La Universidad Internaciones a través de su programa CEI Presenta Diplomado en Seguridad Informática Por Mayalin Contreras y Carlos Santizo
Seguridad Informática Programa de hoy: Síntesis de la sesión anterior Contenido del día de hoy: Seguridad en Base de Datos (sesión 1) Seguridad en la Web (sesión 1) Caso de estudio Cuestionario
Seguridad Informática Video
Seguridad Informática La nube es suficientemente segura, aunque nunca se puede garantizar al 100% una protección completa. En definitiva, de la administración y gestión de la información corporativa sensible se debe ocupar la propia compañía.
Seguridad Informática Cloud o no cloud? En ocasiones se piensa que la seguridad es un concepto distinto al estar en la nube, pero en realidad es lo mismo. Por lo tanto, nadie puede ofrecer garantías al 100%. Los clientes que no cuenten con políticas adecuadas de contingencia y backup de datos, tienen más probabilidades de perderlos, estén o no en la nube, el cloud no es seguro ni inseguro, lo que hay que hacer es evaluar a fondo los requerimientos. La oferta cloud es muy variada, hay mucha oferta comercial que puede no tener detrás las garantías necesarias, por ello hay que saber elegir al mejor proveedor. Los proveedores del servicio de cloud, en la modalidad que sea, es necesario que incorporen buenas prácticas en la gestión del servicio adecuadas para el cliente, porque si los proveedores adquieren buenas prácticas, mejorarán sus servicios y darán más garantías.
Seguridad Informática Cloud o no cloud? Los proveedores del servicio de cloud, en la modalidad que sea, es necesario que incorporen buenas prácticas en la gestión del servicio adecuadas para el cliente, porque si los proveedores adquieren buenas prácticas, mejorarán sus servicios y darán más garantías. Además, no tiene por qué trasladarse todo a este entorno, no todo el core se puede subir al cloud. Efectivamente, la oferta de seguridad tiene que ofrecer los servicios más seguros posibles a un coste mínimo, y el cliente no puede delegar absolutamente todo al cloud porque no se lo puede ofrecer, la seguridad no está siempre más garantizada si se tiene en casa, porque el hecho de no tener un administrador a veces para ciertas compañías es más seguro, especialmente en el caso de las pymes, que tienen por lo general pocos recursos y no pueden contar con servidores de alta disponibilidad. Por esos motivos, el modelo cloud en sí por naturaleza no es más inseguro; depende de cómo se haga.
Seguridad Informática Cloud o no cloud? El problema es que hay que concebir el cloud como una arquitectura con un enfoque diferente, hay casos de éxito de muchas compañías que han decidido no tener en casa una cantidad de sistemas y procesos. El tamaño de la empresa sí importa a la hora de tomar la decisión de llevar las infraestructuras a la nube, y es que las necesidades cloud son diferentes, y eso va a determinar la evolución del mercado a corto plazo. Una pyme generalmente demanda no tener nada de infraestructuras, por necesidad de costes. Sin embargo, una empresa grande ya tiene la infraestructura montada, y tiene que evaluar qué aplicaciones concretas debe trasladar, porque no todo es susceptible. De hecho no solamente el tamaño importa, sino también el tipo de aplicaciones que se deseen llevar a la nube.
Seguridad Informática Nube pública o privada? Igualmente, ha quedado claro que la divergencia entre nubes públicas y privadas no es la seguridad, ya que con las normativa vigentes no es un problema porque pueden haber garantías suficientes. Más importante que el debate entre nube pública o privada es el nivel de servicio que se ofrece en la nube. Toda la seguridad desde las infraestructuras al nivel físico y lógico se controla desde dentro de la empresa, y lo mismo sucede con las aplicaciones, pero a medida que evoluciona el nivel de servicio se delega al proveedor esa seguridad. Entonces en conclusión el debate no debe ser si es público o privado, sino el nivel de transferencia que se delega.
Seguridad Informática Una tendencia imparable La informática en la nube es una tendencia imparable, no es una moda. Las empresas se podrán subir antes o después, pero acabarán vinculadas en mayor o menor medida al cloud. La pelota está más del lado de la oferta: Los proveedores necesitan que ser capaces de ofrecer el modelo adecuado. El mercado irá evolucionando de acuerdo con la demanda
Seguridad Informática Modelo de Seguridad en la Nube NIVELES DEL SERVICIO Para comprender el funcionamiento del cloud computing es fundamental comprender los tres niveles en que puede ser proporcionado el servicio. IaaS PaaS SaaS
Seguridad Informática NIVELES DEL SERVICIO 1 Infraestructura como Servicio (IaaS, de sus siglas en inglés Infrastructure as a Service). Se trata del nivel más alto de servicio. Se encarga de entregar una infraestructura de procesamiento completa al usuario bajo demanda. El usuario dispone de una o varias máquinas virtuales en la nube con las que, por ejemplo, puede aumentar el tamaño de disco duro en unos minutos, obtener mayor capacidad de proceso o enrutadores y pagar solamente por los recursos que utilice. Este nivel puede ser visto como una evolución de los Servidores Privados Virtuales que ofrecen actualmente las empresas de hosting.
Seguridad Informática NIVELES DEL SERVICIO 2. Plataforma como Servicio (PaaS, de sus siglas en inglés Platformas a Service). Se trata del nivel intermedio, se encarga de entregar una plataforma de procesamiento completa al usuario, plenamente funcional y sin tener que comprar y mantener el hardware y software. Por ejemplo, un desarrollador web necesita un servidor web que sirva sus páginas, un servidor de bases de datos y un sistema operativo. Este nivel se encarga de proporcionar todos estos servicios.
Seguridad Informática NIVELES DEL SERVICIO 3. Software como Servicio (SaaS, de sus siglas en inglés Software as a Service). Este nivel se encarga de entregar el software como un servicio a través de Internet siempre que lo demande el usuario. Se trata del nivel más bajo que permite el acceso a la aplicación.
Seguridad Informática NIVELES DEL SERVICIO Video
Seguridad Informática Video
Seguridad Informática SEGURIDAD POR PARTE DEL PROVEEDOR DE CLOUD COMPUTING El proveedor de servicios en la nube se encarga de garantizar la seguridad física en sus centros de procesos de datos. Deberá impedir que personas no autorizadas entren en dichos edificios para, por ejemplo, robar sus equipos. Del mismo modo, deberá mantener sus equipos actualizados tanto a nivel hardware como software para hacer frente a las amenazas existentes en Internet.
Seguridad Informática SEGURIDAD POR PARTE DEL CLIENTE Por su parte, el cliente es responsable de mantener el sistema operativo actualizado e instalar los parches de seguridad que aparezcan. Igualmente es necesario mantener políticas de seguridad tradicionales como el control de usuarios, el borrado de cuentas de usuario que ya no se utilizan, o la revisión del software para comprobar que no tiene vulnerabilidades, entre otras.
Seguridad Informática Transport Layer Security Secure Sockets Layer (SSL; en español «capa de conexión segura») y su sucesor Transport Layer Security (TLS; en español «seguridad de la capa de transporte») son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet.
Seguridad Informática Debido a las características de la computación en la nube, varios usuarios pueden estar accediendo simultáneamente y modificando determinada información. Por ello, deben implementarse los mecanismos que garanticen la correcta integridad de los datos.
Seguridad Informática Es necesario distinguir claramente entre los servicios que se ofrecen de forma libre y gratuita en la nube y la utilización de recursos en la nube para fines personales o empresariales.
Seguridad Informática Por último, existe otra ventaja relativa a los dispositivos portátiles, cada vez más utilizados en las empresas y desde los que se accede a la información de la organización: ordenadores portátiles, USBs, móviles, etc. Estos dispositivos pueden ser robados u olvidados exponiendo grandes cantidades de datos a personas completamente ajenas a la organización. Si se utilizan sistemas en la nube, aunque se pierda un teléfono móvil o alguien robe un portátil, la información permanecerá inaccesible para terceros.
Seguridad Informática NIVELES DEL SERVICIO Y ESTRATEGIA Video
POR QUÉ CLOUD COMPUTING?
Steve Jobs We are going to demote the PC to just be a device. We are going to move the digital hub, the center of your digital life, into the cloud
Empresas Grandes, Medianas. Que tienen Una planta de Telefonía fija (PBX) Un enlace corporativo como mínimo Su propio Departamento de IT Más de 25 usuarios de computadoras (medianas) Más de 100 usuarios (grandes) Pequeñas, incluso a individuos, que tienen: Probablemente con un teléfono residencial o planta pequeña Un enlace de internet tipo residencial Sin staff para IT De 1 a 24 usuarios 25
A Empresas Grandes, Medianas. A Pequeñas Empresas, incluso a individuos. Otros en el Cloud - Backup. - Servidores Virtuales y Físicos - DRPs - Backup. - Servidores Virtuales y Físicos Apple le vende más a Individuos - CRMs - Portales - Project Server - Email (masivo) - Infraestructura para ERPs - CRMs - Portales - Email Amazon Cloud se dirige más a los departamento de IT que quieren integrar a través de programas propios los recursos en el Cloud. 26
27
Sistemas Operativos Disponibles CentOS CentOS 5.1 (64-bit) CentOS 5.2 (32-bit) CentOS 5.2 (64-bit) CentOS 5.3 (32 bit) CentOS 5.3 (64 bit) CentOS 5.5(32 bit) CentOS 5.5(64 bit) Red Hat Enterprise RHEL 5.1 (64-bit) RHEL 5.4 (32-bit) RHEL 5.4 (64-bit) RHEL 5.6 (32-bit) RHEL 5.6 (64-bit) Ubuntu Ubuntu 10.04 LTS (32 bits) Ubuntu 10.04 (64 bits) Debian Debian 5.0 (32 bits) Debian 5.0 (64 bits) Windows Server Windows Server 2003 (32bits) Windows Server 2003 (64 bits) Windows Server 2008 (32 bits) Windows Server 2008 (64 bits) Windows Server 2008 R2 (64 bits) Sun Oracle IBM
Para nuestros clientes de Cloud Computing, los beneficios son los siguientes: Reducción en inversión Hardware/Software. Reducción de costos de implementación y mantenimiento. Reducción de riesgos. Reducción de costos de energía eléctrica. Optimización de Personal de IT. Flexibilidad en su crecimiento. Garantía de Nivel de Servicio SLA de 99.9% mensual. 29
IaaS PaaS SaaS - DRP - Servidores Físicos y Virtuales - Back ups - Web Hosting - CRM - Sharepoint - EMAIL - Project 30
Plataforma de Infraestructura lista para diversos ERPs integrada a los beneficios de un modelo en la nube. Servidores Virtuales Licencias Microsoft * SQL * RDWEB DRP/BCP * Backup * Mantenimiento * Soporte Conectividad. Sin VPN Sin Enlaces Dedicados Optimización del Consumo de la Red Rápida Implementación
32
33
34
35 Quiénes dentro de las empresas son los más apropiados? Gerente General, Gerente Financiero, Gerente Comercial, Gerente IT
Tipo de Servicio Producto Tamaño Clientes Areas IaaS DRP Gr/Med GG, Fin, IT IaaS Servidores Virtuales y Dedicados Gr/Med/Peq GG, Fin, IT IaaS Servicio de Backup Gr/Med/Peq GG, Fin, IT SaaS CRM Gr/Med/Peq Com, SAC SaaS Sharepoint / Portales Colaborativos Gr/Med/Peq Com, SAC, RH, Compras, IT SaaS Project Gr/Med Tec SaaS Email / Web Apps / Off 365 Gr/Med/Peq IT Peq/Med SaaS Live Meeting Gr/Med/Peq Com, SAC, RH, Compras, IT
ENTREGABLES en Sitio Alterno Remoto ELECTRICIDAD A/C CONECTIVIDAD SOPORTE Y MANTENIMIENTO SEGURIDAD GARANTIA Se contará por lo menos con 2 entradas redundantes de energía al data center remoto, Ups y Generador de Electricidad. EL PAGO de electricidad se incluye en la cuota mensual Se contará con Unidades de A/C redundantes Conexiones Redundantes de hasta 100 Mbps con por lo menos 3 Proveedores diferentes por diferentes rutas y accesos Personal Altamente capacitado disponible 24/7 para todos los elementos involucrados en la solución Personal de Seguridad 24/7 apoyado por Sistemas de Monitoreo Reemplazo parcial o total en cualquier elemento del HW en caso de falla. 37
ENTREGABLES en Sitio Alterno Remoto RACKS Incluye Cableado Estructurado ROUTERS, SWITCHES Y FIREWALL Soporte y mantenimiento ilimitado (no hay cobro por horas adicionales de soporte o repuestos) SERVIDORES Y SAN ESPACIO FISICO TIEMPO DE ENTREGA Instalación y configuración, Soporte y Mantenimiento ilimitados, con personal altamente capacitado para equipos SAN. Reducción en inversión y costos en mantenimiento de instalaciones de Datacenter. Varía entre 1 a 6 Semanas, dependiendo de la marca de los equipos (Sun, IBM, SANs) y si el cliente necesita implementar aplicaciones propias. Esto último sería de definir en conjunto con el Cliente y puede extender este período. 38
ENTREGABLES en Sitio Alterno Remoto 39
Infraestructura y Servicios requeridos en Cloud Services Electricidad A/C Conectividad Soporte Seguridad Espacio físico
Modelo Tradicional vs Propuesta 1800SW ejemplo real Customización e Implementación (40%) Software (9%) Personal de IT (14%) Mantenimiento (10%) Entrenamiento (1%)
Seguridad Informática / Cloud gratuita Video
Seguridad Informática / Cloud gratuita Video
Seguridad Informática / Cloud gratuita Video
Seguridad Informática / Cloud gratuita Video
Seguridad Informática / Cloud gratuita Video
Seguridad Informática Resumen sobre Seguridad en la Nube 1. Es o no seguro hacer Cloud Computing? Qué tipos de Cloud existen? Se puede subir todo a la nube? 2. Qué modelos de servicio existen para hacer Cloud Computing? Explique 3. Qué aspectos se califican en un proveedor privado de Cloud Computing? 4. Qué aspectos se califican en proveedor público de Cloud Computing? 5. Cómo hacer un Análisis Costo/Beneficio y un FODA de una solución Cloud Computing