SOFTWARE EN LA NUBE

UNIDAD 6. Administraciones Pblicas en la nube

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

NDICE
INTRODUCCIN ........................................................................................... 3
OBJETIVOS.................................................................................................. 4
CONTENIDOS .............................................................................................. 4
1.-Google para organizaciones..................................................................... 7
2.-Google Apps para educacin.................................................................... 8
3.-La nube en las Administraciones Pblicas .................................................. 9
4.-Cmo llegan las Administraciones Pblicas a la nube................................. 10
5.-La red Sara......................................................................................... 16
6.-La nube en la Unin Europea ................................................................. 19
7.-Implicaciones del uso de la nube............................................................ 20
8.-Conclusiones....................................................................................... 36

Material elaborado por el

Instituto Asturiano de Administracin Pblica Adolfo Posada
Textos: Alejandro Gonzlez Fernndez
Deposito Legal: AS-01285-2014
Gobierno del Principado de Asturias - IAAP
www.asturias.es/iaap

Actualizacin abril 2016

Pgina 2 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

INTRODUCCIN
Ya llevamos ledas unas cuantas pginas sobre qu es la nube, cmo funciona y qu
podemos sacar de ella. En realidad, slo nos acercamos a una ventana desde la que
observamos ese cielo lleno de nubes. Habra tanto que ver que nos llevara una
vida abarcarlo todo.
Va siendo hora de tratar de averiguar si todo esto tiene alguna utilidad en nuestro
trabajo.
A esta pregunta, tenemos una respuesta clara. Como usuario particular siempre
podemos tratar de aprovecharlo en nuestras tareas ordinarias. Seguro que cada
uno de nosotros encuentra mil oportunidades distintas de rentabilizarlo.
De verdad? Bueno, cuando estamos en un equipo de la red corporativa, siempre
que usemos aplicaciones que no estn vetadas por el filtro del Principado de
Asturias. Vaya lata! Todos tropezamos con esto en algn momento. No siempre
podemos visitar las pginas que queremos porque a veces nuestro sistema
informtico no nos autoriza.
Pero, este filtro es un inconveniente o es una ventaja? En principio, esta
herramienta tiene por finalidad protegernos, aunque tambin impide ciertas
prcticas para garantizar que no se nos vaya el ancho de banda (escaso dado el
nmero de usuarios) en consultas ajenas a cuestiones laborales.
Sin embargo, la cuestin sobre el uso de la nube ya no depende de nosotros a nivel
individual. Es una decisin corporativa que corresponde tomar al Gobierno del
Principado de Asturias. No podemos decidir de manera personal si trabajamos en
una nube. No tiene sentido, porque precisamente el inters reside en las facilidades
para el trabajo colaborativo.
Adems, existen otras consideraciones muy importantes a tener en cuenta de
orden legal, que afectan a la seguridad de la informacin que estamos manejando,
a la proteccin de los datos de carcter personal e incluso podemos pensar en
consideraciones ticas.
Sin

embargo,

queremos

conocer

lo

que

la

nube

puede

ofrecer

las

Administraciones Pblicas y lo que otras organizaciones ya estn poniendo en

prctica en este mbito.
Actualizacin abril 2016

Pgina 3 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

OBJETIVOS
1. Conocer las posibilidades de uso de las aplicaciones en la nube en el mbito
de las administraciones pblicas.
2. Acercarnos a alguna experiencia en este campo.
3. Reflexionar sobre las implicaciones que conlleva la nube en las AAPP, en
aspectos tan crticos, por ejemplo, como archivar informacin en servidores
no propiedad de la administracin.

CONTENIDOS
En la unidad didctica 1 cuando nos estbamos introduciendo en los conceptos de
la computacin en la nube ya comentamos que muchas empresas se estn pasando
a este nuevo enfoque productivo en lo que respecta a las Tecnologas de la
Informacin. Encuentran en ello muchas ventajas: menor coste, eliminacin del
mantenimiento de infraestructuras (esto en funcin del tamao de la empresa
puede significar una notable reduccin de personal tcnico), actualizacin constante
a las versiones ms actualizadas del software, mayor facilidad para compartir
documentos y agilidad en el trabajo en equipo. Adems, cuando se trata de
corporaciones con varias sedes o cuando su personal viaja mucho, es fundamental
no necesitar transportar toda la documentacin.
Las grandes compaas informticas se han volcado en disponer de muy buenos
servicios para atraer a este nuevo y jugoso segmento del mercado.
Como ya sabemos Google dispone de una nube muy completa.  IBM, en otros
tiempos el gigante de la Informtica, no dej escapar esta oportunidad para tratar
de volver al primer plano de este sector.

Actualizacin abril 2016

Pgina 4 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

Microsoft cuenta con una nube que descansa, igual que la de Google, sobre su
conocida

aplicacin

de

correo

web,

Hotmail

(actualmente

sustituido

por

Outlook.com en un intento de acercarse a la interface de su famoso producto de

Windows, Outlook y Outlook Express).
 Tiene una versin especfica para pymes y autonmos.

As como un producto dirigido a las  grandes corporaciones.

Actualizacin abril 2016

Pgina 5 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

Adems de los clsicos de la toda la vida, tambin se animaron a esta aventura de

la nube incorporaciones ms recientes en este mundo, como Amazon, el conocido
sitio de comercio electrnico. Pero no es el nico y sera interminable hacer un
repaso de todos ellos. Por otra parte, es una realidad muy cambiante, no slo por
los proveedores de los servicios, si no por el mismo contenido de stos y su
funcionamiento.
Estos servicios a los que nos estamos asomando son todos profesionales y de pago.
Pero, no existe ninguno gratuito para corporaciones? Esto parece un contra
sentido. Sin embargo, s que podemos encontrar alguno. Google una vez ms,
parece que tiene mucha preponderancia en la nube. Ofreci durante un tiempo a
determinadas organizaciones servicios gratuitos y personalizados de computacin
en la nube. Inicialmente no cobraba a las empresas de hasta 200 empleados,
posteriormente lo limit a 50 y a partir del ao 2012 slo existe de pago, salvo
para educacin.
Otros servidores brindan aplicaciones aisladas sin coste, pero con limitaciones,
como en el caso de Dropbox para el alojamiento de archivos,  Trello que facilita
un organizador de tareas,...
Parece que nos estamos olvidando de nuestro objetivo hablando de tanta empresa.
La cuestin es que inicialmente, estas infraestructuras destinadas a corporaciones
tambin se pueden adoptar en entidades pblicas. Aunque veremos cmo stas
parecen que buscan una orientacin diferente.

Actualizacin abril 2016

Pgina 6 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

1.-Google para organizaciones.

Al igual que ocurre en el entorno personal, Google se presenta como una opcin a
tener en cuenta para las organizaciones. Ms de 5 millones de empresas ya se han
decidido por esta compaa.
 Google Apps for Business agrupa un amplio conjunto de aplicaciones, ahora
denominadas Apps.

El coste, a fecha de hoy, se recoge en el  sitio de Google y se presenta aqu a

modo de curiosidad.

Actualizacin abril 2016

Pgina 7 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

2.-Google Apps para educacin

Las organizaciones educativas siguen pudiendo contratar con Google de forma

gratuita  Google Apps for Education. Incluye la personalizacin del entorno, que
consiste en incorporar la imagen corporativa del sistema de educacin y el uso de
una url que hace referencia a esa institucin en lugar de usar la de Google.
A modo de ejemplo se puede visitar el acuerdo de colaboracin suscrito entre el
Departamento de Educacin del Gobierno de Navarra y Google, denominado PNTE
Apps.
La direccin donde encontrar informacin al respecto es:
http://pnteapps.educacion.navarra.es/
Se aprecia que la url no tiene nada que ver con Google, aunque se aloja en sus
servidores.

Actualizacin abril 2016

Pgina 8 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

El interface sigue siendo el mismo de Google con el logotipo de la institucin

educativa. En el  portal de educacin del Gobierno de Navarra se puede estudiar
con ms detenimiento.
Este enlace muestra una  lista de centros educativos que usan Google Apps.

3.-La nube en las Administraciones Pblicas

Como decamos, en general las administraciones no se sienten atradas por los
productos enfocados al mbito empresarial, y buscan soluciones que les aleje de la
dependencia de infraestructuras y de la cesin de datos a terceros.
Algunas administraciones ya han tomado importantes iniciativas en este sentido. En
especial el Ministerio de Hacienda y Administraciones Pblicas que ha implantado el
proyecto SARA desde enero de 2013. Se trata de una red privada en la que cada
vez ms organismos estn conectados y su objetivo es seguir ampliando el nmero

Actualizacin abril 2016

Pgina 9 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

de entes adscritos. Pretende enlazar y dar servicio a la Administracin General del

Estado, las Comunidades Autnomas y Entes locales.
No se limita a conectividad sino que tambin ofrece servicios de carcter horizontal,
como por ejemplo la

suite @firma (validacin de certificados electrnicos), los

servicios de intermediacin de datos, o el proyecto ORVE para interconectar los

registros e impulsar una administracin local sin papeles.

Se recomienda consultar los siguientes enlaces para conocer mejor la red SARA:
 Hacia una estrategia del Cloud Computing en las Administraciones Pblicas
 Documento del Ministerio de Hacienda y AAPP

El debate acerca de si la nube es una solucin para la mejora y el abaratamiento de

los sistemas de informacin de las administraciones es universal. Los Estados
Unidos vienen desde hace unos aos reflexionando al respecto y Obama se
pronunci pblicamente favorable a este respecto. Se presenta alguna lectura
complementaria.

 Artculo del ao 2011 sobre la nube en las AAPP

 Artculo de marzo de 2014 La nube soleada en la administracin

 Propuesta de Amazon para un nube de las AAPP en Estados Unidos

4.-Cmo llegan las Administraciones Pblicas a la nube

En general, podemos observar una evolucin importante en la informatizacin de
las administraciones pblicas. Una vez superados los estadios iniciales de
introduccin de las tecnologas de la Informacin y la Comunicacin, se tendi a
construir lo que se vena denominando la administracin electrnica o eadministracin, con oficinas virtuales y la sistematizacin de los procesos
administrativos que favoreci su automatizacin. No slo ha requerido un esfuerzo
tcnico, hubo que buscar las soluciones legales para darles soporte. Asturias no se
ha quedado atrs implantando un importante nmero de trmites y servicios desde
el portal del Principado, con la estrategia e-Asturias 2012.

Actualizacin abril 2016

Pgina 10 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

 Servicios y trmites que se pueden realizar por Internet en el Principado

de Asturias

 e-Asturias 2012

 Estrategia e-Asturias 2012

En esos momentos se desarrollaron muchas aplicaciones que, si bien no se pueden

considerar como computacin en la nube, sin embargo ya se basaban en el uso de
Internet y el acceso por medio de navegadores web, o sea que eran precursoras.
Eran las denominadas ASP, de las siglas en ingls de Application Service Provider
(Proveedor de servicios de aplicacin). Ha supuesto un autntico derroche de
energa y se pueden citar muchos ejemplos, aunque nos conformaremos con unos
pocos:

 SAUCE: Sistema para la Administracin Unificada de Centros Educativos.

Aplicacin corporativa que centraliza toda la informacin del sistema
educativo asturiano.

 Historia Clnica Electrnica

 SIDRA: sistema informtico de gestin documental que facilita, por medio

de Internet, el acceso a la informacin disponible en los centros de
documentacin de la Administracin del Principado de Asturias.

La formacin ha sido uno de los sectores que primero entendi el potencial de las
redes.

Todos

los

empleados

pblicos

asturianos

conocemos

la

oferta

de

teleformacin del Instituto Asturiano de Administracin Pblica "Adolfo Posada"

(IAAP). Las plataformas de e-learning no slo sirven para acercar los contenidos
formativos tambin reproducen el ambiente educativo en un espacio virtual. Existe
un contacto estrecho con el docente y con el resto de compaeros de estudio.
Multitud de herramientas de comunicacin tanto sncronas, como asncronas
facilitan

el

intercambio

de

conocimiento

(mensajera,

chat,

foro,

wikis,

videoconferencia,...). En la actualidad el IAAP brinda un gran abanico de

posibilidades en lnea que ya nos permite hablar de formacin en la nube. Por
supuestos los cursos a distancia, pero tambin, la autoformacin (se elimina el
lmite temporal y la necesidad de simultanear con tutor y otros interesados en el
tema), la Comunidad de Aprendizaje Profesional, la revista digital con la oferta
actualizada, la meditica, la formacin abierta, e incluso el canal Youtube y la red
social Twitter.

Actualizacin abril 2016

Pgina 11 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

El IAAP tambin ha llevado esa forma de actuar a la gestin de sus cursos, as la

matriculacin y la obtencin del certificado se realizan desde Internet.

La Administracin General del Estado impuls una ambiciosa poltica en la

administracin electrnica respaldada por la implantacin del DNI electrnico, como
medio de autenticacin segura de los usuarios.

 La administracin electrnica y el servicio a los ciudadanos

En esos momentos el desarrollo de la firma electrnica ha sido crucial. Cmo se

puede realizar una gestin por Internet si no sabemos con certeza quin es nuestro
interlocutor. Las plataformas de pago, su fiabilidad y seguridad tambin han tenido
que evolucionar.
Rpidamente se vio necesario unir informacin entre distintos sistemas y el foco se
ha movido hacia la Interoperabilidad. Se trata de que la informacin fluya entre
distintas organizaciones pblicas.

 La Interoperabilidad en el portal de la Administracin electrnica

Actualizacin abril 2016

Pgina 12 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

De este portal podemos destacar la definicin y la motivacin que impuls la puesta

en marcha de este plan.
La interoperabilidad es la capacidad de los sistemas de informacin y de los
procedimientos a los que stos dan soporte, de compartir datos y posibilitar el
intercambio de informacin y conocimiento entre ellos. Resulta necesaria para
la cooperacin, el desarrollo, la integracin y la prestacin de servicios
conjuntos por las Administraciones pblicas; para la ejecucin de las diversas
Actualizacin abril 2016

Pgina 13 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

polticas pblicas; para la realizacin de diferentes principios y derechos; para

la transferencia de tecnologa y la reutilizacin de aplicaciones en beneficio de
una mejor eficiencia; para la cooperacin entre diferentes aplicaciones que
habiliten

nuevos

servicios;

todo

ello

facilitando

el

desarrollo

de

la

administracin electrnica y de la sociedad de la informacin.

En el mbito de las Administraciones pblicas, la consagracin del derecho de
los ciudadanos a comunicarse con ellas a travs de medios electrnicos
comporta una obligacin correlativa de las mismas. Esta obligacin tiene,
como premisas, la promocin de las condiciones para que la libertad y la
igualdad sean reales y efectivas, as como la remocin de los obstculos que
impidan o dificulten el ejercicio pleno del principio de neutralidad tecnolgica
y de adaptabilidad al progreso de las tecnologas de la informacin y las
comunicaciones, garantizando con ello la independencia en la eleccin de las
alternativas tecnolgicas por los ciudadanos, as como la libertad de
desarrollar e implantar los avances tecnolgicos en un mbito de libre
mercado.
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los
servicios pblicos, reconoce el protagonismo de la interoperabilidad y se
refiere a ella como uno de los aspectos en los que es obligado que las
previsiones normativas sean comunes y debe ser, por tanto, abordado por la
regulacin del Estado.

Estos proyectos han permitido cuestiones tan importantes, por ejemplo, como que
ya no sea necesario presentar fotocopias del DNI en los trmites administrativos.

 Elementos de desarrollo del Esquema Nacional de Interoperabilidad

En el ao 1992, la ley 30/92 contempla el derecho de los ciudadanos a no

presentar, para los trmites administrativos, documentos que ya obren en poder de
la Administracin. Si bien esta norma est repleta de buena intencin resulta muy
complicada de aplicar. Para conseguirlo, se ha puesto en marcha la Plataforma de
Intermediacin, para que por medio de consultas, los organismos tramitadores
puedan verificar en lnea los datos de identidad, residencia, deuda con la AEAT o la
Tesorera de la Seguridad Social, Prestaciones por Desempleo, Datos Catastrales,
ttulos universitarios y no universitario del ciudadano.
Actualizacin abril 2016

Pgina 14 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

 Un ejemplo de reduccin de cargas administrativas

En el momento de la publicacin de este informe (marzo de 2013), se haban

transmitido ms de 22 millones de datos a ms de 150 organismos pblicos, con un
ahorro econmico estimado de unos 51 millones de euros.
En estos momentos la evolucin tecnolgica en la simplificacin y mejora de la
administracin se est orientando hacia sistemas de computacin en la nube. La
red Sara se moderniz (por medio de proyectos como por ejemplo  la transmisin
a IPv6).

Como se ve, estamos asistiendo a un proceso lgico de evolucin y de mejora de

los servicios pblicos impulsado por el avance tecnolgico y desde luego por la
voluntad generalizada de las propias administraciones de avanzar en la calidad de
la prestacin de servicios al ciudadano.
Este progreso es imparable y ya se vislumbran horizontes cercanos hacia donde
caminar. Los siguientes pasos que parecen inevitables son la incorporacin de Apps
para dispositivos mviles que completen esos servicios pblicos en la nube y la
integracin en las redes sociales.

 La movilidad en los servicios de Administracin electrnica

Actualizacin abril 2016

Pgina 15 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

En este enlace se puede conocer una aplicacin para dispositivos mviles que
permite incorporar la firma electrnica a los servicios de la administracin
electrnica, o bien eAdmon, que ana movilidad y la interaccin dentro de las
redes sociales.

5.-La red Sara

El 15 de enero de 2013, El Consejo Superior de Administracin Electrnica,
presidido por el Ministerio de Hacienda y Administraciones Pblicas, declar Sara
Actualizacin abril 2016

Pgina 16 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

como proyecto de inters prioritario alrededor del cual comenzar a

construir la nube privada de las Administraciones Pblicas espaolas. Se
pretende por una parte, un importante ahorro de costes e inversin y reducir la
"brecha digital" con los ciudadanos, pero fundamentalmente que se perciba la
Administracin como un ente que facilita el ejercicio de los derechos y obligaciones
y que responda con agilidad y eficacia.
El caso es que se esgrime a menudo el argumento del ahorro y a menudo no se
cree en ello, sin embargo existen datos objetivos que as lo avalan. Segn
informacin suministrada por el Ministerio de Hacienda y Administraciones Pblicas,
en el ao 2012 se han realizado ms de 500 millones de trmites con la
Administracin General del Estado, de los que aproximadamente 365 se han
efectuado en formato electrnico. Esto significa que el 73% de las gestiones, casi
dos tercios, han sido por medios telemticos.
Si el coste de un trmite presencial ronda los 80 y el de uno electrnico los 5
(segn estimaciones del Standard Cost Model), el ahorro por el uso de la
administracin electrnica en el ao 2012 se situ en torno a los 28.500 millones
de euros.
El plan de Administracin Electrnica y el eje de la Agenda Digital para Espaa
correspondiente a esta materia, han

sido elaborados de forma conjunta por la

Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin y

la Secretaria de Estado de Administraciones Pblicas con los siguientes objetivos
publicados en nota del gabinete de prensa del Ministerio:
1. Utilizar medios y sistemas informticos para reducir cargas administrativas
al ciudadano y a las empresas. En este sentido, se avanzar en simplificar
los trmites administrativos, de forma que sean personalizables, proactivos,
accesibles desde diferentes plataformas y adaptados a las necesidades de
los usuarios, as como en la transparencia en la actuacin de la
Administracin General del Estado. Dentro de este objetivo, se propiciar la
reutilizacin de la informacin del sector pblico para permitir el desarrollo
de servicios de alto valor que contribuyan al impulso de la actividad
econmica y la generacin de servicios de valor aadido para ciudadanos y
empresas.
2. Incrementar el uso de los servicios pblicos electrnicos por parte de
ciudadanos y empresas. Para ello, se impulsarn planes de usabilidad para
acercar la Administracin a los ciudadanos y las empresas. Junto a la
divulgacin de los beneficios de la Administracin electrnica, se mejorarn
Actualizacin abril 2016

Pgina 17 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

los

mecanismos

para

la

identificacin

autenticacin

frente

la

Administracin, incluso mediante el uso de dispositivos mviles, y se har

obligatorio el uso telemtico para determinados colectivos profesionales y
empresariales. Por ltimo, se crearn indicadores para conocer el uso y el
valor generado por los distintos servicios pblicos.
3. Optimizar el empleo de las TIC en las Administraciones Pblicas. En esta
lnea, se aumentar el conocimiento y uso entre los empleados pblicos, y
se buscar la colaboracin entre los tres niveles de la Administracin para
avanzar en la Administracin sin papeles, as como una poltica de compras
nica con los proveedores
4. Cooperacin entre la Administracin y organizaciones, empresas y agentes
sociales, para intercambiar experiencias, proyectos, servicios y aplicaciones
de Administracin electrnica.
5. Emplear la tecnologa para eliminar la brecha digital. Se potenciar el uso de
servicios bsicos de Administracin Electrnica en municipios de pequeo
tamao, as como la intercomunicacin entre las diversas administraciones.
Asimismo, se mejorar la accesibilidad para favorecer el acceso de
colectivos con especiales dificultades.
Un ejemplo de colaboracin entre las distintas Administraciones propiciada por
el uso de las TICs es el proyecto ORVE. Se trata de un intento de reducir el uso
del papel en la gestin. Permite presentar documentacin en las oficinas de
registro que es inmediatamente escaneada y enviada electrnicamente al
destino, con plena

validez

jurdica. El

documento original

es devuelto

inmediatamente al ciudadano, evitando custodiarla, archivarla y transportarla.

Este proyecto entr en funcionamiento el 2 de julio de 2012 en la Comunidad de
Madrid donde integra a 392 oficinas de todos los niveles administrativos:
municipios, oficinas autonmicas y de la Administracin General del Estado.
Existen multitud de iniciativas que profundizan en alguna cuestin propia de la
administracin y que se pueden considerar como acciones puntuales. Mejoran
considerablemente el servicio pblico pero an queda mucho camino por
recorrer en la unificacin de todas ellas en una nica nube que permita una
gestin unificada y compartida que permita una racionalizacin de las
estructuras administrativas y el aprovechamiento de las infraestructuras y de
los recursos tecnolgicos.

Actualizacin abril 2016

Pgina 18 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

Slo por citar alguna, podemos mencionar:

Simplificacin

de

trmites

al

ciudadano

con

la

Plataforma

de

Intermediacin de Datos: es un sistema que permite la verificacin y

consulta de datos on-line y evita que el ciudadano tenga que presentar
justificantes de datos que ya obran en poder de las Administraciones
Pblicas.

 Sara como plataforma de servicios en la nube

6.-La nube en la Unin Europea

En el ao 2012, la Comisin Europea tratando de impulsar las aplicaciones en la

nube como motor de productividad en la economa y el empleo europeo, adopt la
Estrategia Europea de Cloud Computing.
Se basa en tres ejes:

la clarificacin de estndares y normas,

la creacin de un marco para la contratacin de servicios en la nube

que proporcionen seguridad y

el impulso del liderazgo del sector pblico en la implantacin de las

aplicaciones en la nube.

Actualizacin abril 2016

Pgina 19 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

La Unin Europea est promoviendo con fuerza estas lneas de actuacin y en los
prximos meses y aos seguro que vemos numerosos proyectos avanzar en esta
direccin. Ha creado el Partenariado Europeo de Cloud Computing en el que rene a
expertos de la industria y del sector pblico para trabajar en los requisitos de
contratacin comunes para la computacin en la nube.

Enlaces para ampliar informacin:

 Estrategia europea del Clound Computing

 Web de la Comisin Europea sobre la estrategia de Cloud Computing

La Comisin Europea, dentro de su Agenda Digital, establece una estrategia para

acelerar y aumentar el uso de la computacin en la nube. Desde este organismo, se
insiste en los beneficios econmicos, resaltando que el 80% de las organizaciones
que adoptan este sistema alcanzan un ahorro mnimo que se sita entre un 10 y
20%.

7.-Implicaciones del uso de la nube

Ya

comentamos

en este

aspecto,

que

como

empleados

pblicos

estamos

condicionados por las decisiones de nuestra administracin. Pero podemos

reflexionar sobre las ventajas y los inconvenientes que representa para nosotros
como usuarios y para el Gobierno del Principado de Asturias.
Las ventajas que aporta la nube en general y en las Administraciones en particular
estn claras, y se pueden resumir con los siguientes argumentos:

Ubicuidad: acceso a los servicios desde cualquier terminal, ordenador,

smartphone, tablet y desde cualquier lugar.

Inmediatez: la implantacin de un proyecto es rpido, no requiere de

grandes reformas de infraestructuras y el periodo de formacin es corto.

Flexibilidad: siempre se accede a la ltima versin de la aplicacin, no se

necesita actualizar el software.

Seguridad: las actuales redes ofrecen unos niveles de confianza y de

seguridad generalmente aceptados.

Coste: numerosos estudios avalan el ahorro econmico de las soluciones en

la nube.

Actualizacin abril 2016

Pgina 20 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

Disponibilidad del servicio: cuando se ofrece un servicio al ciudadano en

la nube, ste est abierto las 24 horas del da, los 365 das del ao.

Sin embargo debemos conocer y sopesar igualmente los inconvenientes y los

riesgos que se asumen con este nuevo uso de la tecnologa.
No todo el mundo comparte que se deba dejar en manos privadas los servicios y
sobre todo la informacin de las Administraciones y lo que es peor, de los
administrados. La solucin a este problema pasa por la creacin de infraestructuras
pblicas, compartidas por distintas administraciones.
Los aspectos sobre la seguridad generan preocupacin en muchos sectores.
Otro foco importante del debate se centra en los aspectos jurdicos, donde la
indefinicin habitual que generan a menudo las innovaciones tecnolgicas y las
dificultades que introduce esta nueva concepcin del uso de las TIC, obligan a
realizar un gran esfuerzo legislador.

Para saber ms?

 Reflexiones sobre la proteccin de datos en la nube

 Intervencin en un blog sobre Gobierno electrnico
 Cloud Computing. Retos y oportunidades

Uno de los principales problemas radica en la deslocalizacin del almacenamiento

de la informacin. Si hablamos de redes pblicas, surgen grandes temores respecto
al lugar geogrfico donde se encuentra el servidor. Dependiendo del pas, la
legislacin aplicable ser diferente, y no est claro que podemos mantener todas
las garantas de confidencialidad y de gestin de datos de carcter personal. En
este caso la transparencia del prestador del servicio es una pieza fundamental
antes de tomar ninguna decisin.
La seguridad informtica es otra cuestin importante. Tenemos que confiar en las
redes fsicas y los mecanismos de cifrado de datos. Si la informacin viaja y no
controlamos por dnde (lo que es una caracterstica de Internet), debemos de estar
seguros de que slo podr acceder a ella quien est autorizado. Adems, la
informacin de la administracin no slo consiste en expedientes administraciones.
En muchsimos casos se trata de datos sensibles y de gran importancia estratgica.

Actualizacin abril 2016

Pgina 21 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

Surgen otro tipo de dudas sobre los modelos de gestin. La nube puede favorecer
la privatizacin de la administracin pblica. Aqu entramos en temas ideolgicos
que tambin son objeto de gran controversia.
Por ltimo, tambin existe un autntico problema de dimensionamiento. Los
recursos necesarios para abordar un proyecto global de Cloud en la administracin
son enormes y eso lleva a planteamientos parciales que puedan ser realizables. El
hecho de que la administracin tenga una vertiente estatal, otra autonmica y
local, complica an ms las cosas. Tampoco se puede tirar por la borde todo el
esfuerzo realizado hasta el momento y empezar de nuevo.

Para saber ms?

 Reflexin sobre cmo implantar el cloud computing en la

administracin
 Informe sobre seguridad y resistencia en las nubes de la
Administracin Pblica
 Artculo de opinin
 Riesgos y amenazas en Cloud Computing


Interesante

comparacin

entre

una

nube

de

la

Administracin y la del BBVA

En el ao 2010, la Cloud Security Alliance, organizacin internacional sin nimo de

lucro para promover el uso de mejores prcticas para garantizar la seguridad en la
nube public un  informe sobre las 7 mayores amenazas de la nube, que se
resumen a continuacin:

Abuso y mal uso de la computacin en la nube: el informe recomienda

implantar un sistema de registro de acceso ms restrictivo, coordinar y
monitorizar el fraude en tarjetas de crdito, comprobar las listas negras
pblicas para identificar si los rangos de IP de la infraestructura han entrado
en ellas.

Interfaces poco seguros: dado que tanto la autenticacin, el acceso, el

cifrado, etc., se hace a travs de estos interfaces, se deben extremar las
precauciones en seguridad.

Actualizacin abril 2016

Pgina 22 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

Amenaza interna: los usuarios del sistema tienen acceso de forma natural
a los datos y esto puede provocar incidentes de seguridad provocados por
una manipulacin inadecuada o por el descontento de los empleados. Esto
es especialmente grave cuando el proveedor es un servicio externo a la
Administracin.

Problemas derivados de las tecnologas compartidas: este problema

es especialmente preocupante en modelos IaaS debido a que no fueron
diseados para una arquitectura de aplicaciones compartidas.

Prdida o fuga de informacin: en la nube aumenta el riesgo de que los

datos est en peligro, ya que el nmero de interacciones entre ellos se
multiplica debido a la propia arquitectura de la misma.

Secuestro de sesin o servicio: si un atacante obtiene las credenciales de

un usuario puede suplantarlo y obtener informacin o realizar gestiones en
su nombre.

Riesgo por desconocimiento: si el usuario no conoce bien la estructura de

la nube que se maneja. De lo contrario, puede ocurrir que no se sepa con
quin se comparte la informacin o no se controle las consecuencias de
ciertas acciones.

Para saber ms?

El Instituto Nacional de Normas y Tecnologa (NIST) es una agencia de la

Administracin de Tecnologa del Departamento de Comercio de los Estados Unidos
dedicado a la promocin de la innovacin y la competencia industrial. Ha publicado
la gua Guidelines on Security and Privacy Cloud Computing, en la que analiza
aspectos claves de

seguridad en la nube, en los siguientes trminos (resumen

obtenido del documento  Riesgos y amenazas del Cloud Computing del Plan
Avanza 2):

1.

Gobernanza

La gobernanza implica el control y la supervisin de las polticas, los

procedimientos y los estndares para el desarrollo de aplicaciones, as como el
diseo, la implementacin, las pruebas y la monitorizacin de los servicios
distribuidos. El cloud, por su diversidad de servicios y su amplia disponibilidad,
amplifica la necesidad de una buena gobernanza.

Actualizacin abril 2016

Pgina 23 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

Garantizar que los sistemas son seguros y que los riesgos estn gestionados es
un reto en cualquier entorno cloud. Es un requisito de seguridad instalar
adecuadamente los mecanismos y herramientas de auditora para determinar
cmo se almacenan los datos, cmo se protegen y cmo se utilizan tanto para
validar los servicios y como para verificar el cumplimiento de las polticas.
Por otra parte, se ha de prestar especial atencin a los roles y las
responsabilidades involucrados en la gestin de riesgos. Es muy recomendable
poner en marcha un programa de gestin de riesgos que sea suficientemente
flexible para tratar con un entorno de riesgos variables y en continua
evolucin.
2.

Cumplimiento

El cumplimiento obliga a la conformidad con especificaciones estndares,

normas o leyes establecidas. La legislacin y normativa relativa a privacidad y
seguridad vara mucho segn los pases con diferencias, en ocasiones, a nivel
nacional, regional o local haciendo muy complicado el cumplimiento en cloud
computing.
-Ubicacin de los datos
Uno de los principales problemas de los servicios en cloud computing es la
ausencia de informacin acerca de cmo se ha implantado la infraestructura,
por lo cual el suscriptor no tiene prcticamente informacin de cmo y dnde
son almacenados los datos ni de cmo se protegen los mismos. La posesin de
certificaciones de seguridad o la realizacin de auditoras externas por parte
del proveedor mitiga, en parte, el problema aunque tampoco es una solucin.
Cuando la informacin se mueve por diferentes pases, sus marcos legales y
regulatorios cambian y esto, obviamente, afecta a la forma de tratar los datos.
Por ejemplo, las leyes de proteccin de datos imponen obligaciones adicionales
a los procedimientos de manejo y procesamiento de datos que se transfieren a
EEUU.
La principal preocupacin del cumplimiento radica en conocer los lmites en los
que deja de aplicar la legislacin del pas que recoge los datos y comienza a
aplicar la legislacin del pas destino de los mismos as como si la legislacin en
el destino supone algn riesgo o beneficio adicional. Por lo general aplican las
salvaguardas tcnicas, fsicas y administrativas, como los controles de acceso.

Actualizacin abril 2016

Pgina 24 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

-Investigacin electrnica
La investigacin electrnica se ocupa de la identificacin, la recoleccin, el
procesamiento, el anlisis y la produccin de los documentos en la fase de
descubrimiento de un procedimiento judicial. Las organizaciones tambin
tienen obligaciones para la preservacin y la generacin de los documentos,
tales como cumplir con las auditoras y solicitudes de informacin. Estos
documentos no slo incluyen correos electrnicos, adjuntos del correo y otros
datos almacenados en los sistemas, sino tambin metadatos como fechas de
creacin y modificacin.
Las capacidades de un proveedor cloud y las herramientas de investigacin
disponibles pueden dificultar el cumplimiento de las obligaciones de la
organizacin. Por ejemplo, si los elementos de almacenamiento de un
proveedor no guardan los metadatos originales y suceden daos intencionados
(borrado de datos, prdida, alteracin material o bloqueo de evidencias que
son bsicas para la investigacin) la carencia de estos metadatos tiene un
impacto negativo en la investigacin.
3. Confianza
En cloud computing la organizacin cede el control directo de muchos aspectos
de la seguridad confiriendo un nivel de confianza sin precedentes al proveedor
de cloud.
Acceso desde dentro
Los datos almacenados fuera de los lmites de una organizacin estn
protegidos por cortafuegos y otros controles de seguridad que conllevan en s
mismos un nivel de riesgo inherente. Las amenazas internas son un problema
conocido por la mayora de las organizaciones y aunque su nombre no lo refleje
aplica tambin en los servicios cloud.
Estas amenazas pueden ser provocadas tanto por los antiguos como por los
actuales empleados as como por las empresas asociadas, las asistencias
tcnicas y otros actores que reciben acceso a las redes corporativas y datos
para facilitar las operaciones. Los incidentes pueden ser tanto intencionados
como no intencionados y de muy diversos tipos incluyendo fraude, sabotaje de
los recursos de informacin, robo de informacin confidencial.
Al traspasar los datos a un entorno cloud operado por un proveedor, las
amenazas internas se extienden no slo al personal del proveedor sino tambin
a los consumidores del servicio. Un ejemplo de esto se demostr por una
Actualizacin abril 2016

Pgina 25 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

denegacin de servicio realizada por un atacante interno. El ataque fue

realizado por un suscriptor que cre 20 cuentas y lanz una instancia de
mquina virtual por cada una de ellas, a su vez cada una de estas cuentas
segua creando 20 cuentas cada una haciendo que el crecimiento exponencial
llevase los recursos a los lmites de fallo.
-Propiedad de los datos
Cuando se establece un contrato con un proveedor se deben definir de forma
clara los derechos sobre los datos y as crear un primer marco de confianza.
Existe una controversia importante en torno a los trminos ambiguos que
utilizan las redes sociales en sus polticas de privacidad y propiedad de los
datos. El contrato debe establecer de una forma clara que la organizacin
mantiene la propiedad de todos sus datos, pero tambin debe asegurar que el
proveedor no adquiere derechos o licencias a travs de los acuerdos para usar
los datos en su propio beneficio.
-Servicios complejos
Los servicios cloud en s mismos suelen estar formados por la colaboracin y
unin de otros servicios. El nivel de disponibilidad de un servicio cloud depende
de la disponibilidad de los servicios que lo componen. Aquellos servicios que
dependan

de

terceros

para

su

funcionamiento

deben

considerar

el

establecimiento de un marco de control con dichos terceros para definir las

responsabilidades y las obligaciones, as como los remedios para los posibles
fallos.
Las garantas de responsabilidad y rendimiento pueden convertirse en un
problema serio en servicios complejos. Un ejemplo de esto es una red social
que suscriba servicios de almacenamiento en la nube y cerr por perder el
acceso a gran cantidad de datos de 20.000 suscriptores. El problema fue que
los datos antiguos, las nuevas aplicaciones y las bases de datos se encontraban
en diferentes proveedores de servicios cloud.
-Visibilidad
La migracin a servicios cloud pblicos cede el control de los sistemas de
seguridad a los proveedores que operan los datos de la organizacin. La
administracin, los procedimientos y los controles usados en el cloud deben
guardar cierta analoga con los implantados en la propia organizacin interna
para evitar posibles agujeros de seguridad.

Actualizacin abril 2016

Pgina 26 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

Los proveedores de cloud suelen ser bastante celosos para dar los detalles de
sus polticas de seguridad y privacidad, ya que dicha informacin podra ser
utilizada para realizar un ataque. Por lo general, los detalles de la red y los
niveles de monitorizacin de los sistemas no forman parte de los acuerdos de
servicio.
La transparencia de la forma en la que los proveedores operan es un asunto
vital para la supervisin de los sistemas de seguridad y privacidad de una
organizacin. Para asegurar que las polticas se cumplen durante el ciclo de
vida de los sistemas, los acuerdos de servicio deben incluir algunas clusulas
para obtener visibilidad de los controles de seguridad y los procesos empleados
por los proveedores. Lo ideal sera que la organizacin tuviese el control sobre
ciertos aspectos tales como la definicin de los lmites que lanzan alertas, los
niveles de detalle de los informes, etc. para que se adecen a las necesidades
de la empresa.
-Gestin de riesgos
Con los servicios basados en cloud muchos componentes de los sistemas de
informacin quedan fuera del control directo de la organizacin suscriptora.
Mucha gente se siente mejor con un riesgo siempre y cuando tengan mayor
control sobre los procesos y los equipos involucrados. La gestin de riesgos es
el proceso de identificar y valorar los riesgos realizando los pasos necesarios
para reducirlos a un nivel asumible. Los sistemas cloud pblicos requieren, al
igual que los sistemas tradicionales, que los riesgos sean gestionados a lo largo
de su ciclo de vida.
Valorar y gestionar riesgos en sistemas que utilizan servicios cloud puede
llegar a ser un desafo. Para llevarlo a la prctica, la organizacin debe
confirmar que los controles de seguridad estn implementados correctamente
y cumplen con los requisitos de seguridad de la empresa. El establecimiento de
un nivel de confianza depende del grado de control que una organizacin est
dispuesta a delegar en el proveedor para que sea ste el que implemente los
controles de seguridad necesarios para la proteccin de los datos y las
aplicaciones de la organizacin, as como las pruebas de la efectividad de
dichos controles.
Si el nivel de confianza baja por debajo de las expectativas y la organizacin no
puede aplicar medidas correctivas, sta debe decidirse entre la aceptacin de
un riesgo mayor o el rechazo del servicio.

Actualizacin abril 2016

Pgina 27 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

4. Arquitectura
La arquitectura de una infraestructura cloud comprende tanto hardware como
software. Las mquinas virtuales se utilizan como unidades de distribucin del
software asociadas a dispositivos de almacenamiento. Las aplicaciones son
creadas mediante las interfaces de programacin. Suelen englobar a mltiples
componentes de la infraestructura que se comunican entre s a travs de estas
interfaces. Esta comunicacin global de la infraestructura puede derivar en
fallos de seguridad.
-Superficie de ataque
El hipervisor de las mquinas virtuales se superpone como una capa extra de
software entre el sistema operativo y los recursos hardware y se utiliza para
ejecutar las mquinas virtuales multiusuario. La inclusin de estos hipervisores
supone aadir un punto de ataque extra con respecto a las arquitecturas
tradicionales.
Son ejemplos de posibles incidentes la revelacin de datos sensibles al realizar
la migracin de mquinas virtuales o la ejecucin de cdigo arbitrario en el
equipo anfitrin al explotar vulnerabilidades en productos de virtualizacin.
-Proteccin de la red virtual
La mayora de los productos de virtualizacin soportan la creacin de
conmutadores de red virtuales y configuraciones de red como parte del
entorno. As mismo, soportan la creacin de subredes privadas para la
comunicacin entre las maquinas virtuales alojadas en un mismo servidor. Este
trfico no puede ser monitorizado por los elementos fsicos tpicos de la red
(cortafuegos, sistemas de prevencin de intrusiones, etc.). Por ello, se deben
extremar las precauciones de la seguridad de la red en estas conexiones
internas para evitar ataques desde dentro de estas redes virtuales.
-Datos auxiliares
Lo ms normal es que la seguridad en estos entornos se centre en los datos
que gestiona la aplicacin, pero tambin existen otros datos no considerados
tan crticos cuya alteracin, robo o revelacin puede producir serios incidentes
de seguridad (por ejemplo: bases de datos de clientes, ficheros de pagos,
informacin de usuarios, etc.).
Otro de los problemas puede producirse al no proteger el acceso a los
repositorios de las plantillas de las mquinas virtuales que contienen las
Actualizacin abril 2016

Pgina 28 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

configuraciones por defecto de las mismas. Compartir este tipo de datos es una
prctica bastante comn en entornos cloud.
Compartir este tipo de datos puede ofrecer al atacante plataformas para
preparar su ataque comprobando las vulnerabilidades que pueden ser
inherentes a las mismas, aunque tambin puede existir el proceso contrario:
atacantes que intenten reemplazar una imagen por otra con contenido
malicioso instalado.
-Proteccin del cliente
Los navegadores, como parte primordial de los entornos cloud (ya que
tpicamente los accesos se realizan va web), pueden llevar extensiones o
plugins con importantes brechas de seguridad.
Mantener la seguridad lgica y fsica de la parte del cliente puede ser
complicado especialmente para entornos mviles ya que, por su tamao y
portabilidad, pueden perderse o ser sustrados. As mismo, los sistemas de
escritorio no son actualizados de forma sistemtica provocando que las
vulnerabilidades puedan producir brechas de seguridad importantes.
Otro aspecto a tener en cuenta es la posible presencia de troyanos, puertas
traseras o virus que puedan obtener informacin confidencial o monitoriza r a
la vctima.
La solucin podra partir por reforzar la comprobacin de seguridad de los
clientes. Por ejemplo, los bancos empiezan a desarrollar medidas para que los
navegadores de sus clientes aseguren los datos mediante el cifrado de las
comunicaciones y aplicando mecanismos para evitar la intercepcin de las
pulsaciones de teclado.
-Proteccin del servidor
Los servidores en los entornos cloud deben ser protegidos tanto fsica como
lgicamente, de forma que los mismos estn segmentados y separados para
que no se puedan producir accesos desde zonas no autorizadas.
Del mismo modo, en la parte del cliente hay que asegurar el parcheo de los
servidores para que no tengan vulnerabilidades que comprometan la seguridad
del entorno.
Otro aspecto importante en la proteccin de la parte servidora es la
disponibilidad, por lo que ser recomendable disponer de sistemas que gocen
de sta, principalmente en aquellos servidores que alojen partes crticas de la
infraestructura.
Actualizacin abril 2016

Pgina 29 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

5. Identidad y control de acceso

Los datos sensibles y la privacidad se han convertido en la principal
preocupacin en lo que respecta a la proteccin de las organizaciones y el
acceso no autorizado a los recursos de informacin. La alternativa de usar dos
mtodos de autenticacin, uno para la organizacin interna y otro para los
clientes, puede llegar a ser algo muy complicado. La identidad federada, que se
ha vuelto popular con el crecimiento de las arquitecturas orientadas a
servicios, puede ser una de las soluciones, pudiendo ser implementada de
varias formas siguiendo el estndar SAML (del ingls, Security Assertion
Markup Language) o el estndar OpenID.
-Autenticacin
Un nmero creciente de proveedores de servicios cloud soportan el estndar
SAML, utilizndolo para administrar usuarios y autenticarlos previamente a
conceder el acceso a las aplicaciones y datos. Este estndar proporciona un
entorno para el intercambio de informacin para la autenticacin entre
dominios cooperantes. Las solicitudes y respuestas en este estndar son
mapeadas mediante el protocolo SOAP (del ingls, Simple Object Access
Protocol). Los mensajes SOAP se firman digitalmente. De esta forma, cuando
un usuario dispone de un certificado de clave pblica para un entorno cloud
su clave privada puede ser utilizada para firmar las peticiones SOAP.
La validacin de una autenticacin mediante mensajes SOAP es complicada y
debe tratarse con cuidado para evitar posibles ataques. Por ejemplo, ya se
demostr el xito de ataques del tipo XML Wrapping contra infraestructuras
cloud. Este tipo de ataques manipulan las peticiones SOAP mediante la
introduccin de envolturas en la cabecera de seguridad SOAP, se mueve el
cuerpo a dicha envoltura y se sustituye el cuerpo con uno que ejecuta una
accin definida por el atacante. Como el mensaje original no se borra, la firma
se verifica pero se realiza la ejecucin de la accin maliciosa.
-Control de Acceso
El estndar SAML por s solo no es suficiente para proporcionar tanto
autenticacin como controles de acceso en servicios cloud. Se hace necesario
implementar tambin un control de acceso a los recursos. Para ello se puede
utilizar el estndar XACML (del ingls, eXtensible Access Control Markup
Language)

para

controlar

Actualizacin abril 2016

los

accesos

los

recursos.

Este

estndar

Pgina 30 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

complementa

SAMLpara

entornos

de

intercambio

de

autenticacin

autorizacin entre dominios cooperantes. No obstante, los mensajes entre enti

dades XACML pueden ser susceptibles de ataques por parte de terceros, por lo
que hay que protegerlos frente a ataques de exposicin de la informacin,
repeticin, borrado y modificacin.
6. Aislamiento de Software
Para alcanzar tasas altas de eficiencia, los proveedores deben asegurar tanto
una provisin dinmica del servicio como el aislamiento de los suscriptores del
servicio. La concurrencia de usuarios es realizada en entornos cloud mediante
la multiplexacin de la ejecucin de las mquinas virtuales para los diferentes
usuarios en un mismo servidor fsico. An as las aplicaciones que corren en
dichos entornos permiten ser focos de ataque. Las ms destacadas son:
-Complejidad del hipervisor
La seguridad de un sistema de computacin depende de la calidad del software
que se ejecuta en su ncleo, el cual controla la ubicacin y ejecucin de los
procesos. Un monitor de mquinas virtuales est diseado para ejecutar
mltiples mquinas de forma concurrente en un mismo anfitrin fsico
proporcionando aislamiento entre las diferentes mquinas virtuales.
Normalmente estos hipervisores son menos complejos que un sistema
operativo, por lo que el anlisis y la mejora de la seguridad es, en teora, ms
sencillo. La realidad es que la evolucin de estos hipervisores los ha convertido
en elementos mucho ms complejos y amplios, similares a sistemas
operativos. Un caso claro de esto es Xen que contiene un ncleo de Linux
modificado para aislar las operaciones de entrada/salida e incluye KVM (del
ingls, Kernel- based Virtual Machine), de forma que transforma el ncleo de
Linux e un hipervisor.
Resulta importante para el proveedor entender el uso de la virtualizacin para
poder comprender los riesgos asociados que pueden producirse.
-Vectores de ataque
La concurrencia de mltiples usuarios compartiendo recursos fsicos mediante
diferentes mquinas virtuales puede producir nuevas fuentes de amenazas.
Una de las principales amenazas es la posibilidad de que cdigos maliciosos
puedan salir de las mquinas virtuales e interferir con el hipervisor o con otras
mquinas virtuales. La posibilidad de la migracin en caliente de las mquinas
virtuales de un servidor fsico a otro, y otras funcionalidades que aportan los
Actualizacin abril 2016

Pgina 31 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

hipervisores para facilitar la gestin, aumentan el tamao y la complejidad del

software y por ende aade nuevas zonas para realizar ataques.
La interfaz de programacin de los servicios cloud suele ser objetivo comn
para

descubrir

vulnerabilidades

que

se

pueden

explotar.

Estetipo

de

vulnerabilidades suelen ser desbordamientos de buffer, que permiten al

atacante la ejecucin de cdigo arbitrario o fallos que permiten realizar
denegaciones de servicio que puedan afectar a la mquina virtual o al propio
servidor anfitrin.
Tambin pueden darse ataques indirectos, como los demostrados por algunos
desarrolladores, sobre una debilidad en el proceso de migracin de mquinas
virtuales que permita a un atacante obtener control administrativo de la
mquina mediante un ataque man-in-the-middle para modificar el cdigo de
autenticacin.
Por otra parte, las modificaciones de memoria durante la migracin que
permiten la instalacin de rootkits especficos para mquinas virtuales pueden
suponer otro vector de ataque.
Otra opcin puede ser la monitorizacin del uso de recursos en un servidor
compartido para recopilar informacin y, de esa forma, poder obtener
informacin de cundo es el mejor momento para la realizacin de un ataque.
7. Proteccin de datos
Los datos que se almacenan en entornos cloud suelen residir en equipamiento
compartido por mltiples clientes. Por ello, las organizaciones que gestionan
datos confidenciales en la nube deben preocuparse por la forma en que se
accede a estos datos y garantizar que los mismos estn almacenados de forma
segura.
-Aislamiento de datos
Los datos en los entornos cloud pueden tomar muchas formas dependiendo de
la actividad a la que se dediquen. Si, por ejemplo, la actividad es el desarrollo
de aplicaciones, los datos se encontrarn en forma de programas, scripts y
datos de configuraciones. En cambio, si en la plataforma reside una aplicacin
ya desarrollada, los datos sern del tipo registros, contenidos creados y usados
por la aplicacin o informacin de los usuarios, etc.
Uno de los principales problemas de los entornos cloud es la autenticacin de la
identidad de los usuarios. Los controles de acceso se basan habitualmente en
comprobar la identidad.
Actualizacin abril 2016

Pgina 32 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

Un caso particular son los entornos tpicos de bases de datos de los entornos
cloud que se componen de un nico sistema gestor de bases de datos con una
instancia por mquina virtual. La seguridad y configuracin de estas instancias
recae en la parte suscriptora del servicio. La segregacin de los datos se suele
realizar mediante etiquetas para los datos, lo cual proporciona una falsa
apariencia de uso exclusivo de las instancias.
Por otra parte, los datos deben ser protegidos cuando se encuentran en
descanso, en trnsito. Asimismo, el acceso a los datos debe ser controlado. Los
estndares de comunicaciones y los certificados de clave pblica permiten que
las transferencias de datos se puedan proteger utilizando criptografa. La
seguridad en descanso no es tan sencilla porque los procedimientos no son
claros debido a que la mayora de los sistemas son propietarios, lo cual, a su
vez, dificulta la interoperabilidad entre distintos proveedores con sistemas
diferentes.
La gestin de las claves criptogrficas recae principalmente en el suscriptor del
servicio. La generacin de estas claves se suele realizar utilizando mdulos de
seguridad hardware o HSM (del ingls, Hardware Securit y Module).
La proteccin de datos en uso es un rea emergente de la criptografa con poco
material prctico que ofrecer, dejando que los mecanismos de confianza sean
la mayor salvaguarda.
Saneamiento de datos
Saneamiento

es

la

eliminacin

de

datos

sensibles

de

un

medio

de

almacenamiento cuando ste deja de ser utilizado en el entorno o se quiere

reutilizar en otro entorno o situacin. El saneamiento tambin aplica a los
datos de las copias de seguridad y a los datos residuales que quedan cuando el
servicio finaliza.
En entornos cloud esta labor puede ser muy complicada ya que los datos de
varios clientes comparten almacenamiento por lo cual el saneamiento se debe
realizar con gran cautela. Adems, mediante tcnicas y equipamiento
especfico,

se

pueden

recuperar

datos

de

medios

de

almacenamiento

previamente borrado, lo cual convierte este saneamiento en una tarea crtica.

8. Disponibilidad
La disponibilidad puede ser interrumpida de forma temporal o permanente. Los
ataques de denegacin de servicio, fallos del equipamiento y desastres
naturales son todas amenazas a la disponibilidad.
Actualizacin abril 2016

Pgina 33 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

-Fallos temporales
A pesar de utilizar infraestructuras orientadas para dar un alto nivel de servicio
y una alta disponibilidad, los servicios cloud pueden experimentar descensos en
el rendimiento o fallos.
Algunos ejemplos de esto son:

Febrero 2008: fallos de un servicio de almacenamiento en la nube por

un periodo de tres horas que afect a sus suscriptores, entre ellos
Twitter y otras compaas.

Febrero 2010: Gmail sufre una prdida de acceso a 500.000 cuentas

por una actualizacin de software; alguna de las cuentas se restauraron
mediante copias de seguridad en cinta.

Con una fiabilidad del 99,95% se produciran 4,38 horas de cada en un ao,
excluyendo las paradas de mantenimiento, que no se recogen en los acuerdos
de nivel de servicio o SLA (del ingls, Service Level Agreement). Los tiempos
de recuperacin en caso de fallo o prdida de servicio deben estar recogidos
por el proveedor en sus planes de contingencia y continuidad. As mismo,
deben disponer de infraestructuras de respaldo para poder prestar un servicio
mientras se prolonga el periodo de recuperacin. Otra opcin es tener un
acuerdo para que otro proveedor procese los datos mientras se realiza la
restauracin del servicio.
-Fallos prolongados y permanentes
Esta posibilidad puede darse en proveedores que experimentan problemas
serios como la bancarrota o la prdida de sus proveedores.
Algunos ejemplos de esto son:

Abril 2009: el FBI realiza una intervencin en un proveedor cloud para

llevar a cabo una investigacin en un centro de datos en Texas. Los
agentes tuvieron que retirar cientos de servidores para investigar unas
acusaciones de fraude de empresas que operaban en dicho centro. La
prdida de estos servidores supuso una interrupcin del servicio para
otros suscriptores de los servicios.
-Denegacin de servicio

Los ataques de denegacin de servicio consisten en saturar el objetivo con

multitud de peticiones para que, al alcanzar los lmites de operacin ptimos,
comience a no atender las peticiones legtimas. La forma ms comn de
Actualizacin abril 2016

Pgina 34 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

realizar estos ataques es utilizar mltiples equipos o a travs de redes de

equipos zombis.
Aunque los ataques no resulten efectivos, un intento de denegacin de servicio
produce rpidamente un alto consumo de recursos para realizar la defensa. La
distribucin dinmica de recursos en los entornos cloud facilita la labor a los
atacantes, los cuales utilizando suficientes equipos en los ataques, pueden
producir largos periodos de saturacin.
Estos ataques tambin pueden producirse contra los servicios accesibles de
forma interna, como aquellos que gestionan la infraestructura.
-Valor concentrado
Actualmente las infraestructuras en la nube comienzan a ser objetivo de los
ataques porque, en cierto modo, concentran gran cantidad de informacin
sensible, de forma que, con un nico ataque, se podra obtener mayor
rendimiento que realizando varios a infraestructuras ms pequeas.
Se puede acceder de forma ms refinada a la infraestructura con la ingeniera
social, consiguiendo las credenciales de acceso de los administradores del
entorno. Esto se debe a que habitualmente es posible la recuperacin de
contraseas mediante el envo de las mismas al correo electrnico, por lo cual,
controlando la cuenta de un usuario, se obtendra de forma sencilla la
autenticacin.
9. Respuesta a incidentes
La labor del proveedor es bsica en las actividades de respuesta ante la
ocurrencia de algn incidente de seguridad. Esto incluye la verificacin, el
anlisis del ataque, la contencin, la recoleccin de evidencias, la aplicacin de
remedios y la restauracin del servicio.
La colaboracin entre los proveedores y los suscriptores para la deteccin y
reconocimiento de los incidentes es esencial para la seguridad y la privacidad
en cloud computing, ya que la complejidad de los servicios puede dificultar la
labor

de

la

deteccin.

Se

hace

necesario

entender

negociar

los

procedimientos de respuesta a incidentes antes de firmar un contrato de

servicio. La localizacin de los datos es otro aspecto que puede impedir una
investigacin, por lo que es otro de los puntos que se deben negociar en los
contratos.
La solucin que se negocie ha de tener la finalidad de mitigar el incidente en un
tiempo que limite los daos y que mejore los tiempos de recuperacin. Los
Actualizacin abril 2016

Pgina 35 de 36

SOFTWARE EN LA NUBE

IAAP

U6 Administraciones pblicas en la nube

equipos para la resolucin deberan ser mixtos (proveedor y suscriptor) ya que

la solucin puede involucrar a alguna de las partes de forma individual o a
ambas conjuntamente y el incidente puede incluso afectar a otros suscriptores
que comparten la infraestructura.

8.-Conclusiones

Con todo esto, podemos concluir que el avance hacia un modelo de gestin en la
nube es imparable. Ya tenemos camino recorrido, pero an falta mucho por hacer.
Lo deseable es que los futuros desarrollos busquen las vas de la mejora de la
eficacia y el acercamiento al administrado y eviten las decisiones tomadas en
funcin de las modas impuestas por las tendencias tecnolgicas. La Administracin
no debera de perder de vista su funcin de papel vertebrador de la sociedad.

 Especulaciones sobre hacia dnde nos puede llevar el uso de las TIC en
la Administracin

 El impacto de la Administracin Electrnica en el Servicio Pblico

Los deseos de mejora no pueden alejarnos de las precauciones a tomar para

garantizar que la administracin en la nube mantenga la seguridad en la identidad
del usuario y en la propiedad de los datos as como el cumplimiento normativo. Es
preciso ser especialmente cuidadosos en los contratos de acuerdo de servicio, tal
como recomiendan todas las organizaciones que se han volcado en el estudio de
esta problemtica.

IDEAS CLAVE
El Cloud Computing es una realidad en las Administraciones Pblicas. Los gobiernos y
otras instituciones como la Unin Europea llevan tiempo estudiando sus ventajas y la
forma de impulsarlo.
Existen dificultades objetivas desde el punto de vista legal e incluso tico que
generan cierto debate acerca de la implantacin de este nuevo modelo de trabajo.
Parece que ser difcil parar el avance en este terreno y muy probablemente en los
prximos aos, puede incluso que meses, muchos de los empleados pblicos del
Principado de Asturias nos veamos involucrados en algn proyecto dentro de la nube.

Actualizacin abril 2016

Pgina 36 de 36