QUE ES EL CLOUD COMPUTING

Versin 1.0
ICIC

Recomendaciones para empresas

QU ES EL CLOUD COMPUTING?
Recomendaciones para Empresas
Versin 1.0

Pgina 1 de 5

QUE ES EL CLOUD COMPUTING

Recomendaciones para empresas

Versin 1.0
ICIC

QU ES EL CLOUD COMPUTING?
Recomendaciones para Empresas
El Cloud Computing, tambin conocido como Nube, ha sido definido por el NIST
(National Institute of Standards and Technology) como un modelo de servicios escalables
bajo demanda para la asignacin y el consumo de recursos de cmputo. Describe el uso
de infraestructura, aplicaciones, informacin y una serie de servicios compuestos por
reservas de recursos de computacin, redes, informacin y almacenamiento. Estos
componentes pueden orquestarse, abastecerse, implementarse y liberarse rpidamente,
con un mnimo esfuerzo de gestin e interaccin por parte del proveedor de Cloud
Computing y de acuerdo a las necesidades actuales del cliente.

Figura 1 Representacin de la definicin de Cloud Computing del NIST.

Modelos de Servicios
La prestacin de servicios de cloud computing puede asociarse a tres modelos especficos:
Modelo
Infrastructure
as a Service
(IaaS)
Platform as
a Service
(PaaS)

Descripcin
Ofrece al consumidor la provisin de procesamiento, almacenamiento, redes y
cualquier otro recurso de cmputo necesario para poder instalar software,
incluyendo el sistema operativo y aplicaciones. El usuario no tiene control
sobre el sistema de nube subyacente pero si del Sistema operativo y
aplicaciones. Ejemplo: Amazon Web Services EC2.
Ofrece al consumidor la capacidad de ejecutar aplicaciones por ste
desarrolladas o contratadas a terceros, a partir de los lenguajes de
programacin o interfaces provistas por el proveedor. El usuario no tiene
control ni sobre el sistema subyacente ni sobre los recursos de Infraestructura
Pgina 2 de 5

QUE ES EL CLOUD COMPUTING

Recomendaciones para empresas

Versin 1.0
ICIC

de nube. Ejemplo: Microsoft Azure.

Ofrece al consumidor la capacidad de utilizar las aplicaciones del proveedor
Software as
que se ejecutan sobre la infraestructura en la nube. Las aplicaciones son
a Service
accedidas desde los dispositivos cliente a travs de interfaces, por ejemplo un
(SaaS)
navegador web. En este caso, el usuario solo tiene acceso a una interfaz de
configuracin del software provisto. Ejemplo: SalesForce
Tabla 1 Modelos de provisin de servicios de Cloud Computing.
Modelos de Implementacin
Dependiendo de cmo se despliegan los servicios en la nube, existen cuatro modelos que
caracterizan la implementacin de los servicios de Cloud Computing.
Modelo

Descripcin
Es aquel modelo de Nube en el cual la infraestructura y los recursos lgicos
que forman parte del entorno se encuentran disponibles para el pblico en
Nube
general o un amplio grupo de usuarios. Suele ser propiedad de un
Pblica
proveedor que gestiona la infraestructura y los servicios ofrecidos.
Ejemplo: Servicio de GoogleApps.
Es aquel modelo en el cual la infraestructura se gestiona nicamente por
una organizacin. La administracin de aplicaciones y servicios puede estar
a cargo de la misma organizacin o de un tercero. La infraestructura
Nube
asociada puede estar dentro de la organizacin o fuera de ella.
Privada
Ejemplo: Cualquier servicio de nube propio de la organizacin o contratado
a un proveedor pero cuyos recursos sean exclusivos para dicha
organizacin.
Es aquel modelo donde la infraestructura es compartida por diversas
organizaciones y su principal objetivo es soportar a una comunidad
especfica que posea un conjunto de preocupaciones similares (misin,
requisitos de seguridad o de cumplimiento normativo, etc.). Al igual que la
Nube
Nube Privada, puede ser gestionada por las organizaciones o bien por un
Comunitaria
tercero y la infraestructura puede estar en las instalaciones propias o fuera
de ellas.
Ejemplo: El servicio app.goc (www.apps.gov) del gobierno de EEUU, el cual
provee servicios de cloud computing a las dependencias gubernamentales.
Es aquel modelo donde se combinan dos o ms tipos de Nubes (Pblica,
Privada o Comunitaria) que se mantienen como entidades separadas pero
Nube
que estn unidas por tecnologas estandarizadas o propietarias, que
Hbrida
permiten la portabilidad de datos y aplicaciones.
Ejemplo:
Tabla 2 Modelos de implementacin de Cloud Computing.

Pgina 3 de 5

QUE ES EL CLOUD COMPUTING

Recomendaciones para empresas

Versin 1.0
ICIC

RECOMENDACIONES PARA LA ADOPCIN DEL CLOUD COMPUTING EN EMPRESAS

A continuacin compartimos una serie de recomendaciones que sera importante que se
tengan en cuenta al momento de evaluar una solucin de servicio basado en Cloud
Computing:
Llevar a cabo la evaluacin de riesgos en el marco de un proyecto integral de la
Empresa, involucrando a los referentes claves de las distintas reas que estn
involucradas.
Incluir los aspectos legales y regulatorios que apliquen al momento de evaluar los
riesgos en el marco del proyecto de Cloud Computing. Por ej.: Datos Personales,
Datos Sensibles (de acuerdo a lo establecido en la Ley 25326).
Tener en cuenta los requerimientos de seguridad de la informacin involucrada en
el marco del proyecto de Cloud Computing.
Considerarlo un proyecto de la Empresa y no nicamente de IT o Tecnologa.
Incluir las responsabilidades y requisitos de seguridad de la informacin en el
contrato de servicios de Cloud Computing o Service Leve Agreement (SLA)
involucrado.
Definir los requisitos de seguridad que debe implementar el proveedor de Cloud
Computing al momento de gestionar los incidentes de seguridad, en un todo de
acuerdo con el proceso de gestin de incidentes de la Empresa.
Analizar los trminos y condiciones, ofreciendo propuestas sobre aquellos puntos
en los que no haya acuerdo. Si los trminos y condiciones no cubren los requisitos,
no se deberan aceptar, aunque ello signifique no utilizar el servicio.
Verificar que existan clusulas al momento de finalizar el servicio, relacionadas con
la seguridad de la informacin involucrada y los requisitos establecidos para su
disposicin. Por ej: borrado seguro, devolucin, etc.
Una buena herramienta para ayudar seleccin de un proveedor de Cloud
Computing es el Consensus Assessments Initiative (CAI) de la Cloud Security
Alliance (CSA). Consiste en un cuestionario que, a travs de las distintas
respuestas, permite identificar la gestin de la seguridad por parte del proveedor
de Servicios de Cloud.
Verificar si el proveedor de Cloud Computing se encuentra registrado en el
proyecto Security, Trust, and Assurance (STAR) de Cloud Security Alliance (CSA), en
el mismo se pueden conocer distintos aspectos de seguridad implementados en el
servicio de Cloud Computing.
Tener en cuenta que aunque se seleccione un determinado proveedor de Cloud
Computing, seguimos siendo los responsables por el cuidado de la informacin.
Mantener los controles de seguridad propios que sean adecuados, aunque se
seleccione un servicio de Cloud Computing. Por ej: Respaldo de la Informacin.
Estar al tanto de los incidentes de seguridad que se presenten e involucren al
proveedor de Cloud Computing seleccionado.

Pgina 4 de 5

QUE ES EL CLOUD COMPUTING

Recomendaciones para empresas

Versin 1.0
ICIC

UTILIZA LAS NUEVAS TECNOLOGIAS, CONOCE SUS RIESGOS

Informe realizado por Mariano M. del Ro (@mmdelrio)

Information Security Consultant en SIClabs (@siclabs)
Board Member del Captulo Argentino de la Cloud Security Alliance (@cloudsa_arg)
Revisin realizada por el Grupo de Expertos en Seguridad Informatica y Legislacin
Informatica del Programa Nacional de Infraestructuras Criticas de Informacin y
Ciberseguridad ICIC (www.icic.gov.ar)

Referencias
Cloud Security Alliance:
http://www.cloudsecurityalliance.org
Cloud Security Alliance Chapter Argentina
http://chapters.cloudsecurityalliance.org/argentina/
NIST SP800-145: The NIST Definition of Cloud Computing
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
Infografa sobre Modelos de Implementacin de Cloud Computing:
http://wikibon.org/blog/wp-content/uploads/2010/12/cloud-computing-landscape-full.html
Gua para la Seguridad en reas Crticas de atencin en Cloud Computing (CSG):
https://cloudsecurityalliance.org/research/security-guidance/
Cloud Assessment Initiative (CAI):
https://cloudsecurityalliance.org/research/cai/
Security, Trust & Assurance (STAR):
https://cloudsecurityalliance.org/research/initiatives/star-registry/
Riesgos y Amenazas del Cloud Computing:
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en
_cloud_computing.pdf

Pgina 5 de 5