Professional Documents
Culture Documents
SOFTWARE EN LA NUBE
IAAP
NDICE
INTRODUCCIN ........................................................................................... 3
OBJETIVOS.................................................................................................. 4
CONTENIDOS .............................................................................................. 4
1.-Google para organizaciones..................................................................... 7
2.-Google Apps para educacin.................................................................... 8
3.-La nube en las Administraciones Pblicas .................................................. 9
4.-Cmo llegan las Administraciones Pblicas a la nube................................. 10
5.-La red Sara......................................................................................... 16
6.-La nube en la Unin Europea ................................................................. 19
7.-Implicaciones del uso de la nube............................................................ 20
8.-Conclusiones....................................................................................... 36
Pgina 2 de 36
SOFTWARE EN LA NUBE
IAAP
INTRODUCCIN
Ya llevamos ledas unas cuantas pginas sobre qu es la nube, cmo funciona y qu
podemos sacar de ella. En realidad, slo nos acercamos a una ventana desde la que
observamos ese cielo lleno de nubes. Habra tanto que ver que nos llevara una
vida abarcarlo todo.
Va siendo hora de tratar de averiguar si todo esto tiene alguna utilidad en nuestro
trabajo.
A esta pregunta, tenemos una respuesta clara. Como usuario particular siempre
podemos tratar de aprovecharlo en nuestras tareas ordinarias. Seguro que cada
uno de nosotros encuentra mil oportunidades distintas de rentabilizarlo.
De verdad? Bueno, cuando estamos en un equipo de la red corporativa, siempre
que usemos aplicaciones que no estn vetadas por el filtro del Principado de
Asturias. Vaya lata! Todos tropezamos con esto en algn momento. No siempre
podemos visitar las pginas que queremos porque a veces nuestro sistema
informtico no nos autoriza.
Pero, este filtro es un inconveniente o es una ventaja? En principio, esta
herramienta tiene por finalidad protegernos, aunque tambin impide ciertas
prcticas para garantizar que no se nos vaya el ancho de banda (escaso dado el
nmero de usuarios) en consultas ajenas a cuestiones laborales.
Sin embargo, la cuestin sobre el uso de la nube ya no depende de nosotros a nivel
individual. Es una decisin corporativa que corresponde tomar al Gobierno del
Principado de Asturias. No podemos decidir de manera personal si trabajamos en
una nube. No tiene sentido, porque precisamente el inters reside en las facilidades
para el trabajo colaborativo.
Adems, existen otras consideraciones muy importantes a tener en cuenta de
orden legal, que afectan a la seguridad de la informacin que estamos manejando,
a la proteccin de los datos de carcter personal e incluso podemos pensar en
consideraciones ticas.
Sin
embargo,
queremos
conocer
lo
que
la
nube
puede
ofrecer
las
Pgina 3 de 36
SOFTWARE EN LA NUBE
IAAP
OBJETIVOS
1. Conocer las posibilidades de uso de las aplicaciones en la nube en el mbito
de las administraciones pblicas.
2. Acercarnos a alguna experiencia en este campo.
3. Reflexionar sobre las implicaciones que conlleva la nube en las AAPP, en
aspectos tan crticos, por ejemplo, como archivar informacin en servidores
no propiedad de la administracin.
CONTENIDOS
En la unidad didctica 1 cuando nos estbamos introduciendo en los conceptos de
la computacin en la nube ya comentamos que muchas empresas se estn pasando
a este nuevo enfoque productivo en lo que respecta a las Tecnologas de la
Informacin. Encuentran en ello muchas ventajas: menor coste, eliminacin del
mantenimiento de infraestructuras (esto en funcin del tamao de la empresa
puede significar una notable reduccin de personal tcnico), actualizacin constante
a las versiones ms actualizadas del software, mayor facilidad para compartir
documentos y agilidad en el trabajo en equipo. Adems, cuando se trata de
corporaciones con varias sedes o cuando su personal viaja mucho, es fundamental
no necesitar transportar toda la documentacin.
Las grandes compaas informticas se han volcado en disponer de muy buenos
servicios para atraer a este nuevo y jugoso segmento del mercado.
Como ya sabemos Google dispone de una nube muy completa. IBM, en otros
tiempos el gigante de la Informtica, no dej escapar esta oportunidad para tratar
de volver al primer plano de este sector.
Pgina 4 de 36
SOFTWARE EN LA NUBE
IAAP
Microsoft cuenta con una nube que descansa, igual que la de Google, sobre su
conocida
aplicacin
de
correo
web,
Hotmail
(actualmente
sustituido
por
Pgina 5 de 36
SOFTWARE EN LA NUBE
IAAP
Pgina 6 de 36
SOFTWARE EN LA NUBE
IAAP
Al igual que ocurre en el entorno personal, Google se presenta como una opcin a
tener en cuenta para las organizaciones. Ms de 5 millones de empresas ya se han
decidido por esta compaa.
Google Apps for Business agrupa un amplio conjunto de aplicaciones, ahora
denominadas Apps.
Pgina 7 de 36
SOFTWARE EN LA NUBE
IAAP
Pgina 8 de 36
SOFTWARE EN LA NUBE
IAAP
Pgina 9 de 36
SOFTWARE EN LA NUBE
IAAP
Se recomienda consultar los siguientes enlaces para conocer mejor la red SARA:
Hacia una estrategia del Cloud Computing en las Administraciones Pblicas
Documento del Ministerio de Hacienda y AAPP
Pgina 10 de 36
SOFTWARE EN LA NUBE
IAAP
e-Asturias 2012
La formacin ha sido uno de los sectores que primero entendi el potencial de las
redes.
Todos
los
empleados
pblicos
asturianos
conocemos
la
oferta
de
el
intercambio
de
conocimiento
(mensajera,
chat,
foro,
wikis,
Pgina 11 de 36
SOFTWARE EN LA NUBE
IAAP
Pgina 12 de 36
SOFTWARE EN LA NUBE
IAAP
Pgina 13 de 36
SOFTWARE EN LA NUBE
IAAP
nuevos
servicios;
todo
ello
facilitando
el
desarrollo
de
la
Estos proyectos han permitido cuestiones tan importantes, por ejemplo, como que
ya no sea necesario presentar fotocopias del DNI en los trmites administrativos.
Pgina 14 de 36
SOFTWARE EN LA NUBE
IAAP
Pgina 15 de 36
SOFTWARE EN LA NUBE
IAAP
En este enlace se puede conocer una aplicacin para dispositivos mviles que
permite incorporar la firma electrnica a los servicios de la administracin
electrnica, o bien eAdmon, que ana movilidad y la interaccin dentro de las
redes sociales.
Pgina 16 de 36
SOFTWARE EN LA NUBE
IAAP
Pgina 17 de 36
SOFTWARE EN LA NUBE
IAAP
los
mecanismos
para
la
identificacin
autenticacin
frente
la
validez
jurdica. El
documento original
es devuelto
Pgina 18 de 36
SOFTWARE EN LA NUBE
IAAP
Simplificacin
de
trmites
al
ciudadano
con
la
Plataforma
de
Pgina 19 de 36
SOFTWARE EN LA NUBE
IAAP
La Unin Europea est promoviendo con fuerza estas lneas de actuacin y en los
prximos meses y aos seguro que vemos numerosos proyectos avanzar en esta
direccin. Ha creado el Partenariado Europeo de Cloud Computing en el que rene a
expertos de la industria y del sector pblico para trabajar en los requisitos de
contratacin comunes para la computacin en la nube.
Ya
comentamos
en este
aspecto,
que
como
empleados
pblicos
estamos
Pgina 20 de 36
SOFTWARE EN LA NUBE
IAAP
Pgina 21 de 36
SOFTWARE EN LA NUBE
IAAP
Surgen otro tipo de dudas sobre los modelos de gestin. La nube puede favorecer
la privatizacin de la administracin pblica. Aqu entramos en temas ideolgicos
que tambin son objeto de gran controversia.
Por ltimo, tambin existe un autntico problema de dimensionamiento. Los
recursos necesarios para abordar un proyecto global de Cloud en la administracin
son enormes y eso lleva a planteamientos parciales que puedan ser realizables. El
hecho de que la administracin tenga una vertiente estatal, otra autonmica y
local, complica an ms las cosas. Tampoco se puede tirar por la borde todo el
esfuerzo realizado hasta el momento y empezar de nuevo.
Interesante
comparacin
entre
una
nube
de
la
Pgina 22 de 36
SOFTWARE EN LA NUBE
IAAP
Amenaza interna: los usuarios del sistema tienen acceso de forma natural
a los datos y esto puede provocar incidentes de seguridad provocados por
una manipulacin inadecuada o por el descontento de los empleados. Esto
es especialmente grave cuando el proveedor es un servicio externo a la
Administracin.
obtenido del documento Riesgos y amenazas del Cloud Computing del Plan
Avanza 2):
1.
Gobernanza
Pgina 23 de 36
SOFTWARE EN LA NUBE
IAAP
Garantizar que los sistemas son seguros y que los riesgos estn gestionados es
un reto en cualquier entorno cloud. Es un requisito de seguridad instalar
adecuadamente los mecanismos y herramientas de auditora para determinar
cmo se almacenan los datos, cmo se protegen y cmo se utilizan tanto para
validar los servicios y como para verificar el cumplimiento de las polticas.
Por otra parte, se ha de prestar especial atencin a los roles y las
responsabilidades involucrados en la gestin de riesgos. Es muy recomendable
poner en marcha un programa de gestin de riesgos que sea suficientemente
flexible para tratar con un entorno de riesgos variables y en continua
evolucin.
2.
Cumplimiento
Pgina 24 de 36
SOFTWARE EN LA NUBE
IAAP
-Investigacin electrnica
La investigacin electrnica se ocupa de la identificacin, la recoleccin, el
procesamiento, el anlisis y la produccin de los documentos en la fase de
descubrimiento de un procedimiento judicial. Las organizaciones tambin
tienen obligaciones para la preservacin y la generacin de los documentos,
tales como cumplir con las auditoras y solicitudes de informacin. Estos
documentos no slo incluyen correos electrnicos, adjuntos del correo y otros
datos almacenados en los sistemas, sino tambin metadatos como fechas de
creacin y modificacin.
Las capacidades de un proveedor cloud y las herramientas de investigacin
disponibles pueden dificultar el cumplimiento de las obligaciones de la
organizacin. Por ejemplo, si los elementos de almacenamiento de un
proveedor no guardan los metadatos originales y suceden daos intencionados
(borrado de datos, prdida, alteracin material o bloqueo de evidencias que
son bsicas para la investigacin) la carencia de estos metadatos tiene un
impacto negativo en la investigacin.
3. Confianza
En cloud computing la organizacin cede el control directo de muchos aspectos
de la seguridad confiriendo un nivel de confianza sin precedentes al proveedor
de cloud.
Acceso desde dentro
Los datos almacenados fuera de los lmites de una organizacin estn
protegidos por cortafuegos y otros controles de seguridad que conllevan en s
mismos un nivel de riesgo inherente. Las amenazas internas son un problema
conocido por la mayora de las organizaciones y aunque su nombre no lo refleje
aplica tambin en los servicios cloud.
Estas amenazas pueden ser provocadas tanto por los antiguos como por los
actuales empleados as como por las empresas asociadas, las asistencias
tcnicas y otros actores que reciben acceso a las redes corporativas y datos
para facilitar las operaciones. Los incidentes pueden ser tanto intencionados
como no intencionados y de muy diversos tipos incluyendo fraude, sabotaje de
los recursos de informacin, robo de informacin confidencial.
Al traspasar los datos a un entorno cloud operado por un proveedor, las
amenazas internas se extienden no slo al personal del proveedor sino tambin
a los consumidores del servicio. Un ejemplo de esto se demostr por una
Actualizacin abril 2016
Pgina 25 de 36
SOFTWARE EN LA NUBE
IAAP
de
terceros
para
su
funcionamiento
deben
considerar
el
Pgina 26 de 36
SOFTWARE EN LA NUBE
IAAP
Los proveedores de cloud suelen ser bastante celosos para dar los detalles de
sus polticas de seguridad y privacidad, ya que dicha informacin podra ser
utilizada para realizar un ataque. Por lo general, los detalles de la red y los
niveles de monitorizacin de los sistemas no forman parte de los acuerdos de
servicio.
La transparencia de la forma en la que los proveedores operan es un asunto
vital para la supervisin de los sistemas de seguridad y privacidad de una
organizacin. Para asegurar que las polticas se cumplen durante el ciclo de
vida de los sistemas, los acuerdos de servicio deben incluir algunas clusulas
para obtener visibilidad de los controles de seguridad y los procesos empleados
por los proveedores. Lo ideal sera que la organizacin tuviese el control sobre
ciertos aspectos tales como la definicin de los lmites que lanzan alertas, los
niveles de detalle de los informes, etc. para que se adecen a las necesidades
de la empresa.
-Gestin de riesgos
Con los servicios basados en cloud muchos componentes de los sistemas de
informacin quedan fuera del control directo de la organizacin suscriptora.
Mucha gente se siente mejor con un riesgo siempre y cuando tengan mayor
control sobre los procesos y los equipos involucrados. La gestin de riesgos es
el proceso de identificar y valorar los riesgos realizando los pasos necesarios
para reducirlos a un nivel asumible. Los sistemas cloud pblicos requieren, al
igual que los sistemas tradicionales, que los riesgos sean gestionados a lo largo
de su ciclo de vida.
Valorar y gestionar riesgos en sistemas que utilizan servicios cloud puede
llegar a ser un desafo. Para llevarlo a la prctica, la organizacin debe
confirmar que los controles de seguridad estn implementados correctamente
y cumplen con los requisitos de seguridad de la empresa. El establecimiento de
un nivel de confianza depende del grado de control que una organizacin est
dispuesta a delegar en el proveedor para que sea ste el que implemente los
controles de seguridad necesarios para la proteccin de los datos y las
aplicaciones de la organizacin, as como las pruebas de la efectividad de
dichos controles.
Si el nivel de confianza baja por debajo de las expectativas y la organizacin no
puede aplicar medidas correctivas, sta debe decidirse entre la aceptacin de
un riesgo mayor o el rechazo del servicio.
Pgina 27 de 36
SOFTWARE EN LA NUBE
IAAP
4. Arquitectura
La arquitectura de una infraestructura cloud comprende tanto hardware como
software. Las mquinas virtuales se utilizan como unidades de distribucin del
software asociadas a dispositivos de almacenamiento. Las aplicaciones son
creadas mediante las interfaces de programacin. Suelen englobar a mltiples
componentes de la infraestructura que se comunican entre s a travs de estas
interfaces. Esta comunicacin global de la infraestructura puede derivar en
fallos de seguridad.
-Superficie de ataque
El hipervisor de las mquinas virtuales se superpone como una capa extra de
software entre el sistema operativo y los recursos hardware y se utiliza para
ejecutar las mquinas virtuales multiusuario. La inclusin de estos hipervisores
supone aadir un punto de ataque extra con respecto a las arquitecturas
tradicionales.
Son ejemplos de posibles incidentes la revelacin de datos sensibles al realizar
la migracin de mquinas virtuales o la ejecucin de cdigo arbitrario en el
equipo anfitrin al explotar vulnerabilidades en productos de virtualizacin.
-Proteccin de la red virtual
La mayora de los productos de virtualizacin soportan la creacin de
conmutadores de red virtuales y configuraciones de red como parte del
entorno. As mismo, soportan la creacin de subredes privadas para la
comunicacin entre las maquinas virtuales alojadas en un mismo servidor. Este
trfico no puede ser monitorizado por los elementos fsicos tpicos de la red
(cortafuegos, sistemas de prevencin de intrusiones, etc.). Por ello, se deben
extremar las precauciones de la seguridad de la red en estas conexiones
internas para evitar ataques desde dentro de estas redes virtuales.
-Datos auxiliares
Lo ms normal es que la seguridad en estos entornos se centre en los datos
que gestiona la aplicacin, pero tambin existen otros datos no considerados
tan crticos cuya alteracin, robo o revelacin puede producir serios incidentes
de seguridad (por ejemplo: bases de datos de clientes, ficheros de pagos,
informacin de usuarios, etc.).
Otro de los problemas puede producirse al no proteger el acceso a los
repositorios de las plantillas de las mquinas virtuales que contienen las
Actualizacin abril 2016
Pgina 28 de 36
SOFTWARE EN LA NUBE
IAAP
configuraciones por defecto de las mismas. Compartir este tipo de datos es una
prctica bastante comn en entornos cloud.
Compartir este tipo de datos puede ofrecer al atacante plataformas para
preparar su ataque comprobando las vulnerabilidades que pueden ser
inherentes a las mismas, aunque tambin puede existir el proceso contrario:
atacantes que intenten reemplazar una imagen por otra con contenido
malicioso instalado.
-Proteccin del cliente
Los navegadores, como parte primordial de los entornos cloud (ya que
tpicamente los accesos se realizan va web), pueden llevar extensiones o
plugins con importantes brechas de seguridad.
Mantener la seguridad lgica y fsica de la parte del cliente puede ser
complicado especialmente para entornos mviles ya que, por su tamao y
portabilidad, pueden perderse o ser sustrados. As mismo, los sistemas de
escritorio no son actualizados de forma sistemtica provocando que las
vulnerabilidades puedan producir brechas de seguridad importantes.
Otro aspecto a tener en cuenta es la posible presencia de troyanos, puertas
traseras o virus que puedan obtener informacin confidencial o monitoriza r a
la vctima.
La solucin podra partir por reforzar la comprobacin de seguridad de los
clientes. Por ejemplo, los bancos empiezan a desarrollar medidas para que los
navegadores de sus clientes aseguren los datos mediante el cifrado de las
comunicaciones y aplicando mecanismos para evitar la intercepcin de las
pulsaciones de teclado.
-Proteccin del servidor
Los servidores en los entornos cloud deben ser protegidos tanto fsica como
lgicamente, de forma que los mismos estn segmentados y separados para
que no se puedan producir accesos desde zonas no autorizadas.
Del mismo modo, en la parte del cliente hay que asegurar el parcheo de los
servidores para que no tengan vulnerabilidades que comprometan la seguridad
del entorno.
Otro aspecto importante en la proteccin de la parte servidora es la
disponibilidad, por lo que ser recomendable disponer de sistemas que gocen
de sta, principalmente en aquellos servidores que alojen partes crticas de la
infraestructura.
Actualizacin abril 2016
Pgina 29 de 36
SOFTWARE EN LA NUBE
IAAP
para
controlar
los
accesos
los
recursos.
Este
estndar
Pgina 30 de 36
SOFTWARE EN LA NUBE
IAAP
complementa
SAMLpara
entornos
de
intercambio
de
autenticacin
Pgina 31 de 36
SOFTWARE EN LA NUBE
IAAP
descubrir
vulnerabilidades
que
se
pueden
explotar.
Estetipo
de
Pgina 32 de 36
SOFTWARE EN LA NUBE
IAAP
Un caso particular son los entornos tpicos de bases de datos de los entornos
cloud que se componen de un nico sistema gestor de bases de datos con una
instancia por mquina virtual. La seguridad y configuracin de estas instancias
recae en la parte suscriptora del servicio. La segregacin de los datos se suele
realizar mediante etiquetas para los datos, lo cual proporciona una falsa
apariencia de uso exclusivo de las instancias.
Por otra parte, los datos deben ser protegidos cuando se encuentran en
descanso, en trnsito. Asimismo, el acceso a los datos debe ser controlado. Los
estndares de comunicaciones y los certificados de clave pblica permiten que
las transferencias de datos se puedan proteger utilizando criptografa. La
seguridad en descanso no es tan sencilla porque los procedimientos no son
claros debido a que la mayora de los sistemas son propietarios, lo cual, a su
vez, dificulta la interoperabilidad entre distintos proveedores con sistemas
diferentes.
La gestin de las claves criptogrficas recae principalmente en el suscriptor del
servicio. La generacin de estas claves se suele realizar utilizando mdulos de
seguridad hardware o HSM (del ingls, Hardware Securit y Module).
La proteccin de datos en uso es un rea emergente de la criptografa con poco
material prctico que ofrecer, dejando que los mecanismos de confianza sean
la mayor salvaguarda.
Saneamiento de datos
Saneamiento
es
la
eliminacin
de
datos
sensibles
de
un
medio
de
se
pueden
recuperar
datos
de
medios
de
almacenamiento
Pgina 33 de 36
SOFTWARE EN LA NUBE
IAAP
-Fallos temporales
A pesar de utilizar infraestructuras orientadas para dar un alto nivel de servicio
y una alta disponibilidad, los servicios cloud pueden experimentar descensos en
el rendimiento o fallos.
Algunos ejemplos de esto son:
Con una fiabilidad del 99,95% se produciran 4,38 horas de cada en un ao,
excluyendo las paradas de mantenimiento, que no se recogen en los acuerdos
de nivel de servicio o SLA (del ingls, Service Level Agreement). Los tiempos
de recuperacin en caso de fallo o prdida de servicio deben estar recogidos
por el proveedor en sus planes de contingencia y continuidad. As mismo,
deben disponer de infraestructuras de respaldo para poder prestar un servicio
mientras se prolonga el periodo de recuperacin. Otra opcin es tener un
acuerdo para que otro proveedor procese los datos mientras se realiza la
restauracin del servicio.
-Fallos prolongados y permanentes
Esta posibilidad puede darse en proveedores que experimentan problemas
serios como la bancarrota o la prdida de sus proveedores.
Algunos ejemplos de esto son:
Pgina 34 de 36
SOFTWARE EN LA NUBE
IAAP
de
la
deteccin.
Se
hace
necesario
entender
negociar
los
Pgina 35 de 36
SOFTWARE EN LA NUBE
IAAP
8.-Conclusiones
Con todo esto, podemos concluir que el avance hacia un modelo de gestin en la
nube es imparable. Ya tenemos camino recorrido, pero an falta mucho por hacer.
Lo deseable es que los futuros desarrollos busquen las vas de la mejora de la
eficacia y el acercamiento al administrado y eviten las decisiones tomadas en
funcin de las modas impuestas por las tendencias tecnolgicas. La Administracin
no debera de perder de vista su funcin de papel vertebrador de la sociedad.
Especulaciones sobre hacia dnde nos puede llevar el uso de las TIC en
la Administracin
IDEAS CLAVE
El Cloud Computing es una realidad en las Administraciones Pblicas. Los gobiernos y
otras instituciones como la Unin Europea llevan tiempo estudiando sus ventajas y la
forma de impulsarlo.
Existen dificultades objetivas desde el punto de vista legal e incluso tico que
generan cierto debate acerca de la implantacin de este nuevo modelo de trabajo.
Parece que ser difcil parar el avance en este terreno y muy probablemente en los
prximos aos, puede incluso que meses, muchos de los empleados pblicos del
Principado de Asturias nos veamos involucrados en algn proyecto dentro de la nube.
Pgina 36 de 36