GUÍAS DE SEGURIDAD DE ÁREAS CRÍTICAS EN CLOUD COMPUTING V3.0

Tamaño: px
Comenzar la demostración a partir de la página:

Download "GUÍAS DE SEGURIDAD DE ÁREAS CRÍTICAS EN CLOUD COMPUTING V3.0"

Transcripción

1 GUÍAS DE SEGURIDAD DE ÁREAS CRÍTICAS EN CLOUD COMPUTING V3.0

2 INTRODUCCIÓN INTRODUCCIÓN Este dcument cnstituye la tercera versión de la "Guía de Seguridad para las áreas críticas de atención en Clud Cmputing" de la Clud Security Alliance, que fue publicada riginalmente en abril de Las distintas versines de la Guía, en su idima riginal, se encuentran dispnibles en las siguientes ubicacines: (Versión 3 de las guías en inglés) (Versión 2 de las guías en inglés) (Versión 1 de las guías en inglés) Pr su parte, las traduccines al Castellan, llevadas a cab pr la Asciación Españla para el Fment de la Seguridad de la Infrmación (ISMS Frum) y el Capítul españl de la Clud Security Alliance (CSA-ES), se encuentran dispnibles en: https://www.ismsfrum.es/nticias/389/el-capitul-espanl-de-csa-publica-la-traduccin-al-espanl-de-la-csaguidev3.0/ En esta tercera edición, a diferencia de en la segunda, cada dmini ha tenid un editr asignad, y ha cntad cn un equip de revisres experts. La estructura y numeración de ls dminis cncuerda cn trs estándares de la industria y dcuments de buenas prácticas. Recmendams la adpción de estas guías cm buenas prácticas para la gestión estratégica de ls servicis sprtads en Clud. Esta dcumentación y sus fechas de publicación puede encntrarse en: Respect de la versión 2 del dcument, se han actualizad ls nmbres de alguns dminis, en ls dminis 3 (ahra Cuestines Legales: Cntrats y ediscovery ) y 5 (ahra Gestión de la Infrmación y de la Seguridad de ls Dats ). Se añade además un nuev dmini, el Dmini 14, Security as a Service Clud Security Alliance. All rights reserved. Yu may dwnlad, stre, display n yur cmputer, view, print, and link t the Clud Security Alliance Guidance at subject t the fllwing: (a) the Guidance may be used slely fr yur persnal, infrmatinal, nn-cmmercial use; (b) the Guidance may nt be mdified r altered in any way; (c) the Guidance may nt be redistributed; and (d) the trademark, cpyright r ther ntices may nt be remved. Yu may qute prtins f the Guidance as permitted by the Fair Use prvisins f the United States Cpyright Act, prvided that yu attribute the prtins t the Clud Security Alliance Guidance Versin 3.0 (2011) CLOUD SECURITY ALLIANCE 1

3 ÍNDICE INTRODUCCIÓN...1 ÍNDICE...2 PRÓLOGO...3 AGRADECIMIENTOS...4 CARTA DE LOS EDITORES DE LA VERSIÓN EN INGLÉS...7 CARTA DEL CAPÍTULO ESPAÑOL, Y DE LOS EDITORES DE LA TRADUCCIÓN A ESPAÑOL...9 NOTA DE LOS EDITORES SOBRE RIESGOS SECCIÓN I // ARQUITECTURA CLOUD DOMINIO 1 // MARCO DE REFERENCIA DE ARQUITECTURA PARA CLOUD COMPUTING SECCIÓN II // GOBIERNO EN ENTORNO CLOUD DOMINIO 2 // GOBIERNO Y GESTIÓN DEL RIESGO CORPORATIVO DOMINIO 3 // CUESTIONES LEGALES: CONTRATOS Y ediscovery DOMINIO 4 // CUMPLIMIENTO LEGAL Y GESTIÓN DE AUDITORÍA DOMINIO 5 // GESTIÓN DE LA INFORMACIÓN Y DE LA SEGURIDAD DE LOS DATOS DOMINIO 6 // INTEROPERABILIDAD Y PORTABILIDAD SECTION III // OPERACIONES EN ENTORNO CLOUD DOMINIO 7 // SEGURIDAD TRADICIONAL, CONTINUIDAD DE NEGOCIO Y RECUPERACIÓN DE DESASTRES DOMINIO 8 // ACTIVIDADES DEL CPD DOMINIO 9 // RESPUESTA ANTE INCIDENTES Dmini 10 // SEGURIDAD DE APLICACIONES DOMINIO 11 // CIFRADO Y GESTIÓN DE CLAVES DOMINIO 12 // IDENTIDAD, ASIGNACIÓN DE DERECHOS, Y GESTIÓN DE ACCESOS DOMINIO 13 // VIRTUALIZACIÓN DOMINIO 14 // SECURITY AS A SERVICE ANEXO A // GLOSARIO EMPLEADO CLOUD SECURITY ALLIANCE 2

4 PRÓLOGO Bienvenids a esta tercera versión de la Guías de Seguridad de Áreas Críticas en Clud Cmputing, de la Clud Security Alliance en su traducción a españl. A medida que Clud cmputing aumenta su madurez, la adecuada gestión de las prtunidades y rets en seguridad que implica Clud supng un element crucial para ls prcess de negci. Humildemente, esperams que este dcument aprte tant rientación cm inspiración para apyar al negci, mediante la gestión de ls nuevs riesgs. La Clud Security Alliance ha prprcinad desde versines anterires de este dcument buenas prácticas directamente aplicables. Es un prces cntinu de publicación de herramientas que permiten la transición de servicis a Clud reduciend ls riesgs, del que este dcument es referencia y rientación. En la versión 3.0 se recpilan dats y valracines recgidas de más de setenta experts mundiales. La infrmación prviene de un ampli rang de actividades, incluyend ls capítuls internacinales de CSA, scis, nuevas investigacines y cnferencias que permiten ampliar el alcance de ls resultads y cmpletar la misión de CSA. En puede tenerse infrmación actualizada sbre las actividades de CSA. El camin hasta cnseguir que el Clud sea segur será larg, requerirá la participación de un cnjunt de partes interesadas que cubran un punt de vista hlístic. Sin embarg, debems recncer ls prgress ya lgrads: regularmente aparecen nuevas slucines de seguridad Clud, las cmpañías se apyan en estas guías para cntratar servicis Clud, and se ha iniciad un enriquecedr debate a nivel mundial sbre aspects de cumplimient legal y cnfianza entre las partes en entrns Clud. Per el principal lgr btenid es que ls prfesinales de la seguridad están activamente implicads en hacer un futur segur, en lugar de cnfrmarse cn asegurar el presente. Pr favr, sigan estand implicads en este tema y cntinúen trabajand cn nstrs para cmpletar esta misión. Crdiales saluds Jerry Archer Dave Cullinane Nils Puhlmann Alan Behme Paul Kurtz Jim Reavis Clud Security Alliance Bard f Directrs 2011 CLOUD SECURITY ALLIANCE 3

5 AGRADECIMIENTOS De la Traducción a Españl, Realizada pr el Capítul Españl de CSA (CSA-ES, Editres de la Edición Españla Marian J. Benit, GMV Antni Sanz, Universidad de Zaragza Luis Buez, HP Nathaly Rey, ISMS Frum Equip de Traducción de la Edición Españla Enrique Aristi, Prfesinal Independiente Rbert Baratta, NvaCaixaGalicia Beatriz Blanc, KPMG Marian J. Benit, GMV Dieg Buen, KPMG Luis Buez, HP Ramses Galleg, QUEST a Dell Cmpany Ignaci Ivrra, Delitte Jrge Lared, HP Jaime Martin-Hinjal, Micrsft Jse Leandr Núñez, Audens Nathalie Rey, ISMS Frum David Rbles, Micrsft Antni Sanz, Universidad de Zaragza Equip de Revisión de la Edición Españla 2011 CLOUD SECURITY ALLIANCE 4

6 Manuel Gómez, BT Pedr López Peña, GMV Antni Rams, Leet Security Autres/Cautres de ls Dminis, versión en inglés Dmain 1: Chris Hff, Paul Simmnds Dmain 2: Marlin Phlman, Becky Swain, Laura Psey, Bhavesh Bhagat Dmain 3: Francise Gilbert, Pamela Jnes Harbur, David Kessler, Sue Rss, Thmas Trappler Dmain 4: Marlin Phlman, Said Tabet Dmain 5: Rich Mgull, Jesus Luna Dmain 6: Aradhna Chetal, Balaji Ramamrthy, Jim Petersn, Je Wallace, Michele Drgn, Tushar Bhavsar Dmain 7: Randlph Barr, Ram Kumar, Michael Machad, Marlin Phlman Dmain 8: Liam Lynch Dmain 9: Michael Panic, Bernd Grbauer, Carl Espiritu, Kathleen Mriarty, Lee Newcmbe, Dminik Birk, Jeff Reed Dmain 10: Aradhna Chetal, Balaji Ramamrthy, Jhn Kinsella, Jsey V. Gerge, Sundararajan N., Devesh Bhatt, Tushar Bhavsar Dmain 11: Liam Lynch Dmain 12: Paul Simmnds, Andrew Yemans, Ian Dbsn, Jhn Arnld, Adrian Secmbe, Peter Jhnsn, Shane Tully, Balaji Ramamrthy, Subra Kumaraswamy, Rajiv Mishra, Ulrich Lang, Jens Laundrup, Yvnne Wilsn Dmain 13: Dave Asprey, Richard Zha, Kanchanna Ramasamy Balraj, Abhik Chaudhuri, Melvin M. Rdriguez Dmain 14: Jens Laundrup, Marlin Phlman, Kevin Fielder Equip de Revisión, versión en Inglés Valmiki Mukherjee, Bernd Jaeger, Ulrich Lang, Hassan Takabi, Pw Carey, Xavier Guerin, Try D. Casey, James Beadel, Antn Chuvakin, Tushar Jain, M S Prasad, Damir Savanvic, Eiji Sasahara, Chad Wlf, Stefan Petterssn, M S Prasad, Nrupak Shah, Kimberley Laris, Henry St. Andre, Jim Petersn, Ariel Litvin, Tatsuya Kamimura, Gerge Fergusn, Andrew Hay, Danielit Vizcayn, K.S. Abhiraj, Liam Lynch, Michael Marks, JP Mrgenthal, Aml Gdble, Damu Kuttikrishnan, Rajiv Mishra, Dennis F. Pindexter, Neil Fryer, Andrea Bilbrk, Balaji Ramamrthy, Damir Savanvic 2011 CLOUD SECURITY ALLIANCE 5

7 Equip de Editres, versión en inglés Archie Reed: Dmains 3, 8, 9 Chris Rezek: Dmains 2, 4, 5, 7, 13, 14 Paul Simmnds: Dmains 1, 6, 10, 11, 12 CSA Staff Technical Writer/Editr: Amy L. Van Antwerp Graphic Designer: Kendall Scbria Research Directr: J.R. Sants 2011 CLOUD SECURITY ALLIANCE 6

8 CARTA DE LOS EDITORES DE LA VERSIÓN EN INGLÉS GUÍAS DE SEGURIDAD DE ÁREAS CRÍTICAS EN En ls últims tres añs, la Clud Security Alliance ha incrprad a cerca de 120 nuevs scis crprativs y se ha vlcad en tratar tds ls aspects de la seguridad Clud, incluyend el cumplimient legal, legislación y regulacines a nivel mundial en materia de seguridad, gestión de identidades, y ls rets que supnen la mnitrización y la auditría de seguridad en una cadena de prveedres mundial basada en Clud. CSA se psicina cm una incubadra de estándares de seguridad en Clud, de frma que ls pryects de investigación utilizan metdlgías ágiles para la rápida prducción de resultads. Para ell, el equip editrial del dcument de Guías presenta cn rgull la tercera versión de su dcument fundamental Guías de Seguridad de Áreas Críticas en Clud Cmputing. Este trabaj es un cnjunt de las mejres prácticas de seguridad que CSA ha reunid en ls 14 dminis invlucrads en el gbiern y las peracines en Clud: Marc de Referencia de Arquitectura para Clud Cmputing; Gbiern y Gestión del Riesg Crprativ; Cuestines Legales: Cntrats y ediscovery; Cumplimient Legal y Gestión de Auditría;, Gestión de la Infrmación y de la Seguridad de ls Dats; Interperabilidad y Prtabilidad; Seguridad Tradicinal; Cntinuidad de Negci y Recuperación de Desastres; Actividades del CPD; Respuesta ante Incidentes; Seguridad de Aplicacines; Cifrad y Gestión de Claves; Identidad, Asignación de Derechs y Gestión De Access; Virtualización ; y Security as a Service. En esta tercera versión, las guías buscan establecer una base estable y segura para la peración en Clud. Este esfuerz prprcina un radmap práctic y aplicable para ls gestres que quieren adptar slucines Clud cn seguridad. SE han rescrit ls dminis para hacer énfasis en la seguridad, estabilidad y la privacidad, asegurand la cnfidencialidad de la infrmación crprativa en un entrn multi-tenancy. En ls últims añs, la versión 2.1 del dcument ha sid la base para la investigación en múltiples áreas de la seguridad Clud. Alguns entregables ya en aplicación, desde la Arquitectura TCI a la Pila GRC, se apyan en las versines previas de la guía, y esperams que est curra también para esta versión. Estas guían sirven cm intrducción de alt nivel para Directres ejecutivs, cnsumidres e implementadres que desean adptar Clud cmputing cm una alternativa cm cmplement a las arquitecturas TI tradicinales. N bstante, la guía se ha diseñad cn espíritu innvadr. Aquells cn un pensamient más emprendedr pueden leer la guía cn un j en ls servicis y enfques que ls autres han deslizad y sugerid en ella. Para ls inversres y ls directres crprativs la guía les resultará interesante en tant radmap de investigación y desarrll que ya está siend usad en td el mund. Ls respnsables de seguridad e instructres encntrarán elements que asientan cncepts, aunque prvcadres. Y a medida que la industria evlucina, el valr prprcinad pr ls autres se mstrará tan adecuad cm influyente. En esta tercera edición, las guías maduran en paralel cn el desarrll de ls estándares internacinales en el área, tant en estructura cm en cntenids. La versión 3.0 amplia ls cntenids de versines anterires cn requisits y recmendacines que pueden ser medids y auditads. Pr favr, se cnsciente de las diferentes interpretacines que el términ requisits emplea a l larg del dcument. Estas guías n sn de bligad cumplimient, sin que requisits representa las guías adecuadas para, virtualmente, cubrir tds las situacines que pudims prever, y también alinea las guías cn trs dcuments aceptads pr la industria. Ls experts de la industria que participan en CSA han trabajad para presentar un prduct usable, que cnsidera y equilibra ls intereses de ls prveedres de servicis Clud y ls usuaris. Ls cntrles se enfcan en preservar la integridad de la prpiedad de ls dats de ls usuaris, apyand a la vez el us de infraestructuras físicas cmpartidas. La versión 3 de las Guías asume la naturaleza altamente dinámica del Clud, la curva de aprendizaje y el desarrll de nuevs prducts cm la CCM (Clud Cntrls Matrix), CAI (Cnsensus Assessments Initiative), TCI (Trusted Clud Initiative) y GRC Stack, y agrupa las actividades de 2011 CLOUD SECURITY ALLIANCE 7

9 CSA en un únic dcument ejecutiv. Las Guía V3.0 servirán cm la puerta de entrada para ls estándares emergentes que se están desarrlland pr rganizacines a nivel mundial, y está diseñad para que sirva cm un primer element a nivel ejecutiv para cualquier rganización que busque una transición segura y estable para migrar sus peracines de negci en el Clud. De parte de la Clud Security Alliance, querríams agradecer a tds y cada un de ls vluntaris pr su tiemp y dedicación para el desarrll y edición de esta nueva versión de nuev dcument fundamental. Creems que este es nuestr mejr y más cmplet trabaj hasta la fecha, si bien el tema sigue evlucinand y, aunque nuestra idea fundamental es rientar, también pretendems mtivar a ls lectres para que aprten ideas y mejras en la línea que perfila el dcument. Humildemente, publicams este trabaj para la industria y esperams su aprtación más imprtante al diálg, sus pinines. Estams desess de recibir sus pinines sbre estas Guías. Si encuentra que las Guías sn útiles, quisiera mejrarlas de cualquier frma, valra la psibilidad de unirte a la Clud Security Alliance, tant cm miembr cm clabradr. Saluds! Paul Simmnds Chris Rezek Archie Reed Security Guidance v3.0 Editrs 2011 CLOUD SECURITY ALLIANCE 8

10 CARTA DEL CAPÍTULO ESPAÑOL, Y DE LOS EDITORES DE LA TRADUCCIÓN A ESPAÑOL Para el Capítul Españl de la Clud Security Alliance, es mtiv de gran satisfacción pder presentar la traducción a lengua españla del dcument fundamental de trabaj de la CSA, este Guías de Seguridad de Áreas Críticas en Clud Cmputing, en versión 3. Esta Guía es la mejr y más cmpleta referencia a nivel internacinal sbre las medidas de seguridad y aspects a tener en cuenta que pueden aplicar las rganizacines que desean apyarse en ls servicis que frecen Clud que desean migrar sus servicis TI actuales a ella. La iniciativa de traducir este dcument tiene cm bjetiv fundamental pner a dispsición de tda la cmunidad hispanhablante este dcument clave para la segura adpción del Clud, facilitand sus cntenids pr encima de las barreras que pudiera supner el idima, y prmviend el us de la terminlgía prpia en españl. Desde el capítul querems agradecer a nuestrs cmpañers del Cmité Técnic de Organización del CSA-ES y a ls scis que han participad en estas tareas, cn la participación adicinal de experts en Clud, seguridad y prveedres de servici y usuaris finales, cntand cn la clabración de experts de las cmpañías Audens, BT, Dell, Delitte, GMV, HP, ISACA, KPMG, Micrsft, NvaCaixaGalicia, Universidad de Zaragza y experts independientes CLOUD SECURITY ALLIANCE 9

11 NOTA DE LOS EDITORES SOBRE RIESGOS GUÍAS DE SEGURIDAD DE ÁREAS CRÍTICAS EN A l larg de td el dcument, se hacen frecuentes recmendacines para reducir ls riesgs derivads de la adpción del Clud, per n tdas estas recmendacines sn necesarias inclus realistas para tds ls despliegues Clud. Dad que se ha recpilad infrmación de diferentes grups durante el prces de edición, rápidamente fue evidente que simplemente n había espaci en el dcument para dar recmendacines cmpletas para tds ls psibles escenaris de riesg. Igual que una aplicación crítica puede ser simplemente demasiad imprtante para llevarla a un prveedr Clud públic, ls cntrles de seguridad para dats pc relevantes en un servici de almacenamient Clud deben ser también pc relevantes. Ante la gran variedad de pcines de despliegues de Clud (tant SaaS, PaaS IaaS; pública privada; aljamient intern y extern y diverss híbrids de tds ells), ningún cnjunt de cntrles de seguridad pueden cubrir cualquier tip de circunstancias. Y cm en cualquier tra situación, las rganizacines deberían adptar una estrategia de migración a Clud basada en análisis de riesgs. A cntinuación, se muestra un marc de referencia sencill que puede ayudar a hacer una evaluación de riesgs preliminar y tmar decisines de seguridad adecuadas. Este prces n es un prces cmplet de análisis de riesgs, ni una metdlgía para identificar tds ls requisits de seguridad. Se trata de un métd rápid para determinar la viabilidad del mvimient de un activ a algun de ls mdels de Clud. Identificar ls Activs que se quieren desplegar en Clud Simplificand, ls activs que se pueden migrara a Clud pueden ser de ds tips: 1. Dats 2. Servicis, aplicacines, funcinalidades prcess Puest que se están mviend a Clud infrmación transaccines/prcesad de dats (desde peracines cncretas hasta aplicacines cmpletas) En un servici Clud, n es imprescindible que ls dats y las aplicacines residan en la misma ubicación, y se puede ptar pr mver a Clud parte de las funcines. Pr ejempl, pdems albergar la aplicación y ls dats en un CPD lcal, y además externalizar parte de sus funcinalidades a un Clud tip PaaS. El primer pas en la evaluación del riesg Clud es determinar cn precisión que dats y funcinalidades se está cnsiderand mver. Incluyend en su cas uss adicinales que pudieran aparecer una vez migrads ls dats. Debe cnsiderarse también que el vlumen de tráfic, dats y peracines sn, en casines, mayres de l esperad. Valrar ls activs El siguiente pas es determinar cuan imprtantes sn las peracines y/ dats para la rganización. N es necesari hacer una evaluación detallada, salg que la rganización tenga un prces frmal para ells, per si es necesaria una valración aun de traz grues sbre cuan cnfidencial es la infrmación y cuan imprtante es el prces, peración función CLOUD SECURITY ALLIANCE 10

12 Para ell, hágase las siguientes preguntas. 1. En qué frma se dañaría a la rganización si el activ estuviera públicamente accesible y dispnible? 2. En qué frma se dañaría a la rganización si un emplead del prveedr de Clud accediera al activ? 3. En qué frma se dañaría a la rganización si el prces fuera alterad pr alguien extern? 4. En qué frma se dañaría a la rganización si el prces función n prprcinase ls resultads esperads? 5. En qué frma se dañaría a la rganización si la infrmación ls dats se alterasen de frma inesperada? 6. En qué frma se dañaría a la rganización si el activ n estuviera dispnible durante un tiemp? Esencialmente, estas preguntas sirvan para valrar el activ en sus necesidades de cnfidencialidad, integridad y dispnibilidad, y cm el riesg varía si el activ se lleva ttal parcialmente a Clud. Es un prces similar a una valración de un pryect de externalización, salv en que en Clud hay muchas más pcines de trabaj, incluyend entre ellas ls mdels de trabaj en la prpia rganización tradicinales. Valrar el activ en ls distints mdels de despliegue Clud En ests mments, ya se debe entender la imprtancia del activ. El siguiente pas es identificar ls mdels de despliegue que mejr se ajustan. Antes de buscar psibles prveedres de servici, deberíams cncer si ls riesgs de ls distints mdels sn aceptables: públic, privad, cmunitarias híbridas; y escenaris de aljamient: intern, extern cmbinad. Para ell, identifica si para este activ, serían aceptables las siguientes pcines: 1. Públic 2. Privad, per intern en instalacines prpias. 3. Privad, per extern (incluyend infraestructuras dedicadas cmpartidas) 4. Cmunitarias, teniend en cuenta la ubicación de las infraestructuras, ptenciales prveedres el rest de ls miembrs de la cmunidad. 5. Híbrid, Para evaluar cn precisión esta pción hay que tener en cuenta al mens una idea sbre la arquitectura que albergará ls cmpnentes, funcines y dats. En este punt, debería dispnerse de una idea suficiente de cuan cómd se encuentra la rganización cn una migración a Clud, y ls mdels y ubicacines que se adaptan a ls requisits de riesg y seguridad. Valrar ls ptenciales mdels de servicis y prveedres Clud Este pas se enfca en el grad de cntrl que se dispndrá en cada nivel de servici Clud, para implantar medidas de cntrl del riesg. Si se está evaluand una prpuesta cncreta, psiblemente sea necesari hacer un análisis de riesgs más cmplet. El fc ha de ser el grad de cntrl de que se dispndrá en cada nivel para mitigar ls riesgs. Si se dispne de requisits preciss (legales, cntractuales), es el mment de incluirls en la evaluación. Describe ls flujs de dats 2011 CLOUD SECURITY ALLIANCE 11

13 Si se está evaluand un despliegue específic, han de describirse ls flujs de dats entre la rganización, el servici Clud, ls clientes y trs actres que intervengan. Aunque gran parte de esta descripción ya se debería haber hech en fases anterires, es cmpletamente esencial entender si ls dats se mueven a Clud y cm se hace este mvimient antes de tmar una decisión final. Si se ha de tmar una decisión sbre una ferta particular, deberías describir ls dats para tdas las pcines que se están manejand. Así, se puede estar segur de tds ls riesgs a ls que se expnen ls dats antes de tmar una decisión final. Cnclusines Cn este prces, se debería entender la imprtancia de ls elements que se quieren mver al Clud, la tlerancia al riesg de este mvimient, y las psibilidades de despliegues y mdels de servici que sn aceptables. Y una idea muy cercana a la realidad de ls riesgs a ls que se está expniend ls dats. Td ell junt debería cnstituir infrmación de cntext suficiente para evaluar cualquier cntrl de seguridad cntenid en este dcument. Para activs de baja imprtancia, n se necesita un alt grad de seguridad y pueden bviarse muchas de las recmendacines (inspeccines en el prveedr, cifrad cmplej, ediscvery, ). Un activ de alt valr y smetid a regulación pdría requerir la generación de trazas de auditría y una plítica de cnservación de estas trazas. Un activ de alt valr y sin requisits de regulación puede requerir mayr cantidad e intensidad de cntrles de seguridad de tip técnic Debid a las limitacines de espaci, y a la prfundidad de las materias cubiertas, este dcument cntiene una extensa lista de recmendacines de seguridad. N en tds ls cass será necesari aplicar tds ls cntrles de seguridad y gestión de riesgs psibles. Dedicar alg de tiemp para evaluar la tlerancia al riesg y la expsición al mism prprcina la infrmación que se necesita para elegir las mejres pcines para cada rganización y despliegue CLOUD SECURITY ALLIANCE 12

14 SECCIÓN I // ARQUITECTURA CLOUD 2011 CLOUD SECURITY ALLIANCE 13

15 DOMINIO 1 // MARCO DE REFERENCIA DE ARQUITECTURA PARA CLOUD COMPUTING Este dmini, Marc de Referencia de arquitectura para Clud Cmputing, prprcina un marc cnceptual para el rest de la guía de Clud Security Alliance. El cntenid de este dmini se fcaliza en una descripción de Clud cmputing específicamente adaptada a la perspectiva cncreta de ls prfesinales de seguridad y de redes TI. La sección final de este dmini prprcina una breve intrducción a cada un de ls dminis restantes. Entender el Marc de Referencia descrit en el presente dmini es un pas imprtante para el entendimient del rest de la guía del Clud Security Alliance. Dich marc, define muchs de ls cncepts y términs usads a l larg de ls trs dminis implicads. Intrducción. Las siguientes tres seccines definen la perspectiva de la arquitectura en términs de: Terminlgía usada a l larg de la guía al bjet de prprcinar un léxic cnsistente. Ls requisits de arquitectura y rets de seguridad para las aplicacines y ls servicis Clud. Un mdel de referencia que describa una taxnmía de servicis y arquitecturas Clud. 1.1 Qué es el Clud Cmputing? Clud cmputing es un mdel para prprcinar acces ubicu, cnveniente y baj demanda a un cnjunt de recurss de cmputación cnfigurable (p. ej., redes, servidres, almacenamient, aplicacines y servicis). Clud Cmputing es una tecnlgía puntera que tiene el ptencial de mejrar la clabración, la agilidad, la escalabilidad y la dispnibilidad así cm de prprcinar prtunidades de reducción de cstes a través de una cmputación ptimizada y eficiente. El mdel Clud Cmputing prevé un mund dnde ls cmpnentes puedan ser rquestads, aprvisinads, implementads y des-aprvisinads cn rapidez, así cm escalads hacia arriba y hacia abaj cn el bjet de prprcinar un mdel de distribución y cnsum baj demanda parecid al de ls servicis públics. Desde el punt de vista de la arquitectura, hay mucha cnfusión en trn a cóm el Clud es a la vez similar y diferente a ls mdels existentes de cmputación, y de cóm estas similitudes y diferencias influyen en ls enfques rganizativs, perativs y tecnlógics de las prácticas de seguridad y redes TI. Hay una fina línea divisria entre cmputación cnvencinal y cmputación en Clud. N bstante, el Clud cmputing influirá sbre ls enfques rganizacinales, perativs y tecnlógics en relación a las buenas prácticas de aseguramient de dats, redes y la seguridad de la infrmación en general. Hy pr hy, hay muchas definicines que intentan abrdar Clud desde una perspectiva académica, de arquitectura, ingenieril, para desarrlladres, gerentes y/ usuaris. Este dcument se fcaliza en una definición específicamente adaptada a la perspectiva cncreta de ls prfesinales de seguridad y redes TI CLOUD SECURITY ALLIANCE 14

16 1.2 En qué cnsiste el Clud Cmputing? Esta versión de la guía de Clud Security Alliance cuenta cn las definicines basadas en ls trabajs publicads pr ls científics del Natinal Institute f Standards and Technlgy (en adelante NIST) y sus esfuerzs en trn a la definición del Clud cmputing. Pr regla general, la publicación del NIST es bien aceptada, y esta guía se alinea cn el Wrking Definitin f Clud Cmputing de NIST (en adelante NIST ) para dar cherencia y cnsens en trn a un lenguaje cmún, y centrarse en ls cass de us en lugar de centrarse en ls matices semántics. Es imprtante bservar que esta guía está destinada a ser ampliamente utilizable y glbalmente aplicable a las rganizacines. Mientras el NIST es una rganización gubernamental de E.E.U.U., la selección de este mdel de referencia n debería interpretarse cm una sugerencia de exclusión de trs punts de vista áreas gegráficas. El NIST define Clud cmputing mediante la descripción de cinc características esenciales, tres mdels de servici en Clud y cuatr mdels de despliegue para Clud. En la Figura 1 se resumen de frma visual y se explica en detalle a cntinuación. Figura 1 Mdel visual de la definición de Clud Cmputing según NIST 1.3 Las características del Clud Cmputing Es imprtante recncer que ls servicis Clud sn a menud, per n siempre, utilizads en cnjunción cn y habilitads pr las tecnlgías de virtualización. Sin embarg, n hay ningún requisit que aúne la abstracción de 2011 CLOUD SECURITY ALLIANCE 15

17 recurss cn las tecnlgías de virtualización y en muchas prpuestas n se utiliza la virtualización pr el hipervisr el cntenedr del sistema perativ. Además, debe tenerse en cuenta que multi-tenancy n es una característica esencial de Clud según el NIST, per a veces se discute cm si l fuera. CSA ha identificad multi-tenancy cm un element imprtante del Clud. 1.4 Multi-Tenancy Cm se ha señalad antes, en este dcument, multi-tenancy se cnsidera un element imprtante, y en la siguiente sección se perfilará cm un element imprtante del Clud cmputing cnfrme la cmprensión y definición de CSA. En su frma más simple, multi-tenancy implica el us de ls misms recurss aplicacines pr parte de múltiples clientes que pueden pertenecer a la misma rganización a rganizacines diferentes. En materia de seguridad, ls riesgs de multi-tenancy se encuentran en la visibilidad de ls dats entre clientes la visibilidad en el seguimient de las peracines de tr usuari inquilin. En ls mdels de servici en el Clud, multi-tenancy implica la necesidad de una plítica impulsada pr la segmentación, el aislamient, el gbiern, ls niveles de servici y ls mdels de facturación pr cnsum para diferentes clientes. Figura 2a Multi-Tenancy Figura 2b Multi-Tenancy Ls usuaris pueden ptar pr utilizar un servici Clud de un prveedr públic frecid a usuaris individuales un a un, en el cas de aljamient privad en Clud, una rganización puede segmentar sus usuaris cm unidades de negci diferentes que cmparten una infraestructura cmún CLOUD SECURITY ALLIANCE 16

18 Desde la perspectiva del prveedr, el multi-tenancy sugiere un enfque de arquitectura y de diseñ que habilite ecnmías de escala, dispnibilidad, gestión, segmentación, aislamient y eficiencia perativa. Ests servicis aprvechan la infraestructura, dats, metadats, servicis y aplicacines que sn cmpartids pr muchs usuaris diferentes. Multi-tenancy también puede asumir diferentes definicines, dependiend del mdel de servici Clud del prveedr, en la medida en que pueda supner la habilitación de las capacidades descritas anterirmente en relación a la infraestructura, la base de dats ls niveles de aplicación. Un ejempl pdría ser la diferencia entre Infrastructure-as-a-Service (IaaS), Sftware-as-a-Service (SaaS) y Platfrm-as-a-Service (PaaS) a la hra de llevar a cab una implementación multi-tenant. La implementación de cada mdel da una imprtancia diferente a multitenancy. Sin embarg, inclus en el cas de Clud privad, una única rganización puede tener un gran númer de cnsultres y cntratistas, así cm el dese de un alt grad de separación lógica entre unidades de negci. Así las csas, ls aspects a valrar relacinads cn multitenancy deben ser siempre tenids en cuenta. 1.5 Mdel de Referencia Clud Infrastructure as a Service (IaaS), frece una infraestructura cmputacinal (nrmalmente un entrn de virtualización de platafrma) cm un servici, junt cn almacenamient pur y gestión de la red. En lugar de cmprar servidres, sftware, espaci en el CPD, equips de red, ls clientes cmpran ess recurss cm un servici ttalmente externalizad. Sftware as a Service (SaaS), a veces referid cm "sftware baj demanda", es un mdel de entrega de sftware en el que se aljan el sftware y sus dats asciads centralizadamente (Nrmalmente en Clud (Internet)) y el acces pr ls usuaris se realiza usand un cliente liger, nrmalmente un navegadr web. Entender las relacines y dependencias entre ls mdels de Clud cmputing es fundamental para cmprender ls riesgs asciads a la seguridad. IaaS es la base de tds ls servicis Clud, cn PaaS basándse en IaaS y SaaS, a su vez, cnstruid sbre PaaS cm se describe en el diagrama del Mdel de Referencia del Clud. De esta manera, al igual que se heredan las capacidades, también se heredan ls aspects y ls riesgs relativs a la seguridad de la infrmación. Es imprtante señalar que ls prveedres cmerciales de Clud puede que n encajen perfectamente en ls mdels de servici pr capas. Sin embarg, el mdel de referencia es imprtante para relacinar ls servicis del mund real cn un Marc de Referencia de arquitectura, y para entender que ls recurss y servicis requieren de un análisis de seguridad. IaaS incluye una pila cmpleta de recurss de infraestructura, desde las instalacines hasta las platafrmas hardware que residen en ellas. Incrpra la capacidad de abstraer recurss ( n), así cm la de prprcinar una cnectividad física y lógica a dichs recurss. En última instancia, IaaS prprcina un cnjunt de APIs 1, que permiten la gestión y tr tip de interaccines pr parte de ls usuaris cn la infraestructura. 1 API - Applicatin Prgramming Interface (Interfaz de Prgramación de Aplicacines) Platfrm as a service (PaaS), es la entrega de una platafrma de cmputación y de una pila de slucines cm un servici. PaaS frece facilitar el despliegue de aplicacines sin el cste y la cmplejidad de cmprar y gestinar el hardware y el sftware subyacentes, así cm las capacidades de aprvisinamient del aljamient. Est prprcina tds ls servicis necesaris para sprtar el cicl de vida cmplet de la creación y entrega de aplicacines y servicis web cmpletamente dispnibles en Internet CLOUD SECURITY ALLIANCE 17

19 PaaS se clca pr encima de IaaS y añade una capa adicinal de integración cn ls marcs de referencia de desarrll de aplicacines, capacidades de middleware y funcines cm bases de dats, mensajería y gestión de clas. Ests servicis permiten a ls desarrlladres crear aplicacines en la platafrma cn ls lenguajes de prgramación y herramientas sprtads pr la pila. A su vez, SaaS se basa en las pilas subyacentes IaaS y PaaS, freciend un entrn perativ independiente que es utilizad para prprcinar la experiencia de usuari de frma cmpleta, incluyend el cntenid, su presentación, la(s) aplicación(s) y las capacidades de gestión. Pr l tant, debería quedar clar que cada mdel presenta imprtantes ventajas y desventajas en términs de características integradas, de cmplejidad frente a apertura ( capacidad de ser extendid) y de seguridad. Pr regla general, SaaS prprcina la mayr funcinalidad integrada directamente en la ferta, cn la menr extensibilidad de usuari y un nivel de seguridad integrad relativamente alt (cm mínim, la seguridad es respnsabilidad del prveedr). PaaS está destinad a permitir a ls desarrlladres cnstruir sus prpias aplicacines en la parte superir de la platafrma. Cm resultad, tiende a ser más extensible que SaaS a expensas de prprcinar mens funcinalidades ya preparadas para el cliente. Este equilibri se extiende a las funcines y capacidades de seguridad dnde las capacidades integradas sn mens cmpletas, per hay más flexibilidad para añadir niveles de seguridad adicinal. IaaS frece pcas, sin ninguna, características de aplicación per sí una extensibilidad enrme. En general, est significa mens capacidades integradas de seguridad y mens funcinalidad más allá de la prtección de la prpia infraestructura. Este mdel requiere que ls sistemas perativs, las aplicacines y el cntenid sean gestinads y securizads pr el usuari del Clud. La cnclusión clave para la arquitectura de seguridad es que cuant más abaj se detiene la pila del prveedr de servicis Clud, mayr es la respnsabilidad de ls usuaris en materia de implementación y gestión de las capacidades de seguridad que deberán realizar pr ells misms. Ls niveles de servici, la seguridad, el gbiern, el cumplimient legal y las expectativas de respnsabilidad del servici y del prveedr se estipulan, gestinan y aplican cntractualmente cuand se frece al usuari un acuerd de nivel de servici (ANS SLA) 2. Hay ds tips de SLA: ls negciables y ls n negciables. En ausencia de un SLA, el usuari administra tds ls aspects del Clud baj su cntrl. Cuand se frece un SLA n negciable, el prveedr administra las partes estipuladas en el acuerd. Pr regla general, en ls cass de PaaS de IaaS es respnsabilidad de ls administradres de sistemas del usuari la gestión eficaz de ls servicis residuales especificads en el ANS, cn alguna cmpensación pr parte del prveedr al bjet de securizar la platafrma subyacente y ls cmpnentes de infraestructura de frma que se garantice la dispnibilidad y la seguridad del servici. Debe quedar clar en tds ls cass que se pueden asignar / transferir la respnsabilidad per n necesariamente quien asume las cnsecuencias. Actand el alcance algunas capacidades y funcinalidades específicas dentr de cada un de ls mdels de entrega del Clud, bien empleand la asciación funcinal de servicis y capacidades a través de ells, se pueden prducir clasificacines derivadas. Pr ejempl, "Strage as a Service" es una sub-ferta dentr de la "familia" IaaS. Mientras que una revisión más amplia del cnjunt cada vez mayr de slucines de Clud cmputing está fuera del alcance de este dcument, el "OpenCrwd Clud Slutins taxnmy" de la siguiente figura prprcina un excelente 2 ANS (Acuerd de Nivel de Servici) SLA-( Service Level Agreement) 2011 CLOUD SECURITY ALLIANCE 18

20 punt de partida. Sin embarg, específicamente CSA n prescribe ninguna de las slucines empresas que se muestran más abaj. Se prprcina el diagrama para mstrar la diversidad de fertas dispnibles en la actualidad. Figura 3 Taxnmía del OpenCrwd 3 Para una excelente revisión de ls muchs cass de us de Clud cmputing, el Clud Cmputing Use Case Grup creó un grup de trabaj clabrativ cn el fin de describir y definir ls cass cmunes y demstrar ls beneficis del Clud, siend su meta "... reunir a ls usuaris y fabricantes de Clud para definir ls cass de us cmún del Clud CLOUD SECURITY ALLIANCE 19

21 cmputing... y pner de relieve las capacidades y ls requisits que deben estandarizarse en un entrn de Clud para garantizar la interperabilidad, la facilidad de integración y la prtabilidad." Mdel de referencia de seguridad Clud El mdel de referencia de seguridad de Clud trata las relacines de estas tiplgías y las clca en el cntext de sus cntrles y aspects a valrar relevantes en materia de seguridad. Para las rganizacines y las persnas que lidian cn Clud cmputing pr primera vez, es imprtante tener en cuenta l siguiente para evitar psibles dificultades y cnfusines: La nción de cóm se implementan ls servicis Clud a menud se utiliza de frma intercambiable cn el lugar dnde se prestan dichs servicis, l que puede llevar a cnfusión. Clud públics privads pueden ser descrits cm externs interns, l que puede n ser exact en cualquier situación. A menud, la manera en que ls servicis Clud se describe en relación a la ubicación de la gestión de una rganización al perímetr de seguridad (pr l general, se define pr la presencia de un demarc cncid). Y mientras es imprtante entender el alcance de ls servicis que están en Clud para entender dónde se encuentran ls límites de seguridad en cuant a Clud cmputing se refiere, n ha de cnfundirse cn la nción de un perímetr de seguridad, que es un cncept anacrónic para la mayría de las rganizacines. El Clud cmputing amplifica y acelera la re-perimetrización y la ersión de ls límites de cnfianza, alg que ya está sucediend en las empresas. La cnectividad ubicua, ls múltiples intercambi de infrmación y la ineficacia de ls cntrles estátics de seguridad tradicinales que n puede hacer frente a la naturaleza dinámica de ls servicis Clud, hacen requerir un nuev pensamient en relación a Clud cmputing. El Jerich Frum 4 ha prducid una cantidad cnsiderable de material sbre la re-perimetrización de las redes empresariales, incluyend muchs cass de estudi. Las mdalidades de despliegue y us de Clud deben ser pensadas n sól dentr del cntext "intern" frente al "extern" en l que respecta a la ubicación física de ls activs, ls recurss y la infrmación, sin también pr quienes están siend usads, así cm quién es respnsable de su gbiern, seguridad y cumplimient cn las plíticas y estándares. Est n quiere decir que el hech de que un activ, un recurs la infrmación estén ubicads dentr fuera de las instalacines n afecte a la seguridad y a la expsición al riesg de una rganización, prque sí que afecta, per se pretende enfatizar que el riesg también depende de: Ls tips de activs, recurss e infrmación que están siend gestinads Quién ls gestina y cóm Qué cntrles se han seleccinad y cóm han sid integrads Aspects relacinads cn el cumplimient legal CLOUD SECURITY ALLIANCE 20

22 Pr ejempl, una pila LAMP 5 desplegada en el AWS EC2 de Amazn sería clasificada cm una slución pública IaaS gestinada pr tercers fuera de las instalacines, inclus si las instancias y aplicacines / dats cntenids fueran gestinads pr el usuari un tercer. Una pila de aplicacines persnalizadas que da servici a varias unidades de negci desplegadas sbre Eucalyptus baj el cntrl, la gestión y la prpiedad de una empresa, se pdría describir cm una slución privada SaaS autgestinada en sus instalacines. Ambs ejempls usan el escalad elástic y las capacidades de aut-servici del Clud. La siguiente tabla resume ls punts de la siguiente tabla: Tabla 1 Mdels de implementación del Clud Otra frma de visualizar las cmbinacines de mdels de servicis, de mdels de despliegue, de ubicacines físicas de ls recurss y de la atribución de la gestión y la prpiedad del Clud, es el mdel del Jerich Frum s Clud Cube Mdel 6 que se muestra en la figura 4: El Clud Cube Mdel ilustra las muchas permutacines dispnibles hy en fertas de Clud y presenta cuatr criteris / dimensines cn el fin de diferenciar unas "frmacines" de Clud de tras y su frma de prvisión, cn el fin de entender cóm el Clud cmputing afecta a la frma en que la seguridad pdría ser abrdada. 5 LAMP-Linux (sistema perativ), Apache HTTP Server, MySQL (database sftware) y Perl/PHP/Pythn, ls principales cmpnentes para cnstruir un web server viable de prpósit general CLOUD SECURITY ALLIANCE 21

23 El Clud Cube Mdel también pne de relieve ls desafís de la cmprensión y el mape de mdels de Clud para cntrlar ls marcs de referencia y estándares cm la ISO / IEC 27002, que establece que "... una serie de directrices y principis generales para iniciar, implementar, mantener y mejrar la gestión de la seguridad de la infrmación dentr de una rganización. La ISO/IEC 27002, en su sección 6.2, establece cm bjetivs de cntrl de "Partes externas : "... la seguridad de la infrmación de la rganización y las instalacines de prcesamient de infrmación n deben ser reducidas pr la intrducción de prducts y servicis de tercers... Así las csas, las diferencias existentes en ls métds y en las respnsabilidades a la hra de securizar ls tres mdels de servicis Clud viene a decir que ls usuaris de dichs servicis se enfrentan a una tarea cmplicada. A mens que ls prveedres de Clud puedan de buena gana dar a cncer sus cntrles Figura 4 Jerich Clud Cube Mdel de seguridad y el grad en el que se implementan para el usuari, y el usuari sepa qué cntrles sn necesaris para mantener la seguridad de su infrmación, hay un enrme ptencial para decisines erróneas en la gestión del riesg así cm para resultads perjudiciales. En primer lugar, se clasifica un servici Clud pr el mdel de arquitectura Clud. Entnces, es psible mapear su arquitectura de seguridad, así cm trs requisits de negci, regulatris y de cumplimient legal cntra dicha estructura cm si de un ejercici de análisis GAP se tratara. El resultad determina la psición general de "seguridad" de un servici y cóm se relacina cn la seguridad de un activ y ls requisits de prtección. La figura 5 muestra un ejempl de cóm un servici de Clud puede ser cmparad cn un catálg de cntrles cmpensatris para determinar qué cntrles existen y cuáles n - cnfrme a l dispuest pr el usuari, el prveedr de servicis de Clud un tercer. A su vez, puede ser cmparad cn un marc de referencia de cumplimient legal un cnjunt de requisits tales cm PCI DSS, tal y cm es mstrad. Una vez que este análisis GAP se ha cmpletad, de acuerd a ls requisits de cualquier mandat regulatri u trs mandats de cumplimient legal, se hace much más fácil determinar l que es necesari hacer cn el fin de retralimentar un marc de referencia para la evaluación de riesgs. Est, a su vez, ayuda a determinar cóm ls GAP y, en última instancia ls riesgs, deben ser abrdads: mediante aceptación, transferencia mitigación. Es imprtante señalar que el us de Clud cmputing cm mdel perativ n prprcina e cumplimient legal prevención de incumplimient de frma intrínseca. La habilidad de cumplir cn cualquier requisit es el resultad direct del mdel de servici y del mdel de despliegue utilizad, así cm del diseñ, de la implementación y de la administración de ls recurss dentr del alcance. Para una cmpleta revisión del marc de cntrl, que incluye buens ejempls de la estructura de cntrl genérica a la que se ha hech referencia anterirmente, véase el panrama de dcumentación sbre patrnes de arquitectura de 2011 CLOUD SECURITY ALLIANCE 22

24 seguridad del Open Security Architecture Grup s 7, la siempre útil y recientemente actualizada NIST revisión 3 sbre Cntrles de Seguridad Recmendads para Sistemas de Infrmación Federales y el catálg de cntrles de seguridad para rganizacines. Figura 5 Mape del Mdel Clud para el Cntrl de la Seguridad y el Cumplimient Qué es la Legal seguridad Mdel para Clud Cmputing?. En su mayr parte, ls cntrles de seguridad en Clud cmputing n sn diferentes de ls cntrles de seguridad en cualquier entrn de TI. Sin embarg, debid a ls mdels de servicis Clud utilizads, ls mdels perativs y las tecnlgías que se utilizan para habilitar servicis Clud, Clud cmputing puede presentar riesgs para una rganización diferentes a ls de las slucines de TI tradicinales. La estrategia en seguridad de una rganización se caracteriza pr la madurez, la eficacia y la integridad del riesg pnderad pr ls cntrles de seguridad implementads. Ests cntrles se implementan en un más niveles que van desde las instalacines (seguridad física), a la infraestructura de la red (seguridad de red), a ls sistemas TI (seguridad de ls sistemas) hasta llegar a la infrmación y a las aplicacines (seguridad de las aplicacines). Además, ls cntrles sn implementads a nivel human y de prces, cm es el cas de la segregación de funcines y la gestión de cambis respectivamente. Cm se ha descrit anterirmente en este dcument, las respnsabilidades en seguridad, tant del prveedr cm del usuari, difieren much entre ls mdels de servici Clud. La infraestructura cm servici AWS EC2 de Amazn, CLOUD SECURITY ALLIANCE 23

25 pr ejempl, incluye la respnsabilidad en seguridad del fabricante hasta el hipervisr, l que significa que sól pueden abrdar cntrles de seguridad tales cm seguridad física, seguridad ambiental y seguridad en la virtualización. El usuari, a su vez, es respnsable de ls cntrles de seguridad relativs al sistema TI (instancia) incluyend el sistema perativ, las aplicacines y ls dats. L cntrari es ciert en la ferta SaaS del "custmer relatinship management" (CRM) de salesfrce.cm. Debid a que Salesfrce.cm frece tda la "pila", el prveedr n sól es respnsable de ls cntrles de seguridad física y ambiental, sin que también debe abrdar ls cntrles de seguridad de la infraestructura, las aplicacines y ls dats. Est palía mucha de la respnsabilidad perativa directa del usuari. Figura 6 Cóm se integra la seguridad Actualmente, n existe una manera de que un usuari de servicis Clud inexpert entienda de frma simple de l que él/ella es exactamente respnsable [aunque la lectura de este dcument de rientación debería ayudar] per hay esfuerzs en marcha pr parte de CSA y trs rganisms para definir ls estándares en trn a la auditría de Clud. Un de ls atractivs de Clud cmputing es la eficiencia en cstes que frecen las ecnmías de escala, la reutilización y la estandarización. Para lgrar dispner de estas eficiencias, ls prveedres de Clud tiene que prprcinar servicis que sean l suficientemente flexibles cm para servir a la mayr base de clientes psible, maximizand su mercad 2011 CLOUD SECURITY ALLIANCE 24

26 bjetiv. Pr desgracia, la integración de la seguridad en estas slucines a menud se percibe cm hacerlas más rígidas. Esta rigidez a menud se manifiesta en la incapacidad para implementar cntrles de seguridad en entrns Clud similares a ls entrns TI tradicinales. Est se debe, sbre td, a la abstracción de la infraestructura y a la falta de visibilidad y capacidad para integrar muchs cntrles de seguridad habituales, especialmente en la capa de red. La figura 6 anterir siguiente ilustra ests aspects: en entrns SaaS ls cntrles de seguridad y su alcance se negcian en ls cntrats de servici; ls niveles de servici, la privacidad y el cumplimient legal sn tds temas que se tratarán legalmente en ls cntrats. En una ferta IaaS, mientras que pertenece al prveedr la respnsabilidad de securizar ls niveles de infraestructura y abstracción subyacentes, el rest de la pila es respnsabilidad del usuari. PaaS frece un equilibri intermedi, dnde la respnsabilidad de securizar la platafrma recae sbre el prveedr, per tant securizar las aplicacines desarrlladas sbre la platafrma cm haberlas desarrllad de frma segura recaen en el usuari. Cmprender el impact de estas diferencias entre ls mdels de servici y la frma en que se despliegan es vital para la gestión del riesg en una rganización Más allá de la Arquitectura: Las Áreas de Enfque crític Ls trs trece dminis cmprenden el rest de las áreas para valrar de la guía del Clud Security Alliance en materia de Clud cmputing y están adaptads para abrdar ls punts débiles tant de la seguridad estratégica cm táctica dentr de un entrn de Clud, pudiend ser aplicads a cualquier cmbinación de servicis Clud y de mdel de despliegue. Ls dminis se dividen en ds grandes categrías: el gbiern Clud y las peracines. Ls dminis de gbiern sn amplis y abrdan las cuestines estratégicas y de plítica dentr de un entrn de Clud cmputing, mientras que ls dminis peracinales se centran en cuestines más tácticas de la seguridad y de la implementación dentr de la arquitectura. Tabla 2a Dminis de gbiern DOMINIO Gbiern y Gestión de Riesgs en la Empresa Aspects legales: Cntrats y Descubrimient Electrónic LA GUÍA TRATA DE... La capacidad de una rganización para cntrlar y medir el riesg empresarial intrducid pr Clud cmputing. Aspects tales cm precedentes legales pr incumplimient de acuerds, capacidad de ls usuaris de las rganizacines para evaluar adecuadamente el riesg de un prveedr de Clud, respnsabilidad de prteger ls dats sensibles cuand tant usuari cm prveedr pueden ser respnsables y cóm las frnteras internacinales puede afectar a ests temas. Psibles prblemas legales cuand se utiliza Clud cmputing. Las cuestines tratadas en esta sección incluyen ls requisits de prtección de la infrmación y de ls sistemas de cmputación, las leyes sbre vilacines de 2011 CLOUD SECURITY ALLIANCE 25

27 seguridad pr divulgación, ls requisits regulatris y de privacidad, leyes internacinales, etc. Cumplimient Legal y Auditría Gestión de la Seguridad de la Infrmación y de ls Dats Prtabilidad e Interperabilidad El mantenimient y la cmprbación del cumplimient legal cuand se utiliza Clud cmputing. Cuestines relativas a la evaluación de cóm Clud cmputing afecta al cumplimient legal cn plíticas de seguridad internas y también diverss requisits de cumplimient (nrmativs, legislativs y de tr tip). Este dmini incluye indicacines para demstrar el cumplimient legal durante una auditría. La gestión de ls dats que sn clcads en Clud. Se discuten aquí aspects que rdean la identificación y cntrl de dats en Clud, así cm cntrles de cmpensación que se pueden utilizar para tratar la pérdida de cntrl físic al mver dats a Clud. Sn mencinads trs punts, tales cm quién es el respnsable de la cnfidencialidad, integridad y dispnibilidad. La capacidad de mver dats / servicis de un prveedr a tr traerls de vuelta pr cmplet a la rganización. También trata las cuestines relacinadas cn la interperabilidad entre prveedres. Tabla 2b Dminis Operacinales DOMAIN Seguridad Tradicinal, Cntinuidad de Negci y Recuperación de Desastres Operacines de CPD Respuesta, Ntificación y Remediación ante incidentes LA GUÍA TRATA DE Cóm Clud cmputing afecta a ls prcess perativs y prcedimients utilizads actualmente para implementar la seguridad, la cntinuidad de negci y la recuperación ante desastres. El bjetiv es discutir y analizar ls psibles riesgs de Clud cmputing, cn la esperanza de aumentar el diálg y el debate sbre la abrumadra demanda de mejres mdels de gestión de riesgs empresariales. Además, esta sección trata de ayudar a las persnas a identificar dónde ls servicis Clud pueden clabrar para disminuir alguns riesgs de seguridad pueden acarrear auments en tras áreas. Cóm evaluar la arquitectura y las peracines de un prveedr de CPD. Se centra principalmente en ayudar a ls usuaris a identificar características cmunes de CPDs que pdrían ser perjudiciales para la cntinuidad de ls servicis así cm características que sn fundamentales para la estabilidad a larg plaz. La crrecta y adecuada detección, respuesta, ntificación y remediación ante incidentes. Trata de abrdar ls elements que deben estar en su siti, tant 2011 CLOUD SECURITY ALLIANCE 26

28 a nivel de prveedr cm de usuari, para permitir un manej de incidentes y un análisis frense adecuads. Este dmini le ayudará a entender las cmplejidades que ls servicis Clud traen a su prgrama de gestión de incidentes actual. Seguridad de las Aplicacines Cifrad y Gestión de claves Gestión de Identidades y de Acces Virtualización Seguridad cm Servici Securizar el sftware de aplicación que se ejecuta en Clud está siend desarrllad en Clud. Est incluye aspects tales cm si es aprpiad migrar diseñar una aplicación para que se ejecute en Clud y, si es este el cas, qué tip de platafrma es más aprpiada (SaaS, PaaS IaaS). Identificar el us crrect del cifrad y de una gestión de claves escalable. Esta sección n es prescriptiva, sin que es más bien infrmativa al discutir pr qué es necesari, y determinar cuestines que se plantean en el us, tant para prteger el acces a ls recurss cm para prteger ls dats. La gestión de identidades y el aprvechamient de ls servicis de directri para prprcinar cntrl de acces. La atención se centra en ls prblemas encntrads cuand se extiende la identidad de una rganización en Clud. Esta sección prprcina cncimient al bjet de evaluar el grad de preparación de una rganización para llevar a cab Identity, Entitlement, and Access Management (IdEA) basad en Clud. El us de la tecnlgía de virtualización en Clud. Este dmini abrda temas cm ls riesgs asciads a multi-tenancy, el aislamient de Máquinas Virtuales, c-residencia de Máquinas Virtuales, vulnerabilidades del hipervisr, etc. Este dmini se centra en ls prblemas de seguridad que rdean la virtualización del sistema / hardware en lugar de un estudi más general de tdas las frmas de virtualización. Servici pr el cual un tercer, prprcina garantía de seguridad, gestión de incidencias, certificación de cumplimient legal y supervisión de la identidad y del cntrl de acces. La seguridad cm servici es la delegación de la detección, la crrección y el gbiern de la infraestructura de seguridad a un tercer de cnfianza cn las herramientas y experiencia adecuadas. Ls usuaris de este servici btienen el benefici de la experiencia dedicada y la tecnlgía de vanguardia en la lucha pr prteger y bastinar las peracines cmerciales sensibles. 1.6 Mdels de Implementación de Clud Independientemente del mdel de servici utilizad (SaaS, PaaS IaaS) existen cuatr mdels de despliegue de servicis Clud cn variacines derivadas que respnden a necesidades específicas CLOUD SECURITY ALLIANCE 27

29 Es imprtante tener en cuenta que hay mdels de implementación de Clud derivads y emergentes debid a la maduración de las fertas del mercad y a la demanda de ls clientes. Un ejempl de este tip sn ls servicis Clud privads virtuales - una manera de utilizar la infraestructura de Clud pública de frma privada semiprivada y de intercnectar ests recurss a ls recurss interns del CPD de un usuari, generalmente a través de la red privada virtual (VPN). La mentalidad de arquitectura utilizada en el diseñ de "slucines" tiene claras cnsecuencias en la futura flexibilidad, seguridad y mvilidad de la slución resultante, así cm en sus capacidades de clabración. Cm regla general, las slucines perimetrizadas sn mens efectivas que las slucines des-perimetrizadas en cada una de las cuatr áreas. Pr raznes similares, se debe dar también una cnsideración cuidadsa a la elección entre las slucines prpietarias y las slucines abiertas. Mdels de implementación Clud Pública. La infraestructura Clud está a dispsición del públic en general a dispsición de un grup industrial grande y es prpiedad de una rganización que cmercializa servicis Clud. Clud Privada. La infraestructura Clud es perada únicamente pr una sla rganización. Puede ser gestinada pr la rganización pr un tercer y puede estar ubicada en las instalacines fuera de ellas. Clud Cmunitaria. La infraestructura Clud es cmpartida pr varias rganizacines y da sprte a una cmunidad específica que ha cmpartid precupacines (pr ejempl, misión, requisits de seguridad, plítica cnsideracines de cumplimient legal). Puede ser gestinada pr las rganizacines pr un tercer, y puede estar ubicada en las instalacines fuera de ellas. Clud Híbrida. La infraestructura Clud es una cmpsición de ds más Cluds (privada, cmunitaria pública) que siguen siend entidades únicas per están unidas pr tecnlgía estandarizada prpietaria que permite la prtabilidad de dats y de la aplicación (pr ejempl, prliferación de Cluds para balance de carga entre Cluds). 1.7 Recmendacines La entrega de servicis Clud se divide entre tres mdels arquetípics y diversas cmbinacines derivadas. A menud, a las tres clasificacines fundamentales se las refiere cm el "mdel SPI", dnde "SPI" hace referencia al sftware, a la platafrma a la infraestructura (cm servici) respectivamente. Clud Sftware as a Service (SaaS). La capacidad prprcinada al usuari es el us de las aplicacines del prveedr que se ejecutan en una infraestructura Clud. Las aplicacines sn accesibles desde diferentes dispsitivs cliente a través de una interfaz de cliente liger cm un navegadr web (pr ejempl, crre electrónic basad en web). El usuari n gestina ni cntrla la infraestructura Clud subyacente que incluye la red, ls servidres, ls sistemas perativs, el almacenamient inclus capacidades de aplicacines individuales, cn la psible excepción de la limitación de parámetrs de cnfiguración de aplicacines específicas de usuari. Clud Platfrm as a Service (PaaS). La capacidad prprcinada al usuari es el despliegue en la infraestructura Clud de aplicacines creadas adquiridas pr el usuari cn lenguajes y herramientas de prgramación 2011 CLOUD SECURITY ALLIANCE 28

30 sprtads pr el prveedr. El usuari n gestina ni cntrla la infraestructura subyacente que incluye la red, ls servidres, ls sistemas perativs el almacenamient, per tiene cntrl sbre las aplicacines desplegadas y psiblemente sbre las cnfiguracines del entrn de aljamient de las aplicacines. Clud Infrastructure as a Service (IaaS). La capacidad prprcinada al usuari es la prvisión de prcesamient, almacenamient, intercnexión de red y trs recurss de cmputación fundamentales dnde el usuari es capaz de instalar y ejecutar sftware arbitrari que puede incluir sistemas perativs y aplicacines. El usuari n gestina ni cntrla la infraestructura Clud subyacente, per tiene el cntrl de ls sistemas perativs, el almacenamient, las aplicacines desplegadas y, psiblemente, cntrl limitad sbre determinads cmpnentes de red (pr ejempl, firewalls de hst). El mdel del NIST y este dcument n abrdan directamente las definicines emergentes del mdel de servicis relacinadas cn ls intermediaris de servicis Clud. Ests prveedres frecen intermediación, mnitrización, transfrmación / prtabilidad, gbiern, aprvisinamient y servicis de integración, y negcian las relacines entre varis prveedres de Clud y ls usuaris. A crt plaz, debid a que la innvación impulsa rápids desarrlls de slucines, ls usuaris y ls prveedres de servicis Clud pdrán disfrutar de diverss métds de interacción cn ls servicis Clud en frma de desarrll de APIs. Pr tant, ls intermediaris de servicis Clud surgirán cm un imprtante cmpnente en el ecsistema glbal Clud. Ls intermediaris de servicis Clud abstraerán estas capacidades e interfaces, psiblemente incmpatibles, en benefici de ls usuaris. De esta frma, prprcinarán sustitución antes de la llegada de frmas más cmunes, abiertas y estandarizadas de reslver el prblema a larg plaz cn una capacidad semántica que permita al usuari fluidez y agilidad siend capaces de aprvechar el mdel que mejr se adapte a sus necesidades particulares. También es imprtante tener en cuenta la aparición de muchs esfuerzs centrads en el desarrll tant de APIs prpietarias cm abiertas que tratan de habilitar aspects cm la gestión, la seguridad y la interperabilidad del Clud. Alguns de ests esfuerzs incluyen el Open Clud Cmputing Interface Wrking Grup, la Amazn EC2 API, la VMware s DMTF-submitted vclud API, la Sun s Open Clud API, la Rackspace API y la GGrid s API, pr nmbrar sól alguns. Las APIs estándar y abiertas jugarán un papel clave en la prtabilidad e interperabilidad de Clud así cm en ls frmats de cntenedres cmunes tales cm el DMTF s Open Virtualizatin Frmat (OVF). Si bien en este mment hay muchs grups de trabaj, muchs pryects y muchas especificacines publicadas a cnsiderar, es natural que la cnslidación se lleve a cab a medida que las fuerzas de ls mercads, la demanda de ls cnsumidres y la ecnmía reduzcan este panrama a un cnjunt más manejable e interperable de actres. 1.8 Requisits Ls servicis Clud presentan cinc características esenciales que demuestran su relación y sus diferencias cn ls enfques tradicinales de cmputación. Autservici baj demanda. Unilateralmente, un usuari puede prvisinar capacidades de cmputación tales cm tiemp de servidr y almacenamient en red de frma autmática y según sea necesari, sin necesidad de interacción humana cn un prveedr de servicis CLOUD SECURITY ALLIANCE 29

31 Ampli acces a la red. Las capacidades están dispnibles en la red y sn accedidas a través de mecanisms estándar que prmueven el us de platafrmas hetergéneas de clientes ligers pesads (pr ejempl, PDA, teléfns móviles u rdenadres prtátiles) así cm trs servicis sftware tradicinal basaden Clud. Agrupación de recurss. Ls recurss de cmputación del prveedr sn agrupads para dar servici a múltiples usuaris utilizand un mdel multi-tenant cn diferentes recurss físics y virtuales dinámicamente asignads y reasignads de acuerd cn la demanda de usuari. Existe un ciert grad de independencia en la ubicación en el que el cliente generalmente n tiene ningún cntrl cncimient sbre la ubicación exacta de ls recurss prprcinads, per puede ser capaz de especificar la ubicación a un nivel más alt de abstracción (pr ejempl, país, estad CPD). Ejempls de recurss incluyen el almacenamient, el prcesamient, la memria, el anch de banda y las máquinas virtuales. Inclus las infraestructuras de Clud privadas tienden a agrupar recurss entre las diferentes partes de una misma rganización. Elasticidad rápida. Las capacidades pueden ser prvisinadas rápida y elásticamente - en alguns cass de frma autmática - para un escalad rápid hacia fuera y rápidamente liberadas para un escalad hacia dentr. Para el usuari, las capacidades dispnibles para la prvisión a menud parecen ser ilimitadas y se pueden cmprar en cualquier cantidad y en cualquier mment. Medición del servici. Ls sistemas Clud cntrlan y ptimizan autmáticamente el us de recurss mediante el aprvechamient de una capacidad de medición en un ciert nivel de abstracción adecuad al tip de servici (pr ejempl, almacenamient, prcesamient, anch de banda cuentas de usuari activas). El us de recurss puede ser mnitrizad, cntrlad y reprtad, prprcinand transparencia tant para el prveedr y cm para el usuari del servici. Las claves para entender cóm la arquitectura Clud impacta la arquitectura de seguridad sn un léxic cmún y cncis emparejad cn una taxnmía cnsistente de fertas pr la cual ls servicis y la arquitectura Clud pueden ser desmntads, mapeads a un mdel de seguridad y de cntrles peracinales cmpensatris, a marcs de referencia de evaluación y gestión de riesgs así cm a estándares de cumplimient legal. Es fundamental cmprender cóm cambian permanecen igual ls requisits de arquitectura, de tecnlgía, de prcess y de capital human al desplegar servicis de Clud cmputing. Sin una cmprensión clara de las implicacines de arquitectura a alt nivel, es impsible abrdar asunts en más detalle de una frma raznable. Esta visión general de la arquitectura, junt cn las tras trece áreas críticas, prprcinará al lectr una base sólida para evaluar, rganizar, gestinar y gbernar la seguridad en entrns de Clud cmputing. REFERENCIAS [1] Definición NIST de Clud. NIST NIST Clud Cmputing Reference Architecture (Arquitectura de Referencia del Clud Cmputing según NIST) [2] NIST definitins and API hmepages (Definicines NIST y páginas de API) [3] Jerich Frum Clud Cube Mdel (Cub del Mdel de Clud del Fr Jerich) CLOUD SECURITY ALLIANCE 30

32 SECCIÓN II // GOBIERNO EN ENTORNO CLOUD 2011 CLOUD SECURITY ALLIANCE 31

33 DOMINIO 2 // GOBIERNO Y GESTIÓN DEL RIESGO CORPORATIVO GUÍAS DE SEGURIDAD DE ÁREAS CRÍTICAS EN Las cuestines fundamentales del Gbiern y la Gestión del Riesg Crprativ en Clud cmputing tienen que ver cn la identificación e implementación de las estructuras rganizativas aprpiadas junt cn ls prcess y cntrles para mantener un gbiern de la infrmación de la seguridad efectiv, manteniend ls aspects de gestión de riesg y cumplimient legal que crrespndan. Las rganizacines deben también garantizar una seguridad de la infrmación raznable a l larg de ls flujs de infrmación, incluyend a sus prveedres, clientes de sus servicis Clud y aquells scis de negci cn ls que trabajen en cualquier mdel de despliegue Clud. Un prgrama efectiv de Gbiern y Gestión de Riesg Crprativ en Clud cmputing fluye desde ls prcess bien desarrllads de Gbiern de la Seguridad de la Infrmación cm parte de las bligacines crprativas en cuant a debida prudencia. Ls prcess de gbiern de la seguridad que estén bien pensads y desarrllads implican prgramas de seguridad de la infrmación escalables y repetibles a l larg y anch de la rganización, medibles, cn un aspect de mejra cntinua y efectivs desde un punt de vista de cste. Para muchs despliegues Clud, un element clave de Gbiern será el acuerd entre el prveedr y el cliente. Para entrns persnalizads, se debe tener un cuidad especial y negciar cada aspect. Para entrns grandes, tant para clientes cm para prveedres, habrá una decisión de balancear la atención pr el detalle cn la escalabilidad de dich esfuerz. La atención puede ser pririzada en función de la criticidad el valr en riesg para esa carga de trabaj específica (pr ejempl, la dispnibilidad y tiemp de respuesta pueden ser más imprtantes para el crre que para un sistema de Recurss Humans). Cn el pas del tiemp, pryects cm Clud Audit STAR prprcinarán mdels de Gbiern más estándar aprtand, así, mayr escalabilidad. Intrducción. Este dmini incluye: Gbiern Gestión de Riesg Crprativ 2.1 Gbiern Crprativ Esta sección enlaza cn Clud Cntrl Matrix Cntrls DG-01, IS-02 y el us de GRC-XML y CludAudit para establecer slvencia. El Gbiern Crprativ es el cnjunt de prcess, tecnlgías, plíticas, leyes e institucines que afectan a la manera que una cmpañía está dirigida, administrada cntrlada. El Gbiern Crprativ también incluye la relación entre ls diferentes actres invlucrads y ls bjetivs de la cmpañía. El Buen Gbiern está basad en la aceptación de ls derechs de las persnas interesadas, cm verdaders dueñs de la crpración y la respnsabilidad de ls gestres ejecutivs. Existen muchs mdels de Gbiern Crprativ; sin embarg, tds siguen cinc principis básics: Auditría de la cadena de suministr Estructura del Cnsej de Dirección, Gestión Ejecutiva y sus prcess Respnsabilidad crprativa y cumplimient Legal Transparencia financiera y divulgación de infrmación 2011 CLOUD SECURITY ALLIANCE 32

34 Estructura accinarial y ejercici de ls derechs de cntrl Un factr fundamental en la decisión de un cliente para cntratar cnfiar en una crpración es la cnfianza en que las expectativas se cumplirán. En servicis Clud, las interdependencias entre múltiples servicis hacen que sea más difícil para un cliente cncer quién es la parte respnsable, en cas de fall. Si ell resulta en una falta de cnfianza en un prveedr en particular, prvcará una menr prbabilidad de cntratación cn dich prveedr. Si est se cnvierte en un prblema sistémic, la falta de cnfianza en un actr del mercad puede expandirse a trs y el fall en el mercad elevaría la psibilidad de accines externas y la entrada de participantes alternativs. Las persnas interesadas deben cnsiderar cn calma ls mecanisms de mnitrización que sn aprpiads y necesaris para el crecimient y rendimient cnsistente de la rganización. 2.2 Gestión de Riesg Crprativ La Gestión de Riesg Crprativ (ERM, pr sus siglas en inglés) está basada en el cmprmis de cada rganización de prprcinar valr a sus accinistas y persnas interesadas. Tds ls negcis se enfrentan a incertidumbres y un de ls rets de la gestión empresarial es determinar cóm una rganización puede medir, gestinar y mitigar las mismas. La incertidumbre representa al mism tiemp una prtunidad y un riesg cn un ptencial de aumentar reducir el valr de la rganización y sus estrategias. La gestión del riesg de la infrmación es el prces de identificar y cmprender la expsición al riesg junt cn la capacidad de gestinarl, alinead cn la tlerancia al riesg pr parte del dueñ de ls dats. En cnsecuencia, es el primer criteri de decisión para ls recurss de tecnlgía dedicads a prprcinar cnfidencialidad, integridad y dispnibilidad de ls activs de la infrmación. La gestión de riesg empresarial en ls negcis incluye ls métds y prcess usads pr las rganizacines para gestinar riesgs y abrdar prtunidades relacinadas cn la cnsecución de sus bjetivs. En un entrn Clud, la dirección ejecutiva seleccina una estrategia de respuesta frente a riesgs específics identificads y analizads, que pueden incluir: Evitar el riesg cesand las actividades que elevan el riesg Reducir el riesg realizand accines que reduzcan la prbabilidad el impact relacinad cn el riesg Cmpartir el riesg transfiriend cntratand un segur que pueda financiar el ptencial impact Aceptar el riesg n se tma ninguna acción debid al análisis cste/benefici La gestión de riesg es, pr naturaleza, un prces equilibrad n necesariamente cn el bjetiv de reducir la incertidumbre sin cn la meta de maximizar el valr en sintnía cn la tlerancia al riesg de la entidad y su estrategia. Existen muchas variables, valres y riesgs en cualquier prtunidad en Clud que afectan a la decisión de si un servici Clud debe ser adptad desde un punt de vista de riesg de valr para el negci. Cada rganización debe cnsiderar esas variables para decidir si Clud es una slución aprpiada para sus bjetivs. Clud cmputing frece a las cmpañías muchs beneficis psibles; alguns de ells sn: Esta sección enlaza cn Clud Cntrl Matrix Cntrls DG-08 y el us de ISO31000, ISF y las guías de ISACA para establecer slvencia CLOUD SECURITY ALLIANCE 33

35 Utilización ptimizada de recurss Ahrr de cstes Transfrmación de ls cstes de inversión (CAPEX) a cstes de peración (OPEX) Escalabilidad dinámica (elasticidad) de ls activs de tecnlgía Reducción del cicl de vida del desarrll Tiemps más crts para la implantación de nuevas iniciativas Ls clientes deben ver la seguridad en Clud entendiend ls prblemas de seguridad que pueden afectar su cadena de suministr. Est implica examinar la cadena de suministr del prveedr (sus relacines y dependencias) hasta dnde sea psible; requiriend, a su vez, revisar la gestión que el prveedr hace de sus scis y prveedres. El cncimient de ls que abastecen al prveedr debe incluir su gestión de incidencias, la cntinuidad del negci, las plíticas de recuperación frente a desastres y sus prcess y prcedimients; debe, asimism, incluir una revisión de dónde está físicamente aljada la infrmación y las dependencias de respald. Debe incluir también una revisión de cóm el prveedr garantiza su cmprmis cn sus prpias plíticas y prcedimients y las métricas que prprcinen infrmación raznable respect del rendimient y eficacia de ls cntrles implantads. La infrmación de incidentes puede ser especificada en cntrats, acuerds de niveles de servici u trs acuerds y debe ser cmunicada autmática periódicamente, integrada en ls sistemas de gestión de aviss e infrmación entregada a persnal relevante. El nivel de atención y detalle debe estar alinead cn el valr que está en riesg -si la cmpañía cntratada n accede directamente a ls dats empresariales, entnces el nivel de riesg se reduce significativamente y viceversa -. Ls clientes deben revisar ls prcess de gestión de riesg y gbiern de sus prveedres y garantizar que las prácticas sn cnsistentes y están alineadas. 2.3 Permiss Adptar un marc de referencia de gestión del riesg para la mnitrización y medición de riesg crprativ. Adptar métricas alrededr del rendimient de la gestión del riesg (pr ejempl, Security Cntent Autmatin Prtcl (SCAP 8, Cybersecurity Infrmatin Exchange Framewrk (CYBEX) 9, GRC-XML 10 ). Adptar una visión centrada en el riesg para el Gbiern Crprativ, de tal frma que la dirección ejecutiva tme un papel de cnfianza tant para ls accinistas cm para las persnas interesadas en la cadena de suministr. Adptar un marc de referencia desde la perspectiva legal de manera que se cnsideren las diferencias entre áreas gegráficas. 8 SCAP - Security Cntent Autmatin Prtcl 9 CYBEX - Cybersecurity Infrmatin Exchange Framewrk 10 GRC-XML - estándar de tecnlgía que permite y mejra la transferencia de infrmación entre varias tecnlgías que apyan iniciativas GRC 2011 CLOUD SECURITY ALLIANCE 34

36 2.4 Recmendacines Reinvertir ls ahrrs de cstes btenids en Clud en mejrar el escrutini de las capacidades de seguridad del prveedr, la aplicación de las medidas de seguridad, las evaluacines detalladas y auditrías que garanticen que ls requisits se cumplen de manera cntinua. Las cmpañías cliente deben incluir la revisión específica de sus prcess y estructura del gbiern de la seguridad de la infrmación, así cm de ls cntrles específics de seguridad cm parte de su debida diligencia en relación a futuras rganizacines prveedras de servicis. Ls prcess de seguridad y gbiern de ls prveedres y sus capacidades deben ser revisadas en términs de suficiencia, madurez y cnsistencia cn ls prcess de gestión de la seguridad de la infrmación del usuari. Ls cntrles de seguridad de la infrmación del prveedr deben estar basads en la función del riesg y apyar claramente ls prcess de gestión. Se deben identificar estructuras y prcess clabrativs de gbiern entre clientes y prveedres cuand sea necesari, tant pr la parte de diseñ y desarrll del servici cm pr l que respecta a la entrega del mism, debe realizarse cm un servici de gestión del riesg, que debe ser incrprad en ls acuerds de niveles de servici. Ls departaments de seguridad deben participar en las cnversacines en las que se establezcan acuerds de niveles de servici (ANS) y bligacines cntractuales para garantizar que ls requisits de seguridad sn direccinads desde un punt de vista de cntrat. Deberán ser establecids métricas y estándares para la medición del rendimient y la efectividad de la gestión de la seguridad de la infrmación antes de llevar la rganización a Clud. Cm mínim, las rganizacines deberán entender y dcumentar sus métricas actuales y cóm éstas cambiarán cuand las peracines se trasladen a Clud dnde, ptencialmente, un prveedr puede utilizar diferentes indicadres. Debid a la falta de cntrl físic pr parte de ls clientes sbre la infraestructura, en muchs despliegues de Clud, ls acuerds de niveles de servici que se indiquen en el cntrat, ls requisits legales y la dcumentación del prveedr, juegan un papel much mayr en la gestión del riesg si l cmparams cn l tradicinal dnde las empresas han sid prpietarias de su prpia infraestructura. Debid a ls aspects de múltiples instancias y aprvisinamient baj demanda de Clud, las aprximacines tradicinales de auditría y asesramient pueden n resultar útiles, n estar dispnibles pueden ser mdificadas. Pr ejempl, alguns prveedres restringen ls estudis de vulnerabilidades y ls test de ataques de intrusión, mientras trs limitan la dispnibilidad de ls lgs de auditría y las actividades de mnitrización. Si ests sn requerids pr la plítica interna del cliente, puede ser necesari buscar alternativas, indicar excepcines cntractuales específicas un prveedr alternativ mejr alinead cn las exigencias de la gestión de riesg de la cmpañía. Si ls servicis prprcinads en Clud sn esenciales para las peracines empresariales, el ejercici de gestión de riesgs debe identificar y valrar crrectamente ls activs, identificar y analizar las amenazas y vulnerabilidades y su ptencial impact (escenaris de riesg e incidentes), analizar la prbabilidad de que curran events, dispner de un nivel de riesg aceptad pr la dirección junt cn el desarrll de planes de 2011 CLOUD SECURITY ALLIANCE 35

37 tratamient cn múltiples pcines (cntrlar, evitar, transferir, aceptar). Ls resultads de ls planes de tratamient de riesgs deben ser incrprads en ls niveles de servici que se vayan a acrdar. Las aprximacines de gestión de riesgs entre el prveedr y el usuari deben ser cnsistentes cn ls criteris de análisis de impact y la definición de prbabilidad. El usuari y el prveedr deben, de cmún acuerd, desarrllar escenaris de riesgs para el servici Clud; est debe ser intrínsec en el diseñ del servici del prveedr y en el asesramient de riesgs de us del servici pr parte del usuari. Debid a la cambiante naturaleza de Clud y sus prveedres, debe tenerse en cuenta el riesg asciad al prveedr; pr ejempl, la capacidad de supervivencia, la prtabilidad de ls dats y aplicacines y la interperabilidad de ls servicis. Ls inventaris de activs deben incluir aquells que estén invlucrads en servicis en Clud y baj el cntrl del prveedr. La clasificación de activs y esquemas de valración deben ser cnsistentes entre el usuari y el prveedr. El servici, y n sl el prveedr fabricante, debe ser bjet de un análisis de riesgs. El us de servicis en Clud, y en particular el/ls servici/s y ls mdels de despliegue utilizads, deben ser cnsistentes cn ls bjetivs de gestión de riesgs de la rganización así cm cn sus bjetivs de negci. Ls clientes y ls prveedres de servici de Clud deben desarrllar un Gbiern de la seguridad de la infrmación rbust, independientemente del mdel de despliegue de servici. El Gbiern de la seguridad de la infrmación debe ser clabrativ entre clientes y prveedres para cnseguir ls bjetivs establecids de anteman que den sprte a la misión del negci y al prgrama de seguridad de la infrmación. La función de Gbiern debe incluir revisines periódicas y el mdel de servici puede ajustar ls rles y respnsabilidades definidas (basad en el crrespndiente alcance de cntrl para el usuari y el prveedr), mientras que el mdel de despliegue puede definir respnsabilidades y expectativas (basadas en la gestión de riesg). Ls clientes de servicis Clud deben preguntarse si su dirección ejecutiva ha definid la tlerancia al riesg cn respect a ess servicis y si ha aceptad cualquier riesg residual de la utilización de ls misms. Cuand un prveedr n pueda demstrar que tiene prcess cherentes y efectivs de gestión de riesgs en relación a sus servicis, ls clientes deberán evaluar cuidadsamente la utilización de ese prveedr así cm la capacidad de la rganización cliente de cmpensar las deficiencias ptencias en dicha gestión de riesgs. En el mdel de relación cn ls prveedres, las rganizacines deben definir métricas de riesg que estén basads en factres de expsición tant de negci cm técnics. Estas métricas pueden incluir el tip de dat al que se refieren, la variedad de tips de clientes relacinads cn esa infrmación y también ls prveedres u tras rganizacines implicadas en su tratamient. 2.5 Requisits Prprcinar transparencia a las persnas interesadas y accinistas demstrand slvencia fiscal y transparencia rganizativa CLOUD SECURITY ALLIANCE 36

38 Respetar la interdependencia de ls riesgs inherentes en la cadena de suministr Clud y cmunicar la pstura crprativa frente al riesg así cm su dispsición para clientes y partes implicadas. Inspeccinar y tener en cuenta ls riesgs heredads de trs miembrs de la cadena de suministr y realizar accines practivas para mitigar y cntener ls riesgs a través de la capacidad de supervivencia de la rganización CLOUD SECURITY ALLIANCE 37

39 DOMINIO 3 // CUESTIONES LEGALES: CONTRATOS Y ediscovery GUÍAS DE SEGURIDAD DE ÁREAS CRÍTICAS EN El presente capítul destaca algunas de las cuestines legales que suscita Clud cmputing. Trata de facilitar un marc general de aspects legales que pueden surgir al trasladar dats a Clud, alguns aspects digns de cnsideración en ls cntrats de prestación de servicis Clud y las prblemáticas específicas que se derivan del ediscvery en la legislación ccidental. Ls aspects abrdads en este capítul se tratan de frma general, y n deben cnsiderarse cm sustituts de la btención de asesramient jurídic. Intrducción. Este capítul trata ls siguientes temas: Resumen de las principales cuestines legales derivadas del traslad de dats a Clud Aspects digns de cnsideración en ls cntrats de prestación de servicis de Clud Prblemáticas específicas derivadas del ediscvery. 3.1 Cuestines legales Sn muchs ls países, a l larg del glb, en ls que existen leyes, reglaments y tras nrmas que exigen la prtección de la privacidad de ls dats persnales y la seguridad de la infrmación en ls sistemas infrmátics, tant a rganizacines públicas cm privadas. Pr ejempl, en la región Asia-Pacífic, Japón, Australia, Nueva Zelanda y muchs trs países han aprbad leyes de prtección de dats, que bligan al respnsable del tratamient a adptar aquellas medidas técnicas, físicas y administrativas que resulten raznables para la prtección de ls dats persnales ante pérdidas, uss alteracines n autrizadas, partiend de las Directrices de Privacidad y Seguridad de la Organización para la Cperación y el Desarrll Ecnómic (OCDE) 11 y del Marc de Privacidad del fr de Cperación Ecnómica Asia-Pacífic (APEC). 12 En Eurpa, ls Estads miembrs del Espaci Ecnómic Eurpe (EEE) 13 han aprbad sus leyes de prtección de dats siguiend ls principis establecids en las Directivas de la Unión Eurpea de Prtección de Dats, de 1995, 14 y de Privacidad y Cmunicacines Electrónicas (eprivacy), de 2002 (mdificada en 2009). Estas nrmas incluyen un cmpnente de seguridad, según el cual la bligación de suministrar un seguridad adecuada debe trasladarse a ls subcntratistas. Otrs países que mantienen lazs estrechs cn el EEE, cm Marruecs y Túnez en África, Israel y Dubai en Oriente Medi, han adptad igualmente leyes similares que siguen ls misms principis. Ls países de América del Nrte, Central y del Sur están adptand, igualmente, leyes de prtección de dats a un ritm rápid. Tdas estas leyes incluyen requisits de seguridad, y sitúan la carga de asegurar la prtección y seguridad de ls dats persnales en su custdi, cn independencia del lugar en el que se encuentren situads y, en especial, si sn 11 En inglés, Organizatin fr Ecnmic Cperatin and Develpment (OECD) 12 Acrónim del inglés Asia Pacific Ecnmic Cperatin (APEC) 13 En inglés, Eurpean Ecnmic Area (EEA) 14 Directiva 95/46/CE 2011 CLOUD SECURITY ALLIANCE 38

40 transferids a tercers. Pr ejempl, además de las leyes de prtección de dats de Canadá, Argentina y Clmbia, que llevan vigentes alguns añs, Méxic, Uruguay y Perú han aprbad recientemente leyes de prtección de dats que se inspiran principalmente en el mdel Eurpe, per que también pueden incluir referencias al Marc de Privacidad de APEC. En Japón, la Ley de Prtección de la Infrmación Persnal exige al sectr privad que prteja la infrmación persnal y ls dats de frma segura. En el sectr sanitari, existen nrmas sectriales cm la Ley de Médics, la Ley de Enfermeras de Salud Pública, Matrnas y Enfermeras, y la Ley de Farmacéutics, que exigen cnfidencialidad a ls prfesinales registrads de la salud cn respect a ls dats de sus pacientes. Igualmente, las rganizacines que hagan negcis en Estads Unids pueden estar smetidas a una más leyes de prtección de dats. Las leyes hacen a dichas rganizacines respnsables pr las actuacines de sus subcntratistas. Pr ejempl, las reglas de seguridad y privacidad de la Ley Gramm-Leach-Bliley 15 de la Ley de Prtabilidad y Respnsabilidad en ls Segurs de Salud, de 1996 (HIPAA), exigen que las rganizacines bliguen a sus subcntratistas, a través de cntrats escrits, a implementar medidas raznables de seguridad y a cumplir cn la nrmativa de privacidad de dats. Agencias gubernamentales, cm la Cmisión Federal de Cmerci (FTC) las Fiscalías Generales de ls Estads han recncid, en cnsecuencia, la respnsabilidad de las rganizacines pr las actividades de sus subcntratistas. Ls Estándares de Seguridad de Dats (Data Security Standards, DSS) de la Payment Card Industry (PCI), que se aplican a ls dats de las tarjetas de crédit en td el mund, incluyend ls dats tratads pr subcntratistas, establecen requerimients similares. Ls apartads siguientes muestran ejempls de cuestines legales que pueden surgir en relación cn la transferencia de dats persnales a Clud el tratamient de dats persnales en ella. CUESTIÓN Leyes Federales de ls Estads Unids Leyes Estatales de ls Estads Unids Estándares Nrmativas Internacinales Obligacines cntractuales Tabla 3 Implicacines bligatrias DESCRIPCIÓN Numersas leyes federales y sus crrespndientes reglaments, cm la GLBA, la HIPPA, la COPPA (Ley de Prtección de la Privacidad de ls Menres en Internet, de 1998), así cm las reslucines de la FTC, exigiend a las empresas la adpción de medidas específicas de privacidad y seguridad al tratar dats, requiriend precaucines similares en sus cntrats cn tercers prestadres de servicis. Numersas leyes estatales establecen, igualmente, bligacines sbre las empresas, para implementar medidas de seguridad adecuadas sbre ls dats persnales, y para exigir a sus prestadres de servicis que hagan l mism. Las leyes estatales que regulan aspects de la seguridad de la infrmación requieren, cm mínim, que la empresa celebre un cntrat pr escrit cn el prestadr de servicis, que incluya unas medidas de seguridad raznables. Véase, pr ejempl, ls amplis requisits fijads pr ls Reglaments de Seguridad de Massachusetts. Estándares cm PCI DSS ISO crean también un efect dminó, similar al de las leyes federales y estatales. Las empresas smetidas a PCI DSS ISO deben respetar uns estándares cncrets y trasladar a sus subcntratistas las mismas bligacines, si quieren cumplir cn el estándar al que se han smetid. Muchs países cuentan cn nrmas de prtección de dats que siguen el mdel de la Unión Eurpea, el de la OCDE el de APEC. De acuerd cn dichas leyes, el respnsable del tratamient (básicamente, la entidad que establece la relación inicial cn la persna) cnserva la respnsabilidad pr el recabad y el tratamient de ls dats persnales, inclus cuand sn tratads pr tercers. El respnsable del tratamient está bligad a asegurar que cualquier tercer que trate dats en su nmbre implemente las medidas de seguridad técnicas y rganizativas adecuadas para prteger ls dats. Inclus en cass en que una actividad cncreta n está regulada, las empresas pueden estar smetidas a bligacines cntractuales para prteger la infrmación de sus clientes, cntacts empleads; asegurar 15 En inglés, GLBA - Gramm-Leach-Billey Act 2011 CLOUD SECURITY ALLIANCE 39

41 Prhibición de las transferencias internacinales que ls dats n se utilizan para fines secundaris; y que n sn cedids a tercers. Esta bligación puede derivarse, pr ejempl, de ls Términs y Cndicines y de la Declaración de Privacidad que una empresa publica en su siti web. De frma alternativa, la empresa puede haber celebrad cntrats (cm acuerds de prestación de servicis) cn sus clientes, en ls que haya asumid cmprmiss específics para prteger ls dats (persnales empresariales), limitand su us, asegurand su seguridad, cifrándls, etc. Las rganizacines deben asegurarse de que, cuand ls dats que custdien sean hspedads en Clud, siguen siend capaces de cumplir las prmesas y cmprmiss asumids en sus aviss de privacidad en trs cntrats. Pr ejempl, la empresa puede haberse cmprmetid a tratar ls dats únicamente para determinads uss. Ls dats en Clud deben ser utilizads sól para las finalidades para las que fuern recabads. Si el avis de privacidad permite a las persnas afectadas acceder a sus dats persnales, y a mdificar cancelar dicha infrmación, el prestadr de servicis Clud debe permitir igualmente el ejercici de ls derechs de acces, mdificación y cancelación, de frma idéntica a la que se daría en una relación en la que n se emplease Clud. Muchas leyes, alrededr del glb, prhíben limitan la transferencia de infrmación fuera del país. En la mayría de ls cass, la transferencia se permite únicamente si el país receptr de ls dats frece una prtección adecuada de la infrmación persnal y de ls derechs de privacidad. La finalidad de este requisit de adecuación es asegurar que las persnas afectadas cuys dats se transfieran a trs países sean capaces de disfrutar, en el país receptr, de uns derechs y prteccines en materia de privacidad similares, y n inferires, a ls garantizads antes de la transferencia. Pr tant, es imprtante para un usuari de Clud cncer la lcalización de ls dats persnales de sus empleads, clientes... de manera que pueda identificar las restriccines que le puedan impner las leyes de privacidad de trs países. Dependiend del país, ls requisits para asegurar este nivel de prtección adecuad pueden ser cmplejs y rigurss. En alguns cass, puede ser precis btener la autrización previa de la Autridad de Prtección de Dats lcal. 3.2 Cnsideracines cntractuales Cuand ls dats sn transferids a Clud, la respnsabilidad de su prtección y seguridad sigue siend, habitualmente, de quien ls recaba custdia, si bien baj algunas circunstancias esta respnsabilidad puede estar cmpartida cn trs. Cuand se encarga a un tercer que alje trate ests dats, el custdi de ls dats sigue respndiend ante cualquier pérdida, dañ us n autrizad de ls dats. Es prudente, y en casines bligatri, que el custdi y el prestadr de servicis de Clud firmen un cntrat pr escrit que defina claramente las funcines y expectativas de las partes, y las respnsabilidades que crrespnden a cada una de ellas en relación cn ls dats en cuestión. Las leyes, reglaments, estándares y las buenas prácticas relacinadas que se abrdarn cn anteriridad, exigen igualmente a ls custdis que aseguren que dichas bligacines se cumplen, realizand due diligence (antes de la ejecución del cntrat) auditrías de seguridad (durante la ejecución del cntrat) Due Diligence Antes de celebrar un acuerd de Clud cmputing, la empresa debe analizar sus prpias prácticas, necesidades e impediments, en aras a identificar las barreras legales y ls requisits a cumplir, en relación cn la transacción de Clud cmputing prpuesta. Pr ejempl, debe determinar si su mdel de negci permite el us de servicis de Clud cmputing y baj qué cndicines. La naturaleza de su negci puede implicar que cualquier cesión del cntrl de ls dats de la empresa esté prhibida pr ley cree graves prblemas de seguridad CLOUD SECURITY ALLIANCE 40

42 Además, la empresa debe, y en alguns cass puede estar bligada pr ley, llevar a cab una due diligence sbre el prestadr de servicis de Clud prpuest, en aras a determinar si la ferta permitirá a la empresa cumplir cn su bligación de prteger sus activs de frma cntinuada Cntrat Las partes deben celebrar un cntrat pr escrit. Dependiend de la naturaleza de ls servicis, puede ser habitual que el cntrat se acepte haciend clic en un acuerd de adhesión, en el que n cabe negciación; que las partes negcien un dcument pr escrit más cmplej, adaptad a la situación específica. Si el acuerd de adhesión es el únic acuerd dispnible, el cliente del servici Clud debe cnsiderar ls riesgs de unas psterires negciacines, frente a ls beneficis reales, ls ahrrs ecnómics y la facilidad de us prmetida pr el prestadr del servici Clud. Si las partes pueden negciar un cntrat, deben asegurarse de que las cláusulas de dich cntrat abrden las necesidades y bligacines de las partes, tant durante la duración del cntrat cm cn psteriridad a su finalización. Deben negciarse unas cláusulas detalladas y exhaustivas, que abrden las necesidades y riesgs específics de utilizar un entrn Clud. Si existen prblemas n prevists en el cntrat, el cliente del servici Clud debe cnsiderar métds alternativs de alcanzar sus bjetivs, un prveedr alternativ n clgar sus dats en Clud. Pr ejempl, si el cliente del servici Clud desea clgar infrmación afectada pr HIPAA en Clud, el cliente necesitará encntrar un prestadr de servicis que firme cn él un acuerd de negci asciad, cnfrme a la HIPAA, n pasar, en cas cntrari, sus dats a Clud. A cntinuación se incluyen descripcines breves de algunas prblemáticas específicas del Clud. Además, se adjunta una lista de cntrl cmpleta (per n exhaustiva) que recge las cuestines a tener en cuenta al revisar un cntrat de servicis Clud Supervisión, realización de pruebas y actualización El entrn de Clud n es estátic. Evlucina, y las partes deben adaptarse. Se recmiendan realizar tareas de supervisión periódica, prueba y análisis de servicis, a efects de asegurar que las medidas de privacidad y seguridad exigidas se están utilizand, y que ls prcess y plíticas se están cumpliend. Además, el panrama legal, regulatri y técnic puede cambiar a un ritm rápid. Nuevas amenazas de seguridad, nuevas leyes, nuevs requisits de cumplimient que deben ser abrdads cn prntitud. Las partes deben mantenerse al día en relación cn ls requisits legales y de tr tip, para asegurar que las peracines siguen siend lícitas; y en relación cn las medidas de seguridad implementadas, para que vayan evlucinand según surgen nuevas tecnlgías y leyes. CludAudit y Clud Trust Prtcl sn ds mecanisms que autmatizan la supervisión y la realización de pruebas en las cadenas de prducción Clud. Además, UIT-T está trabajand en una especificación de Auditría de Clud X.1500, denminada CYBEX. 3.3 Prblemáticas específicas derivadas del E-Discvery Este apartad abrda ls requisits específics de litigación en ls Estads Unids. Ls litigantes en EE.UU. fundamentan gran parte de sus arguments de defensa en dcuments. Una de las peculiaridades del sistema judicial estadunidense, en clar cntraste cn la mayría de países, es que un litigante debe facilitar a su cntrari TODOS ls 2011 CLOUD SECURITY ALLIANCE 41

43 dcuments relacinads cn el cas. N puede limitarse a aprtar ls dcuments que le resulten favrables, sin también ls que resultan favrables para su cntraparte. En ls últims añs, se han prducid numerss escándals en ls que ls litigantes fuern acusads de haber brrad, perdid mdificad, de frma vluntaria, pruebas que les perjudicaban en sus cass. A raíz de ell, las nrmas prcesales fuern mdificadas para clarificar las bligacines de las partes, en especial en el cas de infrmación almacenada electrónicamente (pr sus siglas en inglés, ESI ). Desde que Clud cmputing se está cnvirtiend en el repsitri de la mayr parte de la ESI que se precisa en una causa investigación, ls prestadres de servicis Clud y sus clientes deben planificar cuidadsamente cóm pder identificar tds ls dcuments pertenecientes a un cas, en aras a pder cumplir cn ls estricts requisits impuests pr las nrmas de ediscvery de las Reglas Federales de Prcedimient Civil, y de ls equivalentes estatales a dichas leyes. En este sentid, el cliente de un servici Clud y el prveedr han de tener en cuenta las siguientes cuestines en asunts en ls que el cliente esté smetid a peticines de Discvery, y el prestadr de servicis Clud cuente cn dats ptencialmente relevantes Psesión, custdia y cntrl En la mayr parte de las jurisdiccines de ls Estads Unids, la bligación que tiene cada parte de prducir infrmación relevante se limita a ls dcuments y dats que se encuentren baj su psesión, custdia cntrl. Aljar dats relevantes en un tercer, inclus en un prestadr Clud, n exime a dicha parte de la bligación de prducir infrmación en la medida en que tenga un derech legal de acceder y btener ls dats. Sin embarg, puede que n tds ls dats aljads pr un prestadr Clud estén baj el cntrl del cliente (pr ejempl, planes de recuperación ante desastres, cierts metadats creads y mantenids pr el prestadr de servicis Clud para perar su entrn). Distinguir entre ls dats que están y que n están a dispsición del cliente puede ser interesante tant para el prestadr cm para el prpi cliente. Las bligacines del prestadr de servicis Clud, cm encargad de manejar ls dats, en relación a la prducción de prducción de infrmación en respuesta al prces legal, es un asunt que debe reslver cada jurisdicción Entrns y aplicacines de Clud relevantes En ciertas causas e investigacines, la prpia aplicación entrn Clud pueden, en sí misms, ser relevantes para reslver la cntrversia en la causa investigación. En tales circunstancias, la aplicación y el entrn pdrían quedar fuera del cntrl del cliente, pr l que se necesitaría una citación u tr prces de Discvery dirigid directamente al prestadr Capacidad de búsqueda y herramientas de ediscvery Dadas las peculiaridades del entrn Clud, un cliente quizás n puede aplicar utilizar en él las mismas herramientas de ediscvery que utiliza en sus prpis entrns. Es más, puede que el cliente carezca de la psibilidad de ls privilegis administrativs para buscar acceder a tds ls dats aljads en Clud. Pr ejempl, mientras que el cliente puede acceder a multitud de cuentas de crre electrónic de sus empleads desde su prpi servidr en una 2011 CLOUD SECURITY ALLIANCE 42

44 sla vez, quizás n pdría hacerl si las cuentas de crre electrónic estuviesen aljadas en Clud. Pr ell, ls clientes necesitan cntabilizar el tiemp y gasts ptenciales adicinales que tal limitación les pudiese causar Cnservación En términs generales, en ls Estads Unids cada parte está bligada a adptar medidas raznables para impedir la destrucción mdificación de ls dats que psee, custdia cntrla, que sepa deba raznablemente saber que sn relevantes para una causa investigación pendiente que se pueda predecir raznablemente. Dependiend del servici Clud y del mdel de despliegue que el cliente utilice, la cnservación en Clud puede ser muy similar a la cnservación en tras infraestructuras de TI, ser much más cmpleja. En la Unión Eurpea, la cnservación de la infrmación está regulada pr la Directiva 2006/24/CE, del Parlament Eurpe y del Cnsej, de 15 de marz de Japón, Crea del Sur y Singapur cuentan cn iniciativas de prtección de dats similares. En América del Sur, Brasil y Argentina tienen la Ley Azered y la Ley de Cnservación de Dats de Argentina de 2004, nº , de 6 de febrer de 2004, respectivamente Cstes y almacenamient La cnservación puede implicar que grandes cantidades de infrmación se mantengan durante largs períds. Cuáles sn las cnsecuencias de est baj un Acuerd de Nivel de Servici ( ANS )? Qué curre si ls requisits de cnservación van más allá de ls plazs del ANS? Si el cliente cnserva ls dats allí, quién paga pr la ampliación del almacenamient y a qué cste? Está cubiert el cliente pr el ANS, en l relativ a la capacidad de almacenamient? Puede el cliente descargar dats de frma eficaz, y sólida desde un punt de vista frense, para cnservarls ffline casi en línea? Ámbit de cnservación A falta de una causa justificada de una necesidad específica, el slicitante está legitimad únicamente para acceder a aquells dats aljads en Clud que cntengan infrmación relevante, y n a tds ls dats que se encuentren en Clud en la aplicación. Sin embarg, si el cliente n es capaz de cnservar la infrmación relevante ls dats de frma desagregada, pdría verse bligad a cnservar una infrmación excesiva, en aras a efectuar la cnservación raznable, en función de la causa investigación Almacenamient dinámic y cmpartid La carga de la cnservación de dats en Clud puede ser relativamente pequeña si el cliente tiene espaci para mantenerls en dich lugar, si ls dats sn relativamente estátics si la n accede mucha gente y sabe cóm cnservarls. Sin embarg, en un entrn Clud que mdifica elimina dats de frma prgramada, en el que ls dats se cmparten cn gente que n es cnsciente de la necesidad de cnservarls, su cnservación puede ser más cmplicada. Una vez que el cliente determina que dichs dats sn relevantes y deben ser cnservads, el cliente pdría tener que trabajar cn el prestadr para definir un md raznable para cnservar dichs dats Recabad Dada la ptencial falta de permiss administrativs que un cliente tiene sbre ls dats en Clud, el recabad de dats desde Clud puede ser más cmplicad, llevar más tiemp y ser más car que si se hiciese en ls sistemas del cliente. En 2011 CLOUD SECURITY ALLIANCE 43

45 cncret, un cliente puede n gzar del mism nivel de visibilidad sbre sus dats en Clud, y tener más dificultades para cmparar ls dats que ha recabad cn ls dats en Clud, para determinar que la exprtación se ha realizad de frma raznablemente cmpleta y precisa Acces y anch de banda En la mayr parte de ls cass, el acces de ls clientes a sus dats en Clud vendrá determinad pr su ANS. Est puede limitar su capacidad de recabar grandes cantidades de dats de frma rápida y sólida desde un punt de vista frense (pr ejempl, preservand tds ls metadats que resulten raznablemente relevantes). Ls clientes y ls prestadres Clud harían bien en tener en cuenta esta cuestión cn anticipación, y en establecer un prtcl (y un cste) para access extrardinaris para recabar infrmación en cas de causas judiciales e investigacines. A falta de tales acuerds, ls clientes deben tener en cuenta el tiemp y cstes adicinales que implicaría el recabad en Clud al plantear alegacines frente a ls slicitantes de infrmación y ls tribunales Funcinalidades Se trata de una cuestión relacinada cn el acces y anch de banda, per diferente a ells. Ls privilegis de acces de ls clientes pueden permitirles acceder al rang cmplet de dats, per n el grad de funcinalidades más adecuad en una situación determinada. Pr ejempl, el cliente pdría tener acces a tres añs de dats de transaccines cncretas, per ser únicamente capaz de descargar ls dats crrespndiente a ds semanas de cada vez, pr limitacines funcinales. Igualmente, un cliente pdría n pder visualizar tds ls metadats existentes en realidad, sin únicamente un númer limitad de metadats Técnicas frenses Realizar una imagen bit a bit desde una fuente de dats en Clud es generalmente difícil impsible. Pr mtivs bvis de seguridad, ls prestadres sn reticentes a permitir el acces a su hardware, particularmente en un entrn multitenant, dnde ls clientes pdrían lgrar acceder a ls dats de trs clientes. Inclus en Clud privadas, aplicar técnicas frenses puede ser extremadamente cmplicad, y ls clientes pueden tener que cmunicar al abgad de la parte cntraria a ls tribunales estas limitacines. Afrtunadamente, n es habitual que se rdenen técnicas frenses en Clud: n pr ser Clud, sin prque está estructurad a través de una jerarquía de dats virtualización que n permite, pr sí misma, ls análisis frenses Integridad raznable Un cliente smetid a una petición de Discvery debe tmar las medidas raznables para validar que su recabad desde el prestadr de Clud es cmplet y precis, en especial cuand n hay prcess nrmales de negci dispnibles, y se utilizan medidas específicas de litigación para btener la infrmación. Es un prces distint y separad de la verificación, es decir, que ls dats almacenads en Clud sean preciss, estén autenticads sean admisibles N accesibles de frma raznable Debid a las diferencias en el md en que ls dats de un cliente están almacenads y en ls derechs y privilegis de acces de dich cliente, n tds ls dats de clientes almacenads en Clud sn accesibles de la misma manera. El cliente (y el prestadr) deberían analizar la relevancia, materialidad, prprcinalidad y accesibilidad de las peticines de infrmación y de la estructura de dats pertinente CLOUD SECURITY ALLIANCE 44

46 3.3.6 Acces Direct Fuera del entrn Clud, el acces direct pr el slicitante al entrn TI de la parte requerida n suele cncederse. En el entrn Clud, tdavía se cncede mens y puede ser impsible pr las mismas raznes expuestas al hablar de análisis frense. Es imprtante destacar que un cliente quizás n puede facilitar acces direct prque el hardware y las instalacines están fuera de su psesión, custdia cntrl, y el slicitante necesitaría una citación negciar directamente cn el prestadr Prducción nativa Ls prestadres de servicis Clud almacenan a menud ls dats en sistemas prpietaris y aplicacines en Clud que ls clientes n cntrlan. La prducción de dats en frmats nativs puede resultar inútil para ls slicitantes, dad que n pdrían entender la infrmación prducida. En tales circunstancias, l mejr para tds ls afectads - slicitante, parte requerida y prestadr- pdría ser exprtar la infrmación relevante utilizand prtcls estandarizads de realización de infrmes de exprtación, que existan en el entrn de Clud Autenticación Pr autenticación, en este cntext, se entiende la autenticación frense de dats que se admita cm prueba. N debe ser cnfundida cn la autenticación de usuaris, que es un cmpnente de la gestión de identidades. Almacenar dats en Clud n afecta al análisis para la autenticación de ls dats, para determinar si deben ser admitids cm prueba. La cuestión es si el dcument es el que pretende ser. Un crre electrónic n es más mens auténtic pr estar almacenad tras el firewall de una empresa en Clud. La cuestión es si se ha almacenad cn integridad, y si el tribunal cnfía en que n ha sid alterad desde que fue enviad recibid Admisibilidad y credibilidad A falta de tra prueba, cm la manipulación el hacke, ls dcuments n deberían ser cnsiderads más mens creíbles admisibles pr haber sid creads almacenads en Clud Cperación entre el prestadr y el cliente en ediscvery Resulta del mayr interés, tant para ls prestadres cm para ls clientes, prever las cmplicacines que puede causar el Discvery desde el inici de la relación, y tenerl en cuenta en sus ANS. Ls prestadres pueden estar interesads en diseñar sus fertas Clud incluyend servicis de Discvery, para atraer clientes ( Discvery by Design ). En cualquier cas, clientes y prestadres deberían plantearse incluir en sus acuerds cláusulas para cperar mutuamente en cas de peticines de Discvery cntra cualquiera de ells Respuesta a una Citación a una Orden de Búsqueda El prestadr de servicis Clud puede recibir, de tercers, una petición de facilitar infrmación, en frma de citación, una rden, dispsición judicial en la que se slicite acces a ls dats de un cliente. Al cliente le puede interesar 2011 CLOUD SECURITY ALLIANCE 45

47 recurrir tal petición de acces, a ls efects de prteger la cnfidencialidad el secret de ls dats en cuestión. Para ell, ls acuerds de prestación de servicis Clud deberían exigir a ls prestadres de servicis Clud cmunicar a la empresa que se ha recibid una citación y dar tiemp a dicha empresa a recurrir la petición de acces. El prestadr de servicis pdría estar tentad a respnder a la petición abriend sus instalacines y facilitand a ls slicitantes tda la infrmación incluida en la petición de acces. Antes de hacerl, el prestadr de servicis Clud debe asegurarse de que la petición está en regla, y cursada siguiend el prcedimient crrect. El prestadr de servicis Clud debe analizar minucisamente la petición antes de ceder infrmación baj su custdia. Dependiend de la naturaleza específica de la infrmación, de su lcalización, pr ejempl, serán de aplicación leyes más mens cmplejas. Pr ejempl, sn diferentes las nrmas aplicables pr una petición de acces al cntenid de un crre electrónic, en función de si éste ha sid abiert n, y del tiemp que lleve almacenad. También sn diferentes las nrmas aplicables en función de si la infrmación slicitada es el cntenid del mensaje, únicamente ls dats de tráfic del crre electrónic (pr ejempl, quién l envía, a qué destinataris, etc.) CLOUD SECURITY ALLIANCE 46

48 DOMINIO 4 // CUMPLIMIENTO LEGAL Y GESTIÓN DE AUDITORÍA GUÍAS DE SEGURIDAD DE ÁREAS CRÍTICAS EN Las rganizacines se enfrentan a nuevs rets cuand migran de centrs de dats (CPD) tradicinales a Clud. El cumplimient, la medición y la cmunicación del alineamient cn la legislación vigente cn una multitud de regulacines en diferentes jurisdiccines es un de ls mayres rets. Tant clientes cm prveedres necesitan cmprender y apreciar las diferencias e implicacines en ls estándares de auditría, prcess y prácticas de cumplimient legal existentes. La naturaleza distribuida y virtualizada de Clud requiere un ajuste significativ del marc de referencia respect a aprximacines basadas en instancias físicas de infrmación y prcess. Clud tiene el ptencial para mejrar la transparencia y la garantía a través de sus platafrmas de gestión más centralizadas y cnslidadas. Además, las slucines de externalización de prveedres Clud reducen la escala y dependencia del cumplimient legal. Si se cuenta cn prveedres capaces de prprcinar slucines que cumplan la legislación desde el primer mment, nuevas cmpañías (cn y sin ánim de lucr) pdrían entrar en ls mercads y realizar accines que hubieran sid prhibitivas desde un punt de vista ecnómic en la era pre-clud. Ls Gbierns y tras rganizacines anterirmente en cntra de externalizar sus peracines de TI pr cuestines de seguridad y cumplimient legal pdrían estar más dispuestas a adptar un mdel de Clud, dnde el cumplimient nrmativ puede ser ampliamente cubiert a través de la delegación cntractual. Además de prveedres y clientes, ls reguladres y auditres se están ajustand a este nuev mund de Clud Cmputing. Pcas de las regulacines existentes han sid redactadas teniend en cuenta entrns virtualizads cass de us de Clud. Un cliente de Clud puede ser requerid para mstrar a ls auditres que su rganización cumple cn la ley. Cmprender la interacción entre Clud Cmputing y el entrn legislativ es clave para cualquier estrategia Clud. Ls clientes Clud deben cnsiderar y cmprender l siguiente: Las implicacines de las regulacines al usar un servici Clud en cncret, prestand especial atención a cualquier aspect que supnga el traspas de frnteras cuestines multi-jurisdiccinales. La asignación de respnsabilidades de cumplimient legal entre el prveedr y el cliente, incluyend prveedres indirects (pr ejempl, el prveedr Clud de tu prveedr Clud). La capacidad del prveedr de demstrar cumplimient legal, incluyend la generación de dcumentación, prducción de evidencias y ls prcess de cnfrmidad nrmativa en un tiemp raznable. Las relacines entre ls clientes, prveedres y auditres (tant ls del cliente cm ls del prveedr) para garantizar el acces necesari (y restringid, dnde se precise) y el alineamient cn las necesidades de gbiern. Intrducción. Este dmini incluye: Cumplimient legal Auditría 2011 CLOUD SECURITY ALLIANCE 47

49 4.1 Cumplimient legal Figura 7 Ecsistema de valr GRC Gbiern Crprativ: el equilibri de cntrl entre las persnas interesadas, directres y ejecutivs de una rganización que prprcina una dirección cnsistente, una aplicación de plíticas cherente, guías y cntrles que facilitan una tma de decisines efectiva. Gestión de Riesg Empresarial: métds y prcess (marc de referencia) usad pr las rganizacines para equilibrar la tma de decisines basada en identificar events cncrets circunstancias relevantes para ls bjetivs de la rganización (riesgs y prtunidades), cnsiderándls en términs de prbabilidad y magnitud del impact, determinand una estrategia de respuesta y mnitrizand el prgres para prteger y crear valr para las partes interesadas. Cumplimient legal y garantía de auditría: cncienciación y adhesión a las bligacines empresariales (pr ejempl, respnsabilidad scial crprativa, ética, legislación aplicable, regulacines, cntrats, estrategias y plíticas) a través del cncimient del estad del cumplimient legal, evaluación de riesgs y ls cstes ptenciales del incumplimient frente a ls cstes del cumplimient nrmativ y, en cnsecuencia, pririzar, fmentar e iniciar cualquier acción crrectiva que fuera precisa. Las tecnlgías de la infrmación en Clud están sujetas a una creciente expsición a más plíticas y regulacines. Tdas las partes interesadas esperan que las rganizacines cumplan practivamente cn las nrmas regulatrias en múltiples jurisdiccines legales. El Gbiern TI requiere ejercer su función teniend en cuenta ests requerimients y tdas las cmpañías precisan una estrategia para ell. El Gbiern incluye ls prcess y plíticas que facilitan la cnsecución sencilla de ls bjetivs empresariales teniend en cuenta las limitacines del entrn extern. El Gbiern requiere actividades de cumplimient legal que garanticen que las peracines están plenamente alineadas cn ess prcess y plíticas. En este sentid, el cumplimient legal está fcalizad en alinearse cn ls requerimients externs (pr ejempl, leyes, regulacines, estándares de la industria) mientras que el Gbiern está fcalizada en alinearse cn ls requerimients interns (pr ejempl, decisines del Cnsej, plítica crprativa) CLOUD SECURITY ALLIANCE 48

50 El cumplimient legal puede ser definid cm la cncienciación y seguimient de las bligacines (pr ejempl, respnsabilidad scial crprativa, leyes aplicables, guías éticas), incluyend el cncimient y la prirización de las accines crrectivas que sean necesarias y aprpiadas. En alguns entrns, y especialmente en aquells que están altamente regulads, la transparencia puede ser dminante, al pner más atención en la bligación de infrmar que en el prpi cumplimient. En las mejres circunstancias, el cumplimient legal n es un inhibidr de la efectividad rganizacinal sin un cmplement a determinadas plíticas internas. Habitualmente las regulacines tienen implicacines serias para las tecnlgías de la infrmación y su Gbiern, especialmente en términs de mnitrización, gestión, prtección y divulgación. El Gbiern TI es un element de apy para td el Gbiern crprativ, Gestión de Riesg empresarial, Cumplimient Legal y Auditría/Garantía. Clud puede ser una tecnlgía facilitadra para el Gbiern y el Cumplimient Legal, centralizand el cntrl y la transparencia a través de sus platafrmas de gestión, particularmente para Clud gestinad internamente. Mediante el impuls de ls servicis Clud, rganizacines de diferentes tamañs pueden btener el mism nivel de cumplimient legal que entidades más grandes y cn más recurss. Ls servicis de seguridad y garantía sn una de las maneras pr las que terceras empresas pueden jugar un papel imprtante en la valración y cmunicación del cumplimient legal. Cualquier aprximación al cumplimient legal necesitará cntar cn la participación de tda la rganización, incluyend a TI. El papel de ls prveedres externs debe ser cnsiderad cn cautela y la respnsabilidad de incluirls en el área de Gbiern, directa indirectamente, debe ser explícitamente asignada dentr de la rganización del cliente. Adicinalmente, se presenta a cntinuación un listad de estándares de seguridad Clud que se encuentran en desarrll en ISO/IEC y ITU-T: ISO/IEC 27017: Seguridad en Clud Cmputing y Sistema de Gestión de la Seguridad y Cntrles de Privacidad. ISO/IEC x: Estándar multiparte para la gestión de la seguridad de la infrmación del prveedr que está previst que incluya una parte relevante a la cadena de suministr Clud. ITU-T X.ccsec: Guía de seguridad para Clud Cmputing en el área de Telecmunicacines. ITU-T X.srfcts: Requerimients de seguridad y marc de referencia para entrns de servicis de telecmunicacines (X.srfcts). ITU-T X.sfcse: Requerimients de seguridad funcinales para entrns de aplicacines SaaS. 4.2 Auditría Un Gbiern crprativ adecuada incluye auditrías y garantías. La auditría debe ser llevada a cab de manera independiente y debe estar diseñada de frma rbusta para reflejar las buenas prácticas, recurss aprpiads y prtcls y estándares revisads. Tant la auditría interna cm la externa y sus cntrles crrespndientes juegan un papel imprtante en Clud, tant para el cliente cm para el prveedr. Durante las etapas iniciales de la intrducción de Clud la transparencia es tdavía más evidente para incrementar ls niveles de cnfrt de las partes interesadas. La auditría es un métd que prprcina garantía de que las actividades de gestión del riesg peracinal han sid cmprbadas y revisadas en prfundidad CLOUD SECURITY ALLIANCE 49

51 El plan de auditría debe ser adptad y apyad pr ls respnsables ejecutivs de la rganización (el Cnsej y la dirección ejecutiva). La existencia y ejecución de auditrías independientes y planificadas de ls sistemas crítics y cntrles, que incluyan trazabilidad de accines y dcumentación, ayudará a mejrar en eficiencia y cnfiabilidad. Muchas rganizacines usan un mdel de madurez (pr ejempl, CMM, PTQM) cm marc de referencia para analizar la efectividad de ls prcess. En alguns cass, puede adptarse una aprximación más estadística a la gestión de riesg (pr ejempl, ls acuerds Basilea y Slvencia para ls servicis financiers) y cuand este espaci madure, pdrán adptarse trs mdels más especializads de riesg en función de las necesidades requeridas para la línea de negci. Para Clud, estas prácticas necesitarán ser revisadas y mejradas. Tal cm curría cn ls mdels previs de tecnlgías de la infrmación, la auditría necesitará aprvechar las ventajas del ptencial de Clud, así cm incrementar el alcance y escala que faciliten la gestión de las áreas mens maduras. 4.3 Recmendacines Cuand se establece cntact cn un prveedr, se debe invlucrar a ls crrespndientes equips de legal, cmpras y cntratación de la rganización del cliente. Ls términs estándar de servici pdrían n cubrir las necesidades de cumplimient legal y deberían ser negciads. Alguns requerimients de cumplimient legal específics para industrias altamente reguladas (pr ejempl, entrns financiers sanidad) deben ser tenids en cuenta cuand se plantea un servici Clud. Las rganizacines que entienden sus requerimients actuales deben plantearse el impact de un mdel de TI distribuid, incluyend el impact de diverss prveedres Clud perand en diferentes ubicacines gegráficas y diferentes jurisdiccines legales. Se debe determinar cóm el us de servicis Clud impacta en ls actuales requerimients de cumplimient legal para cada carga de trabaj (pr ejempl, un cnjunt de aplicacines y dats), en particular en l que se refiere a la seguridad de la infrmación. Cm cn cualquier slución de externalización, las rganizacines necesitan cmprender cuáles sn sus prveedres Clud y si tratarán cn infrmación sujeta a regulacines. Alguns ejempls de plíticas y prcedimients impactads incluyen infrmes de actividad, mnitrización de events, retención de la infrmación, respuesta a incidentes y plíticas de privacidad. Cmprender las respnsabilidades cntractuales de cada parte. Las expectativas variarán de un mdel de despliegue a tr, cn el cliente teniend más cntrl y respnsabilidad en un mdel IaaS, y el prveedr cgiend el rl dminante para la slucines SaaS. Particularmente imprtantes sn ls requerimients encadenads y bligacines, n sl del cliente y su prveedr Clud sin también entre el usuari final y el prveedr de su prveedr Clud. El cumplimient legal (leyes, requisits legales técnics, cumplimient, riesg y seguridad) es crític y debe cnsiderarse en la fase de identificación de requerimients. Cualquier infrmación prcesada, transmitida, almacenada visualizada que sea cnsiderada Infrmación Persnal Identificable (PII, pr sus siglas en inglés) 16 infrmación privada, se enfrenta a una plétra de regulacines y nrmativas en td el mund que varían entre países y estads. Debid a que la tecnlgía Clud fue diseñada para ser gegráficamente diversa y escalable, ls dats pueden ser almacenads, prcesads, transmitids recuperads desde diversas lcalizacines múltiples CPDs del prveedr de servicis Clud. 16 PII - Persnal Identifiable Infrmatin; dats de carácter persnal CLOUD SECURITY ALLIANCE 50

52 Alguns requerimients regulatris especifican cntrles que sn difíciles impsibles de cumplir en cierts tips de servicis Clud (pr ejempl, ls requerimients gegráfics pueden ser incnsistentes cn el almacenamient distribuid). Clientes y prveedres deben acrdar cóm se recgen, almacenan y cmparten evidencias electrónicas para el cumplimient legal (pr ejempl, lgs de auditría, infrmes de actividad, cnfiguracines de sistemas). Es preferible dispner de auditres que cnzcan el ámbit Clud y que estén familiarizads cn ls rets de garantías (y ventajas) de la virtualización y de Clud. Slicite infrmes a su prveedr SSAE 16 SOC2 ISAE 3402 Tip 2. Ests aprtan un inequívc punt de arranque cm referencia para auditres y asesres. Ls cntrats deben facilitar una revisión pr un tercer de las métricas y acuerds de niveles de servicis del cumplimient legal (pr ejempl, pr un mediadr seleccinad pr ambas entidades). 4.4 Requerimients Una cláusula de derech a auditar aprta a ls clientes la capacidad de auditar al prveedr Clud y apya la trazabilidad y transparencia en ls frecuentes entrns cambiantes de la regulación en Clud. Utilice una nrmativa cm base al auditar para asegurarse el mutu cncimient de las expectativas. En el mment adecuad, este derech se verá sustituid pr certificacines de tercers (pr ejempl, a través de ISO/IEC 27001/27017). Una cláusula de derech a la transparencia cn access específics puede dar al cliente la infrmación necesaria en industrias altamente reguladas (inclus en aquellas dnde la n-cnfrmidad legal puede ser base para prcesamient criminal). El acuerd debe distinguir entre acces direct/autmátic a la infrmación (pr ejempl, lgs, infrmes) e infrmación 'enviada' (pr ejempl, arquitecturas de sistemas, infrmes de auditría). Ls prveedres deben revisar, actualizar y publicar sus dcuments de infrmación de seguridad y prcess GRC de manera regular ( cuand se les requiera). Ests deben incluir análisis de vulnerabilidades y las actividades relacinadas de subsanación. Ls auditres de tercers deben ser mutuamente recncids escgids de manera anticipada, cnjuntamente pr el prveedr y el cliente. Tds las partes implicadas deben acrdar el us de un marc de referencia cmún para la certificación y garantía (pr ejempl, de ISO, COBIT) para el Gbiern TI y cntrles de seguridad CLOUD SECURITY ALLIANCE 51

53 DOMINIO 5 // GESTIÓN DE LA INFORMACIÓN Y DE LA SEGURIDAD DE LOS DATOS El bjetiv principal de seguridad de la infrmación es prteger ls dats fundamentales que alimentan nuestrs sistemas y aplicacines. A medida que las empresas evlucinan hacia Clud cmputing, ls métds tradicinales para prteger ls dats sn desafiads pr las arquitecturas basadas en Clud. La elasticidad, multitenancy, las nuevas arquitecturas físicas y lógicas, y ls cntrles abstracts requieren nuevas estrategias de seguridad de dats. En muchas implementacines de Clud, ls usuaris inclus transfieren dats a entrns externs, inclus públics, de frmas que hubieran sid impensables pcs añs atrás. Gestinar infrmación en la era de Clud cmputing es un desafí de enrmes prprcines que afecta a tdas las rganizacines, inclus a aquellas que n parecen estar implicadas activamente en pryects basads en Clud. Cmienza cn la gestión de ls dats interns y las migracines a Clud y se extiende a prteger la infrmación en aplicacines y servicis que afectan de frma difusa a más de una rganización. La gestión de la infrmación y la seguridad de ls dats en la era Clud demanda tant estrategias cm arquitecturas técnicas nuevas. Afrtunadamente, n sól ls usuaris tienen las herramientas y técnicas necesarias, sin que la transición a Clud inclus crea prtunidades para mejrar la seguridad de ls dats en nuestra infraestructura tradicinal. Ls autres recmiendan utilizar un cicl de vida de la seguridad de ls dats (analizad más adelante) para evaluar y definir la estrategia de seguridad de dats en Clud. Ésta debe ser en capas cn unas plíticas claras de gbiern de la infrmación, y a cntinuación, aplicada mediante las tecnlgías clave, tales cm el cifrad y herramientas especializadas de mnitrización. Intrducción. Este dmini incluye tres seccines: La sección 1 prprcina material de referencia sbre arquitecturas de infrmación (almacenamient) en Clud. La sección 2 incluye las mejres prácticas de gestión de la infrmación, incluyend el cicl de vida de seguridad de ls dats. La sección 3 detalla cntrles específics de seguridad de ls dats y cuánd utilizarls. 5.1 Arquitecturas de infrmación Clud Las arquitecturas de infrmación en Clud sn tan diversas cm las prpias arquitecturas de Clud. Si bien esta sección n puede cubrir tdas las cmbinacines psibles, hay ciertas arquitecturas cmunes a la mayría de ls servicis de Clud IaaS IaaS, para un clud públic privad, incluye generalmente las siguientes pcines de almacenamient: Almacenamient pur. Incluye ls medis físics dnde ls dats están almacenads. Se pueden mapear para acces direct en ciertas cnfiguracines de clud privad CLOUD SECURITY ALLIANCE 52

54 Almacenamient de vlúmenes. Incluye ls vlúmenes asciads a instancias IaaS, nrmalmente cm discs durs virtuales. Ls vlúmenes usan frecuentemente dispersión de dats para prprcinar rbustez y seguridad. Almacenamient de bjets. El almacenamient de bjets se denmina, en casines, almacenamient de fichers. Más que un disc dur virtual, el almacenamient de bjets se parece más a un ficher cmpartid accedid mediante APIs un interfaz web. Red de distribución de cntenids (CDN). El cntenid se ubica en un almacenamient de bjets, el cual se distribuye a múltiples nds repartids gegráficamente para mejrar las velcidades de cnsum desde Internet PaaS PaaS prprcina y se apya en un ampli abanic de pcines de almacenamient. PaaS puede prprcinar: Database as a Service (DaaS). Una arquitectura de base de dats multitenant que se puede usar directamente cm servici. Ls usuaris la usan vía APIs directamente mediante llamadas SQL 17, dependiend de l que se frezca. Ls dats de cada cliente están segregads y aislads del rest. Las bases de dats pueden ser relacinales, planas cn cualquier tra estructura cmún. Hadp/MapReduce/Big Data as a Service. Big Data sn dats cuya gran escala, amplia distribución, hetergeneidad, y actualidad requieren el us de nuevas arquitecturas técnicas y analíticas. Hadp y tras aplicacines Big Data pueden ser frecidas cm una platafrma clud. Ls dats se ubican en un almacenamient de bjets en tr sistema distribuid de fichers. Ls dats nrmalmente han de estar cerca del entrn de prcesad, y pueden ser mvids tempralmente a medida que se necesita para su prcesad. Almacenamient para aplicacines. El almacenamient para aplicacines cubre cualquier pción de almacenamient incluida en una platafrma de aplicación PaaS y cnsumible mediante APIs y que n encaja en ninguna de las tras categrías de almacenamient. PaaS puede cnsumir: 1. Bases de dats. La infrmación y el cntenid pueden ser almacenads directamente en la base de dats (cm text u bjet binari) cm fichers referenciads pr la base de dats. La base de dats misma puede ser una clección de instancias IaaS cmpartiend un back-end de almacenamient cmún. 2. Almacenamient de Objets/Fichers. Ls fichers u trs dats se ubican en un almacenamient de bjets, per sl sn accedids mediante el API del PaaS. 3. Almacenamient de vlúmenes. Ls dats pueden estar almacenads en vlúmenes IaaS asciads a instancias dedicadas al servici PaaS. 17 SQL - Structural Query Language es un lenguaje de prgramación diseñad para el manej de dats 2011 CLOUD SECURITY ALLIANCE 53

55 4. Otrs. Ests sn ls mdels de almacenamient más cmunes, per es un área dinámica y pueden estar dispnibles tras pcines SaaS Al igual que PaaS, SaaS usa una amplia gama de mdels de almacenamient y us. Siempre se accede al almacenamient SaaS mediante un interfaz de usuari basad en web una aplicación cliente/servidr. Si se accede al almacenamient mediante API, se cnsidera PaaS. Muchs prveedres SaaS prprcinan también esas APIs PaaS. SaaS puede prprcinar: Almacenamient y gestión de la infrmación. Ls dats se intrducen en el sistema mediante un interfaz web y se almacenan en la aplicación SaaS (nrmalmente una base de dats de back-end). Alguns servicis SaaS frecen pcines para subir cnjunts de dats, APIs PaaS. Almacenamient de Cntenid/Fichers. El cntenid basad en fichers se almacena en la aplicación SaaS (pr ejempl infrmes, fichers de imágenes, dcuments) y se prprcina acces mediante un interfaz de usuari basad en web. SaaS puede cnsumir: Bases de dats. Al igual que PaaS, un gran númer de Servicis SaaS se apyan en bases de dats de back-end, inclus para almacenamient de fichers. Almacenamient de Objets/Fichers. Ls fichers y trs dats se guardan en almacenamient de bjets, per sl sn accedids mediante la aplicación SaaS. Almacenamient de vlúmenes. Ls dats pueden ser almacenads en vlúmenes IaaS asciads a instancias dedicadas a prprcinar el servici SaaS. 5.2 Dispersión de Dats (Infrmación) La dispersión de dats (infrmación) es una técnica usada habitualmente para mejrar la seguridad de ls dats, per sin el us de mecanism de cifrad. Este tip de algritms (IDA 18 para abreviar) permiten prprcinar alta dispnibilidad y asegurar ls dats almacenads en Clud, pr medi de la fragmentación de dats, y sn cmunes en muchas platafrmas Clud. En un esquema de fragmentación, un ficher f se trcea en n fragments; tds ls cuales se firman y distribuyen a n servidres remts. El usuari puede entnces recnstruir f accediend m fragments arbitrariamente escgids. El mecanism de fragmentación puede también usarse para almacenar dats de larga duración cn un alt nivel de aseguramient en Clud. Cuand se usa la fragmentación junt cn el cifrad, la seguridad de ls dats mejra: un adversari ha de cmprmeter m nds para pder btener m fragments del ficher f, y entnces ha de rmper el mecanism de cifrad usad. 18 IDA - Intrusin Detectin Algrithms 2011 CLOUD SECURITY ALLIANCE 54

56 5.3 Gestión de la infrmación Antes de pder revisar ls cntrles específics de seguridad de ls dats, se necesita un mdel para entender y gestinar la infrmación. La gestión de la infrmación incluye ls prcess y plíticas para entender cóm se usa la infrmación y cóm se gbierna su us. En la sección de seguridad de ls dats, se revisan ls cntrles técnics específics y las recmendacines para mnitrizar y aplicar este gbiern. 5.4 El Cicl de vida de la seguridad de ls dats Aunque la gestión del cicl de vida de la infrmación es un camp madur, n encaja bien cn las necesidades de ls prfesinales de la seguridad. El cicl de vida de la seguridad de ls dats es diferente de la gestión del cicl de vida de la infrmación, reflejand las diferentes necesidades de ls prfesinales de la seguridad. Resumims aquí el cicl de vida, cuya versión cmpleta está dispnible en El cicl de vida incluye seis fases, desde la creación a la destrucción. Aunque se muestra cm una prgresión lineal, una vez creads, ls dats pueden mverse entre fases sin restriccines, y puede que n pasen pr tdas las etapas (pr ejempl, n tds ls dats sn finalmente destruids). Creación. Creación es la generación de nuev cntenid digital, la alteración, actualización mdificación de cntenid existente. Almacenamient. Almacenamient es el act de ubicar ls dats digitales en algún tip de repsitri de almacenamient y nrmalmente curre de frma prácticamente simultánea a su creación. Us. Ls dats sn visualizads, prcesads, utilizads de tr md en algún tip de actividad, n incluyend su mdificación. Cmpartición. La infrmación se hace accesible a trs, tales cm trs usuaris, clientes, y clabradres. Figura 8- Cicl de Vida de Seguridad de ls Dats Archivad. Ls dats dejan de ser usads activamente y entran en un almacenamient de larg plaz. Destrucción. Ls dats sn destruids de frma permanente usand medis físics digitales (pr ejempl, crypt shredding) Lcalización y Acces El cicl de vida representa las fases pr las que la infrmación pasa, per n cubre su lcalización ni cóm sn accedids CLOUD SECURITY ALLIANCE 55

57 Lcalizacines La imprtancia de las lcalizacines se puede ilustrar pensand en el cicl de vida n cm una peración única y lineal, sin cm una serie de cicls de vida más pequeñs, funcinand en diferentes entrns perativs. Ls dats pueden mverse prácticamente, en cada fase, dentr, fuera entre ess entrns. Debid a las ptenciales cuestines regulatrias, cntractuales, y jurisdiccinales es extremadamente imprtante entender tant la lcalización lógica cm física de ls dats. Access Una vez que ls usuaris saben dónde residen ls dats y cóm se mueven, necesitan saber quién está accediend a ells y cóm. Aquí entran ds factres: 1. Quién accede a ls dats? Figura 9- Cicl de Vida de Seguridad de ls Dats. Lcalizacines y Acces 2. Cóm pueden acceder a ells (dispsitiv y canal)? Actualmente se accede a ls dats mediante una variedad de dispsitivs. Ests dispsitivs tienen diferentes características de seguridad y pueden utilizar diferentes aplicacines clientes Funcines, Actres, y Cntrles El siguiente pas es identificar las funcines que pueden ser realizadas cn ls dats, pr un actr (persna sistema) dad y en una lcalización cncreta. Funcines Hay tres csas que se pueden hacer cn un dat dad: Acceder. Ver/acceder al dat, incluyend crearl, cpiarl, transferir el ficher, diseminarl, y trs intercambis de infrmación. Tratar. Realizar una transacción cn el dat: actualizarl, usarl en una transacción de un prces de negci, etc. Figura 10- Cicl de Vida de Seguridad de ls Dats. Funcines, Actres y Cntrles Almacenar. Guardar el dat (en un ficher, base de dats, etc.) CLOUD SECURITY ALLIANCE 56

La información no es de valor hasta que un número es asociado con ella. o Benjamín Franklin.

La información no es de valor hasta que un número es asociado con ella. o Benjamín Franklin. Histria de la Medición en el Sftware La infrmación n es de valr hasta que un númer es asciad cn ella. Benjamín Franklin. N puedes cntrlar l que n puedes medir. Si crees que el cst de la medición es alt,

Más detalles

Política del Sistema de Gestión Integrado

Política del Sistema de Gestión Integrado Plítica del Sistema de Gestión Integrad Ámbar Seguridad y Energía S.L 17/01/2014 La Dirección de ÁMBAR SEGURIDAD Y ENERGÍA S.L., asume, lidera e impulsa la Excelencia en la Gestión a través de su cmprmis

Más detalles

ITSM SOFTWARE. www.espiralms.com info@espiralms.com ProactivaNET

ITSM SOFTWARE. www.espiralms.com info@espiralms.com ProactivaNET ITSM SOFTWARE www.espiralms.cm inf@espiralms.cm PractivaNET ITIL v2 ITIL v3 ISO 20000 ISO 27001 TODAS HABLAN EL MISMO IDIOMA SAM ISO 19770 COBIT ISO 38500 PractivaNET Marcs de referencia para TI Gbernabilidad

Más detalles

POLÍTICA SISTEMA DE GESTIÓN INTEGRAL DE RIESGO. FIN-PC-64 1 Responsable VICEPRESIDENCIA FINANCIERA Vigente desde Tipo de Política Febrero 2014

POLÍTICA SISTEMA DE GESTIÓN INTEGRAL DE RIESGO. FIN-PC-64 1 Responsable VICEPRESIDENCIA FINANCIERA Vigente desde Tipo de Política Febrero 2014 Nmbre de la Plítica POLÍTICA SISTEMA DE GESTIÓN INTEGRAL DE RIESGO. Códig Versión FIN-PC-64 1 Respnsable VICEPRESIDENCIA FINANCIERA Vigente desde Tip de Plítica Febrer 2014 I. OBJETIVO Definir y reglamentar

Más detalles

Soportando y Auditando la Gestión de la Continuidad del Negocio (BCM)

Soportando y Auditando la Gestión de la Continuidad del Negocio (BCM) Sprtand y Auditand la Gestión de la Cntinuidad del Negci (BCM) A partir de ls estándares: ISO/IEC 27002:2005 ISO/IEC 27001:2005 Alejandr Cerez H. ISACA Capítul Mnterrey Agenda Definición de SGSI (Sistema

Más detalles

Para EMPRESA X. Página Web Móvil. 01 de junio de 2015

Para EMPRESA X. Página Web Móvil. 01 de junio de 2015 Para EMPRESA X Página Web Móvil 01 de juni de 2015 Preparada pr: Juan Rsend Peralta Seves Tlf: +34 633 77 28 45 +34 653 81 67 70 juan.peralta@webfastandg.cm www.webfastandg.cm Web Fast & G La infrmación

Más detalles

Terminología de App Orchestration 2.5

Terminología de App Orchestration 2.5 Terminlgía de App Orchestratin 2.5 Última actualización: 06/08/14 Página 1 2014 Citrix Systems, Inc. Reservads tds ls derechs. Terminlgía Cntenid Elements de App Orchestratin... 3 Dminis... 4 Implementacines

Más detalles

Objetivos y Temario CURSO ITIL 2011

Objetivos y Temario CURSO ITIL 2011 Objetivs y Temari CURSO ITIL 2011 OBJETIVOS El bjetiv de este curs sbre ITIL es prprcinar al alumn tdas las claves para un crrect entendimient de ls prcess ITIL 2011 y su rganización. El curs está estructurad

Más detalles

MEDICIÓN DEL TAMAÑO DEL SOFTWARE EN APLICACIONES SOA CON PUNTOS DE FUNCIÓN COSMIC. Mirella Pérez Falcón

MEDICIÓN DEL TAMAÑO DEL SOFTWARE EN APLICACIONES SOA CON PUNTOS DE FUNCIÓN COSMIC. Mirella Pérez Falcón MEDICIÓN DEL TAMAÑO DEL SOFTWARE EN APLICACIONES SOA CON PUNTOS DE FUNCIÓN COSMIC Mirella Pérez Falcón CONTENIDO Cncepts básics de SOA Principis de SOA Cmpnentes de la arquitectura SOA Tips de servicis

Más detalles

PLATAFORMA TECNOLOGICA EN LINEA DE GESTION DE PROYECTOS DE LA INGENIERÍA INDUSTRIAL

PLATAFORMA TECNOLOGICA EN LINEA DE GESTION DE PROYECTOS DE LA INGENIERÍA INDUSTRIAL Platafrma en línea de Gestión de Pryects PLATAFORMA TECNOLOGICA EN LINEA DE GESTION DE PROYECTOS DE LA INGENIERÍA INDUSTRIAL Para que la realización de un pryect tenga éxit en sus tres bjetivs (calidad,

Más detalles

Construcción de un módulo de seguridad integrado en una arquitectura SOA Open Source

Construcción de un módulo de seguridad integrado en una arquitectura SOA Open Source Cnstrucción de un módul de seguridad integrad en una arquitectura SOA Open Surce Víctr Ayllón, Juan Manuel Reina NOVAYRE - www.nvayre.es C/Lenard Da Vinci 18, 5ª Planta Parque Tecnlógic Cartuja - 41092

Más detalles

Miembro de Global Compact de las Naciones Unidas - Member United Nations Global Compact SEMINARIOS HERRAMIENTAS COMERCIALES, TEMA:

Miembro de Global Compact de las Naciones Unidas - Member United Nations Global Compact SEMINARIOS HERRAMIENTAS COMERCIALES, TEMA: LAS "REDES SOCIALES" EL NUEVO MODELO DE NEGOCIO ONLINE N. De hras: 8 hras Intrducción Muchas empresas han encntrad en estas cmunidades un canal idóne para cnseguir l que siempre han estad buscand: ser

Más detalles

Tecnología y arquitectura. Tecnología y Arquitectura. D.R. Universidad TecVirtual del Sistema Tecnológico de Monterrey México, 2012.

Tecnología y arquitectura. Tecnología y Arquitectura. D.R. Universidad TecVirtual del Sistema Tecnológico de Monterrey México, 2012. Tecnlgía y Arquitectura D.R. Universidad TecVirtual del Sistema Tecnlógic de Mnterrey Méxic, 2012. 1 Índice Inici 3 -Intrducción -Objetivs -Temari Tema 1. Autmatización y factres de evaluación.. 4 -Intrducción

Más detalles

PÚBLICO. C/Ebanistas, nº 4, Pol. Ind. Urtinsa, 28923 Alcorcón (Madrid) +34. 91.542.18.98 www.construred.com

PÚBLICO. C/Ebanistas, nº 4, Pol. Ind. Urtinsa, 28923 Alcorcón (Madrid) +34. 91.542.18.98 www.construred.com Inscrita en el Registr Mercantil de Madrid, tm 18.197, libr 0, fli 139, sección 8, hja M-315.077, inscripción 1ª. CIF: B-83297366 MS-02 DECLARACIÓN DE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN C/Ebanistas,

Más detalles

IN3 SIGCam. Sistema Integral de Gestión para Cámaras de Comercio

IN3 SIGCam. Sistema Integral de Gestión para Cámaras de Comercio IN3 SIGCam Sistema Integral de Gestión para Cámaras de Cmerci Investigacines e Innvacines en Infrmática Aplicada, S. A. IN3 C/Prim, 16 A Baj 12003 Castellón Tel. +34 964 72 36 80 Fax +34 964 72 21 34 http://www.in3.es

Más detalles

FUNCIONES DE LA ADMINISTRACIÓN DE REDES

FUNCIONES DE LA ADMINISTRACIÓN DE REDES FUNCIONES DE LA ADMINISTRACIÓN DE REDES 1. Cnfiguración Un administradr de red sirve a ls usuaris: crea espacis de cmunicación, atiende sugerencias; mantiene las herramientas y el espaci requerid pr cada

Más detalles

www.espiralms.com info@espiralms.co

www.espiralms.com info@espiralms.co 1 ITSM SOFTWARE www.espiralms.cm inf@espiralms.cm PractivaNET 2 ITIL v2 ITIL v3 ISO 20000 ISO 27001 TODAS HABLAN EL MISMO IDIOMA SAM ISO 19770 COBIT ISO 38500 PractivaNET 3 Marcs de referencia para TI

Más detalles

Summits ITSM. Buscando problemas: Técnicas para detección y análisis. José Luis Fernández. Alejandro Castro

Summits ITSM. Buscando problemas: Técnicas para detección y análisis. José Luis Fernández. Alejandro Castro Summits ITSM Buscand prblemas: Técnicas para detección y análisis Jsé Luis Fernández Alejandr Castr Buscand prblemas: Técnicas para detección y análisis Speaker Bi & Cmpany Infrmatin Jsé Luis Fernández

Más detalles

Pliego de Bases Técnicas

Pliego de Bases Técnicas Plieg de Bases Técnicas Oficina Técnica ITIL Fecha: Abril 2008 Referencia: 010/2008 EJIE S.A. Mediterráne, 14 Tel. 945 01 73 00* Fax. 945 01 73 01 01010 Vitria-Gasteiz Psta-kutxatila / Apartad: 809 01080

Más detalles

Foco en el Cliente - Modelo SIGO (Sistema Integrado de Gestión Organizacional)

Foco en el Cliente - Modelo SIGO (Sistema Integrado de Gestión Organizacional) Fc en el Cliente - Mdel SIGO (Sistema Integrad de Gestión Organizacinal) En la actualidad, satisfacer las necesidades del cliente n es suficiente, es necesari exceder sus expectativas, deleitarls, e inclus

Más detalles

Para EMPRESA X. Tienda Online. 01 de septiembre de 2015

Para EMPRESA X. Tienda Online. 01 de septiembre de 2015 Para EMPRESA X Tienda Online 01 de septiembre de 2015 Preparada pr: Juan Rsend Peralta Seves Tlf: +34 633 77 28 45 +34 653 81 67 70 juan.peralta@webfastandg.cm www.webfastandg.cm Web Fast & G La infrmación

Más detalles

ITSM SOFTWARE. Cómo empezar a gestionar servicios de TI: CMDB

ITSM SOFTWARE. Cómo empezar a gestionar servicios de TI: CMDB ITSM SOFTWARE Cóm empezar a gestinar servicis de TI: CMDB www.espiralms.cm inf@espiralms.cm PractivaNET Quiénes sms? PractivaNET Si el seminari de hy trata de cóm empezar a aplicar ITIL empezand pr la

Más detalles

Gestión de Servicios de TI Gestión de Problemas ( menos y menores incidencias)

Gestión de Servicios de TI Gestión de Problemas ( menos y menores incidencias) ITSM SOFTWARE Gestión de Servicis de TI Gestión de Prblemas ( mens y menres incidencias) www.espiralms.cm inf@espiralms.cm PractivaNET Hy hablarems de Cóm implantar una nueva Gestión de Prblemas a partir

Más detalles

Declaración de Política de Privacidad

Declaración de Política de Privacidad Declaración de Plítica de Privacidad www.taurinaweb.cm (Taurina Web) se enrgullece de prteger su privacidad y desarrllar tecnlgía para brindarle la experiencia en línea más pdersa y segura psible. Esta

Más detalles

POLITICA DE ELIMINACION Y DESTRUCCION POLITICA DE ELIMINACION Y DESTRUCCION

POLITICA DE ELIMINACION Y DESTRUCCION POLITICA DE ELIMINACION Y DESTRUCCION Códig POL GSI 033 POLITICA DE ELIMINACION Y DESTRUCCION Tip de Dcument: Códig : POLITICA POL GSI 033 I. AUTORIZACIONES. Área(s) y Puest(s): Nmbre(s) y Firma(s): Elabrad pr: Cnsultr / Extern Manuel Benítez

Más detalles

REVISIÓN DE LA NORMA ISO 14001. Sistemas de gestión ambiental. Requisitos con orientación para su uso

REVISIÓN DE LA NORMA ISO 14001. Sistemas de gestión ambiental. Requisitos con orientación para su uso REVISIÓN DE LA NORMA ISO 14001 Sistemas de gestión ambiental. Requisits cn rientación para su us 2014/08/28 El presente dcument ha sid elabrad pr el persnal técnic de la Dirección de Nrmalización de AENOR,

Más detalles

Universidad Nacional de Tucumán

Universidad Nacional de Tucumán Universidad Nacinal de Tucumán Licenciatura en Gestión Universitaria Asignatura: Taller de Infrmática Aplicada a la Gestión Índice. Ncines Generales. (sistemas, pensamient sistémic, sistemas de infrmación).

Más detalles

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER PROGRAMA DE INGENEIRIA DE SISTEMAS ANÁLISIS Y DISEÑO DE SISTEMAS. Enfoques para Modelado del Negocio

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER PROGRAMA DE INGENEIRIA DE SISTEMAS ANÁLISIS Y DISEÑO DE SISTEMAS. Enfoques para Modelado del Negocio MODELO DEL NEGOCIO Intrducción Las Organizacines intentan cnjuntar ds visines para realizar su negci: Visión del negci: Especificar y mejrar sus prcess (análisis del negci) Visión de TI: Infrmatizarls

Más detalles

CONVOCATORIA START-UP PUCP 2013 BASES

CONVOCATORIA START-UP PUCP 2013 BASES CONVOCATORIA START-UP PUCP 2013 BASES El Centr de Innvación y Desarrll Emprendedr de la Pntificia Universidad Católica del Perú (CIDE-PUCP) cnvca a la cmunidad PUCP a participar del cncurs START-UP PUCP.

Más detalles

Plan de Seguridad Informática para una Entidad Financiera. Córdova Rodríguez, Norma Edith. INTRODUCCIÓN

Plan de Seguridad Informática para una Entidad Financiera. Córdova Rodríguez, Norma Edith. INTRODUCCIÓN INTRODUCCIÓN Ls events mundiales recientes han generad un mayr sentid de urgencia que antes cn respect a la necesidad de tener mayr seguridad - física y de tr tip. Las empresas pueden haber refrzad las

Más detalles

Tema 45 Grupos de trabajo. WorkFlow 30/05/2011

Tema 45 Grupos de trabajo. WorkFlow 30/05/2011 Tema 45 Grups de trabaj. WrkFlw 30/05/2011 Tema 45. Herramientas de prductividad de grups de trabaj. Fluj de trabaj (WrkFlw), asciación de tareas, actres y events. Flujs reglads. Índice 1 Intrducción...

Más detalles

Procedimiento P7-SIS Revisión 2 24-04-13

Procedimiento P7-SIS Revisión 2 24-04-13 Prcedimient P7-SIS Revisión 2 24-04-13 Gestión y mantenimient de Sistemas Objet Describir cóm se gestina y administra tda la infraestructura de sistemas infrmátics del Institut así cm las actividades de

Más detalles

Cloud Computing: Relevamiento y clasificación de Servicios de Bases de Datos

Cloud Computing: Relevamiento y clasificación de Servicios de Bases de Datos Clud Cmputing: Relevamient y clasificación de Servicis de Bases de Dats PAPI 2009 Fabrici Alvarez, Raul Ruggia InC Fing - UDELAR Clud Cmputing Qué es? Un tip de servici de TI de cálcul y almacenamient

Más detalles

Estudio de Viabilidad del Sistema

Estudio de Viabilidad del Sistema Estudi de Viabilidad del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS...1 ACTIVIDAD EVS 1: ESTABLECIMIENTO DEL ALCANCE DEL SISTEMA...3 Tarea EVS 1.1: Estudi de la Slicitud...3 Tarea EVS 1.2: Identificación del

Más detalles

PROGRAMA FORMATIVO AvANZA

PROGRAMA FORMATIVO AvANZA Asesría y Organización de Frmación Cntinua Prgramación páginas web: servidr (PHP) Aplicacines Web Mdalidad: e-learning Duración: 56 Hras Códig: CAT00140 Objetiv Curs de desarrll de aplicacines web. Para

Más detalles

Programa de Formación y Preparación a la certificación internacional PMP del PMI.

Programa de Formación y Preparación a la certificación internacional PMP del PMI. Prgrama de Frmación y Preparación a la certificación internacinal PMP del PMI. El principal bjetiv de este prgrama de frmación es que el participante adquiera ls cncimients y habilidades necesarias para

Más detalles

CATÁLOGO DE SERVICIOS Parque Científico y Tecnológico de Gijón C/ Jimena Fernández de la Vega, nº 140 Edificio Asturias - Oficina Nº 0E

CATÁLOGO DE SERVICIOS Parque Científico y Tecnológico de Gijón C/ Jimena Fernández de la Vega, nº 140 Edificio Asturias - Oficina Nº 0E Cnsultría, Auditría y Frmación CATÁLOGO DE S Parque Científic y Tecnlógic de Gijón C/ Jimena Fernández de la Vega, nº 140 Edifici Asturias - Oficina Nº 0E Teléfn: 902 024 736 http://www.sigea.es inf@sigea.es

Más detalles

I D E N T I F I C A N D O O P O R T U N I D A D E S D E M E J O R A S

I D E N T I F I C A N D O O P O R T U N I D A D E S D E M E J O R A S I D E N T I F I C A N D O O P O R T U N I D A D E S D E M E J O R A S Y A H O R R O S D E R E C U R S O S D E L A C A R G A B A T C H D E Z / OS Bletín Ener 201 1 Vlumen 1, Nº 1 Intrducción Las rganizacines

Más detalles

ANEXO 3: ESTRATIFICACIÓN DE ENTIDADES

ANEXO 3: ESTRATIFICACIÓN DE ENTIDADES ANEXO 3: ESTRATIFICACIÓN DE ENTIDADES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Crdinación de Investigación, Plíticas y Evaluación Prgrama Agenda de Cnectividad Estrategia de Gbiern en línea República de Clmbia

Más detalles

Situación actual. Pliego de prescripciones técnicas. Pertsonal Saila. Gaia: Arrasaterako Informazio Sistema Geografikoa - GIS Hasiera data: 2009/09/15

Situación actual. Pliego de prescripciones técnicas. Pertsonal Saila. Gaia: Arrasaterako Informazio Sistema Geografikoa - GIS Hasiera data: 2009/09/15 Pertsnal Saila Titularra: INFORMATIKA Plieg de prescripcines técnicas PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA Diseñ, Creación e Implementación de la Base de Dats Cartgráfica del Ayuntamient de Arrasate-

Más detalles

Contenido. Lineamientos para la gestión de proyectos Versión: 0. 1/oct/2012 Pág. 7

Contenido. Lineamientos para la gestión de proyectos Versión: 0. 1/oct/2012 Pág. 7 Cntenid Intrducción... 2 1. Objetivs... 2 2. Audiencia... 2 3. Lineamients Generales para la creación y administración de crngramas... 3 3.1 Alcance del crngrama... 3 3.3 Marc cnceptual de ls y de ls crngramas...

Más detalles

GUIA DE MODELOS INTERNOS. M ª Te r e s a S u á r e z C u e n d i a s

GUIA DE MODELOS INTERNOS. M ª Te r e s a S u á r e z C u e n d i a s GUIA DE MODELOS INTERNOS M ª Te r e s a S u á r e z C u e n d i a s MADRID, 22 OCTOBER 2013 GUÍA DE MODELO INTERNO La guía de mdels interns se aplica a: Prces de pre aplicación para el us de mdel intern

Más detalles

Estudio ICANN sobre la prevalencia de los nombres de dominio registrados con un servicio proxy o de privacidad entre los 5 gtlds más destacados

Estudio ICANN sobre la prevalencia de los nombres de dominio registrados con un servicio proxy o de privacidad entre los 5 gtlds más destacados Estudi ICANN sbre la prevalencia de ls nmbres de dmini registrads cn un servici prxy de privacidad entre ls 5 gtlds más destacads RESUMEN EJECUTIVO: Ls titulares de nmbres registrads tienen la psibilidad

Más detalles

FACe - Punto General de Entrada de Facturas Electrónicas de la AGE

FACe - Punto General de Entrada de Facturas Electrónicas de la AGE FACe - Punt General de Entrada de Facturas Electrónicas de la AGE ANTECEDENTES/PROBLEMÁTICA Las Administracines Públicas (AA.PP.) han perad durante tda su existencia cn facturación en papel, sn escass

Más detalles

También. os. de formación. tendencias. Explica cómo se y la función de. Pág.1

También. os. de formación. tendencias. Explica cómo se y la función de. Pág.1 E-learning Técnic de frmación 110 HORAS ON-LINE CONTENIDOS Fundaments de la frmación a distancia Bases cnceptuales. Características de la frmación a distancia Se realiza una aprximación histórica al fenómen

Más detalles

Propuesta de Comunicación para Tecnimap 2010.

Propuesta de Comunicación para Tecnimap 2010. Prpuesta de Cmunicación para Tecnimap 2010. dkusi: Dkumentu KUdeaketa Sistema Integrala. Sistema Integral de Gestión Dcumental. dkusi es un sistema de gestión de dcuments electrónics y sus metadats, guardads

Más detalles

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE UN SERVICIO PARA EL DESARROLLO DE NUEVAS FUNCIONALIDADES EN LOS SISTEMAS DE INFORMACIÓN DE

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE UN SERVICIO PARA EL DESARROLLO DE NUEVAS FUNCIONALIDADES EN LOS SISTEMAS DE INFORMACIÓN DE PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE UN SERVICIO PARA EL DESARROLLO DE NUEVAS FUNCIONALIDADES EN LOS SISTEMAS DE INFORMACIÓN DE APOYO A LA GESTIÓN ADMINISTRATIVA, ASESORÍA JURÍDICA,

Más detalles

(EXPEDIENTE Nº 9/2012) CAPÍTULO I. GENERAL OBJETO DEL PROCEDIMIENTO DE CONTRATACIÓN

(EXPEDIENTE Nº 9/2012) CAPÍTULO I. GENERAL OBJETO DEL PROCEDIMIENTO DE CONTRATACIÓN PLIEGO DE PRESCRIPCIONES TÉCNICAS DEL PROCEDIMIENTO PARA LA CONTRATACIÓN DEL SERVICIO DE IMPLANTACIÓN DE UN GESTOR DE NOTIFICACIONES ELECTRONICAS CON APODERAMIENTO EN 20 ASESORIAS DE EMPRESAS (EXPEDIENTE

Más detalles

SISTEMAS OPERATIVOS. Pág. 1

SISTEMAS OPERATIVOS. Pág. 1 Un Sistema perativ es un sftware que actúa de interfaz entre ls dispsitivs de Hardware y las aplicacines (prgramas) utilizads pr el usuari para manejar un equip infrmátic. Es el respnsable de gestinar

Más detalles

SIMASC. Documento de Especificaciones de Arquitectura: Versión 1.1

SIMASC. Documento de Especificaciones de Arquitectura: Versión 1.1 SIMASC Dcument de Especificacines de Arquitectura: Versión 1.1 Revisión Fecha Versión Descripción Autr 21 de Juli de 2015 1.0 21 de Juli de 2015 1.1 Dcumentación prpuesta arquitectura SIMASC Cambis de

Más detalles

EXCMO. AYUNTAMIENTO De BAEZA (Jaén) Dpto. Informática

EXCMO. AYUNTAMIENTO De BAEZA (Jaén) Dpto. Informática PLIEGO DE PRESCRIPCIONES TECNICAS PARA LA ADJUDICACIÓN DEL CONTRATO DE SERVICIOS DE UN SOFTWARE INTEGRAL DE GESTION MUNICIPAL, POR PROCEDIMIENTO ABIERTO. INDICE 1. INTRODUCCIÓN....2 2. ÁMBITO....2 3. OBJETO

Más detalles

Contrato con Emprendedor con la Red de Business Angels de Cádiz INTERVIENEN

Contrato con Emprendedor con la Red de Business Angels de Cádiz INTERVIENEN Cntrat cn Emprendedr cn la Red de Business Angels de Cádiz INTERVIENEN De tra,, mayr de edad, cn DNI númer, en calidad de de la Fundación Bahía de Cádiz para el Desarrll Ecnómic (CEEI Bahía de Cádiz),

Más detalles

PROYECTO WEB SVN. Este enfoque de Utilidad y Competitividad nos obliga a diseñar e implementar acciones dirigidas a:

PROYECTO WEB SVN. Este enfoque de Utilidad y Competitividad nos obliga a diseñar e implementar acciones dirigidas a: INDICE PROYECTO WEB SVN INTRODUCCIÓN 1 MISIÓN U OBJETIVO GENERAL DE LA WEB-SVN 2 VISIÓN DE LA WEB-SVN 2 LÍNEAS ESTRATÉGICAS DE LA WEB-SVN 2 FUNCIONAMIENTO DE LA WEB-SVN 3 ORGANIZACIÓN DE LA INFORMACIÓN

Más detalles

CPR010. SISTEMA DE GESTIÓN DE CALIDAD ISO 9001:2000

CPR010. SISTEMA DE GESTIÓN DE CALIDAD ISO 9001:2000 CPR010. SISTEMA DE GESTIÓN DE CALIDAD ISO 9001:2000 DESTINATARIOS El Curs está dirigid a tdas aquellas persnas que desean adquirir ls cncimients necesaris para la implantación del Sistema de Calidad ISO

Más detalles

Reunión temática I+D+i y TIC PO 2014-2020

Reunión temática I+D+i y TIC PO 2014-2020 Reunión temática I+D+i y TIC PO 2014-2020 Madrid, 15 de Marz de 2013 Cntenid La Agenda Digital para España Medidas para prmver la innvación en el sectr TIC Plan de desarrll e innvación del Sectr TIC Acción

Más detalles

CALIDAD Y NORMAS ISO

CALIDAD Y NORMAS ISO CALIDAD Y NORMAS ISO Deust Frmación es una iniciativa de Grup Planeta para desarrllar un nuev cncept: curss de frmación cntinua especializads, cn servici de cnsulta n-line. El bjetiv de Deust Frmación

Más detalles

Cambios entre las Normas ISO 9001:2000 e ISO 9001:2008

Cambios entre las Normas ISO 9001:2000 e ISO 9001:2008 Cambis entre las Nrmas e ISO 9001:2008 La siguiente tabla muestra de frma específica ls cambis aprbads en la nrma ISO FDIS 9001:2008. La clumna 3 indica cn una A si el text fue adicinad una S si el text

Más detalles

Pack Comercio Electrónico

Pack Comercio Electrónico Pack Cmerci Electrónic Prgramación Páginas Web cn PHP + Marketing 75 + 45 HORAS ON-LINE CONTENIDOS: Prgramación Páginas Web cn PHP Prgramación cliente Prgramación de páginas web Presenta la necesidad de

Más detalles

PROCESA. Sistema Inteligente para el Diseño de Modelos de Procesos sobre Arquitecturas Orientadas a Servicios

PROCESA. Sistema Inteligente para el Diseño de Modelos de Procesos sobre Arquitecturas Orientadas a Servicios PROCESA Sistema Inteligente para el Diseñ de Mdels de Prcess sbre Arquitecturas Orientadas a Servicis Pryect subvencinad pr Prgrama de Fment de la Investigación Técnica Pryects Tractres del Plan Nacinal

Más detalles

Calidad de modelos BIM (Building Information Modeling) aplicados al Patrimonio. Universidades de Granada, Jaén y Sevilla

Calidad de modelos BIM (Building Information Modeling) aplicados al Patrimonio. Universidades de Granada, Jaén y Sevilla Calidad de mdels BIM (Building Infrmatin Mdeling) aplicads al Patrimni Universidades de Granada, Jaén y Sevilla 1 2 Calidad de mdels BIM (Building Infrmatin Mdeling) aplicads al Patrimni 3 Agencia de Obra

Más detalles

Normativa de utilización de herramientas. corporativas en las Infraestructuras de Sistemas. de Información del Gobierno de Canarias

Normativa de utilización de herramientas. corporativas en las Infraestructuras de Sistemas. de Información del Gobierno de Canarias Página 1 de 8 Nrmativa de utilización de herramientas crprativas en las Infraestructuras de Sistemas de Infrmación del Gbiern de Canarias Este dcument es cnfidencial y prpiedad de la Dirección General

Más detalles

Además de estas actividades principales, se identifican como necesarias las siguientes:

Además de estas actividades principales, se identifican como necesarias las siguientes: Anex Técnic Expediente 2014-00306 CONTRATACION DE SERVICIOS DE APOYO TÉCNICO EN EL DESARROLLO SOBRE MS-SHAREPOINT DE LA PLATAFORMA PARA PLANEAMIENTO DE CAPACIDADES Descripción de las especificacines técnicas

Más detalles

Instrucción de trabajo I7-CYA Revisión 1 01-Feb-10

Instrucción de trabajo I7-CYA Revisión 1 01-Feb-10 Instrucción de trabaj I7-CYA Revisión 1 01-Feb-10 Creación y Activación de usuaris y recurss Objet Describir cm se realiza la creación de nuevs usuaris y recurss de us cmún del Institut, así cm el prces

Más detalles

Unidad 2 Empresa Empresario

Unidad 2 Empresa Empresario Unidad 2 Empresa Empresari 2.1 Empresa - Organización cm institución. Empresa- Organización: Cncept. Diferencias Una institución es un sistema de nrmas, reglas de cnducta cn la finalidad de satisfacer

Más detalles

Gestión del cambio. Requisitos y estrategias de incorporación de las TIC

Gestión del cambio. Requisitos y estrategias de incorporación de las TIC PRESENTACIÓN Cm ya hems id viend, las TIC abren psibilidades y camins para un Centr un cnjunt de Centrs que de tra manera serian abslutamente inaccesibles. Una de estas psibilidades tiene que ver cn la

Más detalles

TdR PROGRAMA DE EMPRENDIMIENTO SOCIAL PARA ENTIDADES. Proceso de Licitación

TdR PROGRAMA DE EMPRENDIMIENTO SOCIAL PARA ENTIDADES. Proceso de Licitación ACCIÓN CONTRA EL HAMBRE. VIVES PROYECTO TdR PROGRAMA DE EMPRENDIMIENTO SOCIAL PARA ENTIDADES ANDALUCÍA Prces de Licitación ÍNDICE 1 A. INTRODUCCIÓN... 2 B. OBJETIVO DEL PROGRAMA DE EMPRENDIMIENTO SOCIAL....

Más detalles

TEMARIO 5 Proceso contable. Sesión 5. Sistematización de la Contabilidad

TEMARIO 5 Proceso contable. Sesión 5. Sistematización de la Contabilidad TEMARIO 5 Prces cntable Sesión 5. Sistematización de la Cntabilidad 5. Sistematización de la Cntabilidad. INTRODUCCION: El papel de la cntabilidad en la ecnmía mderna es la presentación de estads financiers

Más detalles

Experiential MBA OnLine Supply Chain Reaction (Módulo Gestión Cadena de Suministro) Supply Chain Reaction Experiential MBA OnLine.

Experiential MBA OnLine Supply Chain Reaction (Módulo Gestión Cadena de Suministro) Supply Chain Reaction Experiential MBA OnLine. Experiential MBA OnLine Supply Chain Reactin (Módul Gestión Cadena de Suministr) Supply Chain Reactin Experiential MBA OnLine Página: 1/6 Experiential MBA OnLine Supply Chain Reactin (Módul Gestión Cadena

Más detalles

PROCEDIMIENTO INFORMATIVO SOBRE EL PROCESO DE TRANSICIÓN DE LA NORMA ISO 9001:2000 A LA NORMA ISO 9001:2008. Ver. 1 FEB. 2009 Página 1 de 14 INDICE

PROCEDIMIENTO INFORMATIVO SOBRE EL PROCESO DE TRANSICIÓN DE LA NORMA ISO 9001:2000 A LA NORMA ISO 9001:2008. Ver. 1 FEB. 2009 Página 1 de 14 INDICE Página 1 de 14 INDICE 1. OBJETO 2. ALCANCE 3. CAMBIOS DE LA 4. CALENDARIO DE ADAPTACION 5. ACLARACIONES Página 2 de 14 1. OBJETO Infrmar a ls clientes de EQA certificads pr la nrma ISO 9001:2000 de ls

Más detalles

INDICE. Servicios Informáticos. Guía de usuario del Programa MSDNAA Página 1 de 15

INDICE. Servicios Informáticos. Guía de usuario del Programa MSDNAA Página 1 de 15 Página 1 de 15 INDICE 1. Intrducción...2 2. Cndicines de acces al servici y sprte...3 2.1. Cndicines de acces al servici...3 2.2. Sprte pr parte de ls SSII...4 3. Acces al centr de Sftware MSDN Academic

Más detalles

MBA On Line Investment Readiness (Módulo Inversión y Business Plan) Investment Readiness MBA On Line. Página: 1/6

MBA On Line Investment Readiness (Módulo Inversión y Business Plan) Investment Readiness MBA On Line. Página: 1/6 (Módul Inversión y Business Plan) Investment Readiness MBA On Line Página: 1/6 (Módul Inversión y Business Plan) Investment Readiness Inversión y Business Plan Desarrll de un plan de negcis para una cmpañía

Más detalles

CONDICIONES ESPECIALES PARA LOS MIEMBROS ASOCIADOS A SEDIC

CONDICIONES ESPECIALES PARA LOS MIEMBROS ASOCIADOS A SEDIC CONDICIONES ESPECIALES PARA LOS MIEMBROS ASOCIADOS A SEDIC Net-Translatins - www.net-translatins.cm - Avda. Diagnal 505 2º 1º 08036 Barcelna - España - Tel (+34) 902 15 14 80 Fax (+34) 93 363 59 71 1.-

Más detalles

Muchas compañías, gobiernos y organizaciones usan variaciones de la metodología Stage-Gate para manejar proyectos largos y complejos.

Muchas compañías, gobiernos y organizaciones usan variaciones de la metodología Stage-Gate para manejar proyectos largos y complejos. CAPITULO I MARCO DE REFERENCIA Selección del Pryect Muchas cmpañías, gbierns y rganizacines usan variacines de la metdlgía Stage-Gate para manejar pryects largs y cmplejs. Algunas características de Stage-Gate

Más detalles

JSC INGENIUM DESARROLLA PARA LOGISTA UNA PLATAFORMA DE RECARGAS MULTISERVICIO Y MULTIOPERADOR

JSC INGENIUM DESARROLLA PARA LOGISTA UNA PLATAFORMA DE RECARGAS MULTISERVICIO Y MULTIOPERADOR Cas de éxit Ret JSC INGENIUM DESARROLLA PARA LOGISTA UNA PLATAFORMA DE RECARGAS MULTISERVICIO Y MULTIOPERADOR Lgista, Operadr lgístic integral líder en España y Prtugal, y un de ls principales en el sur

Más detalles

Cursos Oficiales de ITIL

Cursos Oficiales de ITIL Curss Oficiales de ITIL Intrducción La Bibliteca de Infraestructura de Tecnlgía de Infrmación ITIL (Infrmatin Technlgy Infrastructure Library) es un cnjunt de buenas prácticas recncidas mundialmente para

Más detalles

BASES REGULADORAS PARA PROYECTO CROWDFUNDING MALAGA

BASES REGULADORAS PARA PROYECTO CROWDFUNDING MALAGA BASES REGULADORAS PARA PROYECTO CROWDFUNDING MALAGA 1. ANTECENTES La ciudad de Málaga destaca pr su carácter emprendedr e innvadr. Sn múltiples ls pryects tecnlógics que se desarrllan en esta capital.

Más detalles

Bacchuss WIPS Introducción a los firewalls de aplicaciones Web...

Bacchuss WIPS Introducción a los firewalls de aplicaciones Web... Bacchuss WIPS Intrducción a ls firewalls de aplicacines Web... 1. Intrducción Un firewall de aplicacines Web (WAF) es un dispsitiv que implementa una serie de plíticas de seguridad pr medi de diferentes

Más detalles

PROGRAMA: Propuesta de contenidos, desarrollo de los trabajos. INTRODUCCIÓN Y CONSULTORÍA INICIAL. ÁREA DIRECCIÓN DE PROYECTOS

PROGRAMA: Propuesta de contenidos, desarrollo de los trabajos. INTRODUCCIÓN Y CONSULTORÍA INICIAL. ÁREA DIRECCIÓN DE PROYECTOS PROGRAMA: Prpuesta de cntenids, desarrll de ls trabajs. Semana 1: INTRODUCCIÓN Y CONSULTORÍA INICIAL. ÁREA DIRECCIÓN DE PROYECTOS Aprtación de metdlgías para el análisis del entrn del pryect prpuest en

Más detalles

Normativa de utilización de herramientas. corporativas en las Infraestructuras de Sistemas. de Información del Gobierno de Canarias

Normativa de utilización de herramientas. corporativas en las Infraestructuras de Sistemas. de Información del Gobierno de Canarias Página 1 de 8 Nrmativa de utilización de herramientas crprativas en las Infraestructuras de Sistemas de Infrmación del Gbiern de Canarias Este dcument es prpiedad de la Dirección General de Telecmunicacines

Más detalles

Administración Local Soluciones

Administración Local Soluciones SISTEMA INTEGRADO DE GESTIÓN DE EXPEDIENTES MODULAR (SIGM) MANUAL DE CONFIGURACIÓN DEL PAGO TELEMÁTICO SIGM v3 Administración Lcal Slucines Cntrl de versines Versión Fecha edición Cambi prducid Autr 01

Más detalles

PROJECT CONTROLS. Proyecto Técnico

PROJECT CONTROLS. Proyecto Técnico PROJECT CONTROLS Pryect Técnic Pedr Ascz Agustín Germán E. López Sánchez Francesc Penalba García Marc Prósper i Serra 25/05/2009 may-09 Prject Cntrls Tabla de cntenids 1 DOCUMENTO IDENTIFICACIÓN...1 2

Más detalles

Orientación familiar: fundamentos, principios, funciones y perfil profesional

Orientación familiar: fundamentos, principios, funciones y perfil profesional TEMA 2 Orientación familiar: fundaments, principis, funcines y perfil prfesinal O.F. Educativa = Ed. para la vida familiar, es un prces sistemátic de ayuda cuy fin últim es facilitar la dinámica familiar

Más detalles

MediArt. Arte en Medios Virtuales Fuente del Amor #104 Fracc. Las Fuentes Tel. 185.31.71 www.mediart.com.mx

MediArt. Arte en Medios Virtuales Fuente del Amor #104 Fracc. Las Fuentes Tel. 185.31.71 www.mediart.com.mx MediArt. Arte en Medis Virtuales Fuente del Amr #104 Fracc. Las Fuentes Tel. 185.31.71 www.mediart.cm.mx Cristabel Armstrng Arámbur Directra General E-mail: crisaa@mediart.cm.mx Índice Índice Presentación...

Más detalles

Modelo de prácticas pre profesionales

Modelo de prácticas pre profesionales Mdel de prácticas pre prfesinales Intrducción La práctica pre prfesinal es el prces de frmación teóric-práctic rientad al desarrll de habilidades, desempeñs y cmpetencias de ls futurs prfesinales; a más

Más detalles

FIRST EDITION. Organizado por:

FIRST EDITION. Organizado por: Organizad pr: FIRST EDITION smart adj (clever, intelligent: persn) (clever, intelligent: actin) inteligente, list,hábil She is a smart girl. Es una chica inteligente. BUSCAMOS GENTE SMART PARA DISEÑAR

Más detalles

Elaboró Revisó Aprobó Fecha de aplicación Gerardo Sanchez Nava Antonio Sanchez

Elaboró Revisó Aprobó Fecha de aplicación Gerardo Sanchez Nava Antonio Sanchez EDICION : 3 PAG: 1 DE 6 SITIO : CORPORATIVO 1.- OBJETIVO: Determinar el Prces para realizar el desarrll de, enfcadas a la creación, mdificación y/ mantenimient de prducts. 2.- ALCANCE: Cmité de nuevs prducts,

Más detalles

Pliego de Bases Técnicas

Pliego de Bases Técnicas Plieg de Bases Técnicas Oficina de arquitectura y gestión de pryects de Infraestructuras para el Plan de Sistemas del Departament de Educación Fecha: Nviembre 2010 Referencia: 086/2010 EJIE S.A. Mediterráne,

Más detalles

1 Burgos Provincia digital: Sistema de gestión de expedientes

1 Burgos Provincia digital: Sistema de gestión de expedientes 1 Burgs Prvincia digital: Sistema de gestión de expedientes La reciente aprbación de la Ley 11/2007, de Acces Electrónic de ls Ciudadans a ls Servicis Públics (LAECSP 1 ), prprcina un nuev y definitiv

Más detalles

Presentación. Objetivos

Presentación. Objetivos Gestión del Grup Human Presentación En cargs de gerencia, las habilidades cmerciales siguen siend necesarias, per ya n sn suficientes. Si se trata de crear un ambiente capacitadr (que mtive), en el que

Más detalles

Metodología de trabajo para la creación de un sitio web. Servicio de Comunicación Digital

Metodología de trabajo para la creación de un sitio web. Servicio de Comunicación Digital Metdlgía de trabaj para la creación de un siti web Servici de Cmunicación Digital Fecha de última actualización: 31 de may de 2013 1 El bjetiv de este dcument es describir tds ls aspects relacinads cn

Más detalles

Curso de Educación Continua (CEC) GESTIÓN MODERNA DE ALMACENES. Del 23 de febrero al 25 de marzo de 2015 Lunes y miércoles de 19.00 a 22.

Curso de Educación Continua (CEC) GESTIÓN MODERNA DE ALMACENES. Del 23 de febrero al 25 de marzo de 2015 Lunes y miércoles de 19.00 a 22. Centr Integral de Educación Cntinua (CIEC) Curs de Educación Cntinua (CEC) GESTIÓN MODERNA DE ALMACENES Del 23 de febrer al 25 de marz de 2015 Lunes y miércles de 19.00 a 22.00 hras DURACIÓN 21 hras lectivas

Más detalles

NUEVOS RETOS EN LA INTERNACIONALIZACIÓN DE LAS UNIVERSIDADES

NUEVOS RETOS EN LA INTERNACIONALIZACIÓN DE LAS UNIVERSIDADES NUEVOS RETOS EN LA INTERNACIONALIZACIÓN DE LAS UNIVERSIDADES INTERNACIONALIZACIÓN DE LAS UNIVERSIDADES DE MADRID 13 DE MARZO DE 2014 Es la mvilidad una meta cnseguida? Cuáles serían las priridades de mvilidad

Más detalles

INDICE. Servicios Informáticos. Guía de usuario del Programa MSDNAA Página 1 de 14

INDICE. Servicios Informáticos. Guía de usuario del Programa MSDNAA Página 1 de 14 Página 1 de 14 INDICE 1. Intrducción...2 2. Cndicines de acces al servici...3 3. Acces al centr de Sftware MSDN Academic Alliance...4 4. El Centr de Sftware. Intrducción y seccines...5 4.1. Cerrar Sesión...6

Más detalles

PROCESO DE ATENCION AL CLIENTE DEL GRUPO HISPASAT

PROCESO DE ATENCION AL CLIENTE DEL GRUPO HISPASAT PROCESO DE ATENCION AL CLIENTE DEL GRUPO HISPASAT GRUPO HISPASAT May 2014 PRIVADO PRIVADO Y CONFIDENCIAL Y Dcument Dcument prpiedad prpiedad de HISPASAT,S.A. de 1 Prces de atención al cliente Índice Plan

Más detalles

Retos en el Diseño de Programas de Educación Financiera: Recomendaciones y Lecciones Aprendidas

Retos en el Diseño de Programas de Educación Financiera: Recomendaciones y Lecciones Aprendidas Rets en el Diseñ de Prgramas de Educación Financiera: Recmendacines y Leccines Aprendidas IFC Servicis de Asesría en América Latina y el Caribe (LAC) May, 2011 Educación financiera desde la óptica de IFC

Más detalles

Gestión de la prevención de riesgos laborales en la pequeña y mediana empresa

Gestión de la prevención de riesgos laborales en la pequeña y mediana empresa Gestión de la prevención de riesgs labrales en la pequeña y mediana empresa 3. Plan de prevención de riesgs labrales. Evaluación de riesgs Tras su revisión, el apartad 1 del artícul 16 de la Ley de Prevención

Más detalles

\AUDITORIA DE BASE DE DATOS

\AUDITORIA DE BASE DE DATOS \AUDITORIA DE BASE DE DATOS INDICE 01. Intrducción 02. Metdlgías para la auditría de bases de dats. 03. Estudi previ y plan de trabaj. 04. Cncepción de la base de dats y selección del equip. 05. Diseñ

Más detalles

Pro 5.2 Nota de actualización

Pro 5.2 Nota de actualización Pr 5.2 Nta de actualización Página 1 de 14 ÍNDICE 1. NOVEDADES DE ADBACKUP PRO 5.2...3 1.1 BACKUP LOCAL...3 1.2 ANÁLISIS DE LA SELECCIÓN...5 1.3 VISTA DE LOS ARCHIVOS DEL BACKUP...6 1.4 CLONACIÓN DE UNA

Más detalles

Existirán dos lotes bien diferenciados, uno para labores de Edición web y otro para labores de Desarrollo web.

Existirán dos lotes bien diferenciados, uno para labores de Edición web y otro para labores de Desarrollo web. 1. Intrducción. 1. Objet del cntrat. El bjet del siguiente cntrat cnsiste en la hmlgación de empresas destinadas a prprcinar servicis de asistencia técnica adicinal para la creación, migración y mantenimient

Más detalles