La Computación en la Nube y su seguridad ha permitido el surgimiento de nuevas ramas de marcado y diferentes puestos de trabajo, pues posibilita el 
“outsourcing” enfocado a la computación y a los servicios sin externalizar su control, así mismo, se basa en utilizar un modelo de pago por uso, mediante el acceso a Internet con banda ancha.
A pesar de todos sus grandes beneficios, también trae nuevas necesidades y retos que deben tomarse en cuenta para solucionarlos, siendo los más urgentes aquellos relacionados con la seguridad y privacidad de los clientes y sus datos, que dejan en manos de los proveedores de los servicios en la nube dichas acciones.
Componentes del Cloud Computing sobre seguridad
- Servicios de aprovisionamiento: La rápida reconstitución de servicios permite la disponibilidad (provisión en múltiples centros de datos de múltiples instancias) y las capacidades de honey-net
- Servicios de almacenamiento de datos: Permite la fragmentación y dispersión de datos, replicación automatizada, provisión de zonas de datos, el cifrado en reposo y en tránsito y la retención automatizada de datos.
- Infraestructura de procesamiento: Aporta la capacidad para proteger masters y sacar imágenes seguras, siendo algunos de los principales desafíos el multi-arrendamiento de aplicaciones, la dependencia en los hipervisores, el aislamiento de procesos y los mecanismos de sandbox para aplicaciones.
- Servicios de soporte: Esto permite los controles de seguridad bajo demanda, por ejemplo la autenticación, el logging, los firewalls, etc.
- Seguridad perimétrica y de red: Puede aportar protección contra la denegación de servicios distribuida o DDoS, las capacidades VLAN, la seguridad perimétrica como IAM/IDS/IPS, firewall, autenticación, etc.
Recomendaciones
El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida, presenta los siguientes puntos que deben tomarse en cuenta para obtener medidas más rigurosas en la privacidad y seguridad en la nube por parte de los proveedores.
Gobernanza: La gobernanza implica el control y la supervisión de las políticas, los procedimientos y los estándares para el desarrollo de aplicaciones, así como el diseño, la implementación, las pruebas y la monitorización de los servicios distribuidos. El cloud, por su diversidad de servicios y su amplia disponibilidad, amplifica la
necesidad de una buena gobernanza. Implantar políticas y estándares en la provisión de servicios cloud.
- Establecer mecanismos de auditoría y herramientas para que se sigan las políticas de la organización durante el ciclo de vida.
Cumplimiento: El cumplimiento obliga a la conformidad con especificaciones estándares, normas o leyes establecidas. La legislación y normativa relativa a privacidad y seguridad varía según los países con diferencias, en ocasiones, a nivel nacional, regional o local haciendo muy complicado el cumplimiento en cloud computing.
- Entender los distintos tipos de leyes y regulaciones y su impacto potencial en los entornos cloud.
- Revisar y valorar las medidas del proveedor con respecto a las necesidades de la organización.
Confianza: En cloud computing la organización cede el control directo de muchos aspectos de la seguridad confiriendo un nivel de confianza sin precedentes al proveedor de cloud.
- Incorporar mecanismos en el contrato que permitan controlar los procesos y controles de privacidad empleados por el proveedor.
Arquitectura: La arquitectura de una infraestructura cloud comprende tanto hardware como software. Las máquinas virtuales se utilizan como unidades de distribución del software asociadas a dispositivos de almacenamiento. Las aplicaciones son creadas mediante las interfaces de programación. Suelen englobar a múltiples componentes de la infraestructura que se comunican
entre sí a través de estas interfaces. Esta comunicación global de la infraestructura puede derivar en fallos de seguridad.
- Comprender las tecnologías que sustentan la infraestructura del proveedor para comprender las implicaciones de privacidad y seguridad de los controles técnicos.
Identidad y control de acceso: Los datos sensibles y la privacidad se han convertido en la principal preocupación en lo que respecta a la protección de las organizaciones y el acceso no autorizado a los recursos de información. La alternativa de usar dos métodos de autenticación, uno para la organización interna y otro para los clientes, puede llegar a ser algo muy complicado. La identidad federada, que se ha vuelto popular con el crecimiento de las arquitecturas orientadas a servicios, puede ser una de las soluciones, pudiendo ser implementada de varias formas siguiendo el estándar SAML (del inglés, Security Assertion Markup Language) o el estándar OpenID.
- Asegurar las salvaguardas necesarias para hacer seguras la autenticación, la autorización y las funciones de control de acceso.
Aislamiento de Software: Para alcanzar tasas altas de eficiencia, los proveedores deben asegurar tanto una provisión dinámica del servicio como el aislamiento de los suscriptores del servicio. La concurrencia de usuarios es realizada en entornos cloud mediante la multiplexación de la ejecución de las máquinas virtuales para los diferentes usuarios en un mismo servidor físico.
- Entender la virtualización y otras técnicas de aislamiento que el proveedor emplee y valorar los riesgos implicados
Protección de datos: Los datos que se almacenan en entornos cloud suelen residir en equipamiento compartido por múltiples clientes. Por ello, las organizaciones que gestionan datos confidenciales en la nube deben preocuparse por la forma en que se accede a estos datos y garantizar que los mismos estén almacenados de forma segura.
Disponibilidad: La disponibilidad puede ser interrumpida de forma temporal o permanente. Los ataques de denegación de servicio, fallos del equipamiento y desastres naturales son todas amenazas a la disponibilidad.
- Asegurarse que durante una interrupción prolongada del servicio, las operaciones críticas se pueden reanudar inmediatamente y todo el resto de operaciones, en un tiempo prudente.
Respuesta a incidentes: La labor del proveedor es básica en las actividades de respuesta ante la ocurrencia de algún incidente de seguridad. Esto incluye la verificación, el análisis del ataque, la contención, la recolección de evidencias, la aplicación de remedios y la restauración del servicio
- Entender y negociar los contratos de los proveedores así como los procedimientos para la respuesta a incidentes requeridos por la organización.
Jean-Jacques Cockx, Vicepresidente en Europa de “Technology Consulting and Integration Solutions” para Unisys, menciona que: “Las pequeñas y medianas empresas poseen necesidades muy específicas en materia de soporte informático pero muy a menudo su complejidad es comparable a las necesidades de las grandes empresas. La dependencia de un soporte informático fiable, evolutivo y seguro es esencial para las empresas, ya sean pequeñas o grandes. Las consecuencias de una interrupción de un servicio informatizado, la pérdida o la corrupción de datos tienen el mismo efecto para una pequeña empresa como para una empresa grande”.
Ante todo ello, podemos concluir que los beneficios de la computación en la nube no solo son para las grandes corporaciones, sino también para las micro, pequeñas y medianas empresas, a su vez, una seguridad optima no solo es responsabilidad de los proveedores de este tipo de servicios, esto también recae sobre los clientes, que deben elegir al proveedor que cubra sus necesidades de infraestructura y seguridad que requieren. Ejemplo de este tipo de empresas, es la empresa especializada Villanett que ofrece software en la nube para la gestión y administración de las organizaciones de empresarios o emprendedores.
También te puede interesar:
| EL FIREWALL DE SEGURIDAD EN LA CLOUD COMPUTING |
| EL MONITOREO DE RED EN LA CLOUD COMPUTING |
| GESTIÓN DE CLAVES EN LA CLOUD COMPUTING |
servicios de la nube pública, para aquellas operaciones no críticas, y de la privada, para cuando requieren una mayor seguridad, asegurándose de que todas las plataformas se integran sin problemas, ello conlleva a realizar diferentes funciones dentro de una misma organización y permite que los datos se almacenen fuera de las instalaciones con el proveedor de nube, también permite que los datos se almacenen localmente.
variedad de recursos de TI en cuestión de minutos u horas y alinea los costos con el consumo real, siendo el modelo de nube hibrida más flexible y rentable. Quienes las implementan son organizaciones de TI empresariales y organismos gubernamentales, ya que combina lo que mejor hace el departamento de TI interno, con las capacidades de los proveedores de TI externos. Todo esto, permite iniciar proyectos con mayor rapidez, aprovechar rápidamente nuevas funcionalidades y oportunidades de ingresos y responder ágilmente a los cambios del mercado.
luego integrarlo en su propia infraestructura.
no se comparte con otras organizaciones.
control sobre sus datos, de esta forma, la organización proveedora se encarga de supervisar y mantener los datos.
un proveedor del servicio y un cliente.
nube pública solo para miembros de distintas empresas que se centra en un interés común.
contenido, así como permitir el acceso desde cualquier dispositivo conectado a la Web.
que creen un valor superior y la retención del valor del consumidor para alcanzar beneficios.
de la empresa para determinar si realmente cuenta con los recursos necesarios.
el “
necesarios. En otras palabras permite establecer aquellos mecanismos de retroalimentación y evaluación con los que se puede comprobar el grado de cumplimiento de los objetivos y retroalimentaciones de mejora. Según el Prof. Kotler, pueden distinguirse cuatro tipos de control:
olvidar que el objetivo del negocio es entregar valor al mercado, lo cual, se traduce en un compromiso por el hecho de que el cliente logre una “experiencia satisfactoria” con el producto o servicio que se suministra. Ante ello, es el momento cuando se tiene que:
hacia el consumidor: “
importante que es tener un estudio de mercado actualizado, con el que puedan estar al tanto de todas las necesidades, comportamientos y pensamientos de sus clientes, por eso muchas veces los clientes se quejan frecuentemente y las ventas se reducen hasta el punto de no cumplir con las expectativas inicialmente planteadas. Así que las empresas deben investigar mejor al consumidor con la inclusión de métodos como encuestas, entrevistas y otras investigaciones con el fin de definir sus necesidades, percepciones, preferencias y cultura, para clarificar que aspecto es necesario priorizar en los producto
relacionadas con el diseño, producción y distribución de algún producto. Esto, incluye tener empleados satisfechos con sus trab”ajos, proveedores con la mejor calidad para ofrecer, distribuidores aptos para la atención prioritaria a los productos de la empresa e inversores motivados por los buenos resultados de las acciones de la empresa
en muchas nuevas oportunidades pero con resultados desalentadores, estas nuevas oportunidades pueden fracasar por fallas en el proceso de gestión de una idea, esto incluye el desarrollo del concepto, la verificación, el prototipo, la planificación del negocio, etc. Kotler propone diseñar un sistema para estimular el flujo de nuevas ideas entre empleados y otros colaboradores, el cual consiste en darle mucho valor a esas nuevas ideas principalmente y dar un reconocimiento a los proponentes
claros pero no son convenientes, o las tácticas del mismo no son coherentes con la estrategia. Muchas compañías no actualizan sus planes de mercado y esto no les permite considerar ciertas eventualidades, por esto, se debe plantear un análisis situacional en el cual se definan las fortalezas, debilidades, oportunidades, amenazas, aspectos relevantes, objetivos, estrategia, presupuesto y control
combinación de productos que va a amentando hasta tener demasiados perdedores. Además las compañías ofrecen bastantes servicios gratuitamente como complemento a ciertos productos, lo cual genera un elevado número de pérdidas. Para esto, las empresas, deben diseñar estrategias que permitan identificar los productos débiles para mejorarlos o eliminarlos, y que permitan influir en la decisión sobre qué servicios cobrar (para ciertas personas, por ejemplo) y cuales brindar gratuitamente
o tienen ideas equivocadas acerca de la misma, incluso muchos no perciben mucha diferencia entre unas compañías y otras. Tampoco se ven muchas diferencias entre la promoción de ventas de un año y otro, lo cual produce una caída en la productividad de su mercadotecnia. Esto, se debe tener en cuenta para mejorar las estrategias de creación de marca (no solo con publicidad) de tal manera que los consumidores pongan un valor a tal empresa y diferencien a una de la otra
un departamento de mercadotecnia con pocas capacidades y deficiencias en sus habilidades; además las relaciones entre este departamento y los demás también son deficientes y estos últimos suelen quejarse de las prácticas del departamento de mercadotecnia. Por eso no se debe dejar de lado aplicar las nuevas habilidades de la mercadotecnia y desarrollar mejores relaciones con los demás departamentos a partir de la inclusión de un director de mercadotecnia que cumpla bien y fielmente todas sus responsabilidades
de comunicación masiva, y de la que muchas compañías actuales dependen para promover sus productos y especialmente para tener una relación más estrecha y directa con sus clientes. Además ciertas compañías no aplican la automatización del mercado, lo cual les permite responder a cualquier pregunta de los clientes y brindarles autoridad para tomar decisiones en nombre de la empresa
nube a través de una conexión a internet.
Cada usuario o grupo de usuarios obtiene acceso a una parte de una reserva (pool) de recursos federados para crear y usar su propia plataforma informática según sea necesario. Este tipo de infraestructura puede ser propiedad de una organización y estar bajo el control completamente de esta en una nube privada, puede crearse mediante la unión y federación de recursos privados con recursos de terceros en una nube híbrida o pueden proporcionarla en su totalidad en una nube pública.
servicios con los que cuenta el software en la nube, por ello, en esta ocasión hablaremos de otro de sus pilares llamado PAAS.
información y comunicación. Regularmente el software puede ser
informáticas específicas o desarrollo de software a la medida.
En México en 2016 entró en vigor un nuevo periodo de “contabilidad electrónica”, pues recordemos que hasta el 28 de septiembre de 2015, las disposiciones fiscales decían que las personas físicas con ingresos superiores a 4 millones de pesos al año deberían enviar la contabilidad electrónica al SAT, ahora esta autoridad bajo la medida y anunció el 29 de septiembre de 2015 en el Diario Oficial de la Federación que para enero de 2016 las personas físicas y morales con ingresos superiores a dos millones de pesos y menores a cuatro millones de pesos deberán realizar el mismo proceso, es decir, 3.8 millones de contribuyentes.
y las que obliguen otras leyes.
permitiéndole al contribuyente tener una base de datos sintetizada sobre la situación económica de la empresa u organización, sobre operaciones mercantiles, para realizar el balance anual y para respaldar su actividad ante el Servicio de Impuestos Internos (SII). Pueden ser de carácter obligatorio o voluntario, además de una alternativa digital.
libros y registros contables de acuerdo con la normatividad del código del comercio y las disposiciones legales.
o la fecha del último asiento o comprobante.
determinada, Este libro esta sincronizado con el libro Diario y las anotaciones recabadas en el mismo, que pasan a su vez al libro Mayor y se detalla analíticamente en los libros Auxiliares.
el libro Diario para tener un único documento contable. Las empresas pueden llevar además de los libros obligatorios todos aquellos libros auxiliares que estimen útiles para su gestión y cada empresa determina el número de auxiliares que necesita de acuerdo con su tamaño y el trabajo que se tenga que realizar. Por último, existen de diferentes tipos: de caja, remuneraciones, retenciones, bancos, clientes, entradas de almacén, salidas de almacén, compra-ventas, entre otros.