SEI Virtual Forum: Cloud computing y Seguridad

jscreationzs
El SEI realizó el pasado 20 de octubre un foro virtual tecnológico, donde presentó las líneas de trabajo e investigación que está desarrollando o difundiendo actualmente. El foro contó con especialistas y expertos de primer nivel dentro de la institución, quienes expusieron para mil participantes de más de 50 países, conectados en línea, los diferentes tópicos en temas como: Métodos Agile, Cómputo en la Nube, CMMI y TSP. 
En paralelo se enviaron mensajes de Twitter que permitían hacer un seguimiento de lo que estaba pasando en el foro. Tomando esa información y las presentaciones mostradas, pretendemos hacer un resumen de los principales temas.
Grace Lewis presentó los avances en “cloud computing” y las implicaciones en la arquitectura.

Cómputo en la nube 
Se consideran tres tipos fundamentales, que definen la forma en que se establece: Software como servicio (SaaS), Plataforma como servicio (PaaS) e Insfraestructura como servicio (IaaS). 
El Software como servicio se entiende cuando el proveedor ofrece licencias de aplicaciones de terceros a sus clientes para su uso bajo demanda. Amazon es un ejemplo de infraestructura como servicio, ya que permite a los desarrolladores y organizaciones ampliar la infraestructura de TI. Todos los servicios pueden ofrecerse de manera pública o privada, protegida dentro de un “firewall”. 
En la aplicación del cómputo en la nube se tienen que controlar elementos relacionados con la disponibilidad, colaboración, reducción de riesgo y fiabilidad. Consideraciones sobre escalabilidad, flexibilidad, virtualización y reducción de costos de infraestructura, también deben ser tomadas en cuenta. 
Las barreras que se presentan para su adopción se relacionan con cuestiones de seguridad, interoperabilidad, control de recursos, tiempos de respuesta, restricciones de la plataforma y cuestiones legales. Los usuarios de los servicios de “cloud computing” pueden ser diversos y con diferentes necesidades. Para cada uno se debe garantizar la independencia de la información y del rendimiento. Las decisiones de cada usuario principalmente se basan en el nivel de control, seguridad y compatibilidad. 
En la actualidad no están estandarizadas las API’s o interfaces para la programación de aplicaciones, por lo que cada proveedor utiliza sus propias API para gestionar los servicios en la nube que ofrece. 


Seguridad 
Randy Trzeciak presentó las lecciones aprendidas sobre ataques y amenazas internas a la seguridad. En general estos ataques se producen por el uso mal intencionado de los accesos internos autorizados a la red de una organización, sistema o información. Se reconocen tres tipos de delitos: sabotaje, robo de propiedad intelectual y fraude a la información privilegiada.  
El robo de propiedad intelectual se da por personas que tratan de obtener una ventaja comercial o pasarla a la competencia. Se realiza por personal en puestos técnicos o de ventas, durante las horas de trabajo y con acceso autorizado. En muchas ocasiones se da de manera rápida en caso de renuncia para llevar la información al nuevo empleo. Una forma de identificar el robo de propiedad intelectual es analizar la frecuencia con que los empleados descargan información de la organización. 
El fraude se considera cuando se manipula o roba información privilegiada con malas intenciones y típicamente contiene información personal o de clientes, pero muy rara vez involucra secretos comerciales y se da fuera de horarios de trabajo por personal de niveles inferiores. 
En todos los casos es posible prevenir, detectar y responder a los ataques internos. Aunque el objetivo es evitar las amenazas internas, por su propia naturaleza es difícil por el acceso autorizado que se tiene a la información que se da precisamente por los empleados de primer nivel en posiciones especializadas de tecnología. Cuando los ataques son a través de cuentas externas, compartidas o de otros empleados no se consideran como acceso autorizado. 
Es importante documentar y hacer cumplir las políticas y controles internos y por los socios de negocio, así como desarrollar un plan de respuesta ante cualquier incidente de amenaza a la información privilegiada.

2 comentarios:

  1. Unos datos interesantes sobre el Cloud Computing y su evolución, y de la importancia de la seguridad en su implantación. Saludos.

    ResponderEliminar
  2. Saludos y muchas gracias por el comentario. Sería interesante compartir experiencias sobre el Cloud Computing y su aplicación. Seguimos en contacto.

    ResponderEliminar

CMMI v2, cinco puntos para entender la nueva versión del modelo

El mes de marzo del 2018 fue el lanzamiento de la versión 2.0 del modelo CMMI (Capability Maturity Model for Integration) por el CMMI Ins...