Licenciatura en Sistemas de Información
Seminario de Investigación
Trabajo Integrador Final
“Informática en la Nube”
Confidencialidad y Disponibilidad de los Datos
Alumno: Lucas Baranovic
Profesores: Alberto Kreig – Gustavo Farabollini
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
Índice
Resumen ...................................................................................................................... 1
Capítulo I: Introducción .......................................................................................... 2
1.1 - Objetivo General ................................................................................................ 3
1.1.1 - Objetivos Específicos............................................................................. 3
1.2 – Justificación ....................................................................................................... 3
Capítulo II: Aspectos Metodológicos ................................................................. 5
2.1 - Hipótesis ............................................................................................................ 6
2.2 - Universo de Análisis ............................................................................................ 6
2.3 - Encuadre Disciplinar ........................................................................................... 7
2.4 - Tipo de Investigación .......................................................................................... 7
2.5 - Fuentes de Información ...................................................................................... 7
2.6 - Diseño de Instrumentos ...................................................................................... 7
Capítulo III: Marco Teórico .................................................................................... 9
3.1 - Definición de La Nube ......................................................................................... 11
3.2 - Particularidades de “la Nube” ............................................................................. 14
3.3 - Arquitectura General de la Informática en la Nube ............................................ 15
3.4 - Trabajando en la Nube ....................................................................................... 16
3.4.1 - Diferencias con el trabajo local ............................................................. 16
3.4.2 - Ventajas y Desventajas ......................................................................... 17
3.5 – Aplicaciones y Servicios en la Nube: conceptos .................................................. 20
3.5.1 – GoogleDrive ......................................................................................... 20
3.5.2 – Adrive .................................................................................................. 20
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
3.5.3 – Mega ................................................................................................... 21
3.5.4 – Dropbox ............................................................................................... 21
3.5.5 – GoogleDocs .......................................................................................... 21
3.5.6 – Pixlr ..................................................................................................... 22
3.5.7 – Prezi .................................................................................................... 22
3.5.8 – Ezyzip................................................................................................... 22
3.5.9 – Oodesk ................................................................................................ 23
Capítulo IV: Análisis de Riesgos ........................................................................... 24
4.1 - Riesgos asociados a la utilización de la Nube ........................................................ 25
4.1.1 - Cautividad en un Proveedor .................................................................. 25
4.1.2 - Pérdida de Gobernabilidad.................................................................... 26
4.1.3 - Término o Falla del Servicio................................................................... 26
4.1.4 - Empleado malicioso en el Proveedor..................................................... 26
4.1.5 - Fallas en la Aislación ............................................................................. 26
4.1.6 - APIs e Interfaces Inseguras .................................................................... 27
4.1.7 - Protección de Datos .............................................................................. 27
4.1.8 - Eliminación Incompleta o Insegura de los Datos .................................... 28
4.1.9 - Intercepción de los Datos en Tránsito ................................................... 28
4.1.10 - Ataques de Ingeniería Social ............................................................... 28
4.1.11 - Pérdida de las Claves de Encriptación .................................................. 29
4.1.12 - Modificación del Tráfico de red ........................................................... 29
4.1.13 - Denegación Económica de Servicio ..................................................... 29
4.2 - Técnicas Generales para mitigar los riesgos .......................................................... 30
4.3 - Migración parcial hacia la Nube ............................................................................ 31
4.4 - Migración total hacia la Nube ............................................................................... 31
4.5 - Recomendaciones para la utilización de la Nube .................................................. 31
Capítulo V: Utilización de Servicios en La Nube ............................................ 33
5.1 - Utilización de Discos Virtuales .............................................................................. 34
5.1.1 - Análisis de GoogleDrive......................................................................... 34
5.1.2 - Análisis de ADrive ................................................................................. 35
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
5.1.3 - Análisis de Mega ................................................................................... 37
5.1.4 - Análisis de Dropbox .............................................................................. 38
5.1.5 - Costos: Cuadro Comparativo ................................................................. 40
5.2 - Aplicaciones en la Nube ....................................................................................... 40
5.2.1 - Análisis de GoogleDocs ......................................................................... 40
5.2.2 - Análisis de Pixlr ..................................................................................... 42
5.2.3 - Análisis de Prezi .................................................................................... 42
5.2.4 - Análisis de Ezyzip .................................................................................. 43
5.3 - Sistemas Operativos en la Nube ........................................................................... 44
5.3.1 - Análisis de OOdesk................................................................................ 44
Capítulo VI: Análisis de Resultados .................................................................... 46
6.1 - Recolección de Datos de la Entrevista .................................................................. 47
6.2 - Relevamiento de Artículos sobre la Informática en la Nube .................................. 48
6.3 - Recolección de Datos de la Encuesta .................................................................... 49
6.4 - Presentación de las Estadísticas ........................................................................... 50
CAPÍTULO VII: Conclusión ...................................................................................... 53
Glosario
Bibliografía
Anexos
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
1
Resumen
El concepto de “la informática en la nube” (conocido en inglés
como “Cloud Computing”) empezó en proveedores de servicio de Internet a gran escala, como
Google, Amazon AWS, Microsoft y otros que construyeron su propia infraestructura. De entre
todos ellos emergió una arquitectura: un sistema de recursos distribuidos horizontalmente,
introducidos como servicios virtuales de TI escalados masivamente y manejados como
recursos configurados y funcionando de manera continua.
El software como servicio se encuentra en la capa más alta y
caracteriza una aplicación completa ofrecida como un servicio, en-demanda, vía multitenencia
(lo cual significa que una sola instancia del software que corre en la infraestructura del
proveedor y sirve a múltiples organizaciones de clientes).
Dado que la informática en la nube no permite a los usuarios
poseer físicamente los dispositivos de almacenamiento de sus datos (con la excepción de la
posibilidad de copiar los datos a un dispositivo de almacenamiento externo), deja la
responsabilidad del almacenamiento de los mismos y su control en manos del proveedor.
La informática en la nube ha sido criticada por limitar la libertad
de los usuarios y por hacerlos dependientes del proveedor de servicios.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
2
Capítulo I
Introducción
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
3
1.1 - Objetivo General
Llevar a cabo un análisis de los servicios y aplicaciones en la nube, utilizando los mismos para determinar de forma precisa el nivel de confidencialidad y disponibilidad de nuestros datos privados almacenados en la nube y establecer con certeza qué riesgos corren los mismos y de esta manera, conocer las ventajas y desventajas que ofrece esta nueva tecnología respecto a la utilización actual, en forma local de aplicaciones y servicios similares.
1.1.1 - Objetivos Específicos
● Conocer las rutas específicas para encontrar información sobre la nube en internet.
● Investigar a las empresas que ofrecen servicios en la nube propuestas en la Hipótesis, y probar sus aplicaciones.
● Determinar el nivel de agilidad en la gestión de archivos que nos ofrecen las aplicaciones y servicios en la nube.
● Discernir la importancia que tienen los recursos locales y remotos al utilizar los servicios en línea.
● Establecer el ancho de banda adecuado para prescindir de una computadora con aplicaciones locales y en cambio, utilizarlas en la web.
● Descubrir las ventajas y desventajas que ofrece a los usuarios finales almacenar los datos en un disco virtual en línea.
1.2 - Justificación
Resulta claro para quienes utilizamos una computadora e internet a
diario, que la informática en la nube es sin lugar a dudas el futuro de la computación.
Prescindir de un PenDrive o de una computadora que deba tener gran capacidad de
procesamiento y almacenamiento es atractivo para todos los que hacemos uso de las
herramientas informáticas actuales, tanto en lo personal como en lo laboral. Sin embargo
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
4
surgen dos interrogantes demasiados importantes como para ignorarlos a la hora de migrar
hacia estas nuevas formas de TIC’s.
Tener nuestros datos almacenados en línea, siendo todos ellos
accesibles simplemente a través de un nombre de usuario y una contraseña, nos hace dudar
acerca del nivel de privacidad de los mismos, dado el grado de vulnerabilidad de acceso que
actualmente padecen la gran mayoría de los servicios en la nube. La lógica nos lleva a pensar
que si es posible que descubran la contraseña de nuestro correo electrónico, o de nuestra
cuenta de Facebook, también es posible que descubran la contraseña que utilicemos para
almacenar nuestros datos privados en la nube, nadie nos garantiza lo contrario.
El segundo interrogante que surge es acerca del nivel de
disponibilidad de nuestros propios datos, con qué velocidad podremos acceder a los mismos y
si podremos hacerlo en cualquier momento. Qué pasa si necesitamos un dato y por alguna
razón, como puede ser la caída de nuestro proveedor de servicios (ISP), no contamos con
internet, o quizás el servicio en la nube que utilizamos no está disponible por razones técnicas
u otros motivos.
Son cuestiones que la presente investigación debe responder a los
efectos de llegar a una conclusión que ofrezca cierta claridad acerca de la confidencialidad y
disponibilidad de nuestra información almacenada en la nube.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
5
Capítulo II
Aspectos Metodológicos
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
6
2.1 – Hipótesis
La informática en la nube ofrece un uso mucho más eficiente de
recursos respecto al software de una Computadora Personal (ya sea de Escritorio, Notebook,
Netbook o Tablet), como memoria, procesamiento, almacenamiento; mejora la gestión de
archivos y ancho de banda, al proveer solamente los recursos necesarios en cada momento
para las aplicaciones. Sin embargo no brinda un nivel de confidencialidad y disponibilidad
adecuado sobre nuestros propios datos almacenados en la nube.
2.2 - Universo de Análisis
La investigación se llevó a cabo utilizando como fuente principal a
Internet, enfocando el problema en la falta de privacidad y confidencialidad de los datos que
pudiera existir en los servicios en la nube. Como consecuencia, el área de estudio abarca a los
siguientes servicios que ofrecen la posibilidad de almacenar datos en la nube: GoogleDrive,
Adrive, Mega y Dropbox. Como así también a aquellos que además, como complemento,
ofrecen aplicaciones en línea de diversos usos como lo son: Google Docs (similar a Office), Pixlr
(edición de imágenes), Prezi (presentaciones power point) y Ezyzip (compresor/descompresor
de archivos).
Se analizó también OOdesk, un Sistema Operativo en la nube, el
cual, al igual que sus pares aún está en vías de desarrollo, y existen sólo unos pocos, con
funcionalidad un tanto limitada, aunque es deseable conocerlo e incluirlo en la problemática
planteada por esta investigación a los efectos de intentar una utilización 100% “en la nube” de
gran parte de los recursos que utilizamos actualmente, a diario, en nuestras computadoras
personales, para lograr establecer un buen punto de comparación entre el uso de la
computadora en forma local y su utilización en forma casi totalmente remota (dejándole a la
computadora el simple papel de “interfaz” cliente), ya que ésta es justamente la tendencia
actual y el objetivo de la informática en la nube para un futuro no muy lejano.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
7
2.3 - Encuadre Disciplinar
El presente trabajo de investigación se clasifica dentro de los
sectores informáticos referidos a la utilización de la computadora en un entorno remoto
accesible desde internet, puntualmente nos referimos a estas nuevas TIC’s que representan los
servicios en la nube.
Como metodología de trabajo llevó a cabo el análisis de distintos
servicios en la nube, cada uno con funciones específicas y diferentes entre sí a los efectos de
abarcar funcionalidades que normalmente se realizan en una computadora de escritorio para
así poder comparar aplicaciones similares que funcionan en forma local y en forma remota, las
cuales intentan brindar similares resultados en entornos hogareños como así también
empresariales.
Así mismo se recopilaron datos acerca de la utilización de tales
servicios por parte de un grupo de usuarios que fueron encuestados a través de “Google
Docs”, utilizando su herramienta de encuestas en línea.
2.4 - Tipo de Investigación
La presente, se trata de una investigación cuantitativa ya que se
utilizaran herramientas existentes para llevarla a cabo y exploratoria debido a que la misma se
llevó a cabo sobre un tema poco estudiado, por lo que los resultados constituyen una visión
aproximada de tal tema.
2.5 - Fuentes de Información
Utilización y análisis de Servicios en la nube.
Encuestas en línea a personas que utilicen servicios en la nube.
Entrevistas en línea realizadas a profesionales informáticos.
2.6 - Diseño de Instrumentos
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
8
Los instrumentos que conforman esta investigación a los efectos de
recopilar información acerca de la utilización de servicios en la nube, consisten en una
encuesta especialmente diseñada para tal fin para conocer la opinión de terceros (ver Anexo I);
como así también la realización de pruebas online a los servicios web propuestos en el
Universo de Análisis. La encuesta se realizó en línea, utilizando la herramienta gratuita que
ofrece Google Docs. Para difundir tal instrumento se utilizó el Correo Electrónico y Facebook.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
9
Capítulo III
Marco Teórico
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
10
Internet nace después de una serie de investigaciones que inició el
departamento de defensa de Estados Unidos. De tales investigaciones surgió lo que se
denominó como “ARPAnet” (Advanced Research Projects Agency y Network) que
posteriormente recibiría el nombre “Internet” como se conoce hoy en día. En 1992 se logran
conectar 1.000.000 de personas por medio de red telefónica, a partir de ahí, internet se fue
haciendo cada vez más popular entre las personas, empresas, países y centros educativos.
Poco a poco se fue expandiendo hasta ser lo que hoy todos conocemos y utilizamos a diario.
Toda la información que nos dirige hacia la red, se encuentra en
una o en varias computadoras denominadas servidores, los cuales se encargan de responder y
enviar lo que solicita la computadora que se conecta a él. Este servidor no es una computadora
común, como la que muchos de nosotros poseemos en nuestro hogar o lugar de trabajo. Ésta
debe regirse por la relación cliente/servidor. El servidor provee un servicio para que el cliente
lo consuma, por lo general, parte del procesamiento de datos se lleva a cabo en el servidor y
otra parte, menos importante, en la computadora del usuario.
La informática en la nube, es una tecnología relativamente nueva
basada en la relación antes mencionada de cliente/servidor. El tipo de servidor utilizado en
este caso es el servidor de datos. Este tipo de servidor es una computadora que contiene el
sistema operativo (el software “base” de toda computadora, el más común es Windows en
cualquiera de sus ediciones, aunque existen otros como por ejemplo Linux) y todas las
aplicaciones (programas utilizados para hacer cálculos, o para editar y crear archivos de texto,
entre otros) que tendrán disponibles todas las computadoras que se conecten a él como
clientes. Por ende una computadora cliente no necesita ser una con demasiados recursos
(entiéndase a recursos como memoria RAM, procesador, disco rígido, entre otras piezas de la
computadora cuya función es hacer que la misma funcione y, entre más de ellos disponga, más
será la cantidad de datos que pueden ser almacenados en ella, mayor la cantidad de procesos
pueden estar siendo realizados simultáneamente y que tan rápidamente se realicen éstos).
En el caso de una computadora cliente, no es necesario que los
recursos sean demasiados ya que por ejemplo los datos no serán almacenados ni procesados
en ella, ni siquiera en su sistema operativo, todo se va a encontrar en el servidor, el cual si
debería de tener una cantidad alta de recursos, ya que todo estará almacenado en él y todo
será procesado por él. Lo cual, teniendo en cuenta que varios usuarios al mismo tiempo
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
11
podrían estar utilizándolo, es un detalle importante a tener en cuenta al momento de elegir un
servicio o aplicación en la nube.
Por todos los beneficios antes mencionados acerca de la
informática en la nube, es que se ha decidido realizar esta investigación, cuyo fin es dilucidar
qué tan protegidos están nuestros datos en la nube y que nivel o disponibilidad de acceso
tendremos a los mismos al utilizar esta nueva tecnología.
3.1 - Definición de “La Nube “
El término “Nube” (“Cloud” en inglés) comenzó a ser utilizado por
profesionales de redes para referirse a un sector en donde se desconoce la topología o el
modo de operar de una red, pero que a través de la cual se tiene acceso a otras computadoras
con las que se establece comunicación. Por lo general esta nube se utiliza para representar a
Internet, red que permite la comunicación entre dispositivos a nivel mundial, como se aprecia
en la Figura Nº 1.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
12
Figura Nº 1: “Internet entendida como Nube”
(Fuente: http://ticparatodos.pe/)
Para el Instituto Nacional de Estándares y Tecnologías de Estados Unidos (NIST), “La
Informática en la Nube” se define como:
“Un modelo para habilitar acceso conveniente por demanda a un conjunto
compartido de recursos computacionales configurables (por ejemplo: redes,
servidores, almacenamiento, aplicaciones y servicios), que pueden ser
rápidamente aprovisionados y liberados con un esfuerzo mínimo de
administración o de interacción con el proveedor de servicios.” 1
De acuerdo a la anterior definición, “Informática en la Nube” se
entiende como un modelo que brinda servicios informáticos cuyo propósito principal es la
escalabilidad. Desde el punto de vista del usuario, los servicios son “elásticos”, esto quiere
1 National Institute of Standards and Technology (NIST): "The NIST Definition of Cloud Computing",
(27/04/2012) http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf (Visitado el 24/01/2013)
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
13
decir que pueden crecer o recuperar su tamaño original de forma rápida y sencilla;
posibilitando que los organismos se desentiendan de la administración física de los recursos y
distribuyan adecuadamente su capital sin tener que realizar costosas inversiones para atender
requerimientos temporales, centrando la totalidad de sus esfuerzos en objetivos particulares
de su negocio. Tal orientación permite a los usuarios que acceden a los servicios, percibir que
todo funciona de manera simple y rápida, resultando así una experiencia mucho más
gratificante. 2
La Informática en la Nube no es una nueva tecnología. El auge en
el uso de este concepto fue impulsado por compañías como Amazon.com que desempeñaron
un papel clave en el desarrollo de la Informática en la Nube al modernizar sus “Data Center”
luego de la denominada “explosión de la burbuja .com” (entre 1997 y 2001) 3. Amazon
utilizaba solamente el 10% de su capacidad por lo que comenzó a proveer acceso a sus
sistemas a través de su plataforma “Amazon Web Services” mediante sus servicios Simple
Storage Service (S3) y Elastic Compute Cloud (EC2) en el año 2006. 4
En el 2007, la empresa Google junto con IBM y ciertas
universidades encararon un proyecto de investigación sobre “la Informática en la Nube” a gran
escala que ha propuesto su desarrollo basado en estándares abiertos. 5
2 Cloud Computing Latinoamérica: "Que es Cloud Computing?" (19/04/2010)
http://www.cloudcomputingla.com/2010/04/que-es-cloud-computing.html Visitado el 24/01/2013
3 Wikipedia: "Burbuja punto com" (24/10/2012) http://es.wikipedia.org/wiki/Burbuja_punto_com Visitado el 24/01/2013
4 Wikipedia: "Amazon Web Services" (31/12/2012) http://en.wikipedia.org/wiki/Amazon_Web_Services Visitado el 24/01/2013
5 Steve Lohr para New York Times: "Google and I.B.M. Join in ‘Cloud Computing’ Research" (08/10/2007) http://www.nytimes.com/2007/10/08/technology/08cloud.html?_r=3&ex=1349496000&en=92627f0f65ea0d75&ei=5090&partner=rssuserland&emc=rss&oref=slogin& Visitado el 24/01/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
14
3.2 - Particularidades de “la Nube”
El NIST describe cinco características esenciales de la Informática en la Nube.6 Estas son:
Rapidez y Elasticidad:
Elasticidad se define como la habilidad para escalar recursos de forma ascendente y descendente según se necesite. En algunos casos esta capacidad se realiza de manera automática para proveer el dimensionado correspondiente de forma rápida. Para los clientes, las capacidades disponibles aparentan ser ilimitadas y pueden adquirirse en cualquier cantidad y en cualquier momento.
Servicio Supervisado:
En un servicio supervisado, los aspectos del servicio Cloud pueden seguirse, controlarse y notificarse, lo que aporta transparencia tanto para el proveedor como para el consumidor del servicio utilizado. Esto es crucial para la facturación, control de acceso, optimización de recursos, planificación de capacidad y otras tareas.7
Auto-Servicio bajo Demanda:
Los aspectos de autoservicio y on-demand de La Informática en la Nube significan que un cliente puede usar servicios en la nube, según necesite sin ninguna interacción humana con el proveedor delos servicios.
Ubicuidad de acceso de red:
6 “Cloud Computing Use Cases Whitepaper”, v3.0, Página 8, Essential Characteristic, Octubre de 2009. -
http://opencloudmanifesto.org/Cloud_Computing_Use_Cases_Whitepaper-3_0.pdf Visitado el 24/01/2013
7 “Guía para la Seguridad en áreas críticas de atención en Cloud Computing”, V2.0, Cloud Security Alliance, Noviembre 2009. – Leído el 24/01/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
15
Acceso ubicuo a la red significa que las capacidades del proveedor de servicios están disponibles en la red y pueden ser accedidas a través de mecanismos estándar que fomentan el uso por parte de plataformas de clientes heterogéneas tales como teléfonos móviles, Notebooks, PDA, etc.
Fondo común de Recursos:
El fondo común de recursos permite a un proveedor de La Informática en la Nube servir a sus clientes a través de un modelo de multiposesión en el que los recursos computacionales se ponen en reservas en común para que puedan ser utilizados por múltiples clientes. Los recursos físicos y virtuales son asignados y reasignados dinámicamente de acuerdo a la demanda del consumidor. Hay una sentido de independencia de la ubicación física en la que los cliente generalmente no tiene control o conocimiento sobre la ubicación exacta de los recursos asignados, pero se puede especificar una ubicación a un nivel más alto de abstracción (por ejemplo, país, estado, o de centros de datos). Algunos ejemplos de recursos son: almacenamiento, procesamiento, memoria, ancho de banda y máquinas virtuales.
3.3 - Arquitectura General de la Informática en la Nube
La siguiente figura representa de forma general a los modelos y a las características esenciales sobre la Informática en la Nube
(Fuente: “Guía para la seguridad en áreas críticas de atención en La Informática en la Nube” - Versión 2 - Noviembre 2009)
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
16
3.4 - Trabajando en la Nube
Tomando en cuenta el modelo de despliegue y las cinco
características del modelo de la Informática en la Nube que define el NIST, podemos definir
una lista de beneficios del modelo y que han sido aceptados de forma unánime por todos los
usuarios de “la nube”. Para abarcar este tema se tendrán en cuenta dos puntos de vista: el
primero referente a la perspectiva que tiene el negocio y en segundo lugar la perspectiva
desde el ambiente técnico. Finalmente, se describirán las desventajas que existe en este
modelo y que pueden llegar a ser tan numerosas como los beneficios. (Sosinsky, 2011) y (Varia,
2011).8
3.4.1 - Diferencias con el trabajo local
Antes de la Informática en la Nube, cuando se pensaba en los
servicios de infraestructura necesarios para un nuevo software debíamos analizar cuál sería el
escenario “normal” de funcionamiento. Eso nos obligaba a tener que planificar muy bien qué
recursos serían necesarios. Debíamos hacer suposiciones sobre la cantidad de usuarios
concurrentes, picos de trabajo, dimensionar servidores y adquirir o contratar todo lo
necesario.
Lo mencionado en el párrafo anterior presentaba dos problemas:
tener que contratar más de lo necesario para una situación inicial (lo que se traduce en un
mayor riesgo en la inversión inicial de capital) o que la aplicación tenga más demanda de la
esperada, siendo complicado adaptarse (generando demoras y pérdida de clientes presentes o
potenciales).
Inclusive si la aplicación era muy demandada (y exitosa) suponía
volver a pensar y planificar nuevamente la infraestructura para poder soportar las demandas
8 Manuel Vieda: "Beneficios y Desventajas del Modelo de Cloud Computing" (24/07/2011)
http://manuelvieda.com/2011/07/beneficios-desventajas-del-modelo-de-cloud-computing/ Visitado el 24/01/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
17
presentes y futuras. Con la aparición de internet el problema se multiplicó, ya que los
escenarios “exitosos” podrían presentar millones de usuarios.
Actualmente los métodos de comercialización de los servicios de
infraestructura en la Nube nos permiten acceder a infraestructura bajo demanda y en forma
dinámica, pagando sólo por el consumo que se realice. Lo cual permite manejar costos de
infraestructura acordes a los beneficios obtenidos por el uso de nuestros servicios prestados
efectivamente.9
3.4.2 - Ventajas y Desventajas
Ventajas (desde el punto de vista Técnico)
Automatización: el modelo de desarrollo que presenta la informática en la
nube permite contar con una infraestructura creada y controlada por “scripts”,
permitiendo así crear procesos de despliegue de aplicaciones y recursos
nuevos de forma automática a través del uso de sistemas automatizados
basados en las APIs del proveedor.
Escalabilidad: el proceso descrito anteriormente, dentro de la infraestructura,
posibilita que las aplicaciones “escalen” de manera inmediata a razón de la
demanda inesperada que esté experimentando, sin intervención de ningún
operador. A su vez, permite contar con un escalonamiento proactivo en donde
una aplicación puede escalar hacia arriba o hacia abajo a los efectos de
atender una demanda anticipada, a través del entendimiento de patrones de
uso de las aplicaciones y del adecuado uso de planificación de eventos,
buscando siempre el menor costo.
Ciclos de Desarrollo más Eficientes: a través del la Informática en la Nube es
posible tener ambientes de desarrollo, de pruebas y de producción en todas
las organizaciones, garantizando que todas las aplicaciones producidas
cumplen con altos niveles de calidad. Pero la ventaja no se limita solo a la
9 Global Logic: "En que se diferencia Cloud Computing de la tradicional forma de ofrecer servicios"
(20/04/2012) http://club.globallogic.com.ar/2012/04/20/en-que-se-diferencia-cloud-computing-de-la-tradicional-forma-de-ofrecer-servicios/ Visitado el 24/01/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
18
posibilidad de contar con los ambientes para cada ciclo, sino que permite
hacerlo de manera eficiente con el simple hecho de clonar el ambiente de
producción, o reemplazando al mismo por el de pruebas, cuando se aseguró la
calidad de las nuevas funciones.
Mejor Capacidad de Prueba: continuando con la ventaja anterior, dentro del
ambiente de pruebas es posible obtener un ambiente adecuado para tales
fines, sin limitaciones de hardware y/o software, como ocurre generalmente
en las organizaciones que no cuentan con infraestructura en la nube. De igual
forma se reduce el costo al hacer el despliegue y uso de unidades de prueba
sólo en los momentos necesarios y pagando únicamente por su periodo de
uso.
Recuperación ante desastres y continuidad de Negocio: la informática en la
nube ofrece soluciones de bajo costo para el mantenimiento de plataformas
de recuperación, tanto de servidores y sus aplicaciones así como de
información o datos. Además, es posible utilizar la amplia distribución
geográfica de la infraestructura del proveedor para replicar ambientes en
varias ubicaciones alrededor del mundo, en minutos.
Desventajas de la Utilización de la Informática en la Nube:
Servicios poco personalizables: para pequeñas y medianas organizaciones este
puede ser el punto más crítico y más dificultoso en comparación a las grandes
organizaciones, quienes cuentan con un Departamento de TI con personal
capacitado para realizar todas las tareas de ajuste y personalización de las
aplicaciones a sus necesidades. Por lo general, las aplicaciones que responden
al esquema de SaaS son algo de lo que se puede disponer pero no modificar.
En muchos casos las aplicaciones desarrolladas bajo demanda, a las que se
tiene acceso en el modelo tradicional suelen tener una gran cantidad de
funcionalidad desarrolladas específicamente para el usuario, lo cual no ocurre
por lo general en la nube y esto suele ser un gran obstáculo para ser parte de
la nube.
Alta Latencia: absolutamente todas las aplicaciones en la nube sufren este
problema asociado a la latencia generada por las conexiones WAN con la que
el usuario se conecta a la infraestructura de la nube. Esta restricción hace que
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
19
las aplicaciones con tareas de alto procesamiento de datos sean óptimas para
usar este modelo, mientras que las aplicaciones que requieren de la
transferencia de volúmenes de datos considerables o con modelos de
transferencia de mensajes, de cualquier tamaño, entre varias unidades de
procesamiento, no lo son debido a la latencia en las comunicaciones.
Sistema “sin Estado”: los sistemas en la nube no tienen la capacidad de llevar
un estado de las comunicaciones, como ocurre por lo general en casi cualquier
sistema en internet. La misma arquitectura de este tipo de infraestructuras
hace que las comunicaciones deban ser unidireccionales, como ocurre con
todas las solicitudes HTTP que se realizan (PUT y GET), logrando que cada
petición tenga su respuesta pero sin garantizar que se tenga una conversación
a través de varias peticiones. Esto se debe a que cada mensaje, al ser un
sistema distribuido, puede tomar rutas diferentes y no se garantiza el orden de
llegada de cada mensaje, aunque debido a esta naturaleza se garantiza que
todos los mensajes son entregados. Esto hace que sea necesario la
implementación de encabezados y de capas intermedias para lograr este tipo
de funcionalidades.
Privacidad y Seguridad: una de las desventajas más graves que existe
actualmente, al tiempo de ser el reto más grande que afrontan las compañias,
y que cualquier usuario que desee utilizar un sistema en la nube debe tener en
cuenta es la privacidad y la seguridad de sus propios datos. Aun cuando el
proveedor del servicio, por medio de acuerdos de niveles de servicio (SLA) se
comprometa a llevar un control de la seguridad de las aplicaciones y la
infraestructura, así como de la privacidad de la información almacenada en sus
instalaciones, existe un riesgo remanente que no puede ser eliminado ni
olvidado. Al estar la información viajando y permaneciendo en una
infraestructura que no se puede controlar, se incrementa el riesgo de que
dicha información pueda ser interceptada o modificada por un tercero. Pero el
peor problema consiste en el marco legal que involucra y que todavía no ha
sido desarrollado para estos ambientes de prestación de servicios.
Actualmente, aunque es posible delegar las funciones, no es posible delegar la
responsabilidad de la información, así que ante el gobierno es la empresa la
responsable de ésta, por lo que al no tener el control de la infraestructura
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
20
donde está viviendo, es decir la nube, no es posible tomar las medidas de
protección o al menos no se sabe con qué medidas cuenta el proveedor para
asegurar el nivel de seguridad exigido debido a la virtualización de los
ambientes.
3.5 – Aplicaciones y Servicios en la Nube: conceptos
La tecnología de la Informática en la Nube permite alojar
aplicaciones y servicios desde otros equipos, lo que elimina la necesidad de adquirir y
mantener hardware. Son varias las formas en que se puede utilizar la nube como plataforma
para las aplicaciones y los servicios, a continuación veremos un listado con las aplicaciones y
servicios que más demanda tienen actualmente en internet.
3.5.1 - Google Drive https://drive.google.com
Google Drive es el servicio de disco virtual ofrecido por Google. Brinda 5 GB
de almacenamiento gratuito. Está disponible en Español y es compatible
con PC y Mac, Chrome OS, iPhone y iPad, Dispositivos Android.
3.5.2 – ADrive https://www.adrive.com
Servicio de alojamiento de archivos multiplataforma en la nube, operado por la
compañía ADrive.com. El servicio permite a los usuarios almacenar y sincronizar
archivos en línea así como realizar copias de seguridad online. El servicio de
disco virtual es compatible con Windows, Linux y Mac. Existen diferentes
versiones: gratuitas y de pago. Las cuentas gratuitas permiten a los usuarios
disponer de 50 GB de almacenamiento online a través de un navegador web.
Las versiones de pago cuentan con más funcionalidades como son WebDAV, el
soporte 24/7, la encriptación SSL y la recuperación de versiones anteriores de
un archivo.10
10 Wikipedia: "Adrive" (20/05/2012)
http://es.wikipedia.org/wiki/Adrive Visitado el 06/02/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
21
3.5.3 – Mega https://mega.co.nz/
Entrega 50 GB gratuitos de disco virtual para que los usuarios alojen material,
el cual según Dotcom (su creador) queda cifrado y es inviolable.
Este servicio es el sucesor de Megaupload.com y ha sido lanzado a principios
del pasado año 2013.
3.5.4 – Dropbox https://www.dropbox.com/
Es una aplicación gratuita, disponible para Windows, Mac y Linux. Crea
una carpeta en nuestra computadora y realiza una copia (réplica) en la
nube de todos los archivos que depositemos en ella (similar a
GoogleDrive). Se ocupa de mantener la copia de nuestros archivos
siempre sincronizada, es decir, cada vez que hagamos un cambio en
nuestros documentos, por pequeño que sea, lo detectará y volverá a
copiárselo al instante, conservando la versión antigua por si la
necesitamos en el futuro.
3.5.5 – GoogleDocs
https://docs.google.com/?hl=es
Es un conjunto de productos que permite crear distintos tipos
de documentos, trabajar en ellos con otros usuarios en tiempo
real y almacenar documentos y otros archivos. Todo online y
de forma gratuita. Con una conexión a Internet, permite
acceder a documentos y archivos desde cualquier
computadora. Incluso permite hacer algunas tareas sin
necesidad de conectarse a Internet.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
22
3.5.6 – Pixlr http://pixlr.com/
Un completo y potente editor de imágenes y fotografías muy al estilo
“Photoshop”. Esta aplicación en la nube es gratuita y permite, a
través de una interfaz similar a la de cualquier aplicación igual de
escritorio, editar todo tipo de archivos de imágenes. Pixlr es sin duda
una excelente herramienta de edición fotográfica, es muy sencilla,
rápida y no es necesario registrarse para poder usarla.
3.5.7 – Prezi http://prezi.com/
Es una aplicación multimedia para la creación de presentaciones similar a
Microsoft Office PowerPoint, con la salvedad de que Prezi funciona íntegramente
en la nube. La principal característica de Prezi es la posibilidad de organizar la
información en forma de un esquema y exponerlo con libertad sin la secuencia de
diapositivas.
3.5.8 – Ezyzip http://www.ezyzip.com/
Es un completo y gratuito compresor/descompresor de archivos online con el cual
podremos comprimir más de un archivo totalmente en línea y sin necesidad de
registrarnos. Tan solo basta con acceder a esta aplicación en la nube para poder
subir varios archivos. Una vez seleccionados los archivos que deseamos comprimir
solo nos falta hacer clic sobre el botón “ZIP EM!” para que la aplicación comience a
trabajar.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
23
3.5.9 – Oodesk
http://www.oodesk.com/home.php?lg=es
OODesk es un Escritorio Virtual (similar al Escritorio de Windows)
desde el que podemos acceder a un editor de texto, hoja de cálculo,
lectores de feeds y muchas otras herramientas bastante útiles.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
24
Capítulo IV
Análisis de Riesgos
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
25
4.1 - Riesgos asociados a la utilización de la Nube
Para identificar los principales riesgos que podrían afectar los diferentes servicios de la Informática en la Nube, se han tomado como referencia los siguientes documentos:
o La Informática en la Nube. Beneficios, Riesgos y Recomendaciones para la seguridad de la Información. Estudio realizado el año 2009 por The European Network and Information Security Agency (ENISA). Agencia creada por la Unión Europea para promover el funcionamiento interno del mercado europeo. ENISA brinda consejos, recomendaciones y buenas prácticas para el manejo de la información. 11
o Guía para la seguridad en áreas críticas de atención en La Informática en la Nube. Estudio preparado el año 2010 por la Cloud Security Alliance (CSA), una institución que se encarga de identificar regularmente las posibles amenazas en entornos La Informática en la Nube.12
4.1.1 - Cautividad en un Proveedor
Actualmente existen pocas herramientas, procedimientos o
formatos de datos estándar que permitan la portabilidad de datos, aplicaciones y servicios de
proveedor a proveedor. Esto puede hacer difícil la migración de un cliente a otro proveedor o
intentar mover los datos a su propia infraestructura, lo que genera una dependencia de un
Proveedor de Servicios en particular.
11 ENISA: "Computación en nube, Beneficios, riesgos y reconendaciones para la seguridad de la
Información" (20/11/2009) http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment Visitado el 06/02/2013
12 Cloud Security Alliance: "Top Threats to Cloud Computing V1.0" (01/03/2010) https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf Visitado el 07/02/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
26
4.1.2 - Pérdida de Gobernabilidad
Al utilizar infraestructuras en la nube, el cliente se ve obligado a
ceder el control al proveedor sobre una serie de cuestiones que pueden afectar a la seguridad
de la información. Las SLA (Service Level Agreement) o Acuerdo de Nivel de Servicio, pueden
no ofrecer un fuerte compromiso para proveer ciertos servicios necesarios por parte del
proveedor, dando lugar a agujeros de seguridad.13
4.1.3 - Término o Falla del Servicio
Es posible que en corto o mediano plazo algún servicio en la nube
pueda darse por finalizado por parte del proveedor. El impacto de este riesgo podría llevar a la
pérdida o deterioro de la calidad del servicio, así como también la pérdida de la inversión que
realizamos oportunamente.
4.1.4 - Empleado malicioso en el Proveedor
La actividad maliciosa de un empleado interno podría impactar la
confidencialidad, integridad y disponibilidad de todo tipo de datos o servicios, afectando
también a la reputación del usuario. A medida que el la utilización de la nube crece, también
crece el número de empleados que son blancos de organizaciones criminales.
4.1.5 Fallas en la Aislación
Una de las características de la Nube es la utilización de recursos
de forma compartida por múltiples clientes. El riesgo radica en el posible fracaso de los
mecanismos de separación de almacenamiento, memoria, enrutamiento entre diferentes
clientes. Sin embargo debería considerarse que los ataques a los mecanismos de aislamiento
13 ENISA: "Computación en nube, Beneficios, riesgos y recomendaciones para la seguridad de la
Información" (20/11/2009) http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment Visitado el 07/02/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
27
de recursos actualmente son poco comunes y mucho más difíciles de realizar para un atacante
comparado a los sistemas operativos tradicionales.14
4.1.6 - APIs e Interfaces Inseguras
Los proveedores de servicios en la Nube ofrecen un conjunto de
interfaces de software o APIs (Application Programming Interfaz) que los clientes usan para
administrar los servicios e interactuar con ellos. Estas interfaces de administración son
utilizadas para gestionar, coordinar y monitorear servicios. La seguridad y disponibilidad
general de los servicios en la Nube dependen directamente de la seguridad de las APIs . Desde
la autenticación y control de acceso hasta la encriptación y actividades de monitoreo, estas
interfaces deben estar diseñadas para proteger tanto los intentos accidentales de eludir alguna
política como los mal intencionados.15
4.1.7 - Protección de Datos
La Informática en la Nube posee varios riesgos respecto a la
protección de datos tanto para clientes como para proveedores. En algunos casos, puede ser
difícil para el cliente revisar efectivamente las prácticas para el manejo de datos de los
proveedores y asegurarse que los datos son manejados de manera legal. Por otra parte,
algunos proveedores brindan información de sus prácticas para el manejo de datos. Otros
ofrecen sumarios de certificación sobre la manera en que procesan los datos, actividades de
seguridad y control de los datos que tienen en sus manos.16 Ej.SAS70.
14 ENISA: "Computación en nube, Beneficios, riesgos y recomendaciones para la seguridad de la
Información" (20/11/2009) http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment Visitado el 07/02/2013
15 Cloud Security Alliance: "Top Threats to Cloud Computing V1.0" (01/03/2010) https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf Visitado el 07/02/2013
16 ENISA: "Computación en nube, Beneficios, riesgos y recomendaciones para la seguridad de la Información" (20/11/2009) http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
28
4.1.8 - Eliminación incompleta o insegura de los datos
Cuando una solicitud para eliminar un recurso en la nube es
realizada, como en la mayoría de los sistemas operativos, esto puede no resultar en la
erradicación real de los datos. La eliminación de los datos a tiempo puede ser imposible, ya sea
porque las copias adicionales de los datos almacenados no están disponibles o porque el disco
que será destruido es compartido con otros clientes. En el caso de servicios para múltiples
usuarios, la reutilización de los recursos de hardware representa un riesgo mucho más alto
para que para el cliente que cuenta con hardware dedicado.17
4.1.9 - Intercepción de los Datos en Tránsito
La Informática en la Nube, al ser una arquitectura distribuida,
implica mayor tránsito de datos que en una infraestructura tradicional. Ataques del tipo man-
in-the-middle, sniffin, spoofing y replay attacks deberían ser considerados como posibles
fuentes de amenazas. Por otra parte, en algunos casos los Proveedores no ofrecen
confidencialidad, o las clausulas estipuladas no garantizan la protección de la información
secreta del cliente, ni la manera en que la información circulará en Internet.
4.1.10 - Ataques de Ingeniería Social
El ataque a través de ingeniería social se realiza para obtener
información confidencial así como contraseñas, datos personales, datos de los negocios, etc.,
assessment Visitado el 07/02/2013
17 ENISA: "Computación en nube, Beneficios, riesgos y recomendaciones para la seguridad de la Información" (20/11/2009) http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment Visitado el 07/02/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
29
por medio de la manipulación de usuarios legítimamente autorizados. Estos ataques se basan
en la interacción humana para lograr obtener información.18
4.1.11 Pérdida de las claves de encriptación
La pérdida de claves de encriptación incluye el descubrimiento o
pérdida de las claves secretas (SSL, encriptación de archivos, clave privada del cliente, etc.) o
corrupción de esas claves, el uso desautorizado, etc. Con la pérdida de claves se pone en
peligro la seguridad de la información y cuentas de los usuarios. 19
4.1.12 Modificación del tráfico de red
El tráfico que viaja a través de internet en su mayoría viaja como
texto plano, es decir, sin encriptación como medida de seguridad que garantice su integridad y
confiabilidad, factores importantes en el trato de la información. 20
4.1.13 Denegación Económica de Servicio (EDOS)
Un ataque EDOS tiene por objetivo destruir los recursos
económicos de los clientes. En el peor de los casos el objetivo es llevar al cliente a la banca
rota o producir un serio impacto económico en él. Se produce cuando se roba de la identidad
de un cliente y el atacante comienza a comprar recursos en forma desmesurada.
18 Cloud Security Alliance: "Top Threats to Cloud Computing V1.0" (01/03/2010)
https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf Visitado el 08/02/2013
19 ENISA: "Computación en nube, Beneficios, riesgos y recomendaciones para la seguridad de la Información" (20/11/2009) http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment Visitado el 08/02/2013
20 ENISA: "Computación en nube, Beneficios, riesgos y recomendaciones para la seguridad de la Información" (20/11/2009) http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-risk-assessment Visitado el 08/02/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
30
4.2 - Técnicas Generales para mitigar los riesgos
A continuación se detallan las técnicas más comunes que se emplean para mitigar los riesgos21
en entornos de la Nube:
Iniciar procesos estrictos de registros y autenticación.
Realizar supervisiones periódicas del tráfico de red para clientes.
Monitorear listas negras de correo para redes propias.
Analizar los modelos de seguridad de las interfaces de proveedores.
Entender la cadena de dependencia asociada con la API.
Implementar un fuerte control de acceso a las API.
Asegurar una autenticación fuerte y control de acceso implementado en conjunto con una transmisión encriptada para los datos que viajan a través de la Internet.
Aplicar estrictamente la cadena de administración y realizar una evaluación global de
los proveedores.
Especificar los requerimientos de recursos humanos como parte legal de los contratos.
Exigir transparencia en información general de seguridad y prácticas de gestión.
Determinar la seguridad de las notificaciones de violaciones.
Implementar las mejores prácticas de seguridad para la instalación y configuración.
Monitorear el ambiente para cambios no autorizados.
Promover autenticación fuerte y control de acceso para acceso administrativo y de operaciones.
Hacer cumplir los acuerdos de nivel de servicio (SLA) para disminuir las
vulnerabilidades.
21 Cloud Security Alliance: "Top Threats to Cloud Computing V1.0" (01/03/2010)
https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf Visitado el 08/02/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
31
Realizar escáner para encontrar vulnerabilidades y auditar las configuraciones.
Cifrar y proteger los datos para garantizar la integridad de los mismos.
Analizar la protección de los datos, tanto en el diseño y tiempo de ejecución.
Implementar fuerte generación de claves, almacenamiento, gestión y prácticas de destrucción
Prohibir la compartimentación de credenciales entre los usuarios y los servicios.
Aprovechar fuertemente las técnicas de autenticación.
Utilizar un monitoreo proactivo para detectar actividades no autorizadas.
Comprender las políticas de seguridad y SLAs.
4.3 - Migración parcial hacia la Nube
En este tipo de migración se realiza una planificación inicial de
migración de datos y aplicaciones, lo que permite ir verificando los procesos, aprendiendo a
utilizar las herramientas en el proceso, logrando aprovechar de mejor forma los recursos.
4.4 - Migración total hacia la Nube
En este tipo de migración los datos son llevados como si hubiesen
sido creados desde un inicio en el proveedor, es decir, no se conserva nada del software
anterior. Este proceso tiene algunos inconvenientes, tales como tener que capacitarse
rápidamente para los servicios a utilizar ya que se parte desde una base de conocimientos
limitada. Por el contrario tiene algunas ventajas así como la reducción de riesgos, además de la
obtención de experiencia para futuros cambios a otros proveedores.
4.5 - Recomendaciones para la utilización de la Nube
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
32
Para realizar la migración de datos almacenados desde hardware
local a la Nube, es necesario definir acciones a seguir, las cuales deben ser realizadas con éxito
para lograr la migración sin inconvenientes una vez terminado el proceso. Para lograr que esta
gestión sea exitosa, primero se selecciona cuidadosamente los datos que se deseen migrar
hacia la nube. Seguidamente se debe realizar la elección de el o los proveedores teniendo en
cuenta las condiciones con las que brindará el servicio.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
33
Capítulo V
Utilización de Servicios en La Nube
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
34
5.1 - Utilización de Discos Virtuales
5.1.1 - Análisis de Google Drive
El servicio ofrece, de manera gratuita, 5GB de espacio de
almacenamiento en el que podemos guardar cualquier tipo de archivo, desde imágenes a
música, vídeos o archivos de oficina. El sistema, de hecho, funciona de manera muy parecida a
Google Docs y permite la colaboración o los comentarios entre distintos usuarios sobre un
mismo archivo.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
35
A partir de 5GB gratuitos iniciales, Google Drive ofrece, por medio
de un abono mensual, ampliar esta capacidad desde 25 GB hasta 16 TB. La suscripción a una
cuota mensual también supone ampliar la capacidad de GMail a 25GB. Google Drive es
accesible vía web y dispone de aplicaciones específicas para PC, Mac y dispositivos móviles con
sistema operativo Android y iPhone. 22
Con respecto a la seguridad, todas las conexiones a Google Drive
se cifran mediante el protocolo de transporte SSL, no importa si se accede desde el navegador
web, las aplicaciones de escritorio o las móviles. El nivel de seguridad de Drive es óptimo, pero
en última instancia, los responsables del producto siempre podrán acceder a los datos del
usuario, como sucede en todos los servicios de este tipo.23
Conclusión: el principal beneficio que podemos obtener de Google
Drive es el de contar con varios servicios integrados y accesibles a través de un solo nombre de
usuario y contraseña. Esto lo convierte en una opción muy tentadora debido a su practicidad.
5.1.2 - Análisis de ADrive
ADrive no dispone de un cliente software propio. Todo se basa en
el servicio web, que nos presentará un explorador de ficheros en el que iremos subiendo los
archivos y carpetas que deseemos almacenar en la copia de seguridad.
Todos los parámetros se controlan desde el navegador y, aunque
las opciones son claramente más limitadas que las de otros, nos encontramos ante una
propuesta que aboga por las copias de seguridad puras y duras, muy al estilo de Microsoft
Skydrive (un servicio de Disco Virtual que se asocia cuando tenemos creada una cuenta en
Hotmail).
22 Xataka: "Google Drive" (24/04/2012)
http://www.xataka.com/gadgets/almacenamiento/google-drive Visitado el 21/03/2013
23 Seguridad.net: "¿Cuán seguro es Google Drive?" (26/04/2012) http://muyseguridad.net/2012/04/26/seguridad-google-drive/ Visitado el 21/03/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
36
La cuenta de prueba (Personal Basic) nos permite evaluar el
servicio básico con una capacidad de almacenamiento de 50 GB y, a partir de ahí, podremos
contratar opciones adicionales, como control de versiones o múltiples conexiones simultáneas.
La cuenta gratuita es atractiva por esa gran capacidad gratuita, pero solo si necesitamos tener
simplemente nuestros ficheros a buen recaudo en un servidor on-line.
ADrive está orientado casi exclusivamente a la realización de
copias de seguridad por lo que si este es el objetivo entonces esta herramienta sin dudas
cubrirá las expectativas del usuario. 24
Conclusión: el servicio ofrece una velocidad de carga muy
aceptable y nos garantiza la seguridad de los datos almacenados con alta disponibilidad de los
mismos. Es útil al momento de acceder a la información desde cualquier computadora con
internet pero sólo podremos hacerlo nosotros mismos, es decir, no cuenta con la posibilidad
que ofrezcamos a otras personas descargar algún dato nuestro a través de un link público, lo
cual de cierta forma nos brinda un mayor nivel de seguridad de acceso controlado.
24 PC Actual: "ADrive, un servicio con mucho espacio disponible" (20/08/2010)
http://www.pcactual.com/articulo/laboratorio/analisis/software/seguridad/otros_seguridad/5064/adrive_servicio_con_mucho_espacio_disponible.html Visitado el 22/03/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
37
5.1.3 - Análisis de MEGA
El año pasado salió a la luz el nuevo Mega, conocido
anteriormente por todos como Megaupload, esta nueva plataforma está accesible a través del
dominio https://mega.co.nz/.
En el análisis a esta nueva plataforma, la misma ha sorprendido
mucho tanto por su buen funcionamiento como por el cambio de estrategia que ha adoptado
la empresa. El nuevo Mega tiene poco que ver con lo que era antes Megaupload. Veamos
algunas diferencias con respecto a la mayoría de servicios de almacenamiento en la nube:
A pesar de ser un almacenamiento en la nube, el nuevo Mega está claramente
orientado a compartir contenido tal y como se hacía antes con Megaupload, no ofrece
servicios como puede ser la sincronización automática (que si ofrecen sus rivales).
Simplemente el nuevo mega está pensado para que el usuario suba contenido y lo
comparta a través de un enlace.
A diferencia del antiguo Megaupload, el nuevo Mega no tiene ningún tipo de
limitación de descarga, por lo que con una cuenta gratuita el usuario podrá descargar
todos los archivos que quiera sin ningún límite y a máxima velocidad. Las únicas
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
38
diferencias entre una cuenta gratuita y una cuenta de pago es la capacidad de
almacenamiento y el ancho de banda que disponen esas cuentas.
Seguramente el nuevo Mega convivirá de forma armoniosa con
los demás servicios como Dropbox o Google Drive, ya que su objetivo es claramente distinto, al
mismo tiempo que el nuevo Mega está pensado para seguir con la línea de descargas de
Megaupload, Dropbox y otros nos ofrecen diferentes servicios muy prácticos para otras
finalidades. 25
Conclusión: la velocidad de subida y descarga es de las mejores,
así como también lo intuitivo de su plataforma web, tal es así que todo resulta muy sencillo de
realizar. Por si fuera poco, en este servicio si contamos con la posibilidad de ofrecer links
públicos (y privados a través de una contraseña específica para cada archivo o carpeta) a otras
personas lo cual lo convierte en una de las mejores opciones en cuanto a almacenamiento
virtual se refiere y por si fuera poco todos los archivos subidos son automáticamente
encriptados, siendo posible únicamente desencriptarlos a través de la propia plataforma al
realizar la descarga.
5.1.4 - Análisis de Dropbox
Este es el servicio de almacenamiento más conocido de todos. Y
no es de extrañar si tenemos en cuenta que fue uno de los primeros en ofrecerlo gratis a los
usuarios.
25 MegaTutos: "Análisis del nuevo MEGA (Antiguo Megaupload)" (23/01/2013)
http://www.megatutos.net/analisis-del-nuevo-mega-antiguo-megaupload/ Visitado el 23/03/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
39
El esquema de funcionamiento se realiza vía un interfaz web o
aplicaciones que se instalan en nuestra computadora. Sincronizamos archivos locales para
acceder a ellos desde cualquier otro lugar o dispositivo, en un disco duro virtual. 26
El servicio web es capaz de abrir una buena cantidad de formatos
de archivos; desde vídeos hasta documentos de Office y PDF, y todo sin necesidad de
descargarlos. En cuanto a la aplicación móvil, tan solo podemos ejecutar las imágenes dentro
del programa, pues el resto habrá que abrirlos desde las aplicaciones y reproductores
correspondientes.
Dropbox es un servicio más “simple”. No quiere decir peor sino
que menos opciones de precios y de sincronización le convierten en una oferta más cómoda de
entender y manejar que sus rivales, que pueden ser más potentes pero a su vez de manejo un
poco más complejo. 27
Conclusión: es una buena alternativa a Mega que ofrece los
mismos servicios y calidad, aunque menor nivel de encriptado para los archivos por lo cual los
mismos contarán con menos seguridad.
26 PC Actual: "Dropbox, el pionero sigue «plantando batalla»" (14/07/2012)
http://www.pcactual.com/articulo/laboratorio/analisis/software/internet/almacenamiento_on-line/11375/dropbox_pionero_sigue_plantando_batalla.html Visitado el 23/03/2013
27 Xataka: "Dropbox" (24/04/2012) http://www.xatakamovil.com/productos/aplicaciones/dropbox Visitado el 23/03/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
40
5.1.5 – Costos: Cuadro Comparativo
Fuentes (respectivamente):
https://support.google.com/drive/answer/2375123?hl=es-419
https://www.dropbox.com/pricing
http://www.adrive.com/plans
https://mega.co.nz/#register
5.2 - Aplicaciones en la Nube
5.2.1 - Análisis de Google Docs
Hace unos años nadie conocía una alternativa a Microsoft Office,
sin embargo, con el tiempo han aparecido diferentes softwares haciendo cambiar todo esto, la
irrupción de Open Office, y más tarde Libre Office, supusieron una gran evolución en este
campo.
Ahora también disponemos de Google Docs, muy en auge en la
actualidad, para el cual ha aumentado el número de usuarios gracias a la posibilidad de, entre
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
41
otras cosas, la edición multiusuario, es decir, la capacidad para editar documentos entre varias
personas al mismo tiempo desde diferentes computadoras.28
Hay que señalar que es muy positiva la gratuidad de todas las
herramientas y el concepto de nube que se aplica totalmente, con lo cual nos olvidamos de
otros sistemas de almacenamiento y de instalar ningún tipo de software.
Son herramientas muy prácticas y muy usadas en el mundo
entero. Todas las aplicaciones convergen en tres direcciones si se aprovecha su funcionalidad:
comunicar, colaborar y participar. Es una infraestructura para la búsqueda de información a
través del buscador web, imágenes, mapas, etc. 29
El acceso seguro vía SSL no está habilitado por defecto, pero
existe la opción de acceder por HTTPS y trabajar de forma segura. La privacidad de
documentos sensibles puede ser comprometida por el hecho de que mucha gente está
autenticada en sus cuentas de Google de forma casi permanente (las cuentas Google se
utilizan para la gran variedad de servicios ofrecidos por Google como correo electrónico,
calendario, etc.). A pesar de que este login unificado tiene claras ventajas, representa un
potencial riesgo para la seguridad mientras el acceso a Google Docs no requiera comprobación
de contraseña.30
Conclusión: al igual que sucede con Google Drive, el principal
beneficio que podemos obtener de Google Docs es el de contar con varios servicios integrados
y accesibles a través de un solo nombre de usuario y contraseña. Esto lo convierte en una
opción muy tentadora debido a su practicidad. Cabe destacar que Google Docs es un servicio
de excelencia en cuanto a software de oficina se refiere. Las ventajas de utilizar un servicio
como este en vez de aplicaciones locales son innumerables: trabajo colaborativo en tiempo
real, almacenamiento automático constante, acceso desde cualquier sistema operativo e
incluso desde cualquier dispositivo compatible en dónde encontramos: tablets y teléfonos 28 Hard Maniacos: "Google Docs Ya Tiene Competidor: Ox App Suite" (01/04/2013)
http://www.hardmaniacos.com/google-docs-ya-tiene-competidor-ox-app-suite/ Visitado el 04/04/2013
29 Encarni Alises Camacho: "Google Y Convergencia De Medios" (04/01/2012) http://es.scribd.com/doc/87576448/Analisis-de-Google-docs Visitado el 04/04/2013
30 Wikipedia: "Google Drive" (24/05/2012) http://es.wikipedia.org/wiki/Google_Drive Visitado el 04/04/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
42
celulares. Además cuenta con todas las opciones que poseen las aplicaciones locales de su tipo
y nos ofrece una forma de trabajo segura al utilizar SSL en la comunicación entre la
computadora o dispositivo local y el servidor, de esta manera los datos no serán “capturados”
fácilmente en la red.
5.2.2 - Análisis de Pixlr
Podemos ingresar directamente al editor, con cualquier
navegador web, desde el enlace directo http://pixlr.com/editor/ y lo encontramos en Español.
El mismo posee suficientes opciones de edición como para reemplazar a cualquier software de
edición fotográfica hogareño.
Se podría afirmar que Pixlr supera a PicMonkey (su principal
competidor) en algunas de sus posibilidades. Pixlr trae un montón de esquemas por defecto,
algunos muy originales, y facilita más el proceso de elegir imágenes. Otra ventaja del editor es
que se puede retocar, aplicar filtros y añadir pegatinas y textos a cualquiera de las imágenes de
un collage, igual que si se editaran por separado. 31
Conclusión: si solemos usar un software de edición gráfica para
modificar cuestiones básicas de una imagen o fotografía, o crear imágenes sencillas, Pixlr es sin
dudas la mejor opción en la nube, es gratuita, no requiere login y podemos acceder desde
cualquier plataforma en cualquier momento. En cuanto a la seguridad de los datos no hay
mucho que decir, Pixlr no almacena las imágenes que creemos o editemos en la nube, sino que
una vez finalizado el trabajo la misma debe ser guardada en nuestro propio disco rígido. Sin
embargo las imágenes de forma “temporal” son almacenadas en su servidor y nada nos
garantiza que una vez que finalicemos el trabajo y cerremos la aplicación, la imagen sea
eliminada definitivamente.
5.2.3 - Análisis de Prezi
Esta es una popular aplicación “en la nube” de diseño de
presentaciones, pero no se debe considerar un rival de Powerpoint: el concepto de Prezi va
más allá de las simples diapositivas.
31 Abel Bueno: "Pixlr Express, el editor online de fotos más equilibrado" (20/11/2012)
http://onsoftware.softonic.com/pixlr-express-a-fondo Visitado el 08/04/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
43
La principal diferencia respecto a los programas tradicionales es
que Prezi no funciona mediante diapositivas, sino con presentaciones no lineales. Las cuáles
básicamente consisten en mapas de ideas por los que la cámara se va moviendo para
presentar unos conceptos dentro de otros.
Aunque pueda parecer complejo utilizar Prezi es muy fácil. El
editor consta de media docena de herramientas y la edición se hace con una intuitiva rueda de
opciones. Cabe destacar que Prezi permite visualizar y compartir online las presentaciones. 32
Conclusión: no es una alternativa a las clásicas diapositivas, es la
evolución de éstas. Nuestras presentaciones quedarán mucho más profesionales diseñadas
sobre Prezi, lo utilizaremos en la nube con lo cual podremos acceder desde cualquier parte
cuando lo deseemos, es gratuita y de muy fácil utilización. Sobre la confidencialidad de las
presentaciones, las mismas se encuentran protegidas por la contraseña de nuestro usuario de
Prezi, debidamente encriptada pero claro que si alguien averiguase nuestra contraseña podría
acceder a nuestras presentaciones sin que lo notáramos.
5.2.4 - Análisis de Ezyzip
EzyZip es una excelente y rápida solución para comprimir y
descomprimir archivos online. Esta herramienta está basada en Java, con la cual se podrá
comprimir archivos con la extensión ".ZIP". Es ideal para descomprimir archivos en equipos
que no tienen instalado ningún programa como puede ser el WinZip o el WinRar, y también
para los principiantes en el uso de computadoras que deseen comprimir archivos.
Es muy sencillo de utilizar:
1. Primero se selecciona entre comprimir o descomprimir archivos.
2. Se selecciona la ubicación dentro de la computadora y el nombre del archivo que se va
a crear.
3. Se van agregando los archivos que se quieren comprimir.
4. Y por último se oprime el botón ZIP EM!33
32 Abel Bueno: "Tus ideas fluyen en estas animadas presentaciones" (26/11/2012)
http://prezi.softonic.com/aplicaciones-web Visitado el 08/04/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
44
Conclusión: es interesante contar con esta utilidad para los casos
en los que nos encontremos en una computadora sin una aplicación local similar (como lo es
WinRar o WinZip), pero sin dudas actualmente la opción más cómoda para este tipo de tareas
sigue siendo un software local. Además los archivos deben ser subidos al servidor para su
compresión/descompresión por lo que nada nos garantiza que destino tendrán
posteriormente los mismos.
5.3 - Sistemas Operativos en la Nube
5.3.1 - Análisis de OOdesk
OOdesk es un sistema web que ofrece un entorno similar al
escritorio local de Windows, por citar un ejemplo. Además, admite aplicaciones de terceros.
Su traducción al castellano no es muy buena, debe pulirse en
profundidad. Se hace especialmente confusa la duplicidad de la terminología para la misma
herramienta como Papelera/Basura, por ejemplo.
Respecto al sistema de almacenamiento, desde su Administrador
de Archivos permite acceder a las funciones básicas de carga y gestión de ficheros y rastrear
las carpetas públicas de otros usuarios. La posibilidad de compartir contenido a través de
carpetas públicas es la única función de interacción social que implementa. No obstante, sus
desarrolladores tienen previsto sacar próximamente la herramienta compatible "OOdisk
Virtual Mesh" para acceder, sincronizar y compartir archivos desde cualquier dispositivo.
En lo concerniente a los documentos, cuenta con un editor de
textos, de presentaciones y hoja de cálculo, así como con un visualizador de imágenes y un
reproductor multimedia. De la misma manera, dispone de cliente de correo propio, aunque no
es posible sincronizar cuentas de Gmail, Yahoo, Hotmail en un único espacio, al menos hasta el
momento.
Para de darle un toque personal, se utiliza el Gestor de Contenido,
a través del cual se pueden desactivar los widgets por defecto o instalar algunos nuevos. 33 Youn Ela: "EzyZip comprime y descomprime tus archivos online!" (24/07/2010)
http://www.comunidadbloggers.com/2010/07/ezyzip-comprime-y-descomprime-tus.html Visitado el 09/04/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
45
Brinda la oportunidad también de insertar widgets propios o de terceros, incluyendo el amplio
catálogo de iGoogle, lo que amplía las posibilidades de esta propuesta.
Como características adicionales, podemos citar su lector de RSS y
su barra de acceso a sitios web populares (Google Maps, Yahoo! Mail, etc.). 34
Ventajas
Su versatilidad: varias vistas, inserción de aplicaciones de terceros, soporte para varios
tipos de archivo.
Desventajas
La mezcla de idiomas en la aplicación (inglés, francés, castellano).
Muy poco enfocado al trabajo colaborativo
Conclusión: vengo probando este “Sistema Operativo” en la nube
desde que apareció y el mismo prácticamente no ha evolucionado. Creo que sistemas como
Chrome OS (el cual es un proyecto llevado a cabo por la compañía Google para desarrollar un
sistema operativo basado en web (Basado en Linux) y orientado inicialmente para mini
portátiles, estando disponible en junio de 201135) tendrán mucho más éxito debido a la
integración de gran cantidad de servicios web y la alta disponibilidad de aplicaciones
desarrolladas por un sin número de programadores particulares y profesionales del mundo. Sin
embargo es interesante probarlo para descubrir el potencial con el que cuentan hoy en día las
aplicaciones en la nube y darse una idea bastante clara de lo que será el futuro de éstas.
Además contamos con el problema de casi todos los servicios en la nube: los archivos que
subamos quedarán almacenados allí, al eliminarlos nada nos garantiza que sea una eliminación
definitiva (debido a las réplicas que el mismo proveedor realiza como copia de seguridad), por
lo que la confidencialidad se encuentra un poco comprometida, por esto debemos por ahora
tener cuidado al momento de elegir los archivos que vayamos a subir.
34 PC Actual: "OODesk: sistema operativo web versátil y gratuito" (24/09/2012)
http://www.pcactual.com/articulo/laboratorio/analisis/software/internet/escritorios_virtuales/11681/oodesk_sistema_operativo_web_versatil_gratuito.html Visitado el 09/04/2013
35 Wikipedia “Google Chrome OS” (29/12/2013) http://es.wikipedia.org/wiki/Google_Chrome_OS Visitado el 05/01/2014
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
46
Capítulo VI
Análisis de Resultados
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
47
6.1 - Recolección de Datos de la Entrevista
Luego de una investigación sobre diversas entrevistas encontradas
en la web, se seleccionó como la más relevante a la realizada por "Channel Planet" a Cristian
Borghello (de Argentina) y Omar Herrera (de México), expertos latinoamericanos en seguridad
sobre la Nube, denominada “¿Qué tan segura es la nube?”.36 A continuación se exponen los
datos más importantes obtenidos de tal entrevista:
Se necesitan soluciones de seguridad que resuelvan de raíz los problemas fundamentales de seguridad en la nube.
Es muy difícil establecer si nuestra información va a estar segura o no.
Con el advenimiento de Cloud Computing surgen distintos estándares sobre:
- Confidencialidad del Dueño de la información, que en este caso sería quien contrata un servicio
- Disponibilidad de la información, es decir que quien adquiere el servicio siempre pueda acceder a la información sin ningún tipo de cortes
- Integridad de la información, que busca que esa información no sea modificada en ningún momento, ni en el centro de datos donde es almacenada ni mientras se esté transfiriendo.
Actualmente estamos en un nivel bastante alto de incertidumbre de cómo se va a
almacenar la información, dónde se va a almacenar y con qué grado de seguridad.
Todo lo que es Nube todavía está en una época inicial donde estamos empezando a conocer la tecnología.
Hay tres retos fundamentales que aún no se han solventado adecuadamente.
- Localización Geográfica de la información. - Propiedad de los datos que se almacenan, procesan, generan o transmiten
a través de servicios en la nube. - Confidencialidad de la información.
36 Channel Planet: "¿Qué tan segura es la nube?" (Anexo I)
http://www.channelplanet.com/?idcategoria=24018 Visitado durante el 2012 y 2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
48
La Informática en la Nube plantea reglas del juego totalmente distintas, se requieren paradigmas y soluciones diferentes a lo que tenemos actualmente.
Se debe exigir un contrato donde quede claramente especificado todos los
estándares internacionales que sigue una organización.
Se debe procurar que los proveedores sigan las buenas prácticas recomendadas por los estándares existentes.
Algunos de los avances más importantes se han llevado a cabo en el campo de
cifrado homomórfico (El cifrado o criptografía homomórfica, podrá resolver de raíz el problema de la confidencialidad de los datos, ya que brinda la posibilidad de trabajar con datos cifrados sin descifrarlos en ningún momento. Pero todavía algunos expertos hablan de que a esto le faltan entre 5 o 10 años como mínimo para que el modelo de trabajo sea lo suficientemente adulto y sea posible
trabajar en la práctica con este modelo).
La Nube pública requiere de soluciones de seguridad integrales que ataquen de raíz los problemas fundamentales y que puedan demostrar por sí mismas su valor.
La Nube privada deberá encontrar un control que permita delimitar sus fronteras.
El sector de la seguridad se va a transformar de manera radical. Muchas empresas
dejarán de tener la presencia que tienen y aparecerán nuevos jugadores.
Quienes quieran participar en este mercado deberán mostrar madurez y solidez en sus soluciones.
La mercadotecnia no será suficiente para mantenerse en este mercado.
6.2 - Relevamiento de Artículos sobre la Informática en la Nube
A continuación se exponen los artículos, junto a un resumen de
los mismos, que han sido visitados con el objetivo de llevar a cabo el armado de las preguntas
de la encuesta y de hallar una entrevista que se ajuste al objetivo principal de esta
investigación.
Trabajar en la Nube, Modelos Actuales y sus Repercusiones en Educación 37
37 Tecnófilos: “Trabajar en la nube, modelos actuales en cloud computing y sus repercusiones en
educación” (03/02/2010) http://tecnofilos.aprenderapensar.net/2010/02/03/trabajar-en-la-nube-modelos-actuales-en-cloud-
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
49
Artículo que habla sobre las repercusiones en el mundo de la enseñanza en un futuro
próximo que tendrá la Informática en la Nube, siempre y cuando se solventen algunas
dudas que a día de hoy todavía no tienen una respuesta lo suficientemente satisfactoria
para los usuarios.
¿Se puede confiar en los backups online? 38
Artículo que analiza la utilización de servicios que sirven para realizar copias de seguridad
de nuestros archivos en la nube (y la restauración de los mismos de ser necesario).
¿Qué tan limpia es tu nube? Greenpeace da su veredicto 39
Artículo que tiene como objetivo mostrar a los consumidores cómo es que funcionan los
servicios que utilizan todos los días y con esta información puedan exigir mejores
prácticas energéticas, no sólo de las compañías que proveen de este servicio, sino
también de sus mismos hábitos tecnológicos.
6.3 – Recolección de datos de la Encuesta
La encuesta fue puesta en vigencia el 10 de Marzo de 2013 y
estuvo disponible por el lapso de cuarenta y cinco (45) días. Fue realizada en línea utilizando la
herramienta “Encuesta” de Google Docs. Se obtuvieron un total de sesenta y dos (62)
respuestas de diferentes tipos de usuarios elegidos al azar, voluntarios y anónimos.
La encuesta realizada muestra que el correo electrónico, los
buscadores y las redes sociales son los servicios más utilizados por los encuestados. De entre
ellos, la mayoría utiliza un servicio principal y otro alternativo. Y casi todos cuentan con
problemas de acceso a los mismos. Un porcentaje bastante alto utiliza servicios de
computing/ (Visitado el 26/11/2012)
38 Informática-Hoy: "¿Se puede confiar en los backups online?" http://www.informatica-hoy.com.ar/la-nube/Se-puede-confiar-en-los-backups-online.php (Visitado el 26/11/2012)
39 Guikblog: "¿Qué tan limpia es tu nube? Greenpeace da su veredicto" (24/04/2012) http://guikblog.com/2012/04/24/que-tan-limpia-es-tu-nube-greenpeace-da-su-veredicto/ (Visitado el 26/11/2012)
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
50
almacenamiento en discos virtuales, y de éstos casi todos tienen problemas con la velocidad
de subida de archivos (aunque esto podría atribuirse al proveedor de internet, los cuales
generalmente brindan una muy baja velocidad de subida, característica que debería ir
mejorando conforme crece la utilización de la nube para que los usuarios tengan una mejor
experiencia en ella). Mientras que casi todos los encuestados aun no utilizan software o
aplicaciones en la nube, los que si lo hacen sostienen que la velocidad de respuesta y
procesamiento es mucho mejor en su propia computadora. De entre los servicios propuestos,
los de Google (Google Docs y Google Drive) son los más utilizados, aunque también un gran
porcentaje utiliza DropBox. Casi nadie ha sufrido robo de datos ni contraseñas. Por último, los
datos que más se almacenan en la nube son Documentos, Fotos y Videos.
6.4 - Presentación de las Estadísticas
A continuación se exponen los resultados de la Encuesta “La
Informática en "la nube"” resumidos y presentados en forma de gráficos estadísticos.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
51
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
52
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
53
Capitulo VII
Conclusión
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
54
Habiendo realizado el trabajo de campo pertinente y retomando
la hipótesis que decía "La informática en la nube ofrece un uso mucho más eficiente de
recursos respecto al software de una Computadora Personal (ya sea de Escritorio, Notebook,
Netbook o Tablet), como memoria, procesamiento, almacenamiento, mejora la gestión de
archivos y ancho de banda, al proveer solamente los recursos necesarios en cada momento
para las aplicaciones. Sin embargo no brinda un nivel de confidencialidad y disponibilidad
transparente sobre nuestros propios datos almacenados en la nube" y tomando en cuenta las
variables e indicadores que eran los siguientes, podemos concluir que:
Variables Indicadores Conclusiónes
·Aplicaciones (software utilizado en línea)
● Cantidad de aplicaciones que se puedan utilizar.
● Disponibilidad de las mismas.
● Número ilimitado ● Disponibles en todo
momento mediante una conexión a internet
·Gestión de Archivos o Acceso a los archivos que se
almacenan en forma remota. o Acceso simple mediante
contraseña
· Recursos
Eficiencia en la gestión de:
Memoria Procesamiento Ancho de banda Almacenamiento Archivos
Podemos sacar mejor provecho de la utilización de la nube en cuanto a los recursos ya que estamos usando virtualmente muchas computadoras a la vez.
· Ancho de Banda Velocidad de acceso a los datos. Velocidad de acceso a las
aplicaciones en la nube.
Depende en gran medida de nuestra propia velocidad de internet, los servicios cuentan con un gran Ancho de Banda.
· Confidencialidad Protección de datos Protección de la información
almacenada en la nube.
El 90% de los servicios almacena la información cifrada y se accede con una contraseña segura.
· Disponibilidad
Grado de acceso a la información
Posibilidad de ser encontrada Posibilidad de ser utilizada
Alto grado de acceso Sólo por expertos (hackers). Por hackers y la propia
empresa proveedora de servicios.
·Datos almacenados Documentos, fotos, videos Otra información que
guardemos en forma remota.
Es posible almacenar todo tipo de archivos. Para casi la totalidad de los servicios en la nube el tipo de dato no representa un problema.
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
55
Cabe aclarar que hoy en día existe un gran potencial para la
utilización de la informática en la nube, lo que permite acceder a un conjunto de servicios con
funciones similares a las que ofrecen los programas que se instalan en computadoras
convencionales. Los únicos requisitos son contar con una conexión a Internet y utilizar un
navegador web.
A diferencia de los sistemas de hardware y software tradicionales,
la informática en la nube no requiere de una inversión inicial cuantiosa para comenzar a
utilizar las soluciones ni costos asociados al mantenimiento de los sistemas, actualizaciones o
licencias. Si es para fines personales se pueden utilizar las soluciones gratuitas que cada
proveedor ofrece y si la necesidad surge de una Empresa o el Usuario busca algo de mayor
calidad, solo se paga una suscripción mensual por número de usuarios o bien en base a la
utilización de los recursos. Estas características hacen que actualmente sea un alternativa más
atractiva para las PYMES que para los Usuarios Hogareños, al momento de buscar una solución
que satisfaga algunas de las principales necesidades respecto a las TIC que tienen las PYMES,
cuyas limitaciones para acceder a sistemas de TIC avanzados se debe principalmente a factores
económicos y la complejidad que agrega el mantenimiento y operación de los sistemas
tradicionales de TIC. Aunque está claro que el acceso a la misma tecnología está hoy en día
perfectamente al alcance de los Usuarios Hogareños y de forma gratuita en mayor medida, con
algunas limitaciones como se vio en el capítulo 5.
La utilización de la informática en la nube, tiene ciertos riesgos
que se manifiestan por la inquietud en los usuarios con respecto a lo que significa dejar
expuestos sus datos al migrar a la nube. Principalmente debido a la pérdida de control sobre la
información que éstos sufren una vez que deciden optar por una solución en la nube (lo mismo
es aplicable para las PYMES). Por esta razón, es necesario que el Usuario se informe
correctamente a la hora de elegir un proveedor de servicios para conocer el nivel de
transparencia respecto a los manejos y políticas que implementen para mantener la seguridad,
confidencialidad, disponibilidad e integridad de la información almacenada en sus servidores,
garantizando una alta disponibilidad, redundancia y flexibilidad.
En base a lo analizado en la presente investigación he concluido
que los servicios que se ofrecen a través de la nube, al menos por ahora, no buscan remplazar
los sistemas basados en hardware y software convencionales, sino más bien acercar los
beneficios de estas TICs a quienes no cuentan con los recursos necesarios para acceder a
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
56
ciertas tecnologías o no pueden destinar grandes inversiones para gestionar sus
emprendimientos de manera óptima sin tener que preocuparse del mantenimiento y el
rendimiento del sistema, sino que focalizándose en lo que realmente les interesa, sus objetivos
particulares y/o profesionales.
Por último cabe concluir que en general, el grado de
disponibilidad y confidencialidad de los datos se encuentra en una etapa aún muy temprana.
Se puede afirmar que actualmente la información que se almacene en la nube es vulnerable y
que no tenemos absoluto control sobre la misma. Siempre va a depender de las exigencias del
usuario o la empresa en cuanto a este tema el decidir si utilizar o no la nube.
Recomendaciones
Mi recomendación personal radica en utilizar una especia de
“sistema hibrido”, almacenando los datos más sensibles de forma local (que por lo general son
pocos) y utilizando la nube para todo lo demás, por ello es necesario analizar para cada caso
particular las necesidades propias de cada individuo o empresa para así saber si podremos
utilizar con confianza la informática en la nube, estableciendo que TICs locales utilizaremos y
cuales TICs en la nube nos servirán para nuestro propósito, logrando de esta manera una
relación costo-beneficio-confidencialidad que se adapte a nuestras exigencias.
En forma adicional a la utilización de la informática en la nube y
con el fin de minimizar aún más los costos necesarios para comenzar a operar una solución
basada en este modelo, un buen complemento sería el uso de Sistemas Operativos “Open
Source”, como Linux, ya que la mayoría de los servicios en la nube funcionan en forma
independiente a la plataforma o sistema operativo que se esté utilizando.
FIN
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
Glosario
Ancho de banda: es la cantidad de información, normalmente expresada en bits por segundo, que puede transmitirse en una conexión durante la unidad de tiempo elegida. Es también conocido por su denominación inglesa: bandwith. 1
Android: es un sistema operativo basado en Linux diseñado principalmente para dispositivos móviles con pantalla táctil, como teléfonos inteligentes o tabletas. 2
API: acrónimo de Application Program Interface [Interfaz de programa de aplicación] 1
Aplicación: aunque se suele utilizar indistintamente como sinónimo genérico de 'programa' es necesario subrayar que se trata de un tipo de programa específicamente dedicado al proceso de una función concreta dentro de la empresa. 1
Archivo: grupo de datos relacionados entre sí que se procesan juntos, tales como el archivo de un estudiante, etc. 1
Arquitectura (de red): sistema funcional compuesto de equipos de transmisión, de programas y protocolos de comunicación y de una de la infraestructura alámbrica o radioeléctrica que permite la transmisión de datos entre los diferentes componentes. 3
Capa (en redes): según la normalización OSI, es un nivel (capa) que proporciona conectividad y selección de ruta entre dos sistemas de hosts que pueden estar ubicados en redes geográficamente distintas.4
1 Mallorca Web: "El Glosario Informático de Internet" (01/04/1997) http://www.mallorcaweb.net/mostel/glosario.htm Visitado el 20/01/2014 2 Wikipedia: "Android" (14/01/2014) http://es.wikipedia.org/wiki/Android Visitado el 20/01/2014 3 Kioskea: “¿Qué es una arquitectura de red?” (11/05/2009) http://es.kioskea.net/faq/10420-que-es-una-arquitectura-de-red Visitado el 20/01/2014 4 Wikipedia: "Capa de Red" (16/12/2013) http://es.wikipedia.org/wiki/Capa_de_red Visitado el 20/01/2014
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
Carpeta: (conocida también como directorio) es un contenedor virtual en el que se almacenan una agrupación de archivos de datos y otros subdirectorios, atendiendo a su contenido, a su propósito o a cualquier criterio que decida el usuario.5
Cliente: en el contexto de las redes de ordenadores, se llama cliente de Red o cliente software a toda aquella entidad software que realiza de alguna manera peticiones de servicio a los proveedores del mismo. De esta manera, un cliente software lanzará peticiones en forma de mensajes a un servidor software que las procesará. Después de este procesado, el servidor transmitirá la respuesta al cliente.6
Copia de Seguridad: es la copia total o parcial de información importante del disco rígido, CDs, bases de datos u otro medio de almacenamiento. Esta copia de respaldo debe ser guardada en algún otro sistema de almacenamiento masivo, como ser discos rígidos, CDs, DVDs o cintas magnéticas.7
Data Center: (centro de cómputos, centro de proceso de datos), es una instalación empleada para albergar los sistemas de información y sus componentes asociados, como las telecomunicaciones y los sistemas de almacenamiento. Generalmente incluye fuentes de alimentación redundantes o de respaldo, conexiones redundantes de comunicaciones, controles de ambiente (por ejemplo, aire acondicionado) y otros dispositivos de seguridad.7
Datos Privados: los datos privados representan los archivos propios del usuario, los cuales pueden ser: documentos, imágenes, videos, etc.
Desarrollo: proceso mediante el cual el conocimiento humano y el uso de las ideas son llevados a las computadoras a través de un “lenguaje de programación”; de manera que pueda realizar las tareas para la cual fue desarrollada.7
Diapositiva: en el contexto de PowerPoint, es lo mismo que decir: presentación de PowerPoint. Una presentación o diapositiva PowerPoint, es un archivo PPS que muestra una serie de diapositivas digitales multimedias y que, por lo general, permiten presentar un determinado tema. Por lo general una presentación PowerPoint no es exhaustiva sobre un
5 Wikipedia: "Directorio" (02/12/2013) http://es.wikipedia.org/wiki/Directorio Visitado el 20/01/2014 6 Wikipedia: "Cliente de Red" (07/06/2013) http://es.wikipedia.org/wiki/Cliente_de_red Visitado el 20/01/2014 7 Alegsa: "Diccionario de Informática" http://www.alegsa.com.ar/Dic/a.htm Visitado el 20/01/2014 - 21/01/2014 – 22/01/2014
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
tema, es decir, sólo muestra información importante, algunos gráficos, sonidos y videos; esto permite, generalmente junto con una persona que expone, desarrollar un tema específico.7
Disco Rígido: es un dispositivo de almacenamiento permanente que pertenece a la categoría de discos magnéticos. Suelen ser rectangulares y protegidos por una caja metálica herméticamente cerrada.7
Disco Virtual: es un disco rígido que utilizamos para almacenar información pero que está ubicado en otra locación geográfica diferente de nuestra computadora.
Dispositivo de almacenamiento: es el artefacto en donde se escribe o leen datos, en tanto la unidad de almacenamiento es el dispositivo que se encarga de leer o escribir en estos. Por ejemplo, un disquete o un CD son soportes (medios); en tanto una unidad lectora de disquetes o unidad lectora de CD, son unidades/dispositivos de almacenamiento de esos medios respectivamente.7
Dominio (web): 1) Nombre único que permite ingresar a un servidor sin saber la dirección IP exacta donde se encuentra. El servidor suele prestar servicios, especialmente el acceso a un sitio web. 2) Conjunto de letras (dos o más caracteres) que determinan el ámbito o país de una página web. Por ejemplo, los dominios .ar, pertenecen a la Argentina, los .es a España. Los .com a sitios comerciales, los .org a organizaciones, etc. Esto es llamado TLD o Top-Level Domain.7
Encriptación (Cifrado, codificación): la encriptación es el proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave. Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, números de tarjetas de crédito, conversaciones privadas, etc.7
GET: el concepto GET es obtener información del servidor. Traer datos que están en el servidor, ya sea en un archivo o base de datos, al cliente. Independientemente de que para eso tengamos que enviar (request) algún dato que será procesado para luego devolver la respuesta (response) que esperamos, como por ejemplo un identificador para obtener una noticia de la base de datos.8
Hardware: término inglés que hace referencia a cualquier componente físico tecnológico, que trabaja o interactúa de algún modo con la computadora. No sólo incluye elementos internos como el disco duro, CD-ROM, disquetera, sino que también hace referencia al cableado, circuitos, gabinete, etc. E incluso hace referencia a elementos externos como la impresora, el mouse, el teclado, el monitor y demás periféricos. El hardware contrasta con el software, que es intangible y le da lógica al hardware (además de ejecutarse dentro de éste).7 8 Mica Yael: "Métodos GET vs POST del HTTP" (02/09/2011) http://blog.micayael.com/2011/02/09/metodos-get-vs-post-del-http/ Visitado el 21/01/2014
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
HTTP: (HyperText Transfer Protocol). Protocolo usado para acceder a la Web (WWW). Se encarga de procesar y dar respuestas a las peticiones para visualizar una página web. El HTTP está basado en el modelo cliente-servidor, en donde un cliente HTTP (un navegador por ejemplo) abre una conexión y realizar una solicitud al servidor. Este responde a la petición con un recurso (texto, gráficos, etc.) o un mensaje de error, y finalmente se cierra la conexión. Uno de los más famosos mensajes de error HTTP es el 404 Not found.7
HTTPS: (Hypertext Transfer Protocol Secure) es una combinación del protocolo HTTP y protocolos criptográficos. Se emplea para lograr conexiones más seguras en la WWW, generalmente para transacciones de pagos o cada vez que se intercambie información sensible (por ejemplo, claves) en internet. De esta manera la información sensible, en el caso de ser interceptada por un ajeno, estará cifrada.7
Infraestructura: conjunto de todo lo necesario para servir de base o poner en funcionamiento una obra mayor.7
Interfaz / Interfaces: parte de un programa que permite el flujo de información entre un usuario y la aplicación, o entre la aplicación y otros programas o periféricos. Esa parte de un programa está constituida por un conjunto de comandos y métodos que permiten estas intercomunicaciones. Interfaz también hace referencia al conjunto de métodos para lograr interactividad entre un usuario y una computadora.7
iPad: es una Tablet-PC multitáctil desarrollado por Apple Inc. Fue presentado públicamente el 27 de enero de 2010 en San Francisco. Se trata de una tablet con pantalla táctil, similar a un teléfono iPhone pero más grande. 7
iPhone: teléfono celular desarrollado por Apple Inc. (actualmente va por la séptima generación, el iPhone 5S).
Java: Lenguaje de programación orientado a objetos. Fue desarrollado por James Gosling y sus compañeros de Sun Microsystems al principio de la década de los 90. La programación en Java es compilada en bytecode, el cual es ejecutado por la máquina virtual Java. Usualmente se usa un compilador JIT.El lenguaje es parecidos a C y C++, aunque su modelo de objetos es más sencillo, y fue influenciado también por Smalltalk, y Eiffel.7
Latencia: es el tiempo o lapso necesario para que un paquete de información se transfiera de un lugar a otro. La latencia, junto con el ancho de banda, son determinantes para la velocidad de una red.7
Linux: sistema operativo que posee un núcleo del mismo nombre. El código fuente es abierto, por lo tanto, está disponible para que cualquier persona pueda estudiarlo, usarlo, modificarlo y redistribuirlo.7
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
Mac: es una línea de sistemas operativos gráficos desarrollados y vendidos por la compañía Apple Inc, especialmente para ser usados en computadoras Macintosh y/o dispositivos como el iPhone, el iPod y similares.7
Man-in-the-middle: en criptografía, un ataque man-in-the-middle o JANUS (MitM o intermediario, en español) es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticación. 9
Memoria RAM: RAM o Random Access Memory (memoria de acceso aleatorio), es un tipo de memoria que utilizan las computadoras y otros dispositivos. Por lo general es usada para el almacenamiento temporal de información. Este tipo de memoria es volátil, por lo tanto su contenido se pierde al faltar la energía eléctrica.7
Ms Office: suite ofimática desarrollada por Microsoft, actualmente es la más usada del mundo. Operable en los sistemas operativos Windows y Apple Mac OS, con posibilidad de funcionar en Linux a través de un emulador. 7
Multimedia: cualquier sistema que utiliza múltiples medios de comunicación al mismo tiempo para presentar información. Generalmente combinan textos, imágenes, sonidos, videos y animaciones. 7
Multiplataforma: significa que el hardware o software que es multiplataforma tiene la característica de funcionar de forma similar en distintas plataformas (distintos sistemas operativos por ejemplo). 7
Navegador (Browser, explorador, navegador web): aplicación que sirve para acceder a la WWW (todas las páginas web) y "navegar" por ella a través de los enlaces. Generalmente estos programas no sólo traen la utilidad de navegar por la WWW, sino que pueden también administrar correo, grupos de noticias, ingresar al servicio de FTP, etc. 7
Open Source: denominación para aquellas aplicaciones que tienen su código fuente liberado. En general, los programas de código abierto suele ser libres. Aunque existen aplicaciones de código abierto que no son libres. 7
Operador: persona física que utiliza una o más aplicaciones a través de la computadora.
9 Wikipedia: "Ataque Man-in-the-middle" (05/10/2013) http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle Visitado el 21/01/2014
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
PC (Personal Computer o Computadora Personal): dispositivo electrónico compuesto básicamente de procesador, memoria y dispositivos de entrada/salida. Poseen parte física (hardware) y parte lógica (software), que se combinan entre sí para ser capaces de interpretar y ejecutar instrucciones para las que fueron programadas. Una computadora suele tener un gran software llamado sistema operativo que sirve como plataforma para la ejecución de otras aplicaciones o herramientas. 7
PDF (Portable Document Format - Formato de Documento Portable): formato para almacenar documentos, desarrollado por la empresa Adobe Systems, originalmente exclusivo para su programa Acrobat Reader. Actualmente es un formato abierto. 7
PenDrive: pequeño dispositivo de almacenamiento de datos, que emplea una memoria flash para esto. También es llamado memoria USB. 7
POST: el concepto POST es enviar información desde el cliente para que sea procesada y actualice o agregue información en el servidor, como sería la carga o actualización en sí de una noticia. Cuando enviamos (request) datos a través de un formulario, estos son procesados y luego a través de una redirección por ejemplo devolvemos (response) alguna página con información.8
Procesador: conocido como CPU (Central Processing Unit - Unidad central de procesamiento) Es el cerebro de la computadora, ubicado específicamente en el microprocesador, posee dos componentes, la Unidad de Control y la Unidad aritmético-lógica. La CPU trabaja activamente con la memoria principal, aunque físicamente está separada del microprocesador. El rendimiento, calidad y costo de una computadora está altamente relacionado a su CPU. 7
Proveedor de Servicios: es una empresa que proporciona servicios de software (aplicaciones) a múltiples entidades desde un centro de cómputo a través de una red (como internet o una red privada). Sus clientes suelen ser especialmente empresas, organizaciones gubernamentales, y otras organizaciones. 7
Recursos (informáticos): son las aplicaciones, herramientas, dispositivos (periféricos) y capacidades con los que cuenta una computadora. Por ejemplo, los recursos informáticos (de capacidad) pueden ser: la memoria, la capacidad de almacenamiento e incluso la CPU con la que cuenta una computadora. 7
Redes: una red de computadoras es una interconexión de computadoras para compartir información, recursos y servicios. Esta interconexión puede ser a través de un enlace físico (alambrado) o inalámbrico. 7
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
Replay attacks: el replay attack, ataque por reenvío o reproducción, básicamente consiste en capturar información (transmisión de datos) que viaja en una red predeterminada, y luego enviarla al destinatario original sin que su presencia se haga notar. 10
Requerimientos: En ingeniería del software y el desarrollo de sistemas, un requerimiento es una necesidad documentada sobre el contenido, forma o funcionalidad de un producto o servicio. Los requerimientos son declaraciones que identifican atributos, capacidades, características y/o cualidades que necesita cumplir un sistema (o un sistema de software) para que tenga valor y utilidad para el usuario. En otras palabras, los requerimientos muestran qué elementos y funciones son necesarias para un proyecto. 7
Script: conjunto de instrucciones generalmente almacenadas en un archivo de texto que deben ser interpretados línea a línea en tiempo real para su ejecución, se distinguen de los programas, pues deben ser convertidos a un archivo binario ejecutable para correrlos. 7
Servidor: una computadora conectada a internet emplea una dirección (dirección web, dirección IP, dirección FTP, etc.) para poder comunicarse con el servidor al que le corresponde. La computadora envía (utilizando el protocolo adecuado) las distintas solicitudes al servidor, y el servidor responde (empleando el protocolo adecuado) las solicitudes. El servidor también puede solicitar datos de la computadora, y la computadora le responde. 7
Sistema Operativo (Operating System): sistema tipo software que controla la computadora y administra los servicios y sus funciones como así también la ejecución de otros programas compatibles con éste. Ejemplos de familias de sistemas operativos: Windows, Unix, Linux, DOS, Mac OS, etc. Un sistema operativo permite interactuar con el hardware de computadoras, teléfonos celulares, PDAs, etc. y ejecutar programas compatibles en éstos. Permite controlar las asignaciones de memoria, ordenar las solicitudes al sistema, controlar los dispositivos de entrada y salida, facilitar la conexión a redes y el manejo de archivos. 7
Sniffing: vulgarmente "pinchar líneas". Relacionado Sniffer: 1) Aplicación de monitorización y de análisis para el tráfico de una red para detectar problemas, lo hace buscando cadenas numéricas o de caracteres en los paquetes. Se usa especialmente para detectar problemas de congestionamiento (cuellos de botella o bottlenecks). Puede usarse ilegalmente para recibir datos privados en una red, además son difíciles de detectar. 2) Programa encargado de obtener datos que circulan por una red. 7
Software: programas, detalles del diseño escritos en un lenguaje de descripción de programas, diseño de la arquitectura, especificaciones escritas en lenguaje formal, requerimientos del sistema, etc. 7
Spoofing: suplantar la dirección IP de otro sistema. 10 UNFV: "Replay Attak" (20/05/2011) http://villarrealino-seguridadyauditoria.blogspot.com.ar/2011/05/replay-attack.html Visitado el 22/01/2014
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en Sistemas Universidad Católica de Santa Fe
Baranovic Lucas
SSL: (Secure Sockets Layer). Protocolo diseñado por la empresa Netscape para proveer comunicaciones encriptadas en internet. 7
Tecnologías de Información y Comunicación (TICs): agrupan los elementos y las técnicas usadas en el tratamiento y la transmisión de las informaciones, principalmente de informática, internet y telecomunicaciones. 11
Usuario: es un individuo que utiliza una computadora, sistema operativo, servicio o cualquier sistema informático. Por lo general es una única persona. 7
Web: según en el contexto que se utilice puede representar a toda la Internet o a un Sitio o Página Web en particular.
WebDAV (Web-based Distributed Authoring and Versioning - Edición y versionado distribuidos sobre la web): grupo de trabajo del Internet Engineering Task Force, y que también hace referencia a la serie de extensiones al protocolo HTTP definida por ese grupo. Esas extensiones permiten a los usuarios crear, editar o mover documentos (o todo tipo de recurso web) en un servidor remoto (generalmente un servidor web). El objetivo del grupo WebDAV es hacer de la WWW un medio más legible y editable. 7
Widget: es un elemento de una interfaz (interfaz gráfica de usuario o GUI) que muestra información con la cual el usuario puede interactuar. Por ejemplo: ventanas, cajas de texto, checkboxs, listbox, entre otros. 7
WinRar: es una aplicación de licencia shareware, que permite comprimir y empaquetar múltiples archivos. El resultado es un archivo comprimido RAR. Actualmente WinRAR es desarrollado por el ruso Eugene Roshal, mientras que Alexander Roshal, su hermano, se encarga de los negocios relacionados. 7
WinZip: aplicación que se emplea como archivador y compresor de ficheros desarrollada por WinZip Computing (antiguamente Nico Mak Computing), luego adquirida en mayo de 2006 por Corel Corporation. Al principio utilizaba el formato PKZIP, pero actualmente soporta otros formatos compresores. 7
11 TICS en América Latina: "Definición de TICs" (01/06/2011) http://www.tics.org.ar/home/index.php/noticias-destacadas-2/157-definicion-de-tics Visitado el 22/01/2014
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en SistemasUniversidad Católica de Santa Fe
Baranovic Lucas
Bibliografía
Nombre del Sitio: TecnófilosArtículo: “Trabajar en la nube, modelos actuales en cloud computing y
sus repercusiones en educación” (03/02/2010)Dirección Web: http://tecnofilos.aprenderapensar.net/2010/02/03/trabajar-en-la-
nube-modelos-actuales-en-cloud-computing/Tipo de Referencia: Artículo WebFecha de Acceso: 26/11/2012
Nombre del Sitio: Informática-HoyArtículo: "¿Se puede confiar en los backups online?"Dirección Web: http://www.informatica-hoy.com.ar/la-nube/Se-puede-confiar-en-los-
backups-online.phpTipo de Referencia: Artículo WebFecha de Acceso: 26/11/2012
Nombre del Sitio: GuikblogArtículo: "¿Qué tan limpia es tu nube? Greenpeace da su veredicto" (24/04/2012)Dirección Web: http://guikblog.com/2012/04/24/que-tan-limpia-es-tu-nube-
greenpeace-da-su-veredicto/Tipo de Referencia: Artículo WebFecha de Acceso: 26/11/2012
Nombre del Sitio: TIC Para TodosDirección Web: http://ticparatodos.pe/Tipo de Referencia: ImagenFecha de Acceso: 20/01/2013
Nombre del Sitio: NISTArtículo: "The NIST Definition of Cloud Computing" (27/04/2012)Dirección Web: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdfTipo de Referencia: Artículo PDFFecha de Acceso: 24/01/2013
Nombre del Sitio: Cloud Computing LatinoaméricaArtículo: "Que es Cloud Computing?" (19/04/2010)Dirección Web: http://www.cloudcomputingla.com/2010/04/que-es-cloud-
computing.html
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en SistemasUniversidad Católica de Santa Fe
Baranovic Lucas
Tipo de Referencia: Artículo WebFecha de Acceso: 24/01/2013
Nombre del Sitio: Wikipedia Artículo: “Burbuja punto com” (24/10/2012)Dirección Web: http://es.wikipedia.org/wiki/Burbuja_punto_comTipo de Referencia: WikiFecha de Acceso: 24/01/2013
Nombre del Sitio: Wikipedia Artículo: “Amazon Web Services” (31/12/2012)Dirección Web: http://en.wikipedia.org/wiki/Amazon_Web_ServicesTipo de Referencia: WikiFecha de Acceso: 24/01/2013
Nombre del Sitio: New York TimesArtículo: Google and I.B.M. Join in ‘Cloud Computing’ Research (08/10/2007)Dirección Web: http://www.nytimes.com/2007/10/08/technology/08cloud.html?
_r=3&ex=1349496000&en=92627f0f65ea0d75&ei=5090&partner= rssuserland&emc=rss&oref=slogin&
Tipo de Referencia: Artículo WebFecha de Acceso: 24/01/2013
Nombre del Sitio: Open Cloud ManifestoArtículo: “Cloud Computing Use Cases Whitepaper”, v3.0, Página 7,
Essential Characteristic, Octubre de 2009. – Dirección Web:
http://opencloudmanifesto.org/Cloud_Computing_Use_Cases_Whitepape r-3_0.pdfTipo de Referencia: Libro PDFFecha de Acceso: 24/01/2013
Nombre del Sitio: Cloud Security AllianceNombre del Sitio: “Guía para la Seguridad en áreas críticas de atención en Cloud
Computing”, V2.0, Cloud Security Alliance, Noviembre 2009. – Dirección Web: https://ccsk-es.cloudsecurityalliance.org/des88_GUIA_CSA_
PARA_LA_SEGURIDAD_EN_AREAS_CRITICAS_DE_ATENCION_EN _CLOUD_COMPUTING_V2.pdf
Tipo de Referencia: Libro PDF / ImágenFecha de Acceso: 24/01/2013
Nombre del Sitio: Manuel Vieda
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en SistemasUniversidad Católica de Santa Fe
Baranovic Lucas
Artículo: "Beneficios y Desventajas del Modelo de Cloud Computing"(24/07/2011)
Dirección Web: http://manuelvieda.com/2011/07/beneficios-desventajas-del-modelo-de- cloud-computing/
Tipo de Referencia: Artículo WebFecha de Acceso: 24/01/2013
Nombre del Sitio: Global LogicArtículo: ArticDirección Web: http://ticparatodos.pe/Tipo de Referencia: ImagenFecha de Acceso: 24/01/2013
Nombre del Sitio: TIC Para TodosArtículo: "En que se diferencia Cloud Computing de la tradicional forma
de ofrecer servicios" (20/04/2012)Dirección Web: http://club.globallogic.com.ar/2012/04/20/en-que-se-diferencia-
cloud- computing-de-la-tradicional-forma-de-ofrecer-servicios/Tipo de Referencia: Artículo WebFecha de Acceso: 24/01/2013
Nombre del Sitio: WikipediaArtículo: “ADrive” (20/05/2012)Dirección Web: http://es.wikipedia.org/wiki/AdriveTipo de Referencia: WikiFecha de Acceso: 06/02/2013
Nombre del Sitio: ENISAArtículo: "Computación en nube, Beneficios, riesgos y reconendaciones
para la seguridad de la Información" (20/11/2009)Dirección Web: http://www.enisa.europa.eu/activities/risk-
management/files/deliverables/cloud-computing-risk-assessmentTipo de Referencia: Artículo WebFecha de Acceso: 06/02/2013 - 07/02/2013 - 08/02/2013
Nombre del Sitio: Cloud Security AllianceArtículo: "Top Threats to Cloud Computing V1.0" (01/03/2010)Dirección Web: https://cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdfTipo de Referencia: Libro PDFFecha de Acceso: 06/02/2013 - 07/02/2013 - 08/02/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en SistemasUniversidad Católica de Santa Fe
Baranovic Lucas
Nombre del Sitio: XatakaArtículo: "Google Drive" (24/04/2012)Dirección Web: http://www.xataka.com/gadgets/almacenamiento/google-driveTipo de Referencia: Artículo PDFFecha de Acceso: 21/03/2013
Nombre del Sitio: Seguridad.netArtículo: "¿Cuán seguro es Google Drive?" (26/04/2012)Dirección Web: http://muyseguridad.net/2012/04/26/seguridad-google-drive/Tipo de Referencia: Artículo WebFecha de Acceso: 21/03/2013
Nombre del Sitio: TIC Para TodosArtículo: ArticDirección Web: http://ticparatodos.pe/Tipo de Referencia: ImagenFecha de Acceso: 21/03/2013
Nombre del Sitio: PC ActualArtículo: "ADrive, un servicio con mucho espacio disponible" (20/08/2010)Dirección Web: http://www.pcactual.com/articulo/laboratorio/analisis/software/
seguridad/otros_seguridad/5064/adrive_servicio_con_mucho_espacio _disponible.html
Tipo de Referencia: Artículo WebFecha de Acceso: 22/03/2013
Nombre del Sitio: MegaTutosArtículo: "Análisis del nuevo MEGA (Antiguo Megaupload)" (23/01/2013)Dirección Web: http://www.megatutos.net/analisis-del-nuevo-mega-antiguo -
megaupload/Tipo de Referencia: Artículo WebFecha de Acceso: 23/03/2013
Nombre del Sitio: PC ActualArtículo: "Dropbox, el pionero sigue «plantando batalla»" (14/07/2012)Dirección Web http://www.pcactual.com/articulo/laboratorio/analisis/
software/internet/almacenamiento_on-line/11375/dropbox _pionero_sigue_plantando_batalla.html
Tipo de Referencia: Artículo WebFecha de Acceso: 23/03/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en SistemasUniversidad Católica de Santa Fe
Baranovic Lucas
Nombre del Sitio: XatakaArtículo: "Dropbox" (24/04/2012)Dirección Web: http://www.xatakamovil.com/productos/aplicaciones/dropboxTipo de Referencia: Artículo WebFecha de Acceso: 23/03/2013
Nombre del Sitio: Hard ManiacosArtículo: "Google Docs Ya Tiene Competidor: Ox App Suite" (01/04/2013)Dirección Web: http://www.hardmaniacos.com/google-docs-ya-tiene-competidor-ox
-app-suite/Tipo de Referencia: Artículo WebFecha de Acceso: 04/04/2013
Nombre del Sitio: ScribdArtículo: "Google Y Convergencia De Medios" (04/01/2012)Dirección Web: http://es.scribd.com/doc/87576448/Analisis-de-Google-docsTipo de Referencia: Artículo WebFecha de Acceso: 04/04/2013
Nombre del Sitio: WikipediaArtículo: "Google Drive" (24/05/2012)Dirección Web: http://es.wikipedia.org/wiki/Google_DriveTipo de Referencia: Artículo WebFecha de Acceso: 04/04/2013
Nombre del Sitio: SoftonicArtículo: "Pixlr Express, el editor online de fotos más equilibrado" (20/11/2012)Dirección Web: http://onsoftware.softonic.com/pixlr-express-a-fondoTipo de Referencia: Artículo WebFecha de Acceso: 08/04/2013
Nombre del Sitio: SoftonicArtículo: "Tus ideas fluyen en estas animadas presentaciones" (26/11/2012)Dirección Web: http://prezi.softonic.com/aplicaciones-webTipo de Referencia: Artículo WebFecha de Acceso: 08/04/2013
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en SistemasUniversidad Católica de Santa Fe
Baranovic Lucas
Nombre del Sitio: Comunidad BloggersArtículo: "EzyZip comprime y descomprime tus archivos online!" (24/07/2010)Dirección Web: http://www.comunidadbloggers.com/2010/07/ezyzip-comprime-y-
descomprime-tus.htmlTipo de Referencia: Artículo WebFecha de Acceso: 09/04/2013
Nombre del Sitio: PC ActualArtículo: "OODesk: sistema operativo web versátil y gratuito" (24/09/2012)Dirección Web:
http://www.pcactual.com/articulo/laboratorio/analisis/software/internet /escritorios_virtuales/11681/oodesk_sistema_operativo_web _versatil_gratuito.html
Tipo de Referencia: Artículo WebFecha de Acceso: 09/04/2013
Nombre del Sitio: Channel PlanetArtículo: "¿Qué tan segura es la nube?" (Anexo I)Dirección Web: http://www.channelplanet.com/?idcategoria=24018Tipo de Referencia: Artículo WebFecha de Acceso: Visitado durante el 2012 y 2013
Nombre del Sitio: WikipediaArtículo: “Google Chrome OS” (29/12/2013)Dirección Web: http://es.wikipedia.org/wiki/Google_Chrome_OSTipo de Referencia: Artículo WebFecha de Acceso: 05/01/2014
Nombre del Sitio: Mallorca WebArtículo: "El Glosario Informático de Internet" (01/04/1997)Dirección Web: http://www.mallorcaweb.net/mostel/glosario.htmTipo de Referencia: WikiFecha de Acceso: 20/01/2014
Nombre del Sitio: WikipediaArtículo: “Android” (14/01/2014)Dirección Web: http://es.wikipedia.org/wiki/AndroidTipo de Referencia: WikiFecha de Acceso: 20/01/2014
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en SistemasUniversidad Católica de Santa Fe
Baranovic Lucas
Nombre del Sitio: KioskeaArtículo: “¿Qué es una arquitectura de red?” (11/05/2009)Dirección Web: http://es.kioskea.net/faq/10420-que-es-una-arquitectura-de-redTipo de Referencia: WikiFecha de Acceso: 20/01/2014
Nombre del Sitio: WikipediaArtículo: “Capa de Red” (16/12/2013)Dirección Web: http://es.wikipedia.org/wiki/Capa_de_redTipo de Referencia: WikiFecha de Acceso: 20/01/2014
Nombre del Sitio: WikipediaArtículo: “Directorio” (02/12/2013)Dirección Web: http://es.wikipedia.org/wiki/DirectorioTipo de Referencia: WikiFecha de Acceso: 20/01/2014
Nombre del Sitio: WikipediaArtículo: “Cliente de Red” (07/06/2013)Dirección Web: http://es.wikipedia.org/wiki/Cliente_de_redTipo de Referencia: WikiFecha de Acceso: 20/01/2014
Nombre del Sitio: AlegsaArtículo: “Diccionario de Informática” Dirección Web: http://www.alegsa.com.ar/Dic/a.htmTipo de Referencia: Diccionario en líneaFecha de Acceso: 20/01/2014 – 21/02/2014 – 22/02/2014
Nombre del Sitio: Mica YaelArtículo: “Métodos GET vs POST del HTTP” (02/09/2011)Dirección Web: http://blog.micayael.com/2011/02/09/metodos-get-vs-post-del-http/Tipo de Referencia: Artículo WebFecha de Acceso: 21/01/2014
Nombre del Sitio: WikipediaArtículo: “Ataque Man-in-the-middle” (05/10/2013)Dirección Web: http://es.wikipedia.org/wiki/Ataque_Man-in-the-middleTipo de Referencia: WikiFecha de Acceso: 21/01/2014
Nombre del Sitio: UNFVArtículo: “Replay Attak” (20/05/2011)
Trabajo Integrador Final | Seminario de Investigación | Licenciatura en SistemasUniversidad Católica de Santa Fe
Baranovic Lucas
Dirección Web: http://villarrealino-seguridadyauditoria.blogspot.com.ar/2011/05/replay-attack.html
Tipo de Referencia: Artículo WebFecha de Acceso: 22/01/2014
Nombre del Sitio: TICS en América LatinaArtículo: “Definición de TICs” (01/06/2011)Dirección Web: http://www.tics.org.ar/home/index.php/noticias-destacadas-2/157-
definicion-de-ticsTipo de Referencia: Sitio Web OficialFecha de Acceso: 22/01/2014
ANEXOS
Entrevista “¿Qué tan segura es la nube?” Fuente: http://www.channelplanet.com/?idcategoria=24018
Sin lugar a dudas el tema de seguridad se ha convertido en uno de los aspectos claves a la hora de tomar la decisión de subir o no a la nube. Channel Planet conversó con Cristian Borghello* de Argentina y Omar Herrera* de México, expertos latinoamericanos en seguridad sobre este neurálgico tema en el Cloud Computing.
CHP: ¿Cuál es su perspectiva respecto al tema de seguridad actual en Cloud Computing? OH: La seguridad es un catalizador indispensable para que el Cloud Computing alcance el nivel de madurez y penetración de mercado que se espera. Cloud Computing representa la oportunidad de bajar costos de infraestructura tecnológica, hacer más eficiente la operación y tener una flexibilidad nunca antes vista en cuanto a disponibilidad de la información y acceso por demanda a recursos tecnológicos. Pero también llega en una época donde tenemos requerimientos de seguridad y privacidad muy estrictos a nivel mundial. La única manera de solventar estos requerimientos es a través de soluciones de seguridad que resuelvan de raíz los problemas fundamentales de seguridad en la nube; de otra manera éstos serían acentuados por las características propias de Cloud Computing. CB: Nuestra información está almacenada en ciertos lugares que llamamos nube que podría estar en cualquier parte del mundo, en cualquier servidor o en cualquier infraestructura que el proveedor haya decidido. A partir de ese momento es muy difícil establecer si esa información va a estar segura o no. Siempre vamos a tener cierta cantidad de no conocimiento de donde está y que tan segura está. Con el advenimiento de Cloud Computing surgen distintos estándares sobre cómo asegurar esa información en términos de la confidencialidad del dueño de los datos, que en este caso sería quien contrata el servicio; la disponibilidad de la información, es decir que quien adquiere el servicio siempre pueda acceder a la información sin ningún tipo de cortes; y la integridad, que busca que esa información no sea modificada en ningún momento, ni en el centro de datos donde es almacenada ni mientras se esté transfiriendo. Actualmente estamos en un nivel bastante alto de incertidumbre de cómo se va a almacenar la información, dónde se va a almacenar y con qué grado de seguridad y por eso empiezan a surgir ciertos estándares que todavía están en pañales, porque todo lo que es Cloud todavía está en una época inicial donde estamos empezando a conocer la tecnología. ¿Cuáles son los mayores riesgos y retos, a nivel de seguridad, en Cloud Computing? OH: Hay tres retos fundamentales que aún no se han solventado adecuadamente.
El primero se refiere a la localización geográfica de la información. Diversas regulaciones en materia de privacidad, como por ejemplo la Directiva de Privacidad de la Unión Europea, restringen de manera explícita la exportación de cierto tipo de datos hacia países que no tienen regulaciones equivalentes. Éste es un problema legal que afecta directamente a las empresas que desean contratar servicios de Cloud Computing, ya que son directamente responsables del cumplimiento de dichas disposiciones. El segundo, que también es un problema legal que afecta a los clientes de servicios de Cloud Computing, se refiere a la propiedad de los datos que se almacenan, procesan, generan o transmiten a través de servicios en la nube. Si bien se pueden mitigar mediante requerimientos contractuales, en la práctica resulta muy difícil asegurar el cumplimiento de estos requerimientos y la entrega de datos en tiempo y forma. El tercer reto se refiere a la confidencialidad de la información. Es un problema que se ya se tenía con el outsourcing tradicional pero que se agudiza en el esquema de Cloud Computing, porque pueden participar diversos actores en diversas localidades. Obligar a la firma de acuerdos de confidencialidad con cada participante limitaría las ventajas de Cloud Computing y lo reduciría a un esquema multi-outsourcing. Por otro lado, la confidencialidad de los datos en el punto donde dejan de estar encriptados para poder ser procesados, momento durante el cual pueden ser conocidos por un administrador, es algo que preocupa a empresas que requieren altos niveles de seguridad y que hoy en día no hemos logrado. Pero más allá de estos riesgos operativos y técnicos, está el gran reto de aceptar que Cloud Computing plantea reglas del juego totalmente distintas, y se requieren paradigmas y soluciones diferentes a lo que tenemos actualmente. CB: Con Cloud Computing lo que nace en realidad es un término nuevo, pero el principio y el modelo completo de utilizar distintas tecnologías y utilizar distintas formas de almacenamiento o de acceso a la información no es algo nuevo, lo venían utilizando las empresas hace algún tiempo. Dejando de lado el término de marketing, hay que hacer un análisis desde dos puntos de vista. Primero hay que ver que Cloud tiene ventajas como que ya no tenemos que preocuparnos del Hosting para almacenar la información, no importa el lugar donde estemos podemos acceder a ella; no tenemos que preocuparnos por la disponibilidad porque supuestamente el servicio que adquirimos va a tener esa disponibilidad en todo momento. Por otro lado no tenemos que preocuparnos, todo indica, de la seguridad de los servicios y de la información que almacenemos porque el servicio que estamos adquiriendo lo va a proveer. Es la forma de despreocuparnos de un montón de cosas que antes teníamos que hacer por nuestro lado.
En segunda instancia, hay algunos inconvenientes relacionados con la integración de una gran cantidad de servicios que involucra Cloud Computing, aunque algunos de estos servicios ya están maduros en el mercado. Por ejemplo, un centro de cómputo de datos para una empresa que provee este tipo de servicios no debería tener ningún tipo de secretos. También aparece el tema de la confidencialidad de la información. Quién asegura que si almacenamos información confidencial y sensible, alguno de los administradores de los centros de datos, en algún lugar del mundo, en la nube, no ingresa a ellos. También, en menor grado, pero no deja de ser importante, la integridad de nuestra información. En la medida en que el modelo se haga más duro, vamos a ir aprendiendo y asegurando nuestra información de distintas formas. Obviamente sucederá en la medida en que el modelo se haga más conocido y lo vayamos implementando masivamente. ¿Qué recomendaciones daría a las empresas que están en búsqueda de un proveedor para soluciones en la nube? OH: Que valoren su oferta, no sólo con base en el costo y los niveles de servicio, sino también considerando su potencial de crecimiento. La nube es todavía un esquema en proceso de madurez. Muchas de las ventajas que se le atribuyen aún no son tangibles, pero para poder aprovechar al máximo el esquema cuando estas ventajas se materialicen será necesario evaluar de manera integral a los proveedores. Si bien no existe aún un acuerdo general sobre cuáles son los servicios mínimos que debe ofrecer un proveedor de Cloud Computing, yo recomendaría evaluar al menos los siguientes: •Un nivel de confidencialidad para datos sensibles, que sea adecuado para nuestras necesidades •Un esquema de pagos que solo cobre por lo que se usa y que permita crecer y disminuir los recursos utilizados en cualquier momento •Un esquema que asegure disponibilidad y acceso a los datos en cualquier momento CB: En primer lugar lo que habría que exigir es un contrato donde quede claramente especificado todos los estándares internacionales que sigue esa organización. Ante la firma de un contrato va a ser poco probable que esa organización mienta. En el contrato también se debe decir que buenas prácticas se tienen a nivel de seguridad. Si hablamos de las empresas más reconocidas en el mercado, sin duda todas ellas van a cumplir con los estándares
Por otro lado, con la norma SAS 70 puedo tener un servicio de auditoría de un tercero para que audite a esa organización y me brinde los resultados, lo que podría ser muy útil. ¿Cuáles son los estándares internacionales que deberían cumplir los proveedores de servicios en la nube? OH: En mi opinión, todavía falta desarrollar estándares específicos para el esquema de Cloud Computing, que consideren seguridad de los datos, interoperabilidad entre proveedores e interacción con clientes. A falta de esto, los estándares que hoy en día pueden apoyar adecuadamente a un proveedor de la nube son los estándares ISO, tales como 27001 y 9000, ya que son suficientemente genéricos para adecuarse a servicios particulares que se ofrecen bajo este nuevo esquema, y a la vez proporcionan una cobertura adecuada en términos de seguridad y procesos. CB: Actualmente una de las más importantes y más reconocidos es la norma 27001 siempre y cuando no solicitemos que todas las empresas del mundo están certificadas, sino que se debe procurar que por lo menos sigan las buenas prácticas recomendadas por estos estándares. La ISO 27002 es un código de buenas prácticas que nos va sugiriendo qué hacer en la organización para cumplir con todos los estándares de buenas prácticas recomendadas para asegurar la información, para tener un sistema de gestión adecuado. Por otro lado hay otros estándares como SAS 70, que nos brinda el poder tener un contrato con un proveedor para conocer las mejores prácticas que sigue esta compañía y también nos habilita para hacer cierto tipo de auditorías en esas organizaciones a través de un tercero para verificar que todos los servicios provistos por esta empresa cumplen con los requerimientos. También existe una norma Anfi que es la guía TIA-942 que indica como debería ser un centro computo, como debería estar desarrollado, y otros estándares que deberían seguir las organizaciones justamente para saber que se cumplen con los estándares internacionales. También podemos mencionar las guías NIS o DISA de Estados Unidos. ¿Hay avances importantes en criptografía para generar confianza en el uso de soluciones en la nube? OH: Definitivamente. Algunos de los avances más importantes se han llevado a cabo en el campo de cifrado homomórfico, que son algoritmos que permiten operar directamente sobre los datos encriptados, sin necesidad de conocer su contenido. Estos esquemas, cuando logren alcanzar los niveles de eficiencia requeridos para operar los volúmenes de datos que se pretende manejar en la nube, podrán resolver de raíz el problema de la confidencialidad de los datos.
El avance más reciente lo realizó Craig Gentry apenas a mediados del 2009, al encontrar el primer mecanismo de cifrado homomórfico completo, es decir que permite realizar diversas operaciones con los datos encriptados de esta manera. CB: La criptografía está muy madura en el mercado actualmente. Existen distintas soluciones que van a proveer servicios de criptografía, de cifrado para verificar la autenticidad, la integridad y la autenticidad de la información, ya sea que esté viajando o almacenada en algún centro de cómputo en algún lugar del mundo. El servicio de criptografía nos ayuda porque tendríamos que en algún momento se necesita trabajar con la información descifrada, por ende alguien tendría la posibilidad de acceder a información confidencial. Para evitar ese tipo de problemas empiezan a surgir algunos modelos, si bien aún hay discusiones de si funcionarían en la práctica o no. Una de ellas es la posibilidad de trabajar con datos cifrados sin descifrarlos en ningún momento, criptografía homomórfica, pero todavía algunos expertos hablan de que a esto le faltan entre 5 o 10 años como mínimo para que el modelo de trabajo sea lo suficientemente adulto y sea posible trabajar en la práctica con este modelo. ¿En los contratos de servicios con los proveedores se debería incluir la información de en cuántos servidores se replica la información, dónde están ubicados o en qué momento toman la decisión de tener una réplica adicional de la información? OH: En mi opinión, es un tema tan complejo que no vale la pena tratar de regular contractualmente la información de la ubicación de los datos, dado el dinamismo que empezará a adquirir el Cloud Computing. Las empresas requieren esta información para evaluar el nivel de confianza que les brinda el esquema. Creo que en ese sentido resultaría mucho más sencillo encontrar esquemas que resuelvan el problema de la confidencialidad, sin importar la ubicación geográfica de los datos. Los intermediarios o brokers jugarán un papel fundamental en estas soluciones, ya que serán quienes se comprometerán contractualmente con los clientes, y a su vez manejarán de manera transparente la relación con el resto de los proveedores involucrados. Técnicas de disociación de la información para generar grupos de datos que sin contexto no puedan ser utilizados de manera maliciosa podrían solventar gran parte de este problema. CB: En el contrato lo que debería estar especificado es el porcentaje de tiempo que va a estar la información, como cuando hablábamos de Gmail. Este tema es independiente de la cantidad de granjas de servidores que tiene Google. Yo no sé si Google está almacenando mis correos de Gmail en una granja, en 5 o en 10 granjas de servidores distribuidas en todo el mundo. A mayor cantidad de lugares hay una probabilidad menor de que ocurra un daño, pero no necesariamente va a asegurar la disponibilidad, además esta información raramente una empresa proveedora de servicios lo va a brindar porque muchas veces forma parte del secreto comercial y de la forma de trabajo que tiene la organización.
En cuanto a disponibilidad debe ser claro que la información va a ser almacenada para un objetivo determinado por el cliente, qué esta información debe ser eliminada cuando así se requiera o cuando el contrato se vence y no sea renovado. ¿Considera que en el campo del cómputo forense va a haber algún cambio? OH: Ciertamente. El cómputo forense se verá transformado totalmente. Pasará de operar en las capas de infraestructura y sistema operativo a operar en la capa de datos principalmente y deberá volverse preventivo. En la actualidad, mucha información que nos permite manejar los datos se genera en la capa de infraestructura y sistema operativo, y recientemente el enfoque se ha cargado hacia los metadatos de los aplicativos. Todo esto típicamente se registra en bitácoras. Pero en un ambiente sin fronteras geográficas y altamente dinámico como será Cloud en un futuro no muy lejano, será imposible centralizar la información en bitácoras. Es probable que los metadatos deban acompañar a los datos en todo momento, a donde quiera que éstos viajen y sean procesados o almacenados. Es por esto que el esquema deberá ser preventivo, porque a nivel de protocolos de interacción se deberá definir cómo deben generarse, tratarse y transmitirse los metadatos. De cierta manera será un concepto similar a la información que cargaban consigo los agentes inteligentes que se desarrollaron hace algunos años. ¿El tema de Cloud va a generar nuevas especialidades en materia de seguridad? CB: En el tema de certificaciones ya hay una nueva alianza que se creó hace algún tiempo que es Cloud Computing Alliance intenta diseñar nuevos estándares, buscado los principales expertos que trabajan con Cloud en el mundo. En este momento ellos están trabajando en la versión dos de un documento sobre lo que se debería tener en la nube actualmente para trabajar en forma segura. En él se citan los principales problemas que existen y las soluciones que se están estudiando en este momento para esos problemas. Una de las cosas que tiene pensadas crear Cloud Computing Alliance es una certificación de organizaciones que brinden el servicio de Cloud. De esta forma para quien quiera adquirir el servicio, podrá ser un dato muy importante saber si está certificada por Cloud Computing Alliance no solo en seguridad, sino en distintos dominios. ¿Qué diferencias ve entre el nivel de seguridad que se debe ofrecer en un Cloud privado y Cloud público? OH: La Cloud pública requiere de soluciones de seguridad integrales que ataquen de raíz los problemas fundamentales y que puedan demostrar por sí mismas su valor. Es decir, la efectividad de dichas soluciones deberá quedar manifiesta por su diseño y arquitectura, más que por su desempeño en campo.
Se requieren controles de seguridad robustos y bien diseñados para que la Cloud Pública pueda prosperar, que es lo mismo que demandaría cualquier Cloud privada. En este sentido no veo ninguna diferencia. Sin embargo la Cloud privada deberá encontrar un control que permita delimitar sus fronteras. No será fácil, pues las tendencias indican que tarde o temprano habrá recursos compartidos entre ambas y estas fronteras serán dinámicas en el futuro. ¿Cómo ve el futuro del sector proveedor de soluciones, productos y servicios de seguridad informática ante Cloud? OH: El sector de la seguridad se va a transformar de manera radical. Muchas empresas dejarán de tener la presencia que tienen y también aparecerán nuevos jugadores. Para bien o para mal, las características dinámicas y de interacción entre un gran número de participantes de la Cloud, requieren de soluciones que sean más efectivas, por lo que el mercado será más estricto con los proveedores de estos servicios y dará menos margen para errores. Ésta será una gran oportunidad para aquellas empresas que han logrado entender y aplicar correctamente conceptos y tecnologías de seguridad que tradicionalmente son complejas, y donde se han cometido muchos errores, como es el caso de la criptografía. Quienes quieran participar en este mercado deberán mostrar madurez y solidez en sus soluciones. La mercadotecnia no será suficiente para mantenerse en este mercado. Omar Herrera Reyna cuenta con más de 10 años de experiencia en seguridad de la información, especializándose en los rubros de análisis de riesgos, cómputo forense, evaluaciones de seguridad, y arquitectura de seguridad, dentro del sector financiero. Cuenta con una Maestría en Ciencias en Cómputo Forense por parte de la Universidad de Bradford, del Reino Unido. Se ha desempeñado como especialista y oficial en áreas de seguridad y riesgo tecnológico de diversas empresas, entre las que destacan: Deloitte, Banco de México, Banco Walmart, Banco Fácil, Volkswagen Bank y Banobras. Ha sido colaborador de bankinfosecurity.com y se ha desempeñado como miembro del comité directivo del estándar ISSAF de evaluaciones de seguridad, en el Open Information Systems Security Group (OISSG). Cuenta con las certificaciones CISSP de la ISC^2, y CISA de ISACA." Cristian Borghello es una de las figuras más reconocidas en el ámbito de la Seguridad informática en Argentina pues desde hace 10 años es Director de Segu- Info, trabajo que desarrolla paralelamente con otras actividades laborales. Se desempeña como consultor independiente en Seguridad de la Información para Empresas grandes y medianas. Ha sido Profesor Seguridad Informática en la Universidad CAECE y Director de Educación e Investigación en ESET (empresa de software de seguridad), entre otras actividades laborales.
Es Licenciado en Sistemas de la Universidad Tecnológica Nacional de Argentina, desarrollador de software, Certified Information Systems Security Professional (CISSP) y Microsoft MVP (Most Valuable Professional) Security. Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información. Ha disertado en congresos y seminarios nacionales e internacionales sobre la temática
Abril de 2012
¿Qué tan limpia está tu Nube?
I. Resumen Marcas globales como Amazon, Apple, Facebook, Google, Microsoft y Yahoo – entre otras empresas de tecnologías de información (IT, en inglés) están transformando rápidamente nuestra forma de trabajar y de comunicarnos, de ver películas o la televisión, de escuchar música, y de compartir fotos a través de “la nube”. El crecimiento y la escala de inversión en la nube es verdaderamente sorprendente, con estimaciones que hablan de inversiones de hasta medio trillón de dólares para el año que viene y que multiplicarán por 50 la cantidad de información digital hacia 2020; todo ello para alimentar y satisfacer nuestro deseo de acceder de forma ubicua a una infinidad de información desde nuestros ordenadores, teléfonos, y otros dispositivos móviles, de forma instantánea. El motor que conduce la nube es el centro de gestión de datos. Los centros de datos son las fábricas de la era de la información del siglo 21, constituidas por miles de ordenadores que almacenan y gestionan nuestra, rápidamente creciente, recopilación de datos para su consumo de forma inmediata. Estos centros de datos, muchos de los cuáles pueden verse desde el espacio, consumen una cantidad tremenda de electricidad; algunos consumen el equivalente de casi 180,000 hogares. Desafortunadamente, a pesar de la tremenda innovación que suponen, y del potencial de energías limpias que poseen, la mayoría de las compañías IT se están expandiendo rápidamente sin considerar en qué medida su elección energética puede afectar al conjunto de la sociedad. Dado el intenso consumo energético ligado al mantenimiento de la nube, es el factor clave a la hora de decidir dónde construir estos centros de datos es qué tan fácil es el acceso a cantidades significativas de electricidad. Debido a que la electricidad juega un papel crítico en la estructura de costos de las compañías que utilizan la nube, se han hecho grandes progresos en cuanto a eficiencia energética en el diseño de las instalaciones y de los miles de ordenadores que operan en ellas. Sin embargo, a pesar de las significativas mejoras en eficiencia, el crecimiento exponencial de la nube anula los logros en materia de ahorro energético. Las compañías deben tener en cuenta, no sólo la eficiencia de su consumo eléctrico, sino también qué fuentes de electricidad elegir. El informe de este año proporciona un enfoque actualizado y ampliado de las elecciones energéticas que han hecho algunas de las compañías IT más grandes y con un mayor crecimiento en la carrera por construir la nube y que está dando paso a la nueva era de la tecnología. Estas elecciones en materia de energía son completamente desconocidas para los consumidores, a pesar de depender más y más de nuestro mundo online (conectado); sin embargo, en aquellos lugares donde la nube está físicamente presente, estas inversiones están teniendo una impacto real y creciente en el mundo offline (desconectado). En vez de trasladar el carácter innovador, propio del sector de las tecnologías de la información, a su proceso de elección y elegir fuentes limpias de electricidad, muchas compañías IT están optando simplemente por asociar sus modernas fábricas de información a algunas de las fuentes de electricidad más sucias, y por tanto a algunos de los proveedores de energía más sucios del planeta. Estas empresas/servicios públicos, a diferencia de las compañías IT, no se caracterizan por su innovación. Debido a la tendencia dentro de la industria IT a agruparse en los mismos lugares geográficos, estas inversiones están creando una nueva demanda significativa tanto de carbón como de energía nuclear en muchas regiones del mundo - y en economías con un alto ritmo de crecimiento, como India, están creando demanda de diesel/gasóleo para alimentar grandes
generadores in situ. Si las compañías IT continúan utilizando fuentes de energía sucias para hacer funcionar la nube, la nube en sí misma tendrá un impacto negativo muy significativo sobre nuestro medio ambiente y nuestras comunidades. Sin embargo, sí empezamos a ver una creciente toma de conciencia y compromiso por parte de algunas compañías IT líderes, que comienzan a adaptar su rápido crecimiento al acceso a fuentes de electricidad renovables y en función de sus plataformas online. En cuanto a estas compañías, vemos que dichos compromisos dan forma, de manera significativa, a sus decisiones acerca de dónde construir sus centros de datos. Compañías como Google también están haciendo inversiones importantes en energías limpias y comprometiéndose a contratos a largo plazo para la utilización de energías renovables en alguna de sus instalaciones ya existentes. Incluso más revelador, muchas compañías IT están reconociendo que su influencia y poder de mercado les da la oportunidad y la responsabilidad de demandar inversiones en energías limpias, a la par que las condiciones políticas que conduzcan a las empresas de suministro eléctrico y a los dirigentes del gobierno a llevar a cabo mejores elecciones en materia energética. Las compañías IT pueden conducir el suministro de electricidad de la red nacional eléctrica que todos utilizamos hacia una expansión imparable de las energías renovables, a la vez que se eliminan paulatinamente las fuentes más sucias y peligrosas. Con el informe actualizado de este año, hemos ampliado nuestro análisis para examinar un total de catorce compañías IT globales que están liderando la transición del sector hacia la nube, y también observando en detalle los lugares clave en el mundo donde se está concentrando la construcción de centros de datos. Exploramos los retos y oportunidades con el objeto de que las compañías IT jueguen un papel constructivo en la expansión de energías limpias y renovables. Conclusiones clave en el informe de este año:
I. Tres de las compañías más grandes del sector, y que están actualmente desarrollando sus modelos de negocio alrededor de la nube; Amazon, Apple, y Microsoft; se están expandiendo rápidamente sin apenas tener en cuenta sus fuentes de electricidad, y dependiendo considerablemente de energías sucias para el funcionamiento de sus nubes.
II. Yahoo y Google continúan liderando el sector dando prioridad al acceso de energías renovables en la expansión de su nube, y ambos parecer estar más activos en el apoyo a políticas que faciliten una mayor inversión en energías renovables.
III. Facebook, uno de los destinos online más populares, con más de 800 millones de
usuarios en todo el mundo, se acaba de comprometer a utilizar energías renovables en su plataforma. Facebook dio el primer gran paso en esa dirección con la construcción de su último centro de datos en Suecia, que puede funcionar totalmente con energías renovables.
IV. La creciente concentración de centros de datos en lugares determinados está
teniendo un impacto significativo en el tipo de demanda de energía, y en el modo en el que se gestiona la red nacional eléctrica; si se permite el crecimiento de semejante concentración, será cada vez más difícil abandonar las fuentes sucias de electricidad, tanto en términos de inversión como a nivel local en las comunidades afectadas.
V. Akamai, responsable de acarrear una enorme cantidad de tráfico en Internet, es la
primera compañía IT que empieza a informar sobre su intensidad de carbono bajo el
nuevo estándar: Eficiencia en el Uso del Carbono (EUC). Es notable la ausencia de informes relacionados con la EUC por parte de otras compañías.
VI. Ha habido crecientes intentos, por parte de algunas compañías, de mostrar la nube
como algo inherentemente “verde”, a pesar de la continua falta de transparencia y de la utilización de una métrica muy pobre para medir su rendimiento o su impacto medioambiental real.
VII. Hay indicios positivos de colaboración e intercambio en código abierto entre los
líderes del sector de las mejores prácticas, tanto en el diseño de hardware como de software, para ayudar a acelerar la mejora y el despliegue del diseño IT de eficiencia energética.
VIII. Ha habido crecientes indicios de que cada vez más las compañías IT están
adoptando un enfoque proactivo para asegurar que su demanda energética pueda conciliarse con fuentes de electricidad renovables disponibles, y jugar un papel cada vez mayor dando forma a nuestro futuro energético.
II. Cuadro de las compañías Compañía Índice de
energía limpia1
Carbón Nuclear Transparencia energética
Infraestructura de emplazamiento
Eficiencia Energética & Mitigación de GHG
Renovables & Incidencia
Akamai2 NA NA NA A C B D
Amazon Web3 Services
13.5% 33.9% 29.9% F F D F
Apple4
15.3% 55.1% 27.8% D F D D
Dell 56.3% 20.1% 6.4% C C C D
Facebook 36.4% 39.4% 13.2% D B B C
Google 39.4% 28.7% 15.3% B C B A
HP 19.4% 49.7% 14.1% C D B C
IBM 12.1% 49.5% 11.5% C D C D
Microsoft 13.9% 39.3% 26% C D C C
Oracle 7.1% 48.7% 17.2% D D C D
Rackspace 27% 31.6% 22.3% C C C C
Salesforce 4% 33.9% 31% B C C C
Twitter 21.3% 35.6% 12.8% F D F D
Yahoo 56.4% 20.3% 14.6% C B B B
Más información con Beatriz Olivera, coordinadora de la campaña de Clima y energía de Greenpeace México, email: [email protected].
1 El Índice de Energía Limpia y la Intensidad de Carbón se calculan en base a estimaciones de demanda eléctrica en instalaciones evaluadas. [http://www.greenpeace.org/cloudcomputingfacilities] 2 La red global del servidor de Akamai está altamente distribuida y no es posible evaluarla individualmente como hemos hecho en otras compañías. Sin embargo, Akamai es la única compañía que está informando de la Eficiencia en el Uso del Carbono (EUC) en su flota entera y a nivel regional, tal y como se señala en la tabla de la instalación del centro de datos. 3 A AWS se le proporcionó las estimaciones de demanda eléctrica de la instalación para hacer revisión. AWS respondió que no eran correctas, pero no proporcionó estimaciones alternativas. Usando cálculos prudentes, Greenpeace ha utilizado la mejor información disponible para obtener demanda energética, y ha decidido publicar e invitar a AWS a ser transparente y proporcionar datos más precisos sobre la demanda eléctrica de su instalación. 4 A Apple se le proporcionó las estimaciones de demanda eléctrica de la instalación para hacer revisión. Apple respondió que no eran correctas, pero no proporcionó estimaciones alternativas. Usando cálculos prudentes, Greenpeace ha utilizado la mejor información disponible para obtener demanda energética, y ha decidido publicar e invitar a Apple a ser transparente y proporcionar datos más precisos sobre la demanda eléctrica de su instalación.