UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA

Transcripción

1 UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA CARRERA DE INGENIERÍA INFORMÁTICA ANÁLISIS Y DISEÑO DE CLOUD COMPUTING PROPIETARIO PARA APLICACIONES DE E-LEARNING BAJO ESTÁNDARES ISO Y TRABAJO DE GRADUACIÓN PREVIO LA OBTENCIÓN DEL TÍTULO DE INGENIERO INFORMÁTICO AUTOR: MARÍA FERNANDA HERRERA TORRES TUTOR: INGENIERO ROBERT ARTURO ENRÍQUEZ REYES QUITO ECUADOR 2015

2 DEDICATORIA A mis padres Jorge e Isabel que con su paciencia y educación han sabido guiarme e incentivarme para no dejarme vencer por las adversidades. ii

3 AGRADECIMIENTOS Al Ing. Robert Enríquez, Lic. Gabriela Mafla e Ing. Yasmina Atarihuana por su paciencia, tiempo y apertura para el desarrollo de este trabajo. A mi gran amiga Susana Díaz por estar conmigo en los momentos más difíciles y brindarme sus consejos y apoyo. A mi hermano Jorge, mi cuñada Diana y mi hermosa sobrina Vianca Isabella, por brindarme cariño y comprensión. Al Ingeniero Naval Rafael Espinosa Semper, quien me brindó su confianza, apoyo y conocimientos para dar los primeros pasos en los objetivos para la elaboración de mi proyecto de ingeniería. iii

4 AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL iv

5 v

6 vi

7 APROBACIÓN DE REVISORES vii

8 viii

9 CONTENIDO DEDICATORIA... ii AGRADECIMIENTOS... iii AUTORIZACIÓN DE LA AUTORÍA INTELECTUAL... iv APROBACIÓN DE REVISORES... vii RESULTADO DEL TRABAJO DE GRADUACIÓN... Error! Marcador no definido. CONTENIDO... ix LISTA DE GRÁFICOS... xii LISTA DE TABLAS... xiii RESUMEN... xiv ABSTRACT... xv CAPÍTULO I Introducción Planteamiento del Problema Formulación del Problema Objetivos Objetivo General Objetivos Específicos Justificación Alcance... 3 CAPÍTULO II Marco Teórico Cloud Computing Características de Cloud Computing Arquitectura Cloud Computing Modelos de Despliegue Modelos de Servicio Virtualización Herramienta de Gestión ITIL (Information Technology Infraestructure Library) Gestión de la Capacidad Gestión de la Disponibilidad Gestión de la Seguridad Gestión de Incidentes...19 ix

10 2.5.5 Gestión de Problemas Gestión de Nivel de Servicio...23 CAPÍTULO III Introducción a la Seguridad de la Información Administración de la información de acuerdo al modelo de servicio de Cloud Computing Administración de accesos con SaaS Protección de datos con PaaS Administración de máquinas virtuales mediante IaaS Gestión de Riesgos Elementos de Información Amenazas y Vulnerabilidades Análisis de Riesgos Matriz de Riesgos Matriz Datos e Información Matriz Sistemas e Infraestructura Matriz Personal Acuerdos de Nivel de Servicio Política de Seguridad Seguridad en Áreas Críticas de Cloud Computing, Manejo de Datos y Gestión de la Información...65 CAPÍTULO IV PLANIFICACIÓN DEL SISTEMA DE INFORMACIÓN ESTUDIO DE VIABILIDAD DEL SISTEMA ANÁLISIS DEL SISTEMA DE INFORMACIÓN Infraestructura de Cloud Requerimientos de Hardware Redes Software para Cloud Software propietario vs Software libre Herramientas de software libre para implementar la plataforma de Cloud Computing Herramientas de software propietario para implementar la plataforma de Cloud Computing Herramientas de Virtualización DISEÑO DEL SISTEMA DE INFORMACIÓN Plataforma para el Modelo de Servicio Cloud Computing...89 x

11 Arquitectura OpenStack Plataforma de Cloud Computing con OpenStack Configuración Básica de la Red Guía para la Implementación de la Plataforma de Cloud Computing...96 CAPITULO V Presupuesto Análisis de Costos de E-learning con Software Propietario Análisis de Costos de E-learning con Software Libre Conclusiones Recomendaciones Bibliografía Anexos xi

12 LISTA DE GRÁFICOS Gráfica 1 Representación visual de la definición de la NIST del Cloud Computing... 5 Gráfica 2 Modelos de Servicio Cloud Computing... 7 Gráfica 3 Modelos definidos por funcionalidad... 9 Gráfica 4 Responsabilidades de la Gestión de la Capacidad Gráfica 5 Indicadores clave en los que se sustenta el proceso de Gestión de la Disponibilidad Gráfica 6 Fases del ciclo de vida de la interrupción del servicio Gráfica 7 Objetivos de la Gestión de la Seguridad Gráfica 8 Proceso de Gestión de Incidentes Gráfica 9 Conceptos involucrados en la Gestión de Problemas Gráfica 10 Gestión de los Niveles de Servicio Gráfica 11 Matriz de Análisis de Riesgos Gráfica 12 Arquitectura Eucalyptus Gráfica 13 Arquitectura OpenNebula Gráfica 14 Arquitectura OpenStack Gráfica 15 Ubicación de los Componentes OpenStack en los Nodos Gráfica 16 Infraestructura Cloud Computing y direcciones IP en la Red xii

13 LISTA DE TABLAS Tabla 1 Análisis Matriz Datos e Información Tabla 2 Análisis Matriz Sistemas e Infraestructura Tabla 3 Análisis Matriz Personal Tabla 4 Ciclo de Vida de los Datos Tabla 5 Requerimientos Nodo Controlador Tabla 6 Requerimientos Nodo Computador Tabla 7 Requerimientos Nodo Almacenamiento Tabla 8 Direcciones IP de la Red Tabla 9 Presupuesto para Infraestructura Tabla 10 Costos Centro de Datos Tabla 11 Costos de Seguridad para Cloud Tabla 12 Costos Software Propietario Tabla 13 Costos Software Libre Tabla 14 Ingresos de la Empresa Tabla 15 Egresos de la Empresa Tabla 16 Ingresos por Servicios E-learning y Consultorías Tabla 17 Ingresos con Servicio E-learning (Software Propietario) Tabla 18 Egresos con Servicio E-learning (Software Propietario) Tabla 19 Ingresos con Servicio E-learning (Software Libre) Tabla 20 Egresos con Servicio E-learning (Software Libre) xiii

14 RESUMEN ANÁLISIS Y DISEÑO DE CLOUD COMPUTING PROPIETARIO PARA APLICACIONES E-LEARNING BAJO ESTÁNDARES ISO Y En la actualidad la adopción de nuevas tecnologías de información, tal como cloud computing para brindar servicios, está al alcance para pequeñas y medianas empresas. La adopción de una infraestructura propia que nos permita manejar y almacenar la información de la empresa a través de un análisis de riesgos para datos e información, sistemas e infraestructura y personal con el objetivo de establecer lineamientos que mitiguen las amenazas gracias a las normas ISO y 27002, hacen posible mantener la confidencialidad, disponibilidad e integridad de la información. Este modelo servirá para brindar un servicio e-learning 24/7 que satisfaga las necesidades económicas y tecnológicas de la empresa. DESCRIPTORES: COMPUTACIÓN EN LA NUBE/ TECNOLOGÍAS DE INFORMACIÓN/ MANEJO Y ALMACENAMIENTO DE LA INFORMACIÓN/ ANÁLISIS DE RIESGOS INFORMÁTICOS/ LINEAMIENTOS INFORMÁTICOS/ ISO Y 27002/ E-LEARNING xiv

15 ABSTRACT ANALYSIS AND DESIGN OF CLOUD COMPUTING OWNER FOR E- LEARNING APPLICATIONS UNDER STANDARDS ISO AND Today the adoption of new information technologies such as cloud computing to provide services is available to small and medium companies The adoption of an own infrastructure that allows us to manage and store company information through a risk analysis to data and information, system and infrastructure and staff in order to establish guidelines that mitigate threats with ISO and make it possible to keep the confidentiality, availability and integrity of information. This model will serve to provide e-learning service 24/7 to meet the economic and technological needs of the company. DESCRIPTORS: CLOUD COMPUTING/ TECHNOLOGIES OF INFORMATION/ HANDLING AND STORAGE INFORMATION/ IT RISK ANALYSIS/ COMPUTER GUIDELINES/ ISO AND 27002/ E-LEARNING xv

16 xvi

17 xvii

18 CAPÍTULO I 1.1 Introducción Las empresas en el mundo buscan ir a la par con las nuevas tecnologías de la información; una de ellas es la cloud computing o computación en la nube, como un medio para almacenar información sin depender de la capacidad para almacenarla y que esté disponible en tiempo real en cualquier lugar del mundo a través del internet. El manejo de la información debe ser compatible tanto en hardware como software y preparada para formar negocios, contando con una estructura básica, estableciendo lineamientos y estrategias que eviten amenazas de seguridad y que reaccionen ante incidentes con el fin de garantizar la confidencialidad, integridad y disponibilidad de datos. Para esto se cuenta con normas establecidas que garantizan el correcto manejo de los datos, estableciendo acuerdos de servicio con sus respectivas funcionalidades y dominios de control que cubren completamente la gestión de la seguridad de la información. El análisis y diseño de una cloud propietaria bajo estas normas orientadas a pequeñas y medianas empresas, constituye un nuevo modelo de servicios de negocio y tecnología, flexible ante demandas; además de proteger los activos de información minimizando riesgos y de esta forma contribuir a una mejor gestión de la organización. 1.2 Planteamiento del Problema Se busca realizar un análisis de un modelo de seguridad bajo normas y estándares internacionales para implementar una interesante tecnología emergente para la gestión de la información; creando una cultura de seguridad de la organización y salvaguardar los recursos informáticos. Es importante estudiar los requerimientos de la organización y determinar el propósito para el cual se va a implementar la cloud, estableciendo las utilidades de manera específica y brindar una herramienta confiable para la realización de sus operaciones. Además basándonos en acuerdos de servicio, adaptar los recursos de tecnologías de información y garantizar la prestación de servicios de manera fácil y rápida, dando soporte a cargas de trabajo dinámicas, consolidando una infraestructura física y tecnológica a bajo costo, que posteriormente va a ser utilizada para aplicaciones de e-learning. 1

19 1.3 Formulación del Problema Debido a las necesidades de almacenamiento, la gestión eficiente de procesos y transferencia de los datos; los proveedores de servicios de cloud utilizan el mismo hardware y software para la manipulación de la información, exponiendo en muchas ocasiones a la pérdida o piratería de la misma con constantes violaciones de seguridad. El manejo responsable de los datos y la alternativa que ofrecen las tecnologías de información para diseñar un modelo de cloud privado, bajo estándares y acuerdos de seguridad, cumplimiento y servicio, con la posibilidad de adaptar aplicaciones de e-learning; permitirá optimizar procesos y recursos para satisfacer las necesidades tecnológicas de la empresa FAMORSA S.A. 1.4 Objetivos Objetivo General Analizar, definir y generar políticas de seguridad para la implementación de una cloud propietaria escalable, estableciendo niveles de servicio SLA s, que permita satisfacer las necesidades económicas y tecnológicas de la empresa FAMORSA S.A Objetivos Específicos Definir políticas de seguridad para la información de una nube privada, preparada para crecer, de manera que pueda asumir altas demandas de servicio. Identificar las seguridades física y lógica, como, redes y recursos humanos. Diseñar una metodología que describa los procedimientos necesarios para implementar acuerdos de servicio aplicados a la computación en la nube. Definir recursos de hardware y software de acuerdo a las necesidades y estrategias de la empresa, optimizar procesos y preparar un entorno de e-learning flexible, cómoda y escalable. 1.5 Justificación La tecnología está evolucionando en varias ramas en una organización; por lo que, contar con un sistema de almacenamiento escalable (cloud), permite estandarizar los procesos operacionales y el acceso a la información se lo puede realizar desde cualquier lugar. 2

20 Los costos de tecnologías de información son más económicos, la velocidad de procesamiento de la información y la productividad aumentan, permitiendo el acceso a múltiples usuarios; de tal manera que, resulta atractivo que las empresas cuenten con un servicio propio que garantice que los datos almacenados sean exclusivamente de quien los emite y proteger de esta manera la información de posibles violaciones a derechos de autor y pérdida de la misma, bajo estándares que ayuden a optimizar los recursos orientándolos a un uso exclusivo. Mediante acuerdos de servicio, estándares de seguridad y manejo de la información que se implementarán en los requisitos de la computación en la nube, permitirá a la empresa FAMORSA S.A., satisfacer las necesidades económica y tecnológicas del negocio hacia la cloud computing y determinar las ventajas y desventajas de un sistema operativo específico y la oportunidad de obtener posteriormente este servicio para fines educativos, tal como e-learning, con acceso en cualquier sitio donde exista acceso a internet, creando un ambiente más seguro y confiable en la gestión de servicios para procesos de negocio. 1.6 Alcance Establecer un modelo de cloud computing utilizando estándares internacionales de seguridad y gestión de la información de la empresa FAMORSA S.A., contando con marcos de referencia ITIL para en lo posterior brindar un servicio e-learning 24/7 y satisfacer las necesidades de la organización. 3

21 CAPÍTULO II 2.1 Marco Teórico Las TIC s constituyen una infraestructura tecnológica como base para el emprendimiento y desarrollo de pequeñas y medianas empresas, para el soporte de datos y gestión de la información; estas tecnologías integran plataformas de computación, aplicaciones informáticas, servicios de gestión de almacenamiento de los datos, servicios online, entre otras. En la actualidad la empresa FAMORSA S.A. cuenta con una gama de servicios para la industria naval; tales como: consultoría en arquitectura e ingeniería naval, desarrollo de proyectos navales e inspecciones de obras navales. La posibilidad de adaptar un modelo de servicios dedicado a usuarios y clientes corporativos que garantice la agilidad, rapidez y simplificación de tiempo y espacio en el manejo de los datos satisfaciendo las necesidades económicas y tecnológicas de la empresa con el objetivo de llegar a ser la primera opción en consultoría, capacitación y desarrollo de negocios navales e industriales. Las tecnologías de la información son un conjunto de procesos de sistemas de información; la cual, mejora la eficiencia y la efectividad al tratamiento de la información que, a mediano o largo plazo crea organizaciones más eficaces. 2.2 Cloud Computing Durante la década de los 60 s las representaciones que se utilizaban para diseñar redes computacionales eran generalmente una nube; simulando que la información se trasladaba en diferentes direcciones y estaba disponible para la mayoría de las personas que tenía acceso a la red. Este concepto de alguna manera sirvió para tener ahora lo que se conoce como Cloud Computing o Computación en la Nube, que describe el uso de múltiples servicios, aplicaciones o información bajo una infraestructura dispuesta para recursos computacionales, redes o almacenamiento escalables incluyendo software y plataformas de desarrollo. Este concepto de tecnologías de información se ha adoptado de tal manera, que se distribuya la carga de trabajo de una forma sencilla, proporcionando a cada actividad (dependiendo de su uso) los recursos necesarios para su desarrollo. 4

22 Según la NIST 1, el cloud computing es un modelo tecnológico que permite el acceso ubicuo, adaptado y bajo demanda en red a un conjunto compartido de recursos de computación configurables compartidos (por ejemplo: redes, servidores, equipos de almacenamiento, aplicaciones y servicios), que pueden ser rápidamente aprovisionados y liberados con un esfuerzo de gestión reducido o interacción mínima con el proveedor de servicio. Hay que tener en cuenta que cloud computing no es una nueva tecnología; sino un nuevo modelo para prestación de servicios que está orientado a atender altas demandas de servicio de manera ágil, eficiente, en el tiempo; de forma que todo se perciba ágil, rápido, fácil, escalable. Gráfica 1 Representación visual de la definición de la NIST del Cloud Computing En la gráfica se muestran distintos modelos de despliegue, en la que se basa este proyecto es en el modelo de despliegue privado, cuyas capas a definir son infraestructura, plataforma y software con una gran capa de virtualización y protocolos de comunicación Características de Cloud Computing El cloud computing tiene características únicas que la hacen diferenciarse de la computación tradicional, estas son: Auto-servicio.- El usuario hace uso del servidor y almacenamiento sin requerir la intervención humana. 1 NIST National Institute of Standard san Technology 5

23 Acceso a red.- Mediante mecanismos estándar de red se fomenta el uso por parte de plataformas pequeñas tanto ligeras como pesadas. Reserva de recursos en común.- El proveedor pone a disposición recursos para que puedan ser utilizadas por los usuarios con diferentes recursos físicos y virtuales asignados dinámicamente y reasignados según la demanda de los usuarios tales como, almacenamiento, procesamiento de memoria, ancho de banda de red y máquinas virtuales. Rapidez y elasticidad.- Los recursos para cada usuario son administrados de manera rápida y elástica para poder realizar el redimensionado correspondiente rápidamente. Supervisión de Servicio.- El uso del servicio de cloud se controla y se supervisa las 24 horas del día, los 7 días a la semana (24/7); de esta manera, aporta transparencia para el usuario como para el administrador del servicio utilizado. 2.3 Arquitectura Cloud Computing Modelos de Despliegue Hay cuatro formas de modelo de despliegue de servicios en la nube, que se detallan a continuación: Cloud Pública: Dispuesta para el público en general, es administrada y operada por una empresa, entidad académica u organización o la combinación de estos. Cloud Privada: Esta es de uso exclusivo de una organización, es operada por la organización y administrada dentro o fuera de la misma. Cloud Híbrida: Es una combinación de dos o más nubes de distintas infraestructuras, éstas siguen siendo entidades únicas normalizadas tecnológicamente y el balanceo de carga se distribuye entre todas las nubes en un eventual flujo de tráfico de datos. Cloud Comunitaria: Su infraestructura es compartida con diferentes organizaciones y la comunidad que tienen intereses en común. Es gestionada por terceros o uno o varios miembros de la organización, sus instalaciones están en la organización o fuera de ella Modelos de Servicio 6

24 Gráfica 2 Modelos de Servicio Cloud Computing Infraestructura como servicio (IaaS) Consiste en poner a disposición del cliente infraestructura informática (espacio en disco, bases de datos, etc.), como un servicio; de esta manera, se resolverían necesidades computacionales sin límites de escalabilidad tomando lo que se necesita y cuando se necesita. IaaS es un modelo de servicio en el cual el hardware está virtualizado en la nube. 2 IaaS está dirigido a cualquier empresa que desee delegar la implantación de sus sistemas de software y aplicaciones en la infraestructura hardware de un proveedor externo (conocido tradicionalmente como hosting) o que requiera de servicios de almacenamiento externo, copias de seguridad de sus datos, cálculos complejos que requieran software de elevadas prestaciones, etc. El proveedor les permitirá gestionar dichos sistemas en un entorno virtualizado. 2 Este modelo proporciona al usuario servidores, almacenamiento, redes, etc.; así las aplicaciones son accesibles mediante diferentes dispositivos cliente a través de una interfaz de cliente ligero, como un navegador web o una interfaz de programa. Plataforma como Servicio (PaaS) Este modelo de servicio se sitúa por encima de IaaS en lo que se refiere a abstracción de los recursos de tecnologías de información. 2 Cloud Application Architectures: Building Applications and Infrastructure in the Cloud (Theory in Practice (O Reilly) by George Reese (Paperback Apr ). 7

25 Este modelo propone un entorno software en el cual un desarrollador puede crear y customizar soluciones dentro de un contexto de herramientas de desarrollo que la plataforma proporciona. 3 El modelo PaaS, los clientes interactúa con el software para introducir o recuperar datos, realizar acciones; pero no tienen responsabilidad de mantener el hardware o software o el desarrollo de las aplicaciones, solo se tiene responsabilidad de la interacción con la plataforma. 4 El objetivo de este modelo de servicio es que se pueda soportar estándares de desarrollo tales como: JAVASCRIPT, HTML, CSS, XML. Las plataformas como servicio no sólo deber ser una base donde interactúa el usuario; sino que debe ser compatible en cuanto al almacenaje de archivos, gestión de base de datos, balanceo de máquinas de ancho de banda, depende del servicio que se contrata y por el que se paga; de esta manera, ahorrar costes y concentrarse en la aplicación como dos de las ventajas de las plataformas de servicio. Para reconocer que se tiene una plataforma sólida, se deben considerar los siguientes aspectos: Entorno basado en un navegador: Si se requiere instalar un software para desarrollar aplicaciones, no es PaaS. Entorno de ejecución transparente: El desarrollador despliega su aplicación PaaS, si se requiere asesoría para instalar la aplicación, no es PaaS. Herramientas de monitoreo y gestión: A pesar de que las soluciones basadas en la nube son efectivas en lo que refiere a costos, es difícil gestionarlas sin las correctas herramientas de monitoreo propia para escalar la aplicación, no es PaaS. Software como Servicio (SaaS) El modelo de servicio más completo es aquel que ofrece el software y hardware como un servicio conjunto. 3 El SaaS ofrece a los usuarios software, infraestructura y solución para su uso como un servicio bajo demanda. Se puede acceder al software mediante un navegador o dispositivos móviles como celular o Tablet. Los usuarios pagan por el servicio mediante suscripciones que son válidas por un determinado tiempo y teniendo la posibilidad de acceder a todos sus servicios. 3 Dr. Mark I. Williams, A quick start guide to Cloud Computing, moving your business into the cloud Barrie Sosinsky, Cloud Computing bible,

26 Cabe recalcar que las actualizaciones, mejoras o parches deben ser distribuidos de manera responsable al usuario y este no debe hacer ningún tipo de configuración. SaaS debe cumplir ciertos requisitos mínimos: Rendimiento: SaaS debe ofrecer un rendimiento mínimo y aceptable; es decir, los tiempos de respuesta para el acceso a los datos, ejecución de procesos de negocio y comunicación con la aplicación deben ser óptimos. Acuerdo de nivel de servicio: Hay que tener en cuenta si este tipo de servicio es 8/5 (5 días a la semana, 8 horas) o 24/7. Se deben tener los mecanismos necesarios para ofrecer estos acuerdos tales como backup, clúster de alta disponibilidad de datos y aplicación. Privacidad de los datos: Se debe asegurar que los datos que se manejan sean accesibles única y exclusivamente por el dueño del dato. Monitorización de la aplicación: La supervisión de los datos debe ser constante, considerando accesos a las aplicaciones, quién accede, a qué datos, qué procesos realiza, consumo de espacio en disco o cualquier situación cambiante. Acceso a datos: Mediante APIs o Web Services. Se debe definir el objetivo real del SaaS, teniendo en cuenta cual es la funcionalidad que se requiere cubrir en la empresa u organización. 2.4 Virtualización Gráfica 3 Modelos definidos por funcionalidad 3 Una nube es un tipo de sistema paralelo y distribuido que consta de una colección de ordenadores interconectados y virtuales, que están aprovisionados dinámicamente y se presenta como uno o más recursos de computación unificada, basada en acuerdos de niveles de servicio 9

27 establecido a través de la negociación entre proveedor de servicio y consumidores. La virtualización aprovecha recursos de hardware subutilizados y Cloud Computing la toma como base para ofrecer servicios de infraestructura, plataforma y software a clientes que solamente requieren de estos servicios bajo demanda, permitiendo al usuario pagar al proveedor de este servicio, únicamente por lo que consume. En otras palabras la virtualización es un método que se utiliza para ejecutar sistemas operativos múltiples e independientes en una sola máquina física. 5 La virtualización y Cloud Computing son tecnologías que pueden adoptarse juntas ó cada una de forma individual. La virtualización es parte fundamental de Cloud Computing ya que gracias a ella es posible disponer de los servicios que se ofrecen. En la actualidad la virtualización y Cloud Computing están siendo aceptados y adoptados por un número creciente de usuarios Herramienta de Gestión ITIL (Information Technology Infraestructure Library) ITIL es un conjunto de mejores prácticas en la gestión de tecnologías de servicios informáticos. Ha sido y es útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. La relación entre Cloud Computing e ITIL es principalmente un conjunto de servicios previstos gracias a la credibilidad, disponibilidad y capacidad que actualmente cuenta la red de internet. Una de las características es que se puede tener el servicio bajo demanda es decir, cuando se requiere y la capacidad está en función de la necesidad. Dado que Cloud Computing incluye software, plataforma e infraestructura como servicio, ITIL nos guía a que ésto sea fiable, consistente, de alta calidad y de coste aceptable que junto con los acuerdo de servicio se definen características, entornos de operación y condiciones de servicio que recibirá el cliente. Cloud Computing será de gran ayuda para todo tipo de empresas; pero la organización TI delega la responsabilidad de adquirir y operar la 5 Introduction to server virtualization 6 Virtualización y servicios distribuidos en red (Cloud Computing): impacto en los proveedores de servicio 10

28 infraestructura en el operador de la nube, sin embargo sigue siendo responsable por el servicio. ITIL debe controlar al menos tres características en la Cloud Computing: capacidad, disponibilidad y seguridad, estos deben controlarse en forma eficaz y efectiva mediante la implantación disciplinada de los procesos eficientes que apoyan la garantía de la definición de valor del servicio de ITIL. Para la adecuada operación del servicio en la nube y una buena comunicación entre proveedor y cliente se debe tomar en cuenta la Gestión de Incidentes y Gestión de Problemas, esto, con el propósito de llevar un registro adecuado y escalable de los incidentes así como medir la gestión en forma proactiva para tomar las acciones necesarias antes que el servicio se vea afectado mediante las recomendaciones de proceso de la Gestión de Problemas. Adicionalmente se implementan las normas ISO, las cuales nos garantizará que los procesos sean sólidos para dar un buen servicio y se encuentren bajo control Gestión de la Capacidad Para que la organización brinde un servicio de e-learning óptimo; es necesario determinar que se cubran las necesidades de TI tanto presentes como futuras, de tal manera que la enseñanza sea flexible. Para esto la gestión de la capacidad se encargará de suministrar los servicios previstos, estableciendo principalmente los planes de capacidad, además de monitorizar el rendimiento de la infraestructura de TI y realizar simulaciones de requisitos de capacidad para diferentes escenarios previstos. 11

29 Gráfica 4 Responsabilidades de la Gestión de la Capacidad Sin una correcta Gestión de la Capacidad, los recursos no se aprovechan adecuadamente y se realizan inversiones innecesarias que acarrean gastos adicionales de mantenimiento y administración. O peor aún, lo recursos sin insuficientes con la consecuente degradación de la calidad del servicio. 7 Su objetivo es poner a disposición de clientes y usuarios y el propio departamento TI los recursos informáticos necesarios para desempeñar de manera eficiente sus tareas sin incurrir en costes desproporcionados. Para ello la Gestión de la Capacidad debe: 8 Conocer el estado actual de la tecnología y futuros desarrollos. Conocer los planes de negocio y acuerdos de nivel de servicio para prever la capacidad necesaria. Analizar el rendimiento de la infraestructura para monitorizar el uso de la capacidad existente. Realizar modelos y simulaciones de capacidad para diferentes escenarios futuros previsibles. 7 on_de_la_capacidad/vision_general_gestion_de_la_capacidad.php 8 os_gestion_de_la_capacidad/introduccion_objetivos_gestion_de_la_capacidad.php 12

30 Dimensionar adecuadamente los servicios y aplicaciones alineándolos a los procesos de negocio y necesidades reales del cliente. Gestionar la demanda de servicios informáticos racionalizando su uso. Proceso Las principales actividades de la Gestión de la Capacidad se resumen en: 9 Desarrollo del Plan de Capacidad. Modelado y simulación de diferentes escenarios de capacidad. Monitorización del uso y rendimiento de la infraestructura TI. Gestión de la demanda. Creación y mantenimiento de la Base de Datos de Capacidad (CDB) Gestión de la Disponibilidad En la actualidad es esencial que los servicios TI estén disponibles de continuo y sin interrupciones, además de asegurar que los servicios TI: 10 Estén disponibles siempre que lo soliciten. Sean fiables y tengan buen margen operativo. Estén correctamente mantenidos. Un servicio de e learning debe estar disponible y en estrecha relación con otros procesos TI, de tal manera que se ajusten a las necesidades del negocio, cumpliendo con los niveles de disponibilidad acordados en los SLA; por lo tanto la Gestión de la Disponibilidad es responsable de optimizar y monitorizar los servicios TI para que estos funcionen ininterrumpidamente y de manera fiable, cumpliendo los SLAs y todo ello a un coste razonable. La satisfacción del cliente y la rentabilidad de los servicios TI dependen der gran medida de su éxito. El rápido desarrollo tecnológico implica una constante renovación de equipos y servicios. Como proveedores nos enfrentamos al reto de evolucionar sin apenas margen para el error pues nuestros sistemas han de encontrarse a disposición del cliente prácticamente 24/ la_capacidad/proceso_gestion_de_la_capacidad.php 10 ovision_del_servicio.php 11 estion_de_la_disponibilidad/vision_general_gestion_de_la_disponibilidad.php 13

31 Su objetivo primordial es asegurar que los servicios TI estén disponibles y funcionen correctamente siempre que los clientes y usuarios deseen hacer uso de ellos en el marco de los SLA en vigor. 12 Entre sus responsabilidades están: Determinar los requisitos de disponibilidad en estrecha colaboración con los clientes. Garantizar el nivel de disponibilidad establecido para los servicios TI. Monitorizar la disponibilidad de los sistemas TI. Proponer mejoras en la infraestructura y servicios TI con el objetivo de aumentar los niveles de disponibilidad. Supervisar el cumplimiento de los OLAs y UCs acordados con proveedores internos y externos. Proceso Gráfica 5 Indicadores clave en los que se sustenta el proceso de Gestión de la Disponibilidad Entre las actividades de la Gestión de la Disponibilidades en encuentran: 13 Determinar cuáles son los requisitos de disponibilidad reales del negocio. Desarrollar un plan de disponibilidad donde se estimen las necesidades de disponibilidad futura a corto y mediano plazo etivos_gestion_de_la_disponibilidad/introduccion_objetivos_gestion_de_la_disponibilidad.php 13 de_la_disponibilidad/proceso_gestion_de_la_disponibilidad.php 14

32 Mantenimiento del servicio en operación y recuperación del mismo en caso de fallo. Realizar diagnósticos periódicos sobre la disponibilidad de los sistemas y servicios. Evaluar la capacidad de servicio de los proveedores internos y externos. Monitorizar la disponibilidad de los servicios TI. Elaborar informes de seguimiento con la información recopilada sobre disponibilidad, fiabilidad, Mantenibilidad y cumplimiento de OLAs y UCs. Evaluar el impacto de las políticas de seguridad en la disponibilidad. Es indispensable cuantificar los requisitos de disponibilidad para la correcta elaboración de los SLAs. Aunque en principio todos los clientes estarán de acuerdo con unas elevadas cotas de disponibilidad es importante hacerles ver que una alta disponibilidad puede generar unos costes injustificados dadas sus necesidades reales. 14 Para una eficiente tarea es necesario tomar en cuenta: Identificar las actividades clave del negocio. Cuantificar los intervalos razonables de interrupción de los diferentes servicios dependiendo de sus respectivos impactos. Establecer los protocolos de mantenimiento y revisión de los servicios TI. Determinar las franjas horarias de disponibilidad de los servicios TI (24/7, 12/5, etc.). Independientemente de las interrupciones del servicio causadas por incidencias, es habitualmente necesario interrumpir el servicio para realizar labores de mantenimiento y/o actualización. 15 Estas interrupciones programadas pueden afectar a la disponibilidad del servicio y por lo tato han de ser cuidadosamente planificadas para minimizar su impacto de_la_disponibilidad/requisitos_de_disponibilidad.php 15 de_la_disponibilidad/mantenimiento_y_seguridad_gestion_de_la_disponibilidad.php 15

33 En aquellos casos en que los servicios no son 24/7 es obvio que, siempre que ello sea posible, deben aprovecharse las franjar horarias de inactividad para realizar las tareas que implican una degradación o interrupción del servicio. Si el servicio es 24/7 y la interrupción es necesaria se debe: Consultar con el cliente en que franja horaria la interrupción del servicio afectará menos a sus actividades de negocio. Informar con la antelación suficiente a todos los agentes implicados. Incorporar dicha información a los SLAs. Algunos de los parámetros que suele utilizar la Gestión de la disponibilidad y que debe poner a disposición del cliente en los informes de disponibilidad correspondientes incluyen: 16 Tiempo Medio de Parada (Downtime): que es tiempo promedio de duración de una interrupción de servicio, e incluye el tiempo de detección, respuesta y resolución. Tiempo Medio entre Fallos (Uptime): es el tiempo medio durante el cual el servicio está disponible sin interrupciones. Tiempo Medio entre Incidentes: es el tiempo medio transcurrido entre incidentes que es igual a la suma del tiempo medio de parada y el tiempo medio entre fallos. El tiempo medio entre incidentes es una medida de fiabilidad del sistema. Gráfica 6 Fases del ciclo de vida de la interrupción del servicio Gestión de la Seguridad Desde el advenimiento de las redes de comunicación y en especial los problemas asociado a la seguridad de la información se han agravado considerablemente y nos afectan prácticamente a todos de_la_disponibilidad/monitorizacion_de_la_disponibilidad.php 16

34 Para ello el servicio de e learning que proporcionará la nube debe contar con estándares ISO alineados a las necesidades de la organización, estableciendo planes y medidas de seguridad necesarias para el correcto funcionamiento del negocio; teniendo en cuenta los RFCs (peticiones de cambio) para mejorar los niveles de seguridad o adecuarlos a los nuevos desarrollos tecnológicos. La información está relacionada al negocio y su correcta gestión debe apoyarse en tres pilares fundamentales: Confidencialidad: la información debe ser sólo accesible a sus destinatarios predeterminados. Integridad: la información debe ser correcta y completa. Disponibilidad: tener acceso a la información cuando la necesitamos. La gestión de la seguridad debe velar para que la información sea correcta y completa, esté siempre a disposición del negocio y sea utilizada sólo por aquellos que tienen autorización para hacerlo. Los principales objetivos de la gestión de la seguridad se resumen en: Diseñar una política de seguridad, en colaboración con clientes y proveedores correctamente alineada con las necesidades del negocio. Asegurar el cumplimiento de los estándares de seguridad acordados. Minimizar los riesgos de seguridad que amenacen la continuidad del servicio. La gestión de la seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que se aseguren que la información esté accesible cuando se necesita por aquellos que tengan autorización para utilizarla. Una vez que éstos se hallen convenientemente plasmados en los SLAs correspondientes para, a renglón seguido garantizar su cumplimiento; además se debe tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, que sea proactiva y evalúe a priori los riesgos de seguridad que pueden 17 n_de_la_seguridad/vision_general_gestion_de_la_seguridad.php 17

35 suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etc. 18 Proceso 19 Gráfica 7 Objetivos de la Gestión de la Seguridad Establecer una clara y definida política de seguridad que sirva de guía todos los otros procesos. Elaborar un plan de seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos. Implementar el plan de seguridad. Monitorizar y evaluar el cumplimiento de dicho plan Supervisar proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades. Realizar periódicamente auditorías de seguridad os_gestion_de_la_seguridad/introduccion_objetivos_gestion_de_la_seguridad.php 19 la_seguridad/proceso_gestion_de_la_seguridad.php 18

36 Con el apoyo de las normas ISO se determinará una política global clara donde se fijen objetivos, responsabilidades y recursos que se utilizarán en la nube para brindar el servicio de e - learning. En particular la política de seguridad debe determinar: 20 La relación con la política general del negocio. La coordinación con los otros procesos TI. Los protocolos de acceso a la información. Los procedimientos de análisis de riesgos. Los programas de formación. El nivel de monitorización de la seguridad. Qué informes deber ser emitidos periódicamente. El alcance del plan de seguridad. La estructura y responsables del proceso de gestión de la seguridad. Los procesos y procedimientos empleados. Los responsables de cada subproceso. Los auditores externos e internos de seguridad. Los recursos necesarios: software, hardware y personal Gestión de Incidentes Dado que el servicio de e learning a través de la cloud computing está expuesta a inminentes ataques, caídas en la red que provocan la interrupción del servicio, este se debe resolver de manera rápida y eficaz posible; la Gestión de Incidentes no se preocupa por encontrar y analizar las causas subyacentes a un determinado incidente sino exclusivamente a restaurar el servicio, sin embargo, existe una fuerte relación con la gestión de problemas. Los objetivos principales son: Detectar cualquier alteración en los servicios TI. Registrar y clasificar estas alteraciones. Asignar el personal encargado de restaurar el servicio según se define en el SLA correspondiente. Aunque el concepto de incidencia se asocia naturalmente con cualquier malfuncionamiento de los sistemas de hardware y software, un incidente es: la_seguridad/politica_y_planes_de_seguridad.php 19

37 Cualquier evento que no forma parte de la operación estándar de un servicio y que causa, o puede causar, una interrupción o una reducción de calidad del mismo. 22 Gráfica 8 Proceso de Gestión de Incidentes Los beneficios de una correcta gestión de Incidentes incluyen: Mejorar la productividad de los usuarios. Cumplimiento de los niveles de servicio acordados en el SLA. Mayor control de los procesos y monitorización del servicio. Optimización de los recursos disponibles. Una CMDB más precisa pues se registran los incidentes en relación con los elementos de configuración. Mejora la satisfacción general de clientes y usuarios Gestión de Problemas Para que la comunicación de los usuarios que utilices los servicios de e learning en la nube sea óptima, es imprescindible encontrar las causas que provocan la interrupción del servicio y analizarlos de tal manera que en un futura no sea afectada la infraestructura TI por errores desconocidos en la calidad del servicio. Sus funciones principales son: 23 Investigar las causas subyacentes a toda alteración, real o potencial, del servicio TI. Determinar posibles soluciones. Proponer peticiones de cambio (RFC). Realizar revisiones Post Implementación (PIR) en colaboración con la gestión de cambios gestion_de_incidentes/introduccion_objetivos_gestion_de_incidentes.php 22 Soporte del Servicio de ITIL 23 _de_problemas/vision_general_gestion_de_problemas.php 20

38 La gestión de problemas puede ser: Reactiva: analiza los incidentes ocurridos para descubrir su causa y propone soluciones a los mismos. Proactiva: monitoriza la calidad de la infraestructura TI y analiza su configuración con el objetivo de prevenir incidentes incluso antes de que estos ocurran. Cuando algún tipo de incidente se convierte en recurrente o tiene un fuerte impacto en la infraestructura TI es la función de la gestión de problemas el determinar sus causas y encontrar posibles soluciones. 24 Cabe diferenciar entre: Problema: causa subyacente, aún no identificada, de una serie de incidentes o un incidente aislado de importancia significativa. Error conocido: un problema se transforma en un error conocido cuando se han determinado sus causas. Proceso Las principales actividades son: Control de Problemas: se encarga de registrar y clasificar los problemas para determinar sus causas y convertirlos en errores conocidos. Control de Errores: registra los errores conocidos y propone soluciones a los mismos mediante RFCs que son enviadas a la gestión de cambios. Asimismo efectúa la revisión post implementación de los mismos en estrecha colaboración la gestión de cambios _gestion_de_problemas/introduccion_objetivos_gestion_de_problemas.php 21

39 INCIDENCIA SLAs CMDB GESTIÓN PROACTIVA CAPACIDAD DISPONIBILIDAD Cualquier interrupción o reducción de calidad de servicio Análisis de la infraestructura y detección de incidentes potenciales PROBLEMA Un problema es la causa subyacente, aún no identificada, de una serie de incidentes o un incidente aislado de importancia significativa. ERROR CONOCIDO Un problema se transforma en un error conocido cuando se han determinado sus causas. SOLUCIÓN TEMPORAL La Gestión de Problemas puede y debe proporcionar soluciones temporales a la Gestión de Incidentes para minimizar el impacto del problema y/o error conocido en la prestación de servicios. SOLUCIÓN Se propone una solución definitiva al problema. Se analiza su: Posible impacto Su vialidad Su conveniencia RFC GESTIÓN DE CAMBIOS PIR Revisión Postimplementación (PIR) Seguimiento de la implementación del cambio en colaboración con la gestión de cambios. Gráfica 9 Conceptos involucrados en la Gestión de Problemas Cuando la estructura de la organización lo permite, desarrollar una gestión de problemas proactiva que ayude a detectar problemas incluso antes de que estos se manifiesten provocando un deterioro en la calidad del servicio. 25 El objetivo de la gestión de problemas no es otro que el de mejorar el funcionamiento de la infraestructura TI y para evaluar su eficacia es 25 oblemas/proceso_gestion_de_problemas.php 22

40 imprescindible realizar un continuo seguimiento de los procesos relacionados y evaluar su rendimiento. 26 En particular una buena gestión de problemas debe traducirse en una: Disminución del número de incidentes y una más rápida resolución de los mismos. Mayor eficacia en la resolución de problemas. Gestión proactiva que permita identificar problemas potenciales antes de que estos se manifiesten o provoquen una seria degradación de la calidad del servicio Gestión de Nivel de Servicio Al proporcionar un servicio de e learning se deben definir los acuerdos de servicios prestados y niveles operativos que tomen en cuenta las necesidades de los clientes como los costes asociados. El objetivo de la gestión de niveles de servicio es poner la tecnología como un medio para aportar valor a los usuarios y clientes; cuya responsabilidad de buscar un compromiso realista entre las necesidades y expectativas del cliente y los costes de los servicios asociados, de forma que éstos sean asumibles tanto por el cliente como por la organización TI. 27 Para cumplir sus objetivos es imprescindible que la gestión de niveles de servicio: Conozca las necesidades de sus clientes. Defina correctamente los servicios ofrecidos. Monitorice la calidad del servicio respecto a los objetivos establecidos en los SLAs. Gráfica 10 Gestión de los Niveles de Servicio 26 n_de_problemas/control_proceso_gestion_de_problemas.php 27 n_de_problemas/control_proceso_gestion_de_problemas.php 23

41 La gestión de niveles de servicio debe: 28 Documentar todos los servicios TI ofrecidos. Presentar los servicios de forma comprensible para el cliente. Centrarse en el cliente y su negocio y no en la tecnología. Colaborar estrechamente con el cliente para proponer servicios TI realistas y ajustados a sus necesidades. Establecer los acuerdos necesarios con clientes y proveedores para ofrecer los servicios requeridos. Establecer los indicadores clave de rendimiento del servicio TI. Monitorizar la calidad de los servicios acordados con el objetivo último de mejorarlos a un coste aceptable por el cliente. Elaborar informes sobre la calidad del servicio y los planes de mejora del servicio (SIP). Proceso 29 Las principales actividades de la gestión de niveles de servicio se resumen en: Planificación: Asignación de recursos. Elaboración de un catálogo de servicios. Desarrollo de SLAs tipo. Herramientas para la monitorización de la calidad del servicio. Análisis e identificación de las necesidades del cliente. Elaboración de los requisitos de nivel de servicio, hojas de especificación del servicio y plan de calidad del servicio. Implementación: Negociación Acuerdos de nivel de operación. Contratos de soporte. Supervisión y revisión de los acuerdos de nivel de servicio: Elaboración de informes de rendimiento. Control de los proveedores externos. Elaboración de programas de mejora del servicio bjetivos_gestion_de_niveles_de_servicio/introduccion_objetivos_gestion_de_niveles_de_servicio.p hp 29 n_de_niveles_de_servicio/proceso_gestion_de_niveles_de_servicio.php 24

42 CAPÍTULO III 3.1 Introducción a la Seguridad de la Información La seguridad es un factor determinante en el diseño para la implementación de una Cloud Computing en una empresa que proporcionará servicios de e- learning 24/7; como tal, es importante establecer parámetros que garanticen la protección de los datos ya sean en grandes o pequeños volúmenes. Para un entorno e-learning en donde interactúan diferentes tipos de usuarios, la cloud ofrecerá servicios en los cuales es necesario determinar políticas de seguridad en el manejo de la información. Un escenario de cloud que brinde servicios e-learning debe garantizar al usuario la protección de los datos, debido a que es considerado un punto muy atractivo para los atacantes; hay que tener en cuenta la privacidad de los datos, controles de acceso, protección de la información por eventuales fallos, daños en la plataforma de la nube, de tal manera que se definan al menos los temas básicos sobre seguridad de la información en la empresa para la utilización de este tipo de tecnología. Los aspectos de seguridad que se deben tomar en cuenta para proveer un servicio e-learning 24/7 son: seguridad física y lógica, aspectos puntuales tales como: autenticación, autorización, disponibilidad, confidencialidad, integridad; apoyándose en normas y estándares que faciliten el control y la gestión de toda la información que se almacena en la cloud. Estos estándares servirán de apoyo para la gestión de responsabilidades en el manejo de datos y protección de la información ISO Son un conjunto de estándares publicados por la International Organization Standarization, como guía para el manejo de la seguridad de la información. Estas normas proporcionan el apoyo en las empresas en la implementación de un sistema de gestión de seguridad de la información (SGSI), de tal manera que los riesgos de los activos de la empresa sean mínimos y accesibles, garantizando la confiabilidad, integridad y disponibilidad del sistema. Para implementar la ISO en la Cloud Computing se debe tomar en cuenta el modelo de servicio que proporciona la nube: infraestructura, plataforma u software enfocados en aplicaciones e-learning. La norma ISO brinda el apoyo en la gestión de responsabilidades específicas en cuanto a la seguridad de la información, esta debe ser planificada, implementada supervisada, revisada y mejorada, con esto se 25

43 permite disminuir los riesgos. Por otra parte la ISO no distingue entre los controles que debe aplicarse a una organización determinada y los que no lo son, se utilizan ambas normas, debido a que si fuera una única norma sería demasiado larga y compleja para que sea práctica. Al brindar un servicio de e-learning 24/7 se debe establecer una política de seguridad y determinar los controles ante posibles riesgos debe ser desarrollada cuidadosamente tomando en cuenta el modelo en el que se basa el diseño de la Cloud Computing: Seguridad en IaaS, SaaS, PaaS. Control de acceso a la información para e-learning. Controlar la disponibilidad del servicio 24/7 sobre la infraestructura, hardware y software. Disponibilidad, almacenamiento, capacidad de procesamiento para solicitudes de usuarios que accedan al servicio de e-learning. Ámbito La empresa utilizará la cloud para almacenar información en beneficio de la misma, los usuarios tendrán contacto con la información que se almacena previa la autorización del administrador de la plataforma. El administrador es el encargado de señalar las consecuencias del incumplimiento de la política de seguridad del sistema. La política de seguridad de la nube se aplica a usuarios finales de SaaS, desarrolladores de PaaS y arquitectos de infraestructura y de red IaaS; así como para los usuarios dentro de la organización, quienes accederán a los servicios de acuerdo al rol que ocupan dentro de la organización, cualquier usuario final, desarrollador o arquitecto de red cuyas acciones infrinjan las políticas de acceso o manipulen la información almacenada en la nube estará sujeto a limitaciones o pérdida de privilegios. Como proveedor de un servicio e-learning se debe utilizar mecanismos de virtualización y la segmentación de datos para reforzar los servicios de la nube. La virtualización aumentará la seguridad de los procesos que se ejecutan en la nube, cada máquina puede operar mediante el mismo servidor y ejecutar un sistema operativo de forma aislada. La segmentación de datos ayudará a que los datos de un cliente residan en varios servidores, incluso en diferentes centros de datos; de tal manera que frente a un robo la información, está protegida y a la vez se pueden realizar copias de seguridad en tiempo real permitiendo la continuidad del negocio. 26

44 3.2 Administración de la información de acuerdo al modelo de servicio de Cloud Computing De acuerdo al modelo de Cloud Computing para e-learning, la empresa tiene toda la responsabilidad de operar y adquirir la infraestructura así como la plataforma y software que manejará, especificar y clarificar las expectativas de funcionamiento, establecer responsabilidades y detallar alternativas y consecuencias sobre si el funcionamiento o la calidad no son las adecuadas para los usuarios. Se enfocará en la administración de los usuarios, la protección de los datos y las máquinas virtuales así como el nivel de control que el usuario tiene sobre las aplicaciones desplegadas, sistemas operativos, hardware, software y red para un modelo de entrega en la nube Administración de accesos con SaaS La política de seguridad para acceso de usuarios en aplicaciones específicas dentro de la cloud se realizará con la finalidad de proteger los datos y la información ante la posibilidad de suplantaciones de identidad o robo de la información. Todo el contenido de la cloud será manejado por el administrador y estarán a disponibilidad del usuario en cualquier lugar aumentando la interoperabilidad sobre la plataforma, disminuyendo tiempos, brindando un servicio continuo 24/7 y aumentando la calidad del contenido. El usuario accederá al servicio de e-learning desde un computador de escritorio, portátil o teléfono móvil Protección de datos con PaaS La plataforma como servicio se centrará en la protección de los datos y la administración de aplicaciones que se usarán para e-learning. La protección de los datos incluye la mitigación del riesgo de uso de la PaaS como centros de comando y control. Configurar las operaciones de un firewall para uso de instalación de aplicaciones. Las posibles variables que influencian en la seguridad de la PaaS son: Desarrollador de aplicaciones de PaaS: el desarrollador proveerá de un software específico que funcionará en la plataforma que almacena la cloud; el administrador despliega y ejecuta sobre la plataforma de la cloud, controla upgrades y parches para las funcionalidades de esa aplicación. Proveedor de PaaS: la empresa como proveedor del servicio, controla sistemas operativos, hardware, infraestructura de red y gestión de 27

45 recursos. El servicio e-learning 24/7 que proveerá la empresa define los niveles de la solicitudes de usuarios, recursos y datos Administración de máquinas virtuales mediante IaaS La política de seguridad se enfoca en la administración de máquinas virtuales, protección de datos y administración de acceso a usuarios y a la infraestructura de los recursos que contengan a la máquina virtual, las variables que influencian la seguridad de IaaS son: Infraestructura de IaaS y especialista en red: el especialista controla los sistemas operativos, equipos de red y aplicaciones desplegadas en la maquina virtual. Proveedor con IaaS: el encargado en la empresa controla la infraestructura de recursos de computación en el entorno de la cloud; además definirá el tope de las solicitudes de usuarios, recursos y datos. 3.3 Gestión de Riesgos El adoptar un modelo de servicio bajo demanda para la prestación de servicios TI, puede ser beneficioso pero a la vez tiene sus riesgos dado que está diseñado para acceder desde cualquier parte por cualquier persona Elementos de Información Se han establecido tres elementos generales que contienen o guardan la información, estos son los activos de la empresa que se deben proteger para evitar su pérdida, uso inadecuado y perjudicar los objetivos del negocio en el servicio que brinda la Cloud Computing, estos han sido clasificados en tres grupos: Datos e información.- que son generados y almacenados por la organización. Sistemas e infraestructura.- componentes de hardware que gestionan la información Personal.- individuos que están involucrados en el mantenimiento, cuidado y protección de los dispositivos de hardware y software, así como de la información almacenada, gestionada y procesada en la misma. 28

46 3.3.2 Amenazas y Vulnerabilidades Amenazas Las amenazas dentro de un Cloud Computing se centran en sus principales características: confidencialidad, integridad y disponibilidad, además de aquellas que la complementan: autenticación y autorización. Estas amenazas se han dividido en tres grupos: 30 Criminalidad común.- en la que están involucrados todos quienes cometan algún tipo de manejo errado, robo, o violación a los derechos de autor de la información. Suceso de origen físico.- que corresponde a sucesos naturales y técnicos. Negligencia.- son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema, se relaciona con el comportamiento humano. Vulnerabilidades Al ser un modelo de servicio que prestará servicios e-learning, está sujeto a amenazas y como consecuencia sufrir algún daño, por lo que la capacidad y posibilidad de responder a las peticiones se verá debilitado. Algunas de las vulnerabilidades que pueden influenciar en el funcionamiento de la Cloud Computing son las siguientes: 31 Sistema débil de autenticación y autorización. Falta de aislamiento en los recursos del cliente. Limitación a tecnologías. Error en la asignación de recursos. Fallas de red interna o externa Falta de certificación en procedimientos o normas internacionales (gobierno, calidad y seguridad). Deficiencia en procesos de recuperación. Debilidades en sincronización de responsabilidades y acuerdos de nivel de servicio. Débil cifrado en el almacenamiento y transmisión de datos. Debilidad en el procedimiento para la generación y administración de claves. Vulnerabilidades de software ainformacion 29

47 3.3.3 Análisis de Riesgos Con el objetivo de determinar los riesgos de hardware y software a los que se expone la infraestructura de cloud computing, se presenta una matriz de riesgos que ayudará a tener una visión clara de los posibles daños a los que se expone la adopción de este modelo de servicio, localizado y enfocado a los recursos con los que cuenta la organización y con esto ser capaces de tomar decisiones inmediatas para mitigar cualquier impacto negativo, superando vulnerabilidades y reduciendo amenazas. La matriz se basa en la formula Riesgo = Probabilidad de Amenaza x Magnitud del Daño. 32 Gráfica 11 Matriz de Análisis de Riesgos 33 El riesgo está considerado en tres rangos y determinado por un color: Alto Riesgo (12 16): ataque inminente y no existen condiciones que puedan evitar el desarrollo del ataque. Medio Riesgo (8 9): son las condiciones en las que se hace probable un ataque, pero no son suficientes para evitarlo a largo plazo. Bajo Riesgo (1 6): condiciones lejanas de que se desarrolle un ataque. Escala: 1 Insignificante 2 Baja 3 Mediana 4 Alta

48 Para dar valor a las amenazas que se presentan en el modelo de servicio se han tomado en cuenta el interés por parte de agentes externos para acceder a la información almacenada en la cloud, las vulnerabilidades que presenta el modelo de servicio y la frecuencia en la que ocurrirían determinados incidentes. La magnitud del daño está valorada de acuerdo a un posible ataque exitoso que pudiera ocurrir a los elementos de información de la organización, se considera la posibilidad de perder información, acceso a información corporativa, manipulación de datos, etc. La escala que maneja los elementos de información para la magnitud del daño es la siguiente: Insignificante.- Ningún tipo de impacto Bajo.- daño aislado que no perjudica a ningún componente de la organización Mediano.- puede perjudicar algún componente de la organización, quedando inhabilitado Alto.- los componentes de la organización quedan seriamente afectados provocando la denegación del servicio permanentemente Matriz de Riesgos Para elaborar la matriz de riesgos, se utiliza una serie de herramientas bajo el marco de gobierno de las tecnologías de información COBIT; en la que, para el modelo de servicio Cloud Computing, se contemplan aspectos de: Datos e Información; Sistemas e Infraestructura; Personal; Con el objetivo de establecer roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI; además junto con las normas ISO y se determinan los controles y lineamientos para mitigar los riesgos, debilidades o incidentes de seguridad identificados en la Cloud Computing y proteger los activos, minimizando el impacto en el negocio causado por incidentes de seguridad o vulnerabilidades. 34 Las valoraciones de las matrices de análisis de riesgos se presentan en el anexo. Una vez obtenidos las valoraciones de los riesgos para nuestro objetivo, planteamos una serie de controles con ayuda de las normas ISO y para minimizar el impacto en la organización. 34 COBIT5-and-InfoSec-Spanish.ppt 31

49 Matriz Datos e Información ANÁLISIS DE LA MATRIZ ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA ELEMENTOS DE INFORMACIÓN Documentos institucionales (proyectos, planes, evaluaciones, informes, etc.) Directorio de contactos Productos institucionales (investigaciones, folletos, fotos, etc.) Bases de datos internos Bases de datos externos Página web interna (intranet) Página web externa Respaldos Informática (planes, documentación, etc.) Base de datos de contraseñas Datos e información no institucionales AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Sabotaje (ataque físico y electrónico) Robo/Hurto de información electrónica Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información. Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información. Los medios de procesamiento de información manejados por la organización deberían estar físicamente separados de aquellas manejadas por terceros. Se deberían instalar adecuados sistemas de detección de intrusos según estándares nacionales, regionales e internacionales y debería ser probados regularmente para abarcar todas las puertas externas y ventanas accesibles, las áreas no ocupadas deberían contar con alarma en todo momento, también se debería proveer protección para otras áreas, por ejemplo el cuarto de cómputo o cuarto de comunicaciones. 32

50 Intrusión a red interna Infiltración Virus/Ejecución no autorizada de programas Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario. Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario. Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario. Establecer una política formal para proteger contra riesgos asociados con la obtención de archivos, ya sea a través de redes externas o cualquier otro medio, indicando las medidas de protección a tomarse. El uso de dos o más productos de software para protegerse de códigos maliciosos a través del ambiente de procesamiento de la información de diferentes vendedores puede mejorar la actividad de la protección contra códigos maliciosos. La instalación y actualización regular de software para la detección o reparación de códigos maliciosos para revisar las computadoras y medios como un control preventivo o una medida rutinaria; los chequeos llevados a cabo deberían incluir: 1. Chequeo de cualquier archivo en medios electrónicos y ópticos y los archivos recibidos a través de la red para detectar códigos maliciosos antes de utilizarlo 2. Chequear los adjuntos y descargas de los correos 33

51 electrónicos para detectar códigos maliciosos antes de utilizarlos, este chequeo debería llevarse a cabo en lugares diferentes; por ejemplo, servidores de correo electrónico, computadoras desktop y cuando se ingresa a la red de la organización. ELEMENTOS DE INFORMACIÓN Datos e información no institucionales AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Robo/Hurto (Físico) Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información. Los perímetros de un edificio o local que contienen los medios de procesamiento de información deberían ser físicamente sólidos (es decir, no deberían existir brechas en el perímetro o áreas donde fácilmente pueda ocurrir un ingreso no autorizado); las paredes externas del local deberían ser una construcción sólida y todas las puertas externas deberían estar adecuadamente protegidas contra accesos no autorizados mediante mecanismos de control; por ejemplo, vallas, alarmas, relojes, etc.; las puertas y ventanas deberían quedar aseguradas cuando están 34

52 desatendidas. SUCESOS DE ORIGEN FÍSICO ELEMENTOS DE INFORMACIÓN Bases de datos internos Bases de datos externos AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Falla de corriente (apagones) Fallo de sistema/daño disco duro Se debería proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte. Se debería mantener correctamente el equipo para asegurar su continua Se recomienda un dispositivo de suministro de energía (UPS) para apagar o el funcionamiento continuo del equipo que soporta las operaciones comerciales críticas. Los planes de contingencia para la energía deberían abarcar la acción a tomarse en el caso de una falla de energía prolongada. el equipo UPS y los generadores se deberían chequear regularmente para asegurar que tengan la capacidad adecuada y para probar su concordancia con las recomendaciones del fabricante. Se deberían mantener registros de todas las fallas sospechadas y reales, y todo mantenimiento 35

53 disponibilidad e integridad. preventivo y correctivo. Se deberían implementar los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en el local o fuera de la organización; cuando sea necesario, se debería revisar la información confidencial del equipo, o se debería verificar al personal de mantenimiento. SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES INSTITUCIONALES ELEMENTOS DE INFORMACIÓN Bases de datos internos Bases de datos externos Datos e información no institucionales AMENAZA Falta de inducción, capacitación y sensibilización sobre riesgos CONTROL Todos los empleados de la organización y, cuando sea relevante, los contratista y terceras personas deberán recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos organizacionales conforme sea relevante para su función laboral. LINEAMIENTOS/MITIGACIÓN Las actividades de conocimiento, educación y capacitación deberían ser adecuados y relevantes par el rol, responsabilidades y capacidades de la persona, y deberían incluir información sobre amenazas conocidas, a quien contactar para mayor consultoría sobre seguridad y los canales apropiados para reportar los incidentes de seguridad de información. 36

54 Falta de pruebas de software nuevo con datos productivos Infección de sistemas a través de unidades portables sin escaneo Se deberían establecer procedimientos para el controlar de la instalación del software en los sistemas operacionales. Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se debería implementar procedimientos para el apropiado conocimiento del usuario. El software de las aplicaciones y el sistema de operación solo se debería implementar después de una prueba extensa y satisfactoria, las pruebas deberían incluir pruebas de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se deberían llevar a cabo en sistemas separados; se deberían asegurar que se hayan actualizados todas las bibliotecas fuente correspondientes del programa. Se debería establecer una estrategia de regreso a la situación original (rollback) antes de implementar los cambios. La instalación y actualización regular de software para la detección o reparación de códigos maliciosos para revisar las computadoras y medios como un control preventivo o una medida rutinaria, los chequeos llevados a cabo deberían incluir: 1. Chequeo de cualquier archivo en medios electrónico u ópticos, y los archivos recibidos a través de la red para detectar códigos maliciosos antes de 37

55 utilizarlo. Transmisión de contraseñas por teléfono Sobrepasar autoridades Falta de mantenimiento físico (proceso, repuestos, insumos) Falta de normas y reglas claras (no institucionalizar el estudio de los riesgos Se deberían establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación. La gerencia debería requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la organización. Se debería mantener correctamente el equipo para asegurar su continua disponibilidad e integridad. La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, Recordar al personal que debería tomar las precauciones apropiadas, por ejemplo, no revelar información confidencial cuando realiza una llamada telefónica para evitar ser escuchado o interceptado. Las responsabilidades de la gerencia deberían incluir asegurar que los usuarios empleados, contratistas y terceras personas estén apropiadamente información sobre sus roles y responsabilidades de seguridad antes de otorgarles acceso a información confidencial o a los sistemas de información. Solo el personal de mantenimiento autorizado deberá llevar a cabo las reparaciones y dar servicio al equipo. La gerencia debe: Formular, revisar y aprobar la política de seguridad de la información. Proporcionar los recursos 38

56 Falta de mecanismos de verificación de normas y reglas/análisis inadecuado de los datos de control Ausencia de documentación asignación explícita y reconociendo las responsabilidades de la seguridad de la información. Se deben identificar, documentar e implementar reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la información. Los procedimientos de operación se deben documentar, mantener y necesarios para la seguridad de la información. Aprobar la asignación de roles y responsabilidades específicas para la seguridad de la información a lo largo de toda la organización. Asegurar que la implementación de los controles de seguridad de la información sea coordinado en toda la organización. La gerencia relevante deberá proporcionar reglas o lineamientos específicos. Los empleados, contratistas y terceros que usan o tienen acceso a los activos de la organización deberán estar al tanto de los límites existentes para su uso de la información y los activos asociados con los medios y recursos del procesamiento de la información de la organización. Ellos deberán ser responsables por el uso que le den a cualquier recurso de procesamiento de información, y de cualquier uso realizado bajo su responsabilidad. Se deben preparar procedimientos documentados para las actividades del sistema 39

57 poner a disposición de todos los usuarios que lo necesiten. asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos par encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad. ELEMENTOS DE INFORMACIÓN Documentos institucionales (proyectos, planes, evaluaciones Directorio de contactos Productos institucionales (investigaciones, folletos, fotos, etc.) Bases de datos internos Bases de datos externos Página web interna Página web externa Respaldos Informática (planes, documentación, etc.) Bases de datos de contraseñas Datos e información no AMENAZA Mal manejo de sistemas y herramientas Utilización de programas no CONTROL Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la información en concordancia con el esquema de clasificación adoptado por la organización. Se debe restringir y controlar estrechamente el uso de los LINEAMIENTOS/MITIGACIÓN Los procedimientos para el etiquetado de la información necesitan abarcar los activos de información en formatos físicos y electrónicos. Para cada nivel de clasificación, se debe definir los procedimientos de manejo seguros; incluyendo el procesamiento, almacenaje, transmisión, des-clasificación y destrucción. Esto también deberá incluir los procedimientos de la cadena de custodia y el registro de cualquier incidente de seguridad relevante. Se debe considerar los siguientes lineamientos para el uso de las 40

58 institucionales autorizados/software pirateado Pérdida de datos Manejo inadecuado de datos críticos (codificar, borrar) Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD) programas de utilidad que podrían ser capaces de superar los controles del sistema y la aplicación. Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado. Se debe restringir y controlar estrechamente el uso de los programas de utilidad que podrían ser capaces de superar los controles del sistema y la aplicación. Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso. utilidades del sistema: Uso de los procedimientos de identificación, autentificación y autorización para las utilidades del sistema. Se debe considerar el siguiente lineamiento: Se debe registrar la fecha y la hora de entrada y salida de los visitantes y todos los visitantes deben ser supervisados a no ser que su acceso haya sido previamente aprobado; solo se les debe permitir acceso por propósitos específicos y autorizados y se deben emitir las instrucciones sobre los requerimientos de seguridad del área y sobre los procedimientos de emergencia. Se debe considerar el uso de los procedimientos de identificación, autenticación y autorización para las utilidades del sistema. Las reglas de control del acceso y los derechos para cada usuario o grupos de usuarios se deben establecer claramente en la política de control de acceso., los controles de acceso son tanto 41

59 Compartir contraseñas o permisos a terceros no autorizados Exposición o extravío de equipos, unidades de almacenamiento, etc. Todas las responsabilidades de la seguridad de la información deben estar claramente definidas. Se debe asignar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre. lógicos como físicos y estos deben ser considerados juntos. Se debe proporcionar a los usuarios y proveedores del servicio un enunciado claro de los requerimientos comerciales que deben cumplir los controles de acceso. Las personas con responsabilidades de seguridad asignadas pueden delegar las tareas de seguridad a otros. No obstante, ellos siguen siendo responsables y deben determinar si cualquier tarea delegada ha sido realizada correctamente. El equipo de reemplazo y los medios de respaldo deben ubicarse a una distancia segura para evitar el daño de un desastre que afecte el local principal. Se debe requerir que todos los usuarios empleados, contratistas y terceras personas y todos los visitantes usen alguna forma de identificación visible y se debe notificar inmediatamente al personal de seguridad si se encuentre a un visitante no acompañado y cualquiera que no use una identificación visible. 42

60 Falta de definición de perfil, privilegios y restricciones del personal Falta de actualización de software (proceso y recursos) Se debe restringir y controlar la asignación y uso de privilegios. No se deben fomentar modificaciones a los paquetes de software, de debe limitar a los cambios necesarios y todos los cambios deben ser estrictamente controlados. Se debe considerar los privilegios de acceso asociados con cada producto del sistema; por ejemplo, sistema de operación, sistema de gestión de base de datos y cada aplicación, y se debe identificar los usuarios a quienes se les necesita asignar privilegios. Los privilegios se deben asignar a los usuarios sobre la base de solo lo que necesitan saber y sobre una base de evento-porevento en línea con la política de control de acceso; es decir, los requerimientos mínimos para su rol funcional, solo cuando necesitan. Cuando se modifica un paquete de software se debe considerar los siguientes puntos: El riesgo de comprometer los controles incorporados y los procesos de integridad. Si se debe obtener el consentimiento del vendedor. La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del programa estándar. El impacto de si como resultado de los cambio, la organización se 43

61 Fallas en permisos de usuarios (acceso a archivos) Acceso electrónico no autorizado a sistemas externos Acceso electrónico no autorizado a sistemas Se debe requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de claves secretas. Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso. Se debe establecer, documentar y revisar la hace responsable del mantenimiento futuro del software. Se debe advertir a todos los usuarios que: Se deben seleccionar claves secretas de calidad con el largo mínimo suficiente que sean: Fáciles de recordar. No se basen en nada que otro pueda adivinar fácilmente u obtener utilizando la información relacionada con la persona; por ejemplo, nombres, números telefónicos y fechas de nacimiento, etc. No sean vulnerables a los ataques de diccionarios (es decir, que no consista de palabras incluidas en los diccionarios). La política debe tomar en cuenta los requerimientos para la autorización formal de las solicitudes de acceso. La política debe tomar en cuenta los requerimientos para la 44

62 internos Red cableada expuesta para el acceso no autorizado Red inalámbrica expuesta al acceso no autorizado Dependencia a servicio técnico externo política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso. Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso. En todo contrato de redes se debe identificar e incluir las características de seguridad, niveles de servicio y requerimientos de gestión de todos los servicios de red, ya sea que estos servicios sean provistos interna o externamente. Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que los necesiten. revisión periódica de los controles de acceso. La política debe tomar en cuenta la gestión de los derechos de acceso en un ambiente distribuido y en red que reconoce todos los tipos de conexiones disponibles. Las características de seguridad de los servicios de red pueden ser los parámetros técnicos requeridos para una conexión segura con los servicios de red en concordancia con las reglas de seguridad y conexión de red. Se deben preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad. Tener un contrato con claras definiciones 45

63 de SLAs. Tabla 1 Análisis Matriz Datos e Información Matriz Sistemas e Infraestructura ANÁLISIS DE LA MATRIZ ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA ELEMENTOS DE INFORMACIÓN Equipos de la red cableada (router switch, etc.) Equipos de la red inalámbrica Cortafuego AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Sabotaje (ataque físico y electrónico) Se debe ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades para acceso no autorizado. Se deben monitorear las condiciones ambientales; tales como temperatura y humedad, que pudiera afectar adversamente la operación de los medios de procesamiento de la información. 35 Estándar Internacional ISO/IEC Tecnología de la Información Técnicas de Seguridad Sistemas de gestión de seguridad de la información Requerimientos ISO/IEC 27001:2005 Primera Edición Estándar Internacional ISO/IEC Tecnología de la Información Técnicas de seguridad Código para la práctica de la gestión de la seguridad de la información Segunda Edición 46

64 Portátiles Programas administración de Intrusión a red interna Robo/Hurto de información electrónica El cableado de la energía y las telecomunicaciones que llevan la data o dan soporte a los servicios de información deben protegerse contra la intercepción o daño. El cableado de la energía y las telecomunicaciones que llevan la data o dan soporte a los servicios de información deben protegerse contra la intercepción o daño. El cableado de la red debe estar protegido contra intercepciones no autorizadas o daños, por ejemplo, utilizando un tubo o evitando las rutas a través de áreas públicas. Se debe utilizar rutas alternativas y/o medios de transmisión que proporcionen una seguridad adecuada. ELEMENTOS DE INFORMACIÓN Cortafuegos Servidores AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Robo/Hurto (físico) Se deben identificar todos los activos y se debe elaborar y mantener un inventario de todos los activos importantes. Una organización debe identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debe incluir toda la información necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencias y un valor comercial. El inventario no debe duplicar innecesariamente otros inventarios, pero se debe 47

65 Infiltración Virus/ejecución no autorizado de programas Se debe diseñar y aplicar la protección física y los lineamientos para trabajar en áreas aseguradas. Se deben establecer procedimientos para el control de la instalación del software en los sistemas operacionales. asegurar que el contenido esté alineado. Se debe considerar evitar el trabajo no supervisado en el área asegurada tanto por razones de seguridad como para evitar las oportunidades para actividades maliciosas. Para minimizar el riesgo de corrupción de los sistemas operacionales, se deben considerar los siguientes lineamientos para controlar los cambios, la actualización del software operacional, aplicaciones y bibliotecas de programas sólo debe ser realizada por administradores capacitados con la apropiada autorización gerencial. SUCESOS DE RIESGO FÍSICO ELEMENTOS DE INFORMACIÓN Servidores Cortafuegos AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Falla de corriente (apagones) Se debe proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios públicos de soporte. Se recomienda un dispositivo de suministro de energía ininterrumpido (UPS) para apagar o el funcionamiento continuo del equipo que soporta las operaciones comerciales críticas. Se debe considerar un generador 48

66 Falla de sistema/daño disco duro Se debe mantener correctamente el equipo para asegurar su continua disponibilidad e integridad. de emergencia si se requiere que el procesamiento continúe en el caso de una falla de energía prolongada. Estos dispositivos se deben chequear continuamente para asegurar que tengan la capacidad adecuada y para probar su concordancia con las recomendaciones del fabricante. Sólo el personal de mantenimiento autorizado debe llevar a cabo las reparaciones y dar servicio al equipo. SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES INSTITUCIONALES ELEMENTOS DE INFORMACIÓN Servidores Cortafuegos AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Falta de inducción, capacitación y sensibilización sobre riesgos Todos los empleados de la organización y, cuando sea relevante, los contratistas y terceras personas deben recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos organizacionales conforme sea relevante para su función La capacitación y el conocimiento deben comenzar con un proceso de inducción formal diseñado para introducir las políticas y expectativas de seguridad de la organización antes de otorgar acceso a la información o servicios. La capacitación constante debe incluir los requerimientos de seguridad, responsabilidades 49

67 laboral. legales y controles comerciales, asó como la capacitación en el uso correcto de los medios de procesamiento de información; por ejemplo, procedimiento de registro, uso de paquetes de software e información sobre los procesos disciplinarios. ELEMENTOS DE INFORMACIÓN Equipos de la red cableada (router switch, etc.) Equipos de red inalámbrica (router, puntos de acceso, etc.) Cortafuego Servidores Computadoras Portátiles Programas de administración ( contabilidad, manejo de personal, etc.) AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Mal manejo de sistemas y herramientas Utilización de programas autorizados/software pirateado Se debe controlar los cambios en los medios y sistemas de procesamiento de la información. Los medios de desarrollo, prueba y operación deben estar separados para reducir los riesgos de acceso no autorizado o cambios en el sistema operacional. Se debe establecer las responsabilidades y procedimientos gerenciales formales para asegurar un control satisfactorio de todos los cambios en el equipo, software o procedimientos. Cuando se realizan los cambios, se debe mantener un registro de auditoría conteniendo toda la información relevante. Cuando el personal de desarrollo y prueba tiene acceso al sistema operacional y su información, ellos pueden introducir un código no autorizado o no probado o alterar la data de operación. En algunos sistemas esta capacidad puede ser mal utilizada para cometer fraude o introducir un 50

68 Pérdida de datos Manejo inadecuado de datos críticos (codificar, borrar, etc.) Se debe ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades para el acceso no autorizado. Todas las responsabilidades de la seguridad de la información deben estar claramente definidas. código no probado o malicioso, el cual puede causar serios problemas operacionales Se deben adoptar controles para minimizar el riesgo de amenazas potenciales; por ejemplo, robo, fuego, explosivos, humo, agua (o falla en el suministro de agua), polvo, vibración, efectos químicos, interferencias en el suministro eléctrico, interferencia en las comunicaciones, radiación electromagnética y vandalismo. La asignación de las responsabilidades de la seguridad de la información debe realizarse en concordancia con la política de seguridad de la información. Se deben definir claramente las responsabilidades para la protección de los activos individuales y llevar a cabo los procesos de seguridad específicos. Cuando sea necesario, esta responsabilidad debe ser complementada con un lineamiento más detallado para locales y medios de procesamiento de información específicos. Se deben definir claramente las responsabilidades locales para la protección de 51

69 Compartir contraseñas o permisos a terceros no autorizados Exposición o extravío de equipo, unidades de almacenamiento, etc. Falta de definición de perfil, privilegios y restricciones de personal Todas las responsabilidades de la seguridad de la información deben estar claramente definidas. Se debe diseñar y aplicar la seguridad física para las oficinas, habitaciones y medios. Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado. activos y para llevar a cabo procesos de seguridad específicos, como la planeación de la continuidad del negocio. Las personas con responsabilidades de seguridad asignada pueden delegar las tareas de seguridad a otros. No obstante, ellos siguen siendo responsables y deben determinar si cualquier tarea delegada ha sido realizada correctamente. Se debe considerar donde sea aplicables, los edificios deben ser discretos y dar una indicación mínima de su propósito, sin carteles obvios dentro y fuera del edificio que indiquen la presencia de actividades de procesamiento de información. El acceso a áreas donde se procesa o almacena información sensible se debe controlar y restringir solo a personas autorizadas; se deben utilizar controles de autenticación por ejemplo, tarjeta de control de acceso, para autorizar y validar todos los accesos, se debe mantener un rastro de auditoría de todos los accesos. 52

70 Falta de actualización de software (procesos y recursos) Fallas en permisos de usuarios (acceso a archivos) Acceso electrónico no autorizado a sistemas externos No se debe fomentar modificaciones a los paquetes de software, se debe limitar a los cambios necesarios y todos los cambios deben ser estrictamente controlados. Los sistemas para el manejo de claves secretas deben ser interactivos y deben asegurar claves secretas adecuadas. Se debe establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso. Si son necesarios cambios, se debe mantener el software original y se deben aplicar los cambios en una copia claramente identificada. Se debe implementar un proceso de gestión de actualizaciones del software para asegurar que la mayoría de los parches aprobados hasta la fecha y las actualizaciones de la aplicación se instalan para todo software autorizado. Se debe aplicar el uso de IDs de usuarios individuales y claves secretas para mantener la responsabilidad. Las claves secretas son uno de los principales medios para validar la autoridad del usuario para tener acceso a un servicio de cómputo. Se debe tomar en cuenta la consistencia entre el control de acceso y las políticas de clasificación de la información de los diferentes sistemas y redes. 53

71 Acceso no autorizado a sistemas internos Red cableada expuesta para el acceso no autorizado Red inalámbrica expuesta al acceso no autorizado Dependencia a servicio técnico Toda la información y los activos asociados con los medios de procesamiento de información deben ser propiedad de una parte designada de la organización. Para las redes compartidas, especialmente aquellas que se extienden a través de las fronteras de la organización, se deberá restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones comerciales. Los usuarios sólo deben tener acceso a los servicios para los cuales hayan sido específicamente autorizados. Se debe definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando en cuenta las políticas de control de acceso aplicables. Se puede restringir la capacidad de conexión de los usuarios a través de gateways, switch, firewall, etc. de la red que filtran el tráfico por medio de tablas o reglas predefinidas. Se debe formular una política relacionada con el uso de las redes y los servicios de la red mediante controles y procedimientos gerenciales para proteger el acceso a las conexiones de la red y los servicios en red. Se debe asignar personal responsable del mantenimiento de los sistemas y así evitar terceras personas en el manejo de información. 54

72 ELEMENTOS DE INFORMACIÓN Servidores Cortafuegos AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Falta de pruebas de software con nuevos datos productivos Infección de sistemas a través de unidades portables sin escaneo Transmisión de contraseñas por teléfono Se debe establecer procedimientos para el control de la instalación del software en los sistemas operacionales. Controles de detección, prevención y recuperación para proteger contra códigos maliciosos y se deben implementar procedimientos para el apropiado conocimiento del usuario. Se deben establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a El software de las aplicaciones y el sistema de operación solo se debería implementar después de una prueba extensa y satisfactoria, las pruebas deberían incluir pruebas de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se deberían llevar a cabo en sistemas separados; se deberían asegurar que se hayan actualizados todas las bibliotecas fuente correspondientes del programa. Se puede instalar software para protegerse de códigos maliciosos para proporcionar actualizaciones automáticas de archivos de definición y motores de lectura para asegurarse que la protección esté actualizada. Además, este software se puede instalar en cada desktop para que realice chequeos automáticos. Se debe recordar al personal que debe tomar las precauciones apropiadas; por ejemplo, no revelar información confidencial cuando se realiza una llamada 55

73 Sobrepasar autoridades través del uso de todos los tipos de medios de comunicación. La gerencia debe requerir a los usuarios empleados, contratistas y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la organización. telefónica para evitar ser escuchado o interceptado. Se debe asegurar que los usuarios empleados, contratistas y terceras personas estén: apropiadamente informados Sobre sus roles y responsabilidades de seguridad antes de otorgarles acceso a información confidencial o a los sistemas de información. Reciban lineamientos para establecer las expectativas de seguridad de su rol dentro de la organización. Que cumplan con los términos y condiciones de empleo, los cuales incluyen la política de seguridad de la información de la organización y los métodos de trabajo apropiados. 56

74 Falta de mantenimiento físico (proceso, repuestos, insumos) Falta de normas y reglas claras (no institucionalizar el estudio de riesgos) Falta de mecanismos de verificación de normas y reglas/análisis inadecuado de datos Se deber mantener correctamente el equipo para asegurar su continua disponibilidad e integridad. Las actividades de la seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes. La gerencia deberá apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, asignación explícita y reconociendo las El equipo se debe mantener en concordancia con los intervalos y especificaciones de servicio recomendados por el proveedor. Se debe implementar los controles apropiados cuando se programa el equipo para mantenimiento, tomando en cuenta si su mantenimiento es realizado por el personal en le local o fuera de la organización; cuando sea necesario, se deberá revisar la información confidencial del equipo o se debe verificar el personal de mantenimiento. Se debe asegurar que las actividades de seguridad sean ejecutadas en conformidad con la política de seguridad de la información. Se debe identificar cambios significativos en las amenazas y la exposición de la información y los medios de procesamiento de la información ante amenazas. La gerencia deberá: Asegurar que los objetivos de seguridad de la información estén identificados, cumplan con los requerimientos organizacionales y estés 57

75 Ausencia de documentación responsabilidades de la seguridad de la información. Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que lo necesiten. Tabla 2 Análisis Matriz Sistemas e Infraestructura 36 integrados en los procesos relevantes. Formular, revisar y aprobar la política de seguridad e la información. Revisar la efectividad de la implementación de la política de seguridad de la información. Se deben preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos par encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad. Tener un contrato con claras definiciones de SLAs Estándar Internacional ISO/IEC Tecnología de la Información Técnicas de Seguridad Sistemas de gestión de seguridad de la información Requerimientos ISO/IEC 27001:2005 Primera Edición Estándar Internacional ISO/IEC Tecnología de la Información Técnicas de seguridad Código para la práctica de la gestión de la seguridad de la información Segunda Edición 58

76 Matriz Personal ANÁLISIS DE LA MATRIZ ACTOS ORIGINADOS POR LA CRIMINALIDAD COMÚN Y MOTIVACIÓN POLÍTICA ELEMENTOS DE INFORMACIÓN Administración Personal técnico Informática/soporte técnico interno Soporte técnico externo AMENAZA CONTROL LINEAMIENTOS/MITIGACIÓN Sabotaje (ataque físico y electrónico) Robo/Hurto de información electrónica Intrusión a red interna Se deben definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de seguridad de la información de la organización. Las áreas seguras deben protegerse mediante controles de ingreso apropiados para asegurar que solo se le permita el acceso al personal autorizado. Los usuarios solo deben tener acceso a los servicios Proteger los activos contra el acceso, divulgación, modificación, destrucción o interferencia no autorizada. El acceso a áreas donde se procesa o almacena información sensible se debe controlar y restringir solo a personas autorizadas; se deben utilizar controles de autenticación; por ejemplo, tarjeta de control de acceso, para autorizar y validar todos los accesos; se debe mantener un rastro de auditoría de todos los accesos. Se debe formular una política relacionada con el uso de las 59

77 para los cuales haya sido específicamente autorizado. redes y los servicios de red que abarque los controles y procedimientos gerenciales para proteger el acceso a las conexiones de la red y los servicios en red. SUCESOS DERIVADOS DE LA IMPERICIA, NEGLIGENCIA DE USUARIOS/AS Y DECISIONES INSTITUCIONALES ELEMENTOS DE INFORMACIÓN Administración Personal técnico Informática (soporte técnico) Soporte técnico externo AMENAZA Mal manejo de sistemas y herramientas Utilización de programas no autorizados/software pirateado CONTROL Los acuerdos o contratos con terceros que involucran el acceso, procesamiento, comunicación o manejo de la información o medios de procesamiento de información de la compañía, o agregan productos o servicios a los medios de procesamiento de información deben abarcar todos los requerimientos de seguridad relevantes. Un proceso de la gerencia para la autorización de facilidades nuevas de procesamiento de información, debe ser definido e implementado. LINEAMIENTOS/MITIGACIÓN Se debe considerar la capacitación del usuario y administrador en métodos, procedimientos y seguridad. En este procesamiento el hardware y el software deben ser chequeados para asegurar que son compatibles con otros componentes del sistema. Hacer auditorias de software. 60

78 Pérdida de datos Manejo inadecuado de datos críticos (codificar, borrar, etc.) Manejo inadecuado de contraseñas o permisos a terceros no autorizados Exposición o extravío de equipo, unidades de almacenamiento, etc. Falta de definición de perfil, privilegios y restricciones del personal Falta de actualización de software (procesos Se debe tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización. Se debe tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización. Se debe tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización. Todas las responsabilidades de la seguridad de la información deben estar claramente definidas. Todas las responsabilidades de la seguridad de la información deben estar claramente definidas. Se debe definir y documentar los roles y Los términos de seguridad deben incluir procedimientos para proteger los activos de la organización, incluyendo información y software, y el manejo de las vulnerabilidades conocidas. Debe incluir procedimientos para determinar si algún activo está comprometido por ejemplo, cuando ha ocurrido una pérdida o modificación de data. Debe abarcar un enunciado que establezca que está prohibido todo acceso que no esté explícitamente autorizado. Se debe designar la entidad responsable de cada activo o proceso de seguridad y se debe documentar los detalles de esta responsabilidad. Se debe definir y documentar claramente los niveles de autorización. Se debe asegurar que se asigne a la persona la responsabilidad 61

79 y recursos) responsabilidades de la seguridad de los empleados, contratista y terceros en concordancia con la política de seguridad de la organización. Fallas en permisos de usuarios (acceso a archivos) Acceso electrónico no autorizado a sistemas externos Acceso no autorizado a sistemas internos Red cableada expuesta para el acceso no Las actividades de la seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones laborales relevantes. Se debe identificar los riesgos para la información y los medios de procesamiento de la información de la organización a raíz de procesos comerciales que involucran a grupos externos y se deben implementar controles apropiados antes de otorgarles acceso. Se deben tratar todos los requerimientos de seguridad identificados antes de proporcionar a los clientes acceso a la información o activos de la organización. Los acuerdos o contratos con terceros que involucran por las acciones tomadas. Debe estar definido claramente en los SLAs con terceros. Se debe evaluar la idoneidad y coordinar la implementación de los controles de la seguridad de información. Se debe establecer los controles necesarios para proteger la información que no está destinada a ser accesible para los grupos externos. Debe abarcar un proceso para revocar los derechos de acceso o interrumpir la conexión entre los sistemas. Debe abarcar un enunciado que establezca que está prohibido 62

80 autorizado Red inalámbrica expuesta para el acceso no autorizado Dependencia a servicio técnico externo el acceso, procesamiento, comunicación o manejo de la información o medios de procesamiento de información de la compañía, o agregan productos o servicios a los medios de procesamiento de información deben abarcar todos los requerimientos de seguridad relevantes. Los procedimientos de operación se deben documentar, mantener y poner a disposición de todos los usuarios que los necesiten. Tabla 3 Análisis Matriz Personal 37 todo acceso que no esté explícitamente autorizado. Se deben prepara procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación, tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de computa, manejo del correo y seguridad Estándar Internacional ISO/IEC Tecnología de la Información Técnicas de Seguridad Sistemas de gestión de seguridad de la información Requerimientos ISO/IEC 27001:2005 Primera Edición Estándar Internacional ISO/IEC Tecnología de la Información Técnicas de seguridad Código para la práctica de la gestión de la seguridad de la información Segunda Edición 63

81 3.4 Acuerdos de Nivel de Servicio No existe como tal un estándar que facilite la redacción de los acuerdos de servicio, para esto se manejará un criterio propio que establezca el manejo de información y protección de los datos dentro de la empresa. De igual manera para el servicio e-learning 24/7. La empresa garantizará que se tomen en cuenta los siguientes aspectos: 38 El uso de la plataforma será 24/7 los 365 días del año. Tendrá un soporte técnico 6x8 para incidentes. En caso de fallo se notificará al usuario garantizando la protección de los datos y la seguridad de la información. La empresa realizará informes de disponibilidad del servicio en donde se tomará en cuenta el tiempo durante el cual el servicio está disponible (uptime), interrupción del servicio y respuesta de resolución (downtime). Debido a que el servicio es 24/7 se debe notificar a los usuarios el tiempo de la interrupción del servicio, garantizando que no serán afectados los datos y la información, elaborar informes mensuales de los agentes implicados en el mantenimiento de la plataforma. El tiempo de interrupción del servicio deberá ser en horarios donde la actividad de la plataforma es mínima y tendrá que ser cuidadosamente planificada mediante avisos de mantenimiento sábados 23h00 a domingo 03h00 am). Utilizar componentes de hardware y software legales. 3.5 Política de Seguridad La empresa debe tener en cuenta la protección de los datos y el manejo de la información, orientados a contrarrestar los riesgos y las vulnerabilidades que afectan el correcto funcionamiento de la cloud. Para esto se tomarán aspectos relacionados con los controles que mantienen relación con el sistema de gestión de seguridad de la información y los estándares usados en la organización (ISO 27000, NIST, ENISA, etc.). La empresa como proveedor de servicios e-learning y almacenamiento de información de su organización debe disponer de infraestructura informática necesaria para hospedar el software siguiendo con el modelo cloud computing. El propósito de la política de seguridad es evitar riesgos de que un tipo de servicio de nube sea instalado con aplicaciones que protejan la información almacenada y los datos de los usuarios

82 La organización se encargará de garantizar la seguridad física y lógica de la infraestructura. Debe impedir que personas no autorizadas manipulen los equipos físicos y de la misma manera debe mantener al personal especializado ante posibles amenazas en internet. La verificación de los usuarios que hacen uso de esa información debe ser comprobada para evitar que un pirata informático se pase como usuario autorizado. La supervisión de las solicitudes de datos debe ser monitoreadas continuamente a fin de evitar niveles de latencia alta debido a la acumulación de solicitudes. Se debe tomar en cuenta que los mecanismos que se deben adoptar al momento de transferir los datos a través de internet sean exclusivamente los necesarios, de esta manera se evita que un posible atacante pueda interceptarlos, almacenaros y procesarlos en una infraestructura ajena al control de usuario. La integridad de los datos en una cloud computing es una tarea crítica, debido a que los usuarios deciden y/o modifican la información y los mismos pueden terminar corrompiéndose debido a errores en su manipulación; por lo tanto, se utilizarán los siguientes mecanismos: 39 Control de integridad: utilizar funciones de resumen o hash para verificar que los datos no han sufrido modificaciones, esto no se utilizará únicamente para la información sino también para máquinas virtuales o para las copias de seguridad. Gestión de cambios: se deben mantener un historial de cambio de datos o información almacenada en la nube, cada usuario tiene un historial de modificaciones realizadas verificando la fecha, comprobando la versión y analizando su validez; si se detecta un error de integridad se puede volver a la versión anterior que sea correcta. Copias de seguridad: utilizar las herramientas adecuadas en la nube se pueden programar copias de seguridad cada cierto tiempo, si se declara algún fallo se debe volver a la versión anterior del sistema almacenada en la copia de seguridad Seguridad en Áreas Críticas de Cloud Computing, Manejo de Datos y Gestión de la Información Una vez establecidos los riesgos que existen en el servicio de cloud, la CSA (Cloud Security Alliance) propone diferentes tipos de control, asesoramiento 39 Guía para empresas: Seguridad y privacidad del Cloud Computing, 65

83 en las operaciones y la gestión de la seguridad en la cloud computing, seguridad de la información y protección de los datos. Los dominios que se consideran para la operación y gestión de información son los siguientes: 40 Dominio 1: Marco de la Arquitectura de Cloud Computing Se debe tener encuentra las definiciones, características, modelos de despliegue, modelos de servicio del Cloud Computing y el servicio de e- learning que se va a proporcionar. Dominio 2: Gobierno y Gestión de Riesgos de la Empresa La organización debe contar con un marco de gestión de la seguridad que les permita llevar un servicio seguro, sostenible y con mejora continua. La gestión de riesgo necesita identificar e implementar estructuras, procesos y controles adecuados que permitan realizar acciones sobre el gobierno y la gestión de la seguridad de la información en la empresa. Para esto se debe seguir las siguientes recomendaciones: Capacidad de la empresa para brindar un servicio e-learning 24/7 así como los parámetros de seguridad de las aplicaciones en uso. Realizar auditorías para verificar que se cumplen con los requisitos. El sistema debe trabajar de forma colaborativa y marcar objetivos alineados al negocio y en concordancia con la seguridad de la información. Examinar si el servicio que se le brinda al cliente es el más óptimo si obtienen el propósito deseado. Tener en cuenta los SLAs y que se cumplan los requisitos de seguridad. Un servicio de cloud computing tiene una relación directa entre la empresa y el cliente pero también con terceras partes, aún cuando sea de forma directa, esto implica un análisis de seguridad para la protección de los datos y la información. La seguridad en el servicio de e-learning debe incluir: Identificación de amenazas y vulnerabilidades Impacto que pueden sufrir los activos. Niveles y criterios de aceptación de riesgos Planes de tratamiento de riesgo con múltiples opciones. Plan de continuidad del negocio, especificación de escenarios en los cuales contemplan la pérdida del servicio. 40 Guías de Seguridad de Áreas Críticas en Cloud Computing V3.0, 66

84 Dominio 3: Cuestiones legales El proveedor debe garantizar que los datos del cliente van a recibir la misma atención y manejo cauteloso que si estuvieran en manos del propietario, además: Conocer específicamente donde hospedará el proveedor los datos entregados por parte del usuario. El proveedor del servicio debe garantizar que la información que se almacena en la cloud computing se encuentra en su formato original y es autenticable. El proveedor debe garantizar que no se viole la confidencialidad de los datos, no hacer uso indebido de la información suministrada. Dominio 4: Cumplimiento normativo y auditorias Chequeo de la normativa existente para la protección de datos y seguridad de la información. Dominio 5: Gestión del ciclo de vida de la Información El objetivo de la seguridad de la información se basa en la protección de los datos que en la cloud computing debe verse fortalecido. Ciclo de vida de la información: Crear Autenticar Utilizar Compartir Archivar Destruir Ciclo de vida de los datos Datos preparados para adaptarse a la nube Datos que viajan a través de internet Datos procesados en la nube Datos finales que viajan hacia el usuario Adaptar el formato o crear un fichero que almacene la información Mediante un correo electrónico o una aplicación para importarlos o transferirlos a la nube Desde su almacenamiento hasta el cálculo de complejas operaciones matemáticas los datos pueden ser almacenados en copias de seguridad para facilitar futuros accesos El resultado de la operación que realiza el usuario debe retornar al mismo con la información generada en la nube Tabla 4 Ciclo de Vida de los Datos 67

85 Persistencia de los datos: la eliminación de datos debe ser de forma absoluta y efectiva. Mezcla de datos: los datos que sean clasificados como sensibles no deben mezclarse con ningún otro cliente ni en el uso, almacenamiento o transito. Planes de backup y recuperación de datos para la restauración: los datos siempre deben estar disponibles y para esto debe existir procedimientos de backup y recuperación, ejecutar constantemente pruebas para medir los procesos de backup y recuperación de datos. Descubrimiento de los datos: es un reto que garantiza que los datos sean recuperables en su totalidad. Agregación de datos e inferencia: establecer prácticas que garanticen al cliente la protección de la información Dominio 6: Portabilidad e Interoperabilidad Se debe garantizar que se brinden todas las facilidades para portabilidad y la interoperabilidad. Tomar en cuenta el tamaño de los datos, pues ese parámetro puede ser decisivo cuando se desee migrar los datos. Documentar toda la arquitectura, configuración u controles de seguridad. Identificar las dependencias de hardware en el caso de realizar una migración Dominio 7: Seguridad tradicional, continuidad del negocio, recuperación de catástrofes El encargado de la administración de la cloud debe restringir el acceso a los colaboradores de la empres con el fin de evitar el mal uso de la información confidencial. Las prácticas de seguridad deben ser estrictas para que a largo plazo se pueda disminuir el riesgo. Revisar los planes de recuperación de catástrofes y continuidad del negocio. Dominio 8: Operaciones del centro de Datos El centro de datos es el elemento más importante dentro de la empresa ya que es donde se maneja la última tecnología en materia de almacenamiento, procesamiento y seguridad de los datos. El centro de datos seguirá el estándar ITIL empleando las mejores prácticas garantizando un ambiente seguro, restringiendo el acceso a los activos de información e implementando sistemas de seguridad física para salvaguardar la información sensible. 68

86 Al brindar un servicio e-learning 24/7, el centro de datos debe tener recursos para proveer de este servicio. La empresa debe contar con procesos de manejo, buenas prácticas de gestión y software adecuado para la administración; además de contar con técnicas de manejo de tecnologías de información que aseguren la disponibilidad, la seguridad en la entrega y la gestión de los activos de información. Dominio 9: Respuesta ante incidencias, modificación y subsanación Es importante definir la responsabilidad de cada una de las partes, organización y usuarios de tal manera que el proceso de gestión no se vea comprometido, deberá visualizarse un cambio sustancian en la plataforma de Cloud Computing debido al servicio e-learning que se va a brindar. El descuido de la información puede presentar un riesgo potencial para la integridad de los datos alojados en la plataforma. Una incidencia tiene un ciclo de vida: detección, análisis y diagnóstico, corrección, resolución, retroalimentación y cierre, a cada una de estas fases se debe dar un tratamiento correcto: Tener una comunicación apropiada entre la organización. Identificar los tipos de incidentes, verificar cuales son las más relevantes y diseñar estrategias para la erradicación, soporte y recuperación de incidentes. Dominio 10: Seguridad de las Aplicaciones La seguridad para las aplicaciones presentes en los modelos IaaS, PaaS, SaaS es un punto sensible que se debe considerar, por lo cual hay que considerar la vida útil de una aplicación y así mitigar los riesgos que se puedan presentar. Se debe contar con máquinas virtuales que tengan imágenes fiables, además de resguardar las contraseñas de cada una de las aplicaciones. Se bebe establecer métricas para medir la efectividad de la seguridad de las aplicaciones y tomar acciones en un eventual intromisión de algún hacker que pueda atacar el código visible. Dominio 11: Cifrado y gestión de claves El cifrado de claves nos ayuda para evitar el escape de información, es necesario realizar un manejo adecuado de los datos al moverlos a la nube. 69

87 Dominio 12: Gestión de acceso e identidades La Cloud computing debe tener una buena gestión en el manejo de identidades y control de acceso que garantice su éxito en la nube. La empresa debe asignar un administrador del sistema que establezca un control de acceso para garantizar que los usuarios solo utilicen los datos o procesos para los que han sido autorizados. Dominio 13: Virtualización Este es un componente importante dentro de la nube ya que permite a la empresa brindar un servicio eficaz para e-learning 24/7 tan rápido como el cliente lo desee sin que esto requiera de implementar equipamiento adicional. Otra de las ventajas es compartir la infraestructura física y brindar servicios independientes a sus clientes garantizando el aislamiento de forma segura. Se debe tomar en cuenta: Los procedimientos adecuados para evitar errores en el despliegue rápido en una máquina virtual. Los dispositivos de red y servidores deben estar perfectamente distribuidos. Proteger los ficheros ante la posible extracción de la información. Evitar problemas en el servidor físico donde están alojadas las máquinas virtuales. La empresa debe incluir una autenticación fuerte y la misma gestión de la identidad que maneje la máquina virtual. 70

88 CAPÍTULO IV 4.1 PLANIFICACIÓN DEL SISTEMA DE INFORMACIÓN Al ser una pequeña empresa, se diseñará una cloud como una estrategia de negocio que abarque las necesidades de la misma orientada a brindar un servicio de e-learning de calidad que garantice el manejo óptimo de la información y la protección de los datos. Una vez establecidos los riesgos y plantear los controles y lineamientos para mitigarlos, se procederá a diseñar la infraestructura y analizar las herramientas de software que darán soporte a la plataforma de cloud. Los datos y la información que se procesará en la plataforma, se manejará bajo los lineamientos que se establecieron en el análisis de riesgos, de esta manera se protegerá la información minimizando el impacto en el negocio ante incidentes de seguridad y vulnerabilidades. 4.2 ESTUDIO DE VIABILIDAD DEL SISTEMA La empresa consta de aproximadamente 10 empleados, maneja una interfaz web con servicio de correo electrónico, además de servicios de consultoría en soluciones de ingeniería y arquitectura para el sector marítimo, por lo que la seguridad y protección de los datos se debe adaptar a las necesidades de la empresa, garantizando brindar un servicio que aumente la ventaja competitiva en el mercado junto con el servicio de e-learning. La organización debe comprometerse en adaptarse a este nuevo modelo de servicio como parte de su trabajo y un habilitador de productividad empresarial; por lo que se debe tener en cuenta un posible crecimiento de usuarios que utilizarán este servicio y el compromiso de la empresa en proporcionar un modelo seguro y confiable. En la cloud computing es muy importante la virtualización como un método para asegurar el aprovechamiento de los recursos, existen herramientas propietarias y de código abierto de las cuales se analizarán y se escogerá la que mejor se adapte a las necesidades del negocio y de esta manera, aumentar la agilidad en los procesos, reducir costes en infraestructura, y así expandir el servicio hacia más clientes, asignando los recursos de computación solicitados por el usuario donde estén disponibles los recursos físicos. Si bien en el mercado existen empresas que ofrecen este tipo de servicio, nos enfocaremos principalmente en diseñar una infraestructura de cloud propia con herramientas existentes en el mercado; en la cual, no se requiere inicialmente de una inversión elevada para la adquisición de hardware y software y así tener la posibilidad de manejar nuestra propia información sin depender de terceras personas que la administren, invirtiendo en nuestra 71

89 propia infraestructura, evitando la pérdida o robo de la información por violaciones de seguridad, apoyado en el manejo responsable de los datos. 4.3 ANÁLISIS DEL SISTEMA DE INFORMACIÓN Tomando en cuenta la viabilidad del sistema, para el diseño del cloud privado, se analizarán diferentes componentes de hardware y software para el despliegue de servicios en la nube Infraestructura de Cloud La selección de hardware para la cloud es un paso muy importante, ya sea para adquirirlo o utilizar uno ya existente en la empresa. Dado que manejará información de la empresa y posteriormente brindar un servicio e-learning, se debe contar con el hardware que realice el trabajo de procesamiento y almacenamiento de la información. Es fundamental contar con una conexión a internet ininterrumpida ya que de esta depende el acceso a los servicios, por lo que es fundamental contar con dos líneas de acceso independientes para evitar cualquier eventualidad Sala de Servidores Se debe elegir y adecuar una sala para la puesta en funcionamiento de los servidores y debe contar principalmente con los siguientes implementos: Armario para servidores Cableado estructurado de interconexión Sistema de refrigeración Sistemas para normalización del flujo eléctrico Servidores Los servidores (nodos) son el componente principal dentro de la infraestructura de cloud cada uno de estos tienes características diferentes y son independientes con el objetivo de gestionar y almacenar la información que será procesada y dará mayor agilidad para brindar el servicio e-learning. El prototipo para implementar una pequeña nube privada contará con un nodo controlador, nodos de computación y un nodo de almacenamiento, como se muestra en la figura: 72

90 Red Pública Administrador Usuario Firewall Administrador Usuario Nodo Controlador Nodo Controlador Nodo de Almacenamiento Nodo 1 Nodo 2 Figura 1 Prototipo Infraestructura Cloud Computing Privado Se puede implementar otro nodo controlador dependiendo de las necesidades de la organización con las mismas características o a su vez aumentar la capacidad del nodo controlador existente. Nodo Controlador: en este se instalará la mayor parte de los servicios de cloud (autenticación, gestión de cloud, API s etc.), se debe tener dos controladores funcionando en alta disponibilidad, ya que cualquier falla de funcionamiento de este equipo dejará el cloud inoperativo. Nodo Computador: son los equipos donde se ejecutarán las instancias que tendrán las máquinas virtuales por lo que deben ser muy potentes y tener mucha memoria RAM. Nodo de Almacenamiento: es quien se encarga de almacenar la información, imágenes de los sistemas y las instancias que se ejecuten Requerimientos de Hardware Nodo Controlador El nodo controlador tendrá dos interfaces de red de modo que permita acceder simultáneamente a la red privada y a la red pública. Éste gestiona el tráfico de información dentro y fuera de la empresa y es el que tendrá el software para administrar la cloud. 73

91 Requerimiento mínimo: El procesador al menos debería ser del tipo Dual Core, ya que en este 1 CPU 64 bits x86 nodo corren varios componentes de software. Debido al servicio e-learning se 4 GB de memoria RAM requerirá una buena memoria RAM Se debe tener espacio necesario en disco para que el software que 80GB disco duro SATA gestionara la cloud se ejecute sin ningún inconveniente. Los adaptadores de red permitirán 2 Adaptadores de red100/100 copiar las máquinas virtuales de la red a los nodos. Tabla 5 Requerimientos Nodo Controlador Se proponen estas características mínimas debido a que en el nodo controlador se van manejar las aplicaciones para levantar la plataforma de cloud y es donde se ejecutarán los componentes neutrón (para firewall), nova-network, glance, keystone, etc., además que contará con dos adaptadores de red para el acceso público y privado de los usuarios y en espacio en disco permitirá que se ejecuten los componentes sin ningún inconveniente en un plataforma de 64 bits. Nodo Computador El nodo computador proporciona los recursos y memoria para las máquinas virtuales, en cada nodo puede haber dos máquinas virtuales. Requerimiento mínimo El procesador al menos debería ser 1 CPU 64 bits x86 Quad Core debido a que este nodo ejecuta las máquinas virtuales. Este tamaño de memoria procesará la información sin ningún 4 GB de memoria RAM inconveniente hasta para dos máquinas virtuales por nodo. Este debe tener una gran capacidad y velocidad de acceso para 320 GB disco duro SATA operaciones de entrada/salida y que no se produzcan cuellos de botella. Las imágenes pueden ser muy 2 Adaptadores de red100/100 pesadas y estas tienen que copiarse a través de los nodos. Tabla 6 Requerimientos Nodo Computador 74

92 Las características de nodo controlados, se deben a que este ejecutará las instancias (máquinas virtuales) y las aplicaciones que se ejecutarán para los usuarios. Nodo de Almacenamiento Este nodo va a almacenar y administrar la información de la empresa, tendrá una conexión directa con el nodo controlador y tendrá un espacio en donde los usuarios podrán almacenar sus datos en el espacio que sea asignado sin interferir en la información de la empresa. Requerimientos mínimos: Al menos debería ser un procesador 1 CPU 64 bits x86 Dual Core. Debido a que es un servidor de 4 GB de memoria RAM almacenamiento manejará datos de entrada/salida. Dependiendo de la cantidad de 120 GB disco duro SATA información que vaya a ser almacenada podría expandirse. Debido al tráfico de información las dos interfaces de red manejarán la 2 Adaptadores de red100/100 información interna y externa que se genera. Tabla 7 Requerimientos Nodo Almacenamiento El nodo de almacenamiento guardará la información de la empresa, además de la de los clientes y manejará datos de entrada y salida mediante los adaptadores de red tanto para el acceso público como privado Redes Las redes que forman parte de la cloud, integrarán las redes locales de la empresa así como la conexión exterior. En la matriz de riesgos se plantea los cuidados que debe tener la conexión de los dispositivos de red. El nodo controlador, nodos de computación y nodo de almacenamiento estarán interconectados a través de un switch, para cada una de las redes que se utilizarán eth0 (red privada) y eth1 (red pública) y estas son: Red Privada: a través de esta red se gestiona el mayor tráfico del cloud. Mantener una red privada dentro de la empresa permitirá gestionar los servicios de la cloud, añadiendo un importante grado de seguridad y quitando tráfico de red de la red local de la empresa. Red Pública: a través de esta red, un cliente se conectará remotamente a una instancia de cloud. 75

93 4.3.2 Software para Cloud Existen diferentes alternativas de software propietario como libre para construir una plataforma de cloud; dado que el objetivo es invertir en una plataforma de cloud privada, se analizarán las herramientas de software las cuales tienen sus ventajas e inconvenientes, por lo que se realizará un análisis de las plataformas más reconocidas en el mercado y estimaremos cuál de éstas cubre las necesidades de la organización Software propietario vs Software libre El software libre no es obligatoriamente gratuito o más barato que el propietario y existen varios tipos de licencias en los que se entrega la autorización al usuario para que estos exploten legalmente los recursos del software libre, no obstante el software propietario es todo lo contrario, este se ampara en un marco legal que protege su modificación, reproducción y distribución; controlan el número de usuarios que hacen uso del aplicativo y las actualizaciones suelen tener un costo. La gran mayoría de los usuarios tiende a optar por el software propietario debido a que este ya se encuentra operando en el dispositivo de hardware que adquiere; en tanto que el software libre, cada vez tiene más acogida por parte de los usuarios, debido al auge de dispositivos inteligentes que permiten al usuario descargar e implementar un sinnúmero de programas y aplicaciones robustas de productividad. A continuación se presentan las ventajas y desventajas del software propietario: Ventajas De fácil adquisición y en ocasiones ya vienen preinstalados en los dispositivos de hardware. Son creados para una tarea en particular. Quienes proveen éste software son empresas grandes que se dedican a desarrollar plataformas y dar soporte al cliente en todo momento. La interfaz que se presenta ante el usuario es más amigable. Los programas son más compatibles con los dispositivos de hardware. Antes de salir al mercado, pasan por rigurosas pruebas de funcionamiento y calidad. Existen en la web manuales para el uso del software a pesar de que el proveedor se encarga de brindar el soporte técnico necesario. Son más conocidos y en la actualidad tiene gran cantidad de usuarios. 76

94 Tienen una mejor interacción y se unifican entre sí. Desventajas El funcionamiento del software se limita a hacer lo que idea el creador de dicho software. Si se requiere realizar alguna modificación en el programa no lo podrá hacer debido a que contraviene el acuerdo de licencia de usuario final del programa. No hay versiones del mismo programa para todas las plataformas o las versiones no tiene las mismas funcionalidades. Se corre el riesgo de quiebra de la empresa y no exista soporte técnico o actualizaciones. Son desarrollados en un solo idioma sin dar la posibilidad de cambiarlo al idioma nativo. A continuación se presentan las ventajas y desventajas del software libre: Ventajas Adaptabilidad a los diferentes tipos de sistemas operativos en el mercado (Linux, Windows, Mac) El usuario final puede usar libremente el programa, y además puede modificarlo, redistribuirlo y copiarlo siempre y cuando se respeten las condiciones establecidas por el autor del software para su uso. Puede ser compartido por un sinnúmero de usuarios que lo requieran, cada uno puede hacer sus aportes dando así mayor innovación tecnológica. Tiene mayor facilidad de ser traducido a cualquier idioma, la libertad del acceso al código fuente permite que se pueda adaptar a lenguas nativas. La migración a otra plataforma es más fácil gracias al acceso al código fuente. Desventajas Debido a que la gran mayoría de usuarios utilizan el software propietario, se le hace más difícil adaptarse al uso del software libre. La compatibilidad con hardware no es completa, se requieren de conocimientos específicos sobre el sistema operativo y el equipo donde se va a instalar la aplicación. Dificultad para intercambiar información con usuarios que utilizan software propietario. Dificultad para instalar ciertos programas. 77

95 No se respalda en grandes empresas que garantizan la calidad de sus productos pero existen empresas que realizan implementaciones de software en base al software libre. Existe menor cantidad de aplicaciones para realizar tareas específicas. La diversidad de uso y métodos de empaquetamiento puede causar confusión en un gran número de personas. No existen controles antes que salgan del mercado. Se requiere controlar las modificaciones de otros usuarios lo que dificulta la tarea de mantener un control de cambios. Es menos conocido que el software libre por lo que la documentación suele ser escasa. El soporte es costoso y puede ser mayor que el propietario. Sin embargo la elección de una solución propietaria o de código abierto será dada de acuerdo a las necesidades de la cloud en la empresa y a los profesionales de IT que estarán a cargo de la implementación Herramientas de software libre para implementar la plataforma de Cloud Computing Se analizarán cuatro alternativas de open source más importantes en el mercado, éstas son: Eucalyptus OpenNebula OpenStack CloudStack Eucalyptus Herramienta de código abierto. Arquitectura altamente escalable: 78

96 UI & API Consola de Administración Compatibilidad AWS & API Cloud Cloud Controlador Almacenamiento Escalable de Objetos CLUSTER (Zona de disponibilidad) Controlador de Cluster Controlador de Almacenamiento NODOS MV NODOS MV MV NODOS MV MV NODOS MV Gráfica 12 Arquitectura Eucalyptus 41 La consola de administración es una interfaz basada en web que permite a los usuarios en la nube la prestación y gestión de recursos y a los administradores controlar la gestión de usuarios, grupos y políticas. Incluye funciones de gestión de almacenamiento de gran alcance para crear y gestionar los recursos de almacenamiento. Permite la creación de nubes de tipo privado e híbrido. Comunicación segura entre procesos internos. Soporte para máquinas virtuales Linux y Windows. Políticas programables y configurables. Proporciona un conjunto de herramientas de líneas de comandos euca2ools. Código basado en Java, C. Compatibilidad con XEN, KVM, VMware. Amplios conocimientos para su instalación Su mantenimiento depende del tamaño de la infraestructura. Ventajas Cada servicio web expone una API bien definida independiente del lenguaje de programación que contiene las operaciones del servicio y puede realizar las estructuras de datos de entrada y salida

97 Desventaja Si bien esta herramienta cumple con los requisitos para el objetivo que deseamos alcanzar, requiere de grandes conocimientos para manejarla además su interfaz de administración no está tan desarrollada como otras soluciones. OpenNebula Es un software de open source que nos permite construir cualquier tipo de nube: privado, público e híbrido. Diseñado para ser integrado con cualquier tipo de red y almacenamiento y así adaptarse al centro de datos. Tiene soporte para virtualización. Su infraestructura es una arquitectura clásica en clusters con un frontal y un grupo de nodos para máquinas virtuales. Su arquitectura se divide en tres capas: Tools: Herramientas de gestión empleando las interfaces proporcionadas por OpenNebula. Core: Componente que gestiona las máquinas virtuales, redes virtuales y nodos. Drivers: Proporciona nuevas tecnologías para virtualización, almacenamiento, monitorización y servicios de cloud. 80

98 Herramientas Administrador de Herramientas Administrador de Servicios Sistema Operativo Cloud Planificador Interfaces de Cloud Núcleo Administrador de Información Administrador de MV Contabilidad y Auditoria Gestor de Red Autorización y Autenticación Administrador de Imágenes Administrador de Almacenamiento Gerente de Federación Manejador Administrador de la Infraestructura Física Manejador de la Nube Servidores Redes Almacenamiento Nube Externa Infraestructura Física Gráfica 13 Arquitectura OpenNebula 42 Sus componentes son: Front end: Ejecuta OpenNebula y servicios de cluster. Nodos: Proporcionan los recursos necesarios a las máquinas virtuales como el hipervisor. Repositorio de imágenes: medio para almacenar las imágenes de las máquinas virtuales. Dominio OpenNebula: Gestiona el ciclo de vida de las máquinas virtuales y subsistemas de almacenamiento y redes. Drivers: Programas que sirven para la interfaz de un hipervisor o un sistema de almacenamiento específico. Código base: Java. Compatible con KVM y XEN. No requiere amplios conocimientos en instalación. Fácil mantenimiento de la infraestructura

99 Ventajas Administra infraestructuras virtuales, combinando tecnologías de virtualización, administración y redes. Soporta el manejo de redes que interconectará diferentes máquinas virtuales. Desventaja OpenNebula requiere de ciertos conocimientos para una correcta administración, así mismo la interfaz de la plataforma es pobre y con poca funcionalidad, por lo que la mayor parte de la administración se debe realizar a través de la consola y si no se cuenta con el personal especializado puede ser un inconveniente utilizar este software para cloud. OpenStack Proporciona servicios como computación en la nube, almacenamiento, redes y gestión del sistema. Permite gestionar el despliegue y ejecución de aplicaciones a través de múltiples servidores. Está dividido en tres servicios principales: Infraestructura de procesamiento (NOVA): controla todas las actividades para soportar el ciclo de vida de las instancias de OpenStack. Infraestructura de almacenamiento (swift): tiene un almacenamiento distribuido y consistente de objetos virtuales. Infraestructura de imágenes (Glance): es un sistema lookup y recuperación de imágenes de máquinas virtuales. Arquitectura OpenStack 82

100 Instancia Instancia Vistas de Registro Computador Nova Volumen Nova Almacenamiento de Imagenes Servidor de Cola Vistas API Red Nova Swift VLAN Plano DHCP Planificador Nova API Nova Gráfica 14 Arquitectura OpenStack 43 Basado en Python. Compatibilidad con XEN, KVM y VMware. Conocimientos de instalación y manejo medios. Se requiere varios componentes para mantenimiento. Ventajas Personalización del almacenamiento interno y manejo sencillo del stack (estructura de datos) Desventaja OpenStack se encuentra en una fase poco madura por lo que es complicada utilizarla en un entorno de producción. Cloud Stack Herramienta de open source que permite efectuar el despliegue, la configuración y la gestión de entornos de computación. Distribuye las peticiones web mediante el empleo de gestores de balance de carga. La infraestructura se basa en:

101 Nodos de computación: constituye el bloque básico para efectuar el escalamiento de la plataforma. Pods: (nodos de computación) no hay limitación en el número de máquinas que pueden ser asignadas a un pod. Zona de disponibilidad: Implican un aislamiento físico y de redundancia, son visibles al usuario final. Proporciona dos tipos de aislamiento: Primario: almacena todas las máquinas virtuales, así como los volúmenes adicionales de almacenamiento de datos. Secundario: se emplea para almacenar plantillas, capturas de pantalla de las máquinas virtuales e imágenes ISO. Debe estar localizado en la misma zona de disponibilidad que las máquinas a las que sirve. Posee plantillas que son imágenes de una máquina virtual y pueden emplearse para instanciar una máquina virtual. Emplea varios tipos de máquinas virtuales para efectuar las trareas de cloud. Basado en código Java. Compatibilidad con XEN, KVM y VMware. Amplios conocimientos para su instalación. Ventaja Personalización del almacenamiento interno y manejo sencillo del stack. Desventaja Centrado en la interfaz de usuario y débil integración con AWS (Amazon Web Services) Herramientas de software propietario para implementar la plataforma de Cloud Computing Entre los proveedores más importantes de Cloud Computing se encuentran los siguientes: Google App Engine Google App Engine permite crear y alojar aplicaciones web en los mismos sistemas con los que funcionan las aplicaciones de Google. Google App Engine ofrece procesos de desarrollo rápidos, administración sencilla, sin necesidad de preocuparse por el hardware, las revisiones o las copias de seguridad

102 Actualmente Google App Engine se encuentra en su versión beta, gratuito para cada persona que desee usarlo con solo crear una cuenta de correo electrónico en google y se obtiene 500 MB de almacenamiento gratuito y aproximadamente 5 millones de páginas vistas gratis al mes, para utilizarlo requiere de Phyton instalado en el computador. Este servicio brinda alojar aplicaciones web en los mismos sistemas con los que funcionan las aplicaciones de Google. 45 Ventajas Ejecuta las aplicaciones web en la misma infraestructura de Google. Fácil mantenimiento y actualización de las aplicaciones. Rendimiento, disponibilidad y seguridad en la infraestructura de Google. Permite adquirir más recursos de los que se ofrecen y pagar solo por lo que se consume. Responde de igual manera si accede un usuario o 100 usuarios. Desventajas Tiempo máximo en cada llamada hacia App Engine es de 60 segundos. No existe portabilidad hacia otras infraestructuras. Amazon (Elastic Compute Cloud), es un servicio Web que provee capacidades de cómputo elásticas, disponibles a través de una infraestructura cloud diseñada con la finalidad de proveer computación escalable a entornos Web, bajo demanda, siguiendo un modelo comercial de pago por uso. (Amazon Web Services, LLC). 46 Ventajas Es una aplicación que permite reproducir archivos musicales y dispone de su propia aplicación para smartphones. Dispones de 5 GB para almacenar la información gratuitamente. Esta siendo utilizado por empresas para realizar backups y desarrollar aplicaciones. Cuenta con una aplicación para teléfonos inteligentes. Disminución en problemas de mantenimiento. Actualizaciones inmediatas de software

103 Desventajas La versión web no es compatible con otros navegadores como safari. Si se desea aumentar el espacio de almacenamiento, estos son muy costosos. Requiere una conexión a internet continua y rápida. Los datos pueden ser accedidos por otros. Dependencia tecnológica en compañías ajenas. Windows Azure Windows Azure es una plataforma de nube abierta y flexible que permite compilar, implementar y administrar aplicaciones rápidamente, en una red global de centros de datos administrados por Microsoft. Con Windows Azure puede compilar y ejecutar aplicaciones en cualquier lenguaje, herramienta o marco. 47 Ventajas 48 Servicio altamente disponible. El desarrollador puede concentrarse solamente en su aplicación. Ahorro de dinero en servidores. Paga solamente el tiempo que esté ocupando el servicio. Soporte para varios lenguajes. Desventajas Según Richard Stallman fundador del software libre, se deja en manos de terceros aspectos claves del desarrollo de un negocio. Al ser un servicio en la nube, el usuario necesita más ancho de banda para ejecutar la aplicación. Únicamente se pueden adaptar aplicaciones que sean compatibles con este software y este tiene un costo adicional al contratado por el usuario. Tanto el software libre como propietario tiene sus ventajas y desventajas, la elección del software como plataforma de cloud se debe al énfasis en la operatividad, independencia en la administración de las aplicaciones, datos, información, que cumpla con las necesidad de la empresa ofreciendo v1.4--chappell.pdf 86

104 herramientas que permitan un manejo dinámico y faciliten la implementación para pequeñas y medianas empresas Herramientas de Virtualización La virtualización es parte de la computación en la nube que ayuda a provechar los recursos y lograr la reducción de costes. Desde una perspectiva de negocio, la virtualización nos permite ahorrar energía, espacio, capacidad de refrigeración y administración ya que se tienen menos servidores. La virtualización supone ejecutar varios sistemas operativos y si uno cae por un fallo, el hipervisor y el resto del sistema operativo continuarán funcionando. Las herramientas más conocidas en el mercado para virtualización son las siguientes: XEN Es un hipervisor de código abierto que permite una mejor utilización de los servidores y consolidación de los mismos al posibilitar que múltiples imágenes de sistemas operativos se ejecuten simultáneamente en un único servidor físico. Asegura que los niveles de servicio de cara aplicación se respete incluyendo CPU, memoria y entrada/salida, por lo que es una infraestructura de virtualización rápida y segura. Comparte recursos con otras aplicaciones e instancias de sistemas operativos virtualizados. Se usa más en centros de datos con el objetivo de incrementar la utilización de servidores, permite a los usuarios hospedar más servidores virtuales por máquina física ahorrando costes en infraestructura. Desventajas Los clientes deben ser modificados para su funcionamiento. No es compatible con la interfaz avanzada de configuración de energía en tecnologías portátiles. No todo el hardware está soportado Problemas con algunos drivers propietarios. 87

105 KVM Ofrece un escenario de virtualización típico con una interfaz entre el sistema huésped y su anfitrión, encargándose de la planificación de las tareas y la gestión de la memoria de cada huésped. Integra el hipervisor en el kernel y se comunica actuando como una interfaz para una máquina virtual. La programación de tareas y la gestión de memoria son manejadas desde el mismo kernel, instala tablas de páginas para él y emula determinada instrucciones clave. Desventajas Necesita un procesador con soporte para tecnología de virtualización. VMware Es un sistema de virtualización por software cuyo rendimiento del sistema virtual varía dependiendo de las características del sistema físico en el que se ejecute y de los recursos virtuales asignados al sistema virtual. Posee diferentes soluciones enfocadas al entorno corporativo tanto de pago como gratuitas: Workstation, Fusion, Player y Wmware Server. Es una aplicación y se puede instalar en sistemas host Windows o Linux. Desventajas Bajo rendimiento con hardware de bajo rendimiento La versión gratuita es de uso personal y no empresarial. Al actualizar el kernel se debe ejecutar nuevamente el instalador. La elección de la herramienta de virtualización será de acuerdo a la compatibilidad con el software que se elije para la plataforma de cloud y que sea capaz de administrar las máquinas virtuales repartiendo recursos entre varios procesos y de fácil manejo. 4.4 DISEÑO DEL SISTEMA DE INFORMACIÓN Una vez analizados los riesgos a los que se expone la infraestructura, los datos e información y planteando las mitigaciones, analizadas las diferentes plataformas para levantar un servicio de cloud y planteado un prototipo de infraestructura, se propone una guía para el diseño de nube privada que satisfaga las necesidades del negocio y en la que se pueda administrar la información de la empresa de manera independiente. Por lo tanto las principales características que se deben tomar en cuenta para levantar la plataforma de cloud son las siguientes: 88

106 Dado que se desea una nube privada se propone la utilización de soluciones de código abierto que permita el manejo, gestión y almacenamiento de la información sin depender de terceras personas y de esta manera reducir el costo del proyecto. Garantizar el acceso ininterrumpido a los recursos de red, distribuyendo el acceso a usuarios mediante controles de acceso de manera que no se comprometa información confidencial de la empresa. La infraestructura de red debe poder ser utilizada desde cualquier lugar y disponer de los recursos que se ofrecen. Permitir ampliar la infraestructura de acuerdo a las necesidades de la empresa. Reducir los gastos de almacenamiento de datos. Garantizar el uso eficiente de recursos Plataforma para el Modelo de Servicio Cloud Computing El mercado nos ofrece un sinnúmero de plataformas tanto propietarias como de open source para realizar nubes privadas. De acuerdo a nuestros requerimientos, el software que se propone para el modelo de servicio es OpenStack. El sistema operativo mediante el cual se adapta para establecer un modelo de cloud computing es Ubuntu LTS de 64 bits, debido a que OpenStack fue construida en base a esta plataforma. OpenStack es una tecnología de open source que nos permite la creación de nubes públicas y privadas que proporciona recursos a través de máquinas virtuales y gestión de la red, además permite a las organizaciones ejecutar su propia cloud para almacenamiento virtual. Incluye varios componentes, de los cuales los más importantes son OpenStack Compute (NOVA), OpenStack Object Storage (Swift) y OpenStack Image Service (Glance), la cual ayuda a obtener una plataforma de software completa para la administración y gestión de cloud. OpenStack Compute (NOVA) Es el controlador de la infraestructura básica de cloud y de iniciar las máquinas virtuales (instancias) de los usuarios que acceden al servicio, gestiona la red. OpenStack Object Storage Es el encargado de brindar el apoyo para el almacenamiento de objetos. 89

107 OpenStack Image Service Este servicio se encarga de la búsqueda y recuperación de imágenes de máquinas virtuales, puede también disponer de otros servicios como Object Storage para el almacenamiento de la información que la nube maneja Arquitectura OpenStack OpenStack se basa en tres servicios principales: 49 Object Storage (Swift): proporciona almacenamiento de objetos, permite almacenar y/o recuperar ficheros. Incluye diferentes componentes: Servidor proxy: que acepta solicitudes a través de API OpenStack o desde HTTP, también acepta solicitudes de descarga de archivos o listados de objetos del contenedor a través de un navegador web. Servidor de cuentas de usuario: gestiona cuentas de usuario definidas con el servicio de almacenamiento de objetos. Servidores de objetos: gestionan objetos reales en los nodos de almacenamiento. Image (Glance): proporciona un catálogo y un repositorio de imágenes de discos virtuales, cualquier infraestructura de cloud de un tamaño considerable lo necesita. Está formado por cuatro componentes: Glance.api: que acepta peticiones a través de su API para el descubrimiento, recuperación y almacenamiento de imágenes. Glace.registry: almacena procesa y recupera metainformación sobre las imágenes tales como tamaño, tipo, etc. Una base de datos para almacenar la metainformación, esta base de datos es optativa, pero para entornos de producción utiliza MySQL o PostgreSQL. Posee un repositorio para el almacenamiento de los ficheros de imágenes, es configurable y se pueden utilizar desde los directorios locales al propio servicio swift. Glance representa un papel central en la arquitectura OpenStack, ya que acepta peticiones para la gestión de imágenes tanto de los usuarios finales como de otros servicios como nova. 49 OpenStack, Software de código abierto para la creación de nubes privadas y públicas http// 90

108 Compute (NOVA): proporciona máquinas virtuales bajo demanda, es capaz de proporcionar gestión de volúmenes de discos a través de uno de sus servicios. Nova posee diferentes dominios que nos permite atender las llamadas del usuario final y una API para el administrador de cloud. Nova-compute crea y destruye las máquinas virtuales mediante un hipervisor (Xen, KVM, VMware). Nova-volume gestiona, conecta y desconecta máquinas virtuales. Nova-network realiza tares de red desde la cola de mensajes y modifica el estado de la red tales como iptables y la interfaz de puente. Nova-scheduler determina el nodo que ejecuta cada instancia de acuerdo a un algoritmo seleccionado. OpenStack ejecuta una base de datos SQL que es el encargado de administrar toda la información de la cloud tanto en su estado inicial como en su ejecución. OpenStack a través de este componente ofrece la alternativa de configurar ciertos parámetros para crear las instancias de cloud y además se puede configurar el firewall mediante el componente nova-neutron, que maneja la red y el firewall, el cual se configura de acuerdo a la carga que va manejar, disponibilidad del servicio, ancho de banda de la red, uso de cloud, etc., especificando las direcciones fijas como flotantes por donde va a transmitir y recibir la información. Dashboard (Horizon): proporciona una interfaz de usuario basada en la web para gestionar los servicios de usuarios y al administrador de cloud; posee dos módulos, uno que mantiene la lógica de la aplicación e interactúa con las APIs de OpenStack y el segundo que permite adaptarse e integrarse con la apariencia del sitio web. Horizon utiliza los datos del resto de servicio por lo cual almacena mu pocos. Identity (Keystone): proporciona servicios de autenticación y autorización a todos los servicios de OpenStack. Integra los servicios de OpenStack en un único punto en proporcionar servicios de autenticación, mantenimiento de catálogos y un repositorio de políticas de identidad, manteniendo un registro de usuarios y los permisos que tienen cada uno de ellos. Keystone puede integrarse fácilmente con diferentes almacenamientos como SQL, LDAP o KVS (Key Value Stores). 91

109 Estos servicios están diseñados para proporcionar una infraestructura como servicio completa en la que los usuarios finales de la cloud pueden interactuar a través de una interfaz web, se autentifican a través de un mismo servicio e interactúan con el resto de usuarios mediante sus APIs públicas. OpenStack no tiene un software de virtualización que permita crear las máquinas virtuales, por lo que se requiere al menos un hipervisor para funcionar y controlarlo a través de una API. De entre los hipervisores para realizar la virtualización se ha escogido KVM por su compatibilidad con OpenStack y la fácil adaptación con soluciones libres Plataforma de Cloud Computing con OpenStack De acuerdo al prototipo planteado, la distribución del software en los nodos quedaría de la siguiente forma: Nova Compute Nova Network Nova API Nova Volume Horizon Keystone Glance SWIFT NODO CONTROLADOR KVM NODO COMPUTADOR. Gráfica 15 Ubicación de los Componentes OpenStack en los Nodos El proceso para establecer un modelo de cloud computing es el siguiente: Configuración de la red (cada nodo debe estar identificado con un nombre). Instalación del servicio MySQL. Instalación y configuración de keystone (autenticación). Instalación y configuración de Glance (gestión de imágenes). Instalación y configuración de Nova (servicios de computación). Creación de máquinas virtuales (mediante software KVM). Realizar la prueba de una máquina virtual. 92

110 Instalación y configuración del Dash board (horizon) Configuración Básica de la Red Nodo Controlador: será el encargado de gestionar todos los recursos de cloud e interactuar con los componentes, éste no ejecuta las máquinas virtuales. Nodos de Computación: en este componente se ejecutarán las máquinas virtuales y recibirá las órdenes del nodo computador. Nodo de Almacenamiento: este nodo ofrecerá espacio de almacenamiento y se administrará mediante el nodo controlador. Se propone una configuración de red que contará con dos tarjetas de red, eth0 (red privada) y eth1 (red pública) que se puede configurar con VLANs con las siguientes direcciones IP tanto para los nodos como para las máquinas virtuales: Elementos de Rango de Direcciones Eth0 Información IP Nodo Controlador Nodo Computador /24 Nodo de Almacenamiento Máquina Virtual /24 Máquina Virtual Tabla 8 Direcciones IP de la Red 93

111 Red Pública Administrador Usuario Firewall Administrador Usuario Nodo Controlador Nodo Controlador Nodo de Almacenamiento Nodo 1 MV1 MV Gráfica 16 Infraestructura Cloud Computing y direcciones IP en la Red Se debe tener en cuenta que las direcciones IP asignadas a cada uno de los componentes son fijas desde su creación hasta su destrucción y las direcciones IP flotantes son aquellas que nos van a permitir acceder desde una red pública. Se crea las VLANs dependiendo del servicio que se va a brindar en este caso de e-learning como tutorías, entrada y salida de información, etc., se puede asignar una VLAN diferente para cada actividad de la empresa; de tal manera que se distribuyan las actividades a través de la IP flotante que nos permite el acceso a ella desde una red pública. La creación de direcciones IP privadas para asociar a la red LAN con las direcciones IP virtuales pueden ser a partir de /16 para que los usuarios de cloud puedan acceder desde fuera a la cloud. Para mantener todos los servicios sincronizados se debe instalar un servidor NTP (Network Time Protocol) y reiniciar el servicio con los cambios que se realicen. Glance es el componente inicial el cual gestiona las instancias y almacena las imágenes, aunque también es posible utilizar un componente de almacenamiento de objetos de OpenStack. 94

112 A través de keystone se configura los datos para crear los usuarios con diferentes privilegios quienes administrarán la nube y quienes tienen acceso para el resto de los componentes de OpenStack. Glance y Keystone (por defecto utilizan SQLite) guardarán los datos en MySQL que se debe instalar en el nodo controlador. Se recomienda utilizar al paquete rabbitmq-server que se encarga de la gestión de mensajes entre los diferentes paquetes de OpenStack y memcached que se encarga de cachear en memoria peticiones a base de datos o a APIs. OpenStack Networking (Neutrones, anteriormente Quantum) es un sistema para la gestión de redes y direcciones IP. Asegura que la red no presente el problema del cuello de botella o el factor limitante en un despliegue en la nube y ofrece a los usuarios un autoservicio real, incluso a través de sus configuraciones de red. OpenStack Networking proporciona modelos de redes para diferentes aplicaciones o grupos de usuarios. Los modelos estándar incluyen redes planas o VLAN para la separación de los servidores y el tráfico. Gestiona las direcciones IP, lo que permite direcciones IP estáticas o DHCP reservados. Direcciones IP flotantes permiten que el tráfico se redirija dinámicamente a cualquiera de sus recursos informáticos, que permite redirigir el tráfico durante el mantenimiento o en caso de fracaso. Los usuarios pueden crear sus propias redes, controlar el tráfico y conectar los servidores y los dispositivos a una o más redes. Los administradores pueden aprovechar las redes definidas por software de tecnología (SDN) como OpenFlow para permitir altos niveles de multiempresa y escala masiva. OpenStack Networking tiene un marco que permite la extensión de servicios de red adicionales, como los sistemas de detección de intrusos (IDS), balanceo de carga, cortafuegos y redes privadas virtuales (VPN) para ser implementada y administrada. 50 Para administrar la cloud mediante una interfaz y no por la consola se puede optar por el paquete StackOps que se lo puede descargar y realizar la instalación igual que cualquier sistema operativo. De esta manera se muestra una guía en el diseño de una plataforma de cloud, mostrando que es viable implementar una infraestructura de TI en pequeñas y medianas empresas, bajo estándares de seguridad y gestión de la información

113 Guía para la Implementación de la Plataforma de Cloud Computing A continuación se muestra el proceso global para la implementación de la plataforma de cloud computing: La dirección debe asignar los roles y responsabilidades para el personal encargado en la implementación y garantiza que los procedimientos sean documentados de acuerdo a los lineamientos establecidos en la matriz de riesgos. Se debe adecuar la infraestructura física del centro de datos, seguridad física, estructura de red y componentes que se instalarán en cada equipo como ya se mencionó en el documento dónde se describe su infraestructura. Se instalarán los servicios básicos (MySQL, Network Time Protocol NTP). Instalación y configuración de: Keystone (servicio de autenticación) Glance (servicio de gestión de imágenes) Nova (servicios de computación) Añadir imágenes para la configuración de máquinas virtuales. Instalar una máquina virtual para realizar pruebas. Instalación y configuración del Dashboard (horizon). El sistema operativo debe estar actualizado para iniciar el proceso de instalación/configuración. Se debe tomar en cuenta el manejo de claves de acuerdo a lo establecido en la matriz de riesgos. 96

114 CAPITULO V 5.1 Presupuesto Infraestructura CANTIDAD EQUIPO CARACTERÍSTICAS 2 Nodo Controlador 3 Nodo Computador 1 1 Nodo Almacenamiento Switch TP-Link 24 puertos Gigabit Procesador Intel Xenon 3.10 GHz, 8M Cache, QuadCore, Disco Duro de 1TB 7200rpm SATA (64bits) Procesador Intel Xenon 3.10GHz, 8M Cache, QuadCore, Disco Duro 2TB 7200rpm SATA (64 bits) Procesador Intel Xenon 3.10 GHz, 8M Cache, QuadCore, Disco Duro de 1TB 7200rpm SATA (64bits) Tabla 9 Presupuesto para Infraestructura 51 COSTO (unitario aproximado usd) COSTO TOTAL (usd) ,27 125,27 Subtotal 6.299,27 I.V.A (12%) 755,91 Total 7.055,18 Este costo se puede diferir a 36 meses sin intereses, por lo que las cuotas mensuales son de 195,98 usd. Herramientas para el Centro de Datos 52 CANTIDAD ARTÍCULO PRECIO UNITARIO (usd) PRECIO TOTAL (usd) 100 Funda conectores RJ45 0,07 7,00 1 Cable UTP Cat5E (305m) 58,13 2 Funda Jack para RJ45 Cat 5E (10u) 0,99 19,80 2 Fundas boot para conectores RJ45 (50u) 0,05 2,50 1 Cámara de video vigilancia 802 E 402 TVL 49,09 49,09 Gabinete cerrado Rack Abatible 12ur puerta -Beacoup 1 I ,00 1 Kit Sistema de Control de Acceso Biométrico 490,

115 (cerradura electromagnética, lector de huellas, soporte para cerradura, botón metálico de salida) Tabla 10 Costos Centro de Datos Subtotal 951,52 I.V.A (12%) 114,18 Total 1065,70 Seguridad Software Propietario Sistema Smart-UPS Dell 15000VA 53 49,65 Firewall ASA 5510 Security Appilance 42,36 Depreciación contable 3 años en equipos de computación Depreciación contable 3 años en equipos de computación Antivirus ,01 Tabla 11 Costos de Seguridad para Cloud Tomando como base Windows Azure los costos (mensuales) por implementar una infraestructura de cloud con software propietario es la siguiente: 54 Máquinas virtuales Ancho de Banda Soporte técnico APP Service Máquinas Virtuales 2 Núcleos 7 GB RAM 100 GB SSD SQL Server Web Ancho de Banda Servicios en la Nube Instancias de rol web y de trabajo Bases de Datos Ancho de banda usd mensual usd mensual 1.990,97 usd mensual 378,

116 Soporte Técnico Almacenamiento Dispositivos de Almacenamiento Instancias Protegidas Transacciones de almacenamiento usd mensual 323,67 Backup Tamaño de Instancias protegidas Instancias Protegidas Almacenamiento de Copias de Seguridad Máquinas Virtuales Protegidas Cliente Máquinas Virtuales Protegidas Azure usd mensual 530,96 Bases de Datos Base de Datos Estándar Base de Datos Web y Business usd mensual 95,94 Aprendizaje Automático Usuarios Horas de Experimentación API Producción transacciones usd mensual 224,3 Servicio de Cache Administrado Tamaño de Cache 2 unidades Ancho de Banda Soporte Técnico usd mensual 474 Total Aproximado mensual (usd) 7.253,77 Tabla 12 Costos Software Propietario El costo del soporte técnico puede aumentar de 300 usd. mensuales (Estándar) hasta un soporte técnico profesional de 1000 usd. mensuales, con eso aumentando el costo de la plataforma de cloud. Ninguno de los proveedores de servicios cloud se encuentran en Ecuador esto implica que los datos son almacenados en servidores fuera del país, lo que implicaría un costo extra para obtener un mejor rendimiento. 99

117 A pesar de que los servicios ofertan su cloud pagando únicamente lo que se usa, siempre existen costos adicionales tales como actualizaciones, que tienen un costo extra de pago por el servicio. Los costos son aproximados, tomando los servicios más básicos, si se requiere escalar la plataforma el costo del servicio mensual aumentará. Estos costos se calculan sin contar con las tasas por compras en el exterior, pago de impuestos y aranceles lo que de igual manera aumentarán los costos. Software Libre Todas las plataformas de open source para cloud son gratuitas, cabe destacar que primero se requiere establecer cuáles son las necesidades del negocio y si estas soluciones cubren los requerimientos para brindar un servicio de calidad. Los costos de las licencias representan un ahorro para quienes opten por esta alternativa como plataforma de cloud, por lo que la inversión que se realizaría sería en la infraestructura y el software puede ser modificado de acuerdo a las necesidades de la empresa. Se tomará como base la plataforma OpenStack para determinar el costo de implementar la plataforma de Cloud mediante esta plataforma. El software base que se va a utilizar para levantar la plataforma de Cloud Ubuntu se descarga gratuitamente de la página OpenStack igualmente puede descargarse gratuitamente de la página la cual tiene toda la capacidad de la nube sin complicaciones en ejecutarla para que se pueda concentrar en su capacidad principal. 55 OpenStack viene preparado para montarlo en los servidores que se tienen o que se adquirirán en la empresa, dado que la empresa cuenta con personal de soporte, ellos serían los encargados de brindar el soporte al implementar la plataforma. Como ya se analizó anteriormente con OpenStack los costos de licencias representan un ahorro. Los costos relacionados a la plataforma de software libre para cloud son los siguientes:

118 usd mensual Costo software libre OpenStack 0 Costo soporte técnico 0 Costo almacenamiento 0 Costo máquinas virtuales 0 Costo software virtualización 0 Costo Software Backup 0 Tabla 13 Costos Software Libre Se estima que las cifras que maneja la empresa antes de implementar la plataforma de cloud computing son los siguientes: Ingresos Egresos Ingresos (Aproximado usd mensual) Diseño y construcción (sector naval) Consultorías ingeniería y arquitectura (sector marítimo) Distribución de software para el diseño en el sector marítimo Total Tabla 14 Ingresos de la Empresa Egresos (Aproximado mensual) Capacitaciones Sueldos Gastos Varios Total Tabla 15 Egresos de la Empresa Con lo que se obtiene una utilidad de dólares mensuales a favor de la empresa. 5.2 Análisis de Costos de E-learning con Software Propietario Al implementar un modelo de servicio cloud computing para brindar servicios e-learning se obtienen las siguientes cifras: Se estima que el servicio de e-learning, se estima que se tendrán aproximadamente 45 alumnos al mes, estos pueden aumentar de acuerdo al tipo de tutorías que se brindará. Además se consideran los servicios de consultoría en soluciones de Ingeniería y arquitectura para el sector marítimo, estos pueden estimarse en aproximadamente 100 dólares mensuales, los ingresos se muestran en la siguiente tabla: 101

119 Ingresos por el servicio E-learning Costo por Persona Ingreso Número de Personas (mensual) Mensual 45 $ 80,00 $ 3.600,00 Ingresos por Servicios de Consultoría Número de Personas (aprox.) Costo por Persona (mensual) Ingreso Mensual 10 $ 100,00 $ 1.000,00 Ingreso Mensual Total $ 4.600,00 Tabla 16 Ingresos por Servicios E-learning y Consultorías Para la implementación del modelo de servicio cloud computing con software propietario se obtienen los siguientes datos: Ingresos Egresos Ingresos (Aproximado mensual) Diseño y construcción (sector naval) Consultorías ingeniería y arquitectura (sector marítimo) Distribución de software para el diseño en el sector marítimo E-learning y Consultorías Total Tabla 17 Ingresos con Servicio E-learning (Software Propietario) Egresos (Aproximado mensual) Capacitaciones 1.000,00 Sueldos 8.000,00 Gastos Varios 1.000,00 Plataforma Cloud Propietario 7.253,77 Total ,77 Tabla 18 Egresos con Servicio E-learning (Software Propietario) Con lo que se obtiene una pérdida de 653,77 dólares mensuales, debido a que el pago por el alquiler de una plataforma cloud no se difiere y estos son cancelados en su totalidad mensualmente. 5.3 Análisis de Costos de E-learning con Software Libre Para la implementación del modelo de servicio cloud computing con software libre se obtienen los siguientes datos: 102

120 Ingresos Ingresos (Aproximado mensual) Diseño y construcción (sector naval) Consultorías ingeniería y arquitectura (sector marítimo) Distribución de software para el diseño en el sector marítimo E-learning y Consultorías Total Tabla 19 Ingresos con Servicio E-learning (Software Libre) Egresos 7055,18(Depreciación Costos Infraestructura contable de 3 años 195,98 en equipos de computación) Costos Centro de Datos 1.065,70 Capacitaciones Plataforma de Cloud 0 Sueldos Gastos Varios Seguridad 242,01 Total ,69 Tabla 20 Egresos con Servicio E-learning (Software Libre) Con lo que se obtiene una utilidad de 5.096,32 dólares mensuales a favor de la empresa, debido a que hay una depreciación contable a 3 años en equipos de computación. La utilidad después de adoptar una plataforma de cloud con software libre aumenta en relación a la utilidad antes de adoptar este modelo de servicio e- learning por lo que esto se puede invertir en capacitaciones y mantenimiento de la infraestructura de cloud. Lo que se busca es tener una infraestructura propia de Cloud en la que los datos sean administrados y manejados por su propietario, si bien existen proveedores que garantizan la protección de los datos una vez almacenados estos pueden ser vulnerables al ser manipulados al estar expuestos y esto no es lo que se busca. Por lo que el adoptar nuestra propia infraestructura de cloud y montar un servicio a través de plataformas de software libre en la cual puedo hacer uso de los datos responsablemente mediante el análisis de riesgos presentado, administrar e implementar las aplicaciones que el administrador desee para 103

121 brindar el servicio de e-learning y experimentar beneficios técnicos y de negocio mientras se toma en cuenta la arquitectura de la infraestructura. 104

122 6. Conclusiones El objetivo de la tesis ha sido analizar definir y generar políticas de seguridad para el manejo de la información, en la misma se muestra la matriz de análisis de riesgos en la cual se establecen los elementos de información que se administrarán en la cloud tanto para datos e información, sistemas e infraestructura y personal, identificando las amenazas a las cuales se exponen y planteando los lineamientos/mitigaciones basados en los estándares ISO/IEC y De acuerdo al servicio e-learning se plantean los acuerdos de nivel de servicio con los que contará la plataforma de cloud, estableciendo preparando así un entorno flexible, cómodo y escalable. El software libre ha evolucionado con el pasar del tiempo brindando la posibilidad de ahorrar grandes cantidades de dinero en la adquisición de licencias, con esto reducir los costos del proyecto manteniendo la calidad del servicio. En ocasiones es difícil para pequeñas y medianas empresas implementar nuevas tecnologías de información y adaptase a ellas; además de competir con empresas grandes. Por ello la utilización de un software libre para la administración de una plataforma propia de cloud hará que ésta sea más rápida y fácil haciendo ganar tiempo y dinero gracias al crecimiento de estas plataformas open source que guían al encargado de implementarla, obtener todos los servicios que requiere la empresa y enfocarse en los servicios que pueda ofrecer sin exponer la información y los datos a terceras personas corriendo el riesgo de hurto o pérdida de la información. En la matriz de riesgos se han definido los elementos de información que formarán parte de la cloud y se han identificado las amenazas que afectarán a estos, a través de las normas ISO e ISO se identifican los controles para cada tipo de amenaza y así disminuir los riesgos, determinando lineamientos para el manejo de la información, protección de los datos y manejo de personal que utilizará la cloud. Los lineamientos servirán de guía a la dirección de la empresa para establecer políticas de seguridad a sistemas e infraestructura, datos e información y personal; con esto, se puede controlar todo un conjunto de vulnerabilidades concientizando a los empleados de la empresa sobre la importancia y sensibilidad de la información. El uso de herramientas ITIL ha sido valioso para tener en cuenta el uso óptimo de recursos orientado al proceso para entregar una infraestructura TI como un conjunto de servicios, comprender los riesgos, los objetivos, analizando el funcionamiento de la cloud en la organización mejorando la entrega del servicio y administrando 105

123 recursos, alineando buenas prácticas que va de la mano con el objetivo del negocio. La evolución de la plataformas de software libre está en aumento, brindando mejores y mayores opciones para el beneficio empresarial, si bien tiene sus desventajas al igual que el software propietario la adopción de una plataforma de cloud a través de software libre permite ahorrar gastos en software propietario el cual se puede invertir en mejorar la infraestructura y capacitar a los encargados de administrar la plataforma. Cabe destacar que la capacitación del personal que trabaja en la empresa no es un gasto sino una inversión para beneficio de la misma organización. 106

124 7. Recomendaciones Se debe tener en cuenta los riesgos a los que se expone el manejo de la información en entornos abiertos, realizando análisis de la información que se va a exponer, creando estrategias para el almacenamiento y administración de la información. Es importante conocer sobre el tipo de servicio que va a disponer la cloud, determinando el número de usuarios que acceden en la red, el personal a cargo de su administración, guiándose en las amenazas que pueden suscitarse y a la política de seguridad de la empresa. La organización, sus administradores y empleados deben establecer claramente las políticas de seguridad que regirán al adoptar un modelo de servicio determinado roles y responsabilidades para usuarios y administradores que manejan los datos, así como también accesos, soporte, recuperación de la información, etc., además de procedimientos a seguir ante eventuales fallos de seguridad y respuesta ante incidentes teniendo en cuenta la confidencialidad, disponibilidad e integridad de la información. Hay que tomar en cuenta que las aplicaciones que se van a utilizar, cuentan con los elementos y mecanismos de seguridad para poder cumplir con el servicio que se brindará, así como la compatibilidad con el software y la capacidad de hardware para procesar las aplicaciones sin afectar la infraestructura de cloud y la privacidad de datos personales. Dado que cada empresa tiene diferentes necesidades, es necesario considerar que la plataforma que se implementará cubre las necesidades del negocio, brindará los determinados y a largo plazo ver si es realmente favorable acceder al uso de esta tecnología. Se deben realizar las pruebas necesarias del funcionamiento de la infraestructura antes de ponerla al servicio de los usuarios. Es importante tomar en cuenta que quien realice la implementación del sistema debe tener conocimientos en el manejo de la infraestructura y software utilizando la guía para implementación. 107

125 8. Bibliografía 1. NIST, National Institute of Standard and Technology, 2. REESE, George, Cloud Application Architectures: Building Applications and Infrastructure in the Cloud (Theory in Practice (O Reilly)), April SOSINSKY, Barrie, Cloud Computing Bible, COBIT5-and-InfoSec-Spanish.ppt. 5. WILLIAMS, Mark, A quick start guide to Cloud Computing, moving your business into the cloud, Estándar Internacional ISO/IEC Tecnología de la Información Técnicas de Seguridad Sistemas de gestión de seguridad de la información Requerimientos ISO/IEC 27001:2005, Primera Edición. 7. Estándar Internacional ISO/IEC Tecnología de la Información Técnicas de seguridad Código para la práctica de la gestión de la seguridad de la información, Segunda Edición. 8. INTECO, Guía para empresas: Seguridad y privacidad del Cloud Computing, 9. Guías de Seguridad de Áreas Críticas en Cloud Computing V3.0, Introduction to server virtualization, pacidad/proceso_gestion_de_la_capacidad/proceso_gestion_de_la_c apacidad.php. 12. Architecture OpenNebula, Riesgos y recomendaciones para la seguridad de la información -a-información. 14. Virtualización y servicios distribuidos en red (Cloud Computing): impacto en los proveedores de servicio Arquitectura Open Stack, 108

126 openstack.png. 16. Gestión de Riesgos Análisis de Riesgos, Arquitectura eucaliptus, NIST National Institute of Standard san Technology, OpenStack, Software de código abierto para la creación de nubes privadas y públicas, http// 21. Google App Engine, Herramientas de Google Apps, Calcualdora Virtual de Windows Azure, OpenStack, Productos para infraestructura de Centros de Datos para Empresas Pequeñas, Distribuidores Mayoristas de Equipos de Computación DIPROMACOM, Productos para infraestructura de Centros de Datos para Empresas Pequeñas, 109

127 Anexos 110

128 111

129 112

130 113

131 114

132 115

133 116

134 117

135 118

136 119

137 120

138 121