos
Cuando se contratan servicios a un proveedor que aloja los datos en un Centro de
Datos del cual se desconoce su ubicación, se pone en riesgo la seguridad de los
mismos al desconocer la legislación de otros países. Por ejemplo, si se tratan con
datos de carácter personal, en caso de alojarse fuera del Espacio Económico
Europeo es necesario que se proporcionen las garantías jurídicas necesarias sobre
la privacidad de los mismos.
Falta de aislamiento de los datos
En los servicios en los que la empresa contratante comparte la infraestructura en la
nube con otras, es necesario que el proveedor gestione que los datos de las
distintas compañías no se mezclen y que cada una sólo tenga acceso a los suyos.
Indisponibilidad del servicio en caso de desastre o incidente
Si el proveedor sufre un incidente grave o un desastre y no tiene un plan de
continuidad por ejemplo, los servicios y los datos replicados en otro centro de datos,
no podrán seguir dando servicio.
Carencia de soporte investigativo
En caso de que ocurra un incidente, es necesario revisar los accesos a los datos
para saber qué ha ocurrido. En este caso, no se podrá actuar si el proveedor no
garantiza el acceso a los logs o registros de actividad.
Viabilidad a largo plazo
Existe el riesgo de que las condiciones del contrato sufran alguna modificación
debido al cambio de estructura del proveedor, de la alta dirección, a la entrada en
situación de quiebra del mismo o a que decida externalizar parte de sus servicios.
Por ello es recomendable asegurarse el acceso a los datos y su recuperación
Precauciones

Preocupaciones de Seguridad SaaS a veces llamado software de baja demanda,

es un modelo en el cual es licenciado en una base de suscripción y es hospedado
centralmente. Los hackers están cada vez más interesados en el valor de los datos
que pueden encontrar en su red, que en solo entrar en ella. En caso de que el
proveedor SaaS esté comprometido, la criptografía de datos es una buena idea para
ayudar a protegerlos. Sin embargo, él no va a ofrecer protección contra ataques de
phishing y malware lanzados para robar credenciales de acceso de usuario
individual. La criptografía debe ser considerada una tecnología esencial, pero las
organizaciones deben recordar que por sí sola, no es una solución
completa. Aunque los proveedores de SaaS tienen que proveer una garantía de
que están tomando medidas para mitigar los riesgos de violación, la responsabilidad
por la seguridad no puede parar en ese punto. Las organizaciones que seleccionan
soluciones SaaS también deben compartir la responsabilidad de seguridad e
implementar procedimientos y procesos internos. Esto incluye estrategias de
educación corporativa y entrenamiento para enseñar a los colaboradores cómo
identificar y contestar a las campañas de phishing, así como definir políticas acerca
de qué datos deben ser colocados en la Nube y lo que debe ser mantenido dentro
del firewall. Solo por el hecho de que una organización pueda almacenar sus datos
en la Nube no significa que estos deberían estar ahí. Las organizaciones precisan
tener una conversación con un socio confiable y calificado para entender qué datos
deben ser almacenados en el local, en un ambiente híbrido, o totalmente en la Nube,
lo anterior con el fin de entender las consecuencias de negocios y seguridad. Definir
políticas y prácticas recomendadas acerca de los datos que pueden o no precisar
ser almacenados en la Nube puede evitar varios dolores de cabeza y posibles
exposiciones y pérdidas de datos.

Preocupaciones de Seguridad PaaS

Permite que las empresas construyan, ejecuten y administren aplicativos de la Web

sin la infraestructura que normalmente es necesaria. Como el PaaS es basado en
la noción de usar recursos compartidos (como hardware, red y seguridad), las
preocupaciones de seguridad generalmente son basadas en informaciones de
misión crítica que los hackers pueden obtener durante una violación de datos. Si
los clientes PaaS tuvieran un Administrador / raíz o acceso de cartucho a los
servidores que ejecuten sus instancias, podrán surgir problemas de seguridad
adicionales si los hackers fueran capaces de obtener acceso no autorizado y
cambiar las configuraciones. Además, los controles de seguridad y los derechos de
autoservicio ofrecidos por las plataformas PaaS pueden representar un problema
en caso de que no estén configurados correctamente. Los proveedores deben ser
capaces de proveer políticas claras, directivas y adherirse a las mejores prácticas
aceptadas por la industria. Una vez más, la seguridad no puede ser solo
responsabilidad del proveedor PaaS. Al seleccionar un proveedor PaaS, considere
las siguientes cuestiones cruciales, antes de la selección final: - ¿Cuáles son los
tipos de criptografía utilizados? - ¿Cuál es la independencia y disponibilidad de los
datos? (usted puede mover sus máquinas virtuales y todos sus datos para otro
proveedor) - ¿Quién tiene acceso? - ¿Qué pasa si una instancia de la Nube migra
hacia otro país? - ¿Cuáles son los protocolos de recuperación de desastre /
continuidad de negocios? Preocupaciones de Seguridad IaaS IaaS provee
recursos de computación virtualizados en Internet hospedados por terceros. Las
preocupaciones de seguridad de IaaS

Son similares a las preocupaciones de su propia Base de Datos. ¿La empresa está
protegiendo datos confidenciales o la propiedad intelectual? ¿Hay estándares de
conformidad que necesiten ser atendidos y cómo esos estándares son evaluados?
¿Es necesario tener la capacidad de auditar al proveedor de la Nube para atender
estos requisitos de conformidad? ¿Cuál es el enfoque del proveedor de la Nube en
el monitoreo? Con ambientes IaaS, el control es la principal preocupación que la
empresa precisa resolver. Como la organización está usando un ambiente
virtualizado y recursos que no son técnicamente de ella, los puntos débiles en la
seguridad del proveedor pueden afectar la compañía dramáticamente.
Gestión de proyectos informáticos con equipos remotos

Entre las ventajas de la nube se encuentra sin duda el facilitar el teletrabajo. Hoy en
día son muchos los lugares de trabajo que cuentan con dispositivos móviles y
portátiles "de empresa" que facilitan a sus empleados conectarse y trabajar desde
cualquier lugar y en cualquier momento. Las aplicaciones en la nube facilitan tanto
el acceso como la sincronización de tareas en la gestión de proyectos informáticos.

Si estás planeando implantar un sistema de trabajo con equipos remotos en tu

empresa, toma nota de estos consejos:

El éxito de un equipo remoto comienza por una buena selección de empleados: no

todo el mundo está igualmente capacitado para trabajar a distancia, por lo que hay
que tener en cuenta las habilidades, aptitudes y situación personal de cada
trabajador. Si tu modelo de empresa se basa en el teletrabajo, conviene empezar a
tener esto en cuenta desde las primeras fases del proceso de selección de personal.

Define bien las tareas, los procesos y las herramientas. Lo ideal es que cada
persona tenga muy claro cuáles son sus responsabilidades y metas, qué pasos
debe seguir y qué herramientas debe emplear para alcanzarlas. Aunque un equipo
remoto debe contar con canales de comunicación para resolver dudas rápidamente,
el proceso será mucho más óptimo si cada trabajador tiene las cosas claras desde
el principio.

Establece controles y checklists compartidos. Así, cada empleado se hará

responsable de sus tareas y podrá ver el progreso de los demás. Este control puede
realizarse mediante una hoja de cálculo en Google Drive o con herramientas más
sofisticadas, como Trello (en el próximo apartado).

Define las necesidades de disponibilidad: si el equipo ha de comunicarse entre sí y

con sus superiores, necesariamente debe haber una franja horaria en la que todos
estén disponibles y conectados. Asegúrate de que este requisito quede bien definido
desde el principio, pero ten en cuenta que una de las grandes ventajas del
teletrabajo para los empleados es la flexibilidad horaria.

Herramientas para la gestión de proyectos informáticos en la nube

Google Drive: esta aplicación gratuita de Google permite crear y almacenar

diferentes tipos de documentos y trabajar en ellos desde diferentes equipos y
usuarios. Incluye una función de chat para coordinar el trabajo con mayor facilidad.

Dropbox: uno de los sistemas de almacenamiento online en la nube más populares.

Dispone de soluciones tanto gratuitas como de pago (con mayor capacidad de
almacenamiento) y permite sincronizar los archivos entre ordenadores, tabletas y
móviles.

Trello: un sistema de organización de proyectos con versión online y aplicación

móvil. Es ideal para gestionar los proyectos más complejos y organizar las tareas
entre diferentes miembros del equipo. Se basa en tablones de proyecto subdivididos
en listas. Cada lista contiene una serie de tareas o "cartas" donde se puede ampliar
la información sobre el proyecto, añadir imágenes y checklists, comentar y
mencionar a otros miembros del equipo y seguir todo el progreso del proyecto.

Videoconferencias: para organizar reuniones sin salir de casa. Las herramientas

gratuitas más populares para videoconferencias son Google Hangouts y Skype.

Características de la firma electrónica

Es un concepto jurídico, equivalente electrónico al de la firma manuscrita, donde

una persona acepta el contenido de un mensaje electrónico a través de cualquier
medio electrónico válido. Ejemplos:

Usando una firma biométrica.

Firma con un lápiz electrónico al usar una tarjeta de crédito o débito en una tienda.

Marcando una casilla en una computadora, a máquina o aplicada con el ratón o con
el dedo en una pantalla táctil.

Usando una firma digital.

Usando usuario y contraseña.

Usando una tarjeta de coordenadas.

¿Cómo funciona?

La firma digital funciona mediante complejos procedimientos matemáticos que

relacionan el documento firmado con información propia del firmante. ... El firmante
genera o aplica un algoritmo matemático llamado función hash, el cual se cifra con
la clave privada del firmante.

Reglamento Europeo de Firma Electrónica hay tres tipos de firma digital:

– Firma simple : Este tipo es el más vulnerable, ya que solo cuenta con un
conjunto de datos en formato electrónico que sirven como medio de identificación.
La única desventaja que presenta es que es muy difícil demostrar quien la utilizó.
Por ejemplo, mediante el número pin cuando se realiza una transacción, un usuario
y contraseña o el checkbox a través del cual aceptamos las políticas y condiciones
de una determinada página web.

– Firma avanzada: Las ventajas de este tipo de firma son la inmediatez, velocidad
y precisión. Si existiera la necesidad de verificar la autenticidad de la firma, un
grafólogo puede analizarla a través de la biometría del trazo. Además, garantiza la
integridad del documento firmado, ya que impide los cambios o alteraciones
posteriores al momento de la firma. Sin embargo, estos dos tipos de firma no
alcanzan a equipararse con la seguridad y la garantía que ofrece una firma
manuscrita.

– Firma cualificada: Es el único tipo de firma que puede ser considerado como
equivalente legal a la firma manuscrita. Solo puede ser emitida por una Autoridad
de Certificación que comprueba la identidad del certificado. La firma cualificada
debe utilizarse a través de un dispositivo de creación de firmas por lo que garantiza
los niveles de seguridad necesarios para poseer el mismo valor jurídico que una
firma manuscrita.

Beneficios

1. Validez jurídica para los documentos firmados electrónicamente

Una vez implementado el sistema de firma electrónica una organización podrá

generar documentos digitales firmados con total validez jurídica, con la
confianza y garantías que puede aportarnos esa validez en cualquiera de sus
operaciones comerciales.

2. Aumento de la productividad de las organizaciones

Como se puede entender por el resto de puntos, el uso habitual de la firma

electrónica optimiza los procesos, reduce los errores y agiliza la recepción y el
envío de documentos, con lo que el resultado es un aumento en la productividad
de las organizaciones que ya confían en este sistema.

3. Simplificación y automatización de la gestión documental

Con un sistema de firma electrónica, podemos olvidarnos de antiguos procesos
como los archivados, la clasificación, el mantenimiento o el escaneo de
numerosos documentos, sustituyendo todo eso por procesos automatizados de
gestión.

4. Ahorro en los costes

En general, el camino hacia la automatización y la digitalización es un camino

que, ya sea en el corto o en el medio plazo, acaba suponiendo un ahorro de
costos para las empresas y organizaciones que apuestan por él. De hecho, es
en muchos casos el motivo principal para apostar por este sistema.

5. Reducción de papel

Poco que explicar, pero si trabajamos, dirigimos o gestionamos una mediana o

gran empresa, sabremos calcular pronto todos los beneficios, tanto en costes
como en procesos, que supone una drástica reducción del papel utilizado en la
organización.

6. Reducción de errores al eliminar los procesos manuales

Automatizar y simplificar la gestión de la firma electrónica se traduce en,

igualmente, menos riesgos de cometer errores en dichos procesos. Menos
personas involucradas, menos errores.

7. Disponibilidad en todas partes

Gracias a las facilidades que ofrecen las nuevas tecnologías móviles, ahora se
puede incluso contar con la firma de tu cliente al instante, capturándola desde
un teléfono. La disponibilidad instantánea a Internet, sumado al uso en cualquier
parte de los teléfonos celulares, ahora hace realidad el deseo de contar con
transacciones firmadas por el cliente en el momento y sin obstáculos de t iempo
ni distancia.

Estos son algunos beneficios genéricos de la implantación de un sistema de

firma electrónica pero no los únicos, ya que cada empresa, organización o
administración puede encontrar sus propios beneficios particulares teniendo en
cuenta cuáles son sus necesidades y la capacidad del sistema para adaptarse
a las mismas.

Los riesgos de la firma electrónica

En este post voy a hablar acerca de los riesgos que tiene el uso de la firma
electrónica. En el mundo en el que vivimos como ya sabemos toda tecnología puede
ser “hackeada” y debido a ello se presentan una serie de riesgos.

La firma electrónica avanzada es confiable y segura debido a que como ya sabemos

hace uso de un cifrado asimétrico. Por tanto, esta firma que es considerada al mismo
nivel que la firma manuscrita es segura, entonces os podéis preguntar ¿de dónde
vienen los riesgos?. Estos riesgos provienen como siempre del eslabón más débil
que como ya podéis intuir es el usuario final que hace uso de la misma. Para realizar
la firma electrónica avanzada se debe hacer uso de dos claves la pública y la
privada. La clave pública es la que puede ser mostrada y accedida por un tercero y
la privada será la que en ningún caso podrá ser conocida o accedida por otra
persona, ya que esta clave lleva integrada nuestra identidad y nuestra firma. Por
tanto, aquí podemos encontrar el mayor riesgo, que es la forma en la que se guarda
esta clave privada en nuestros sistemas o si la misma es compartida o esta visible
para otras personas.

El tener al descubierto la clave privada es un riesgo muy grave, ya que la custodia

exclusiva de la misma es la garantía de no repudio de nuestras futuras firmas
electrónicas, por lo que cualquier persona que disponga de la misma podrá realizar
firmas fraudulentas con el mismo valor legal que si firmara a mano alzada. Por ello,
es un riesgo muy grave ya que el conocimiento de una tercera persona de la clave
puede traer consigo la suplantación de identidad, se podrá hacer pasar por nosotros
y firmar en cualquier sitio.

Lo que ocurre muchas veces entre las empresas y los usuarios es que presuponen
que únicamente ya el uso de una firma electrónica avanzada es una garantía de
seguridad, pero esto es un error muy grave si no se tienen en cuenta dos reglas que
son claves en este tema.

La primera de las reglas es tener la certeza de que nuestros certificados han sido
generados por un prestador de servicios de certificación confiable y que para la
creación de los mismos han hecho uso de un hardware criptográfico, el cual debería
estar reconocido internacionalmente y aprobado por un laboratorio especializado en
el tema. Esto es importante porque como hemos dicho antes la fuerza de estos
certificados o su clave en cuanto a la seguridad reside en sus claves, clave privada,
por tanto, la forma en la que ha sido generada la misma también es importante para
mantener la seguridad de las mismas.

La segunda de las reglas es como ya he introducido antes la forma en que se

custodian las claves de los certificados de los que hacemos uso. Una de las formas
en las que los usuarios guardan estás claves es haciendo uso de una Smart Card
que es seguro, ¿Pero ¿qué ocurre? para las empresas hacer uso de este tipo de
tarjetas puede hacer que se ralentice el proceso, y por tanto lo que hacen muchas
es guardarla directamente en el ordenador para acceder directamente a ella, en
cualquier carpeta, vamos como si nosotros dejáramos en nuestro ordenador en un
documento de texto accesibles todas nuestras contraseñas de nuestras cuentas. Si
a esto le añadimos la ausencia de control y gestión de los usuarios que tienen
acceso a las claves dentro de la empresa, estamos corriendo el riesgo de la
suplantación de identidad y de no saber al final quien es la persona que firma
realmente. Parece que las empresas no son conscientes del riesgo que corren
dejando accesibles de esta forma sus claves, ya que es como si compramos una
puerta blindada pero luego dejamos puesta la llave dentro de la cerradura. En este
caso por mucha seguridad que nos de esta puerta si dejamos la llave accesible
estamos dando acceso a la misma, pues lo mismo ocurre con la firma electrónica
es un sistema fiable y seguro, pero en caso de dejar la clave a la vista o disponible
para otros estamos dando la llave a terceros para que accedan como quieran.