La función de la seguridad en cloud computing de confianza - RSA
La función de la seguridad en cloud computing de confianza - RSA
La función de la seguridad en cloud computing de confianza - RSA
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
White paper<br />
<strong>La</strong> <strong>función</strong> <strong>de</strong> <strong>la</strong> <strong>seguridad</strong> <strong>en</strong><br />
<strong>cloud</strong> <strong>computing</strong> <strong>de</strong> <strong>confianza</strong>
¿Cuáles son <strong>la</strong>s implicaciones para <strong>la</strong> <strong>seguridad</strong> <strong>de</strong> <strong>cloud</strong> <strong>computing</strong>?<br />
El <strong>en</strong>tusiasmo por <strong>cloud</strong> <strong>computing</strong> está tan<br />
re<strong>la</strong>cionado con el aspecto económico como con <strong>la</strong><br />
tecnología. El aum<strong>en</strong>to <strong>de</strong> <strong>la</strong>s aplicaciones y <strong>de</strong>l<br />
volum<strong>en</strong> <strong>de</strong> datos que <strong>de</strong>b<strong>en</strong> administrarse ha<br />
convertido a los data c<strong>en</strong>ters <strong>en</strong> un elem<strong>en</strong>to<br />
importante <strong>de</strong>l gasto corporativo, sin un final<br />
previsto. <strong>La</strong> <strong>cloud</strong> <strong>computing</strong> pública parece ser una<br />
forma <strong>de</strong> manejar algunos <strong>de</strong> estos costos.<br />
El concepto <strong>de</strong> <strong>cloud</strong> <strong>computing</strong> es s<strong>en</strong>cillo: se<br />
reemp<strong>la</strong>zan los recursos <strong>de</strong> TI que <strong>de</strong>mandan mucho<br />
capital y <strong>de</strong>b<strong>en</strong> administrarse <strong>de</strong> manera interna por<br />
capacidad y servicios <strong>de</strong> TI <strong>de</strong> “pago por uso”<br />
contratados a precios básicos. Estos servicios están<br />
diseñados a partir <strong>de</strong> nuevas tecnologías, como <strong>la</strong><br />
virtualización y <strong>la</strong>s arquitecturas ori<strong>en</strong>tadas al<br />
Cont<strong>en</strong>ido<br />
servicio, y aprovechan Internet a fin <strong>de</strong> reducir el<br />
costo <strong>de</strong> los recursos <strong>de</strong> hardware y software <strong>de</strong> TI<br />
para servicios informáticos, re<strong>de</strong>s y almac<strong>en</strong>ami<strong>en</strong>to.<br />
Al mismo tiempo, <strong>la</strong>s empresas están usando los<br />
mismos conceptos y <strong>la</strong>s mismas tecnologías para<br />
crear nubes privadas, a fin <strong>de</strong> aprovechar los<br />
servicios <strong>de</strong> TI básicos y c<strong>en</strong>tralizados que satisfac<strong>en</strong><br />
sus necesida<strong>de</strong>s <strong>de</strong> <strong>seguridad</strong>.<br />
Hoy <strong>en</strong> día, <strong>la</strong>s implem<strong>en</strong>taciones <strong>de</strong> nubes públicas<br />
y privadas <strong>de</strong>b<strong>en</strong> compr<strong>en</strong><strong>de</strong>r un conjunto a<strong>de</strong>cuado<br />
<strong>de</strong> principios <strong>de</strong> <strong>seguridad</strong> y, por lo tanto, garantizar<br />
a los usuarios y los cli<strong>en</strong>tes un ambi<strong>en</strong>te <strong>de</strong> <strong>cloud</strong><br />
<strong>computing</strong> <strong>de</strong> <strong>confianza</strong>.<br />
I. Descripción g<strong>en</strong>eral página 1<br />
II. Cloud Computing pública: esca<strong>la</strong>bilidad y t<strong>en</strong><strong>en</strong>cia múltiple página 2<br />
III. Los retos <strong>de</strong> <strong>la</strong> nube: <strong>la</strong> <strong>seguridad</strong> es el gran interrogante página 3<br />
Re<strong>la</strong>ciones cambiantes página 3<br />
Estándares página 3<br />
Portabilidad <strong>en</strong>tre nubes públicas página 4<br />
Confi<strong>de</strong>ncialidad y privacidad página 4<br />
Controles <strong>de</strong> acceso viables página 4<br />
Cumplimi<strong>en</strong>to <strong>de</strong> normas página 4<br />
Niveles <strong>de</strong> servicio <strong>de</strong> <strong>seguridad</strong> página 5<br />
IV. Principios para <strong>la</strong> protección <strong>de</strong> <strong>la</strong> nube: <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> i<strong>de</strong>ntidad,<br />
<strong>la</strong> información y <strong>la</strong> infraestructura página 5<br />
Seguridad <strong>de</strong> <strong>la</strong> i<strong>de</strong>ntidad página 5<br />
Seguridad <strong>de</strong> <strong>la</strong> información página 6<br />
Seguridad <strong>de</strong> <strong>la</strong> infraestructura página 7<br />
V. Conclusión página 8
I. Descripción g<strong>en</strong>eral<br />
En esta etapa temprana <strong>de</strong>l <strong>de</strong>sarrollo <strong>de</strong> nubes públicas, <strong>la</strong>s<br />
ofertas son una combinación <strong>de</strong> aplicaciones empresariales<br />
conv<strong>en</strong>cionales y para el consumidor <strong>de</strong> activos que<br />
administran datos re<strong>la</strong>tivam<strong>en</strong>te poco <strong>de</strong>licados, como el correo<br />
electrónico, los servicios <strong>de</strong> m<strong>en</strong>sajería instantánea y los<br />
espacios web compartidos, y aquel<strong>la</strong>s que manejan datos más<br />
<strong>de</strong>licados, como Salesforce.com y Mozy <strong>de</strong> EMC. No obstante, si<br />
<strong>cloud</strong> <strong>computing</strong> pret<strong>en</strong><strong>de</strong> satisfacer <strong>la</strong>s necesida<strong>de</strong>s <strong>de</strong> <strong>la</strong><br />
empresa <strong>en</strong> re<strong>la</strong>ción con <strong>la</strong> confi<strong>de</strong>ncialidad <strong>de</strong> los datos <strong>de</strong>l<br />
Cli<strong>en</strong>te y el cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s directivas legales, <strong>de</strong>berá<br />
proporcionar niveles más altos <strong>de</strong> <strong>seguridad</strong> para brindar<br />
soporte a aplicaciones empresariales más <strong>de</strong>licadas.<br />
<strong>La</strong> <strong>cloud</strong> <strong>computing</strong> pública también incorpora nuevos<br />
interesados <strong>en</strong> <strong>la</strong> ecuación <strong>de</strong> <strong>la</strong> <strong>seguridad</strong> (proveedores <strong>de</strong><br />
servicios <strong>de</strong> otros fabricantes, proveedores y contratistas <strong>de</strong><br />
infraestructuras) y reduce el control que TI ti<strong>en</strong>e sobre cada<br />
una <strong>de</strong> estas áreas.<br />
Ecosistema <strong>de</strong> <strong>seguridad</strong> digital<br />
Responsabilidad <strong>de</strong> <strong>seguridad</strong><br />
Datos<br />
Ca<strong>de</strong>na <strong>de</strong> abastecimi<strong>en</strong>to confiable<br />
Empleados<br />
Crecimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> información Retos <strong>de</strong> TI<br />
Personas Seguridad <strong>de</strong> <strong>la</strong> nube<br />
Empresas<br />
TI<br />
empresarial<br />
Proveedores<br />
Cloud <strong>computing</strong> pública incorpora<br />
nuevos interesados <strong>en</strong> <strong>la</strong> ecuación <strong>de</strong><br />
<strong>seguridad</strong> y reduce el control <strong>de</strong> TI.<br />
Si <strong>cloud</strong> <strong>computing</strong> ti<strong>en</strong>e éxito como una alternativa al data<br />
c<strong>en</strong>ter corporativo, los <strong>de</strong>partam<strong>en</strong>tos <strong>de</strong> TI requerirán<br />
re<strong>la</strong>ciones con proveedores <strong>de</strong> nubes que les permitan<br />
confiar <strong>en</strong> los servicios <strong>de</strong> nube y verificar los ev<strong>en</strong>tos <strong>en</strong> <strong>la</strong><br />
nube. Deberá soportar con eficacia un alto nivel <strong>de</strong><br />
<strong>seguridad</strong>, simi<strong>la</strong>r al <strong>de</strong> los mo<strong>de</strong>los actuales c<strong>en</strong>trados <strong>en</strong><br />
controles, y <strong>de</strong>berá implem<strong>en</strong>tarse <strong>de</strong> modo que permita a<br />
<strong>la</strong>s empresas confiar <strong>en</strong> <strong>la</strong>s partes que se exti<strong>en</strong><strong>de</strong>n <strong>de</strong> sus<br />
propios data c<strong>en</strong>ters hacia una nube pública.<br />
Proveedores<br />
<strong>de</strong> servicios<br />
El universo digital <strong>en</strong> expansión<br />
Data C<strong>en</strong>ters<br />
Nubes públicas<br />
Cli<strong>en</strong>tes<br />
White paper <strong>de</strong> <strong>RSA</strong><br />
Nubes privadas<br />
Cambios <strong>de</strong> paradigma<br />
1
Capacida<strong>de</strong>s es<strong>en</strong>ciales <strong>de</strong> <strong>la</strong> nube<br />
Niveles <strong>de</strong> <strong>seguridad</strong><br />
Mínimo<br />
Seleccionado<br />
Servicios flexibles<br />
II. Cloud Computing pública:<br />
esca<strong>la</strong>bilidad y t<strong>en</strong><strong>en</strong>cia múltiple<br />
<strong>La</strong> <strong>cloud</strong> <strong>computing</strong> pública <strong>de</strong>scribe una arquitectura<br />
informática que amplía el <strong>en</strong>foque ori<strong>en</strong>tado al servicio<br />
(ejemplificado <strong>en</strong> conceptos, como “utility <strong>computing</strong>”,<br />
“arquitecturas ori<strong>en</strong>tadas al servicio” y “software como un<br />
servicio”) <strong>en</strong> un mo<strong>de</strong>lo <strong>de</strong> mercado. Los proveedores<br />
ofrec<strong>en</strong> servicios que “se ejecutan <strong>en</strong> <strong>la</strong> nube”, dado que es<br />
posible acce<strong>de</strong>r a ellos por medio <strong>de</strong>l Protocolo <strong>de</strong> Internet y<br />
ti<strong>en</strong><strong>en</strong> una ubicación in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>te, lo que significa que los<br />
usuarios no necesitan conocer el lugar <strong>en</strong> el que se<br />
<strong>en</strong>cu<strong>en</strong>tran los recursos <strong>de</strong> TI subyac<strong>en</strong>tes.<br />
Los servicios <strong>de</strong> nube ti<strong>en</strong><strong>en</strong> dos sellos distintivos: son<br />
esca<strong>la</strong>bles (los recursos requeridos <strong>de</strong> almac<strong>en</strong>ami<strong>en</strong>to y<br />
pot<strong>en</strong>cia informática pue<strong>de</strong>n aum<strong>en</strong>tarse o disminuirse <strong>en</strong><br />
<strong>función</strong> <strong>de</strong> <strong>la</strong>s necesida<strong>de</strong>s <strong>de</strong> los cli<strong>en</strong>tes) y son <strong>de</strong> t<strong>en</strong><strong>en</strong>cia<br />
múltiple (proporcionan almac<strong>en</strong>ami<strong>en</strong>to simultáneo y seguro<br />
<strong>de</strong> servicios para diversos cli<strong>en</strong>tes utilizando los mismos<br />
recursos <strong>de</strong> <strong>la</strong> infraestructura <strong>de</strong> nube). <strong>La</strong> <strong>cloud</strong> <strong>computing</strong><br />
actual compr<strong>en</strong><strong>de</strong> tres tipos <strong>de</strong> servicios:<br />
– Software como un servicio (SaaS). Una aplicación se<br />
almac<strong>en</strong>a como un servicio proporcionado a los cli<strong>en</strong>tes.<br />
Entre los ejemplos, se incluy<strong>en</strong> <strong>la</strong> aplicación web CRM,<br />
<strong>de</strong> Salesforce.com, y Gmail y Google Docs, <strong>de</strong> Google.<br />
– P<strong>la</strong>taforma como un servicio (PaaS). <strong>La</strong> combinación <strong>de</strong><br />
servicios <strong>de</strong> software e infraestructura con herrami<strong>en</strong>tas <strong>de</strong><br />
<strong>de</strong>sarrollo <strong>de</strong> aplicaciones, <strong>de</strong> modo que <strong>la</strong>s aplicaciones<br />
y los servicios web puedan crearse y almac<strong>en</strong>arse. Entre<br />
los ejemplos, se incluy<strong>en</strong> Google AppEngine y AppExchange,<br />
<strong>de</strong> Salesforce.com.<br />
2 White paper <strong>de</strong> <strong>RSA</strong><br />
Máximo<br />
SAAS<br />
PAAS<br />
IAAS<br />
– Infraestructura como un servicio (IaaS). <strong>La</strong>s<br />
funcionalida<strong>de</strong>s g<strong>en</strong>eralm<strong>en</strong>te proporcionadas<br />
Esca<strong>la</strong>bilidad<br />
<strong>de</strong> manera local, mediante un equipo <strong>de</strong><br />
escritorio o un data c<strong>en</strong>ter, se ofrec<strong>en</strong><br />
como recursos remotos, <strong>de</strong> modo que<br />
T<strong>en</strong><strong>en</strong>cia múltiple<br />
un Cli<strong>en</strong>te pueda <strong>de</strong>finir y administrar<br />
tareas informáticas o <strong>de</strong> almac<strong>en</strong>ami<strong>en</strong>to.<br />
Entre los ejemplos, se incluy<strong>en</strong> los<br />
servicios <strong>de</strong> almac<strong>en</strong>ami<strong>en</strong>to basados<br />
<strong>en</strong> políticas Atmos, <strong>de</strong> EMC, y E<strong>la</strong>stic<br />
Compute Cloud (“EC2”), <strong>de</strong> Amazon,<br />
para servicios informáticos.<br />
No obstante, antes <strong>de</strong> que <strong>cloud</strong><br />
<strong>computing</strong> pueda estar a <strong>la</strong> altura <strong>de</strong> lo<br />
que promete a <strong>la</strong>s empresas, necesita más<br />
refinami<strong>en</strong>to, especialm<strong>en</strong>te, <strong>en</strong> el área <strong>de</strong><br />
<strong>seguridad</strong>. Hasta <strong>la</strong> fecha, <strong>la</strong> mayoría <strong>de</strong> <strong>la</strong>s<br />
aplicaciones ori<strong>en</strong>tadas a <strong>la</strong>s nubes públicas han<br />
sido aplicaciones c<strong>en</strong>tradas <strong>en</strong> el consumidor<br />
creadas <strong>en</strong> <strong>función</strong> <strong>de</strong>l almac<strong>en</strong>ami<strong>en</strong>to <strong>de</strong> datos básicos<br />
y el procesami<strong>en</strong>to <strong>de</strong> transacciones. En esta etapa inicial,<br />
<strong>la</strong>s aplicaciones y los datos que se procesan <strong>en</strong> <strong>la</strong>s nubes<br />
no son predominantem<strong>en</strong>te <strong>de</strong>licados, y los servicios <strong>de</strong><br />
nubes ofrec<strong>en</strong> <strong>seguridad</strong> mínima o con disponibilidad<br />
g<strong>en</strong>eral. <strong>La</strong>s ofertas <strong>de</strong> nubes <strong>en</strong> sí son is<strong>la</strong>s informáticas<br />
pat<strong>en</strong>tadas, con pocos estándares y posibilida<strong>de</strong>s<br />
limitadas <strong>de</strong> interoperabilidad.<br />
<strong>La</strong>s t<strong>en</strong><strong>de</strong>ncias <strong>en</strong> el crecimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> información<br />
simplem<strong>en</strong>te aum<strong>en</strong>tarán <strong>la</strong> urg<strong>en</strong>cia <strong>de</strong>l problema para<br />
<strong>la</strong>s empresas. En el estudio “The Expanding Digital<br />
Universe” (El universo digital <strong>en</strong> expansión), <strong>de</strong> IDC, “se<br />
analiza el explosivo crecimi<strong>en</strong>to <strong>en</strong> el volum<strong>en</strong> <strong>de</strong><br />
información <strong>de</strong>licada que se crea; <strong>la</strong> proporción <strong>en</strong> <strong>la</strong> que<br />
se crean y se almac<strong>en</strong>an los datos crecerá seis veces para<br />
el año 2010”. El estudio <strong>de</strong>staca que, si bi<strong>en</strong> <strong>la</strong>s personas<br />
crearán información mayorm<strong>en</strong>te digital, <strong>la</strong>s corporaciones<br />
serán responsables <strong>de</strong> <strong>la</strong> <strong>seguridad</strong>, <strong>la</strong> privacidad, <strong>la</strong><br />
confiabilidad y el cumplimi<strong>en</strong>to <strong>de</strong> normas <strong>de</strong>, al m<strong>en</strong>os, el<br />
85% <strong>de</strong>l universo digital <strong>en</strong> rápida expansión.<br />
Resulta c<strong>la</strong>ro que <strong>la</strong> <strong>cloud</strong> <strong>computing</strong> pública <strong>de</strong>be ser más<br />
segura para que <strong>la</strong>s empresas <strong>la</strong> acept<strong>en</strong> más. Con este<br />
avance, <strong>la</strong> <strong>confianza</strong> y <strong>la</strong> verificación serán nuevam<strong>en</strong>te los<br />
activadores c<strong>la</strong>ve <strong>de</strong> <strong>la</strong> <strong>seguridad</strong>. <strong>La</strong>s empresas<br />
necesitarán garantizar <strong>la</strong> confi<strong>de</strong>ncialidad, <strong>la</strong> integridad y<br />
<strong>la</strong> disponibilidad <strong>de</strong> los datos cuando terceros <strong>en</strong> <strong>la</strong><br />
ca<strong>de</strong>na <strong>de</strong> servicios <strong>de</strong> nube los transmitan, los<br />
almac<strong>en</strong><strong>en</strong> o los proces<strong>en</strong>.
Antes <strong>de</strong> que <strong>la</strong>s empresas<br />
puedan usar nubes <strong>de</strong> manera más<br />
innovadora, se <strong>de</strong>b<strong>en</strong> mejorar <strong>la</strong>s<br />
tecnologías <strong>de</strong> <strong>seguridad</strong>, los<br />
estándares y <strong>la</strong> interoperabilidad.<br />
III. Los retos <strong>de</strong> <strong>la</strong> nube:<br />
<strong>la</strong> <strong>seguridad</strong> es el gran interrogante<br />
Aprovechar <strong>cloud</strong> <strong>computing</strong> significa importantes cambios para<br />
<strong>la</strong>s organizaciones <strong>de</strong> TI <strong>de</strong> <strong>la</strong> empresa. El más gran<strong>de</strong> será <strong>la</strong><br />
disminución <strong>de</strong>l control aun cuando se les asigne <strong>la</strong> tarea <strong>de</strong><br />
asumir una mayor responsabilidad por <strong>la</strong> confi<strong>de</strong>ncialidad y el<br />
cumplimi<strong>en</strong>to <strong>de</strong> normas <strong>de</strong> <strong>la</strong>s prácticas informáticas <strong>en</strong> <strong>la</strong><br />
empresa. Esto hace que <strong>la</strong> <strong>seguridad</strong> sea un problema<br />
importante, dado que los <strong>de</strong>partam<strong>en</strong>tos <strong>de</strong> TI supervisan los<br />
servicios <strong>de</strong> nube y a los proveedores.<br />
Re<strong>la</strong>ciones cambiantes<br />
Un problema c<strong>la</strong>ve para <strong>cloud</strong> <strong>computing</strong> es que los aspectos <strong>de</strong><br />
<strong>la</strong> <strong>seguridad</strong> <strong>de</strong> infraestructura tradicional van más allá <strong>de</strong>l<br />
control <strong>de</strong> una organización y se <strong>de</strong>sp<strong>la</strong>zan a <strong>la</strong> nube. Esto dará<br />
lugar a cambios fundam<strong>en</strong>tales <strong>en</strong> <strong>la</strong> cantidad y <strong>en</strong> <strong>la</strong>s funciones<br />
<strong>de</strong> los interesados <strong>en</strong> <strong>la</strong> <strong>seguridad</strong>, ya que <strong>la</strong>s empresas <strong>en</strong>tregan<br />
el control <strong>de</strong> <strong>la</strong> infraestructura y <strong>de</strong> los procesos <strong>de</strong> <strong>seguridad</strong> a<br />
contratistas externos. <strong>La</strong>s re<strong>la</strong>ciones <strong>de</strong> <strong>confianza</strong> <strong>en</strong>tre los<br />
diversos interesados <strong>en</strong> <strong>la</strong> nube (usuarios, corporaciones, re<strong>de</strong>s,<br />
Retos <strong>de</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> nube<br />
R<strong>en</strong>dimi<strong>en</strong>to<br />
Diseño, capacidad<br />
<strong>de</strong> implem<strong>en</strong>tación<br />
SLA <strong>de</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> nube<br />
proveedores <strong>de</strong> servicios, etc.) <strong>de</strong>b<strong>en</strong> consi<strong>de</strong>rarse at<strong>en</strong>tam<strong>en</strong>te<br />
a medida que <strong>la</strong> <strong>cloud</strong> <strong>computing</strong> pública evoluciona para<br />
administrar datos empresariales <strong>de</strong>licados.<br />
Los data c<strong>en</strong>ters conv<strong>en</strong>cionales cu<strong>en</strong>tan con <strong>seguridad</strong><br />
basada <strong>en</strong> estructuras simi<strong>la</strong>res a fortalezas que proteg<strong>en</strong> los<br />
datos <strong>de</strong>ntro <strong>de</strong> infraestructuras físicas <strong>de</strong> hardware y <strong>de</strong><br />
software seguras: su <strong>seguridad</strong> <strong>de</strong>p<strong>en</strong><strong>de</strong> principalm<strong>en</strong>te <strong>de</strong>l<br />
control <strong>de</strong>l acceso <strong>de</strong> los usuarios y <strong>la</strong>s personas <strong>en</strong>cargadas<br />
<strong>de</strong>l mant<strong>en</strong>imi<strong>en</strong>to <strong>de</strong> datos e infraestructura. En <strong>cloud</strong><br />
<strong>computing</strong>, aún existe un data c<strong>en</strong>ter <strong>en</strong> algún lugar, pero<br />
¿quién lo contro<strong>la</strong>? Cloud <strong>computing</strong> disipa muchos <strong>de</strong> los<br />
límites <strong>de</strong> <strong>seguridad</strong> corporativa tradicionales y sustituye <strong>la</strong>s<br />
ca<strong>de</strong>nas <strong>de</strong> custodia transitorias <strong>de</strong> los datos, lo que conlleva<br />
importantes implicancias para <strong>la</strong> <strong>seguridad</strong> y <strong>la</strong> <strong>confianza</strong> <strong>de</strong><br />
los datos y <strong>la</strong>s aplicaciones empresariales confi<strong>de</strong>nciales.<br />
El uso compartido <strong>de</strong>l control p<strong>la</strong>ntea muchas preguntas sobre<br />
<strong>la</strong> responsabilidad. ¿Cómo sabrá qué empleados <strong>de</strong> su<br />
proveedor <strong>de</strong> nube ti<strong>en</strong><strong>en</strong> acceso a <strong>la</strong> información y <strong>la</strong>s<br />
aplicaciones? Ese acceso <strong>de</strong>be ser <strong>de</strong>tal<strong>la</strong>do, <strong>de</strong> modo que<br />
solo pocas personas seleccionadas que puedan contro<strong>la</strong>rse<br />
t<strong>en</strong>gan acceso amplio.<br />
Estándares<br />
Antes <strong>de</strong> que los datos <strong>de</strong>licados y reg<strong>la</strong>m<strong>en</strong>tados se tras<strong>la</strong><strong>de</strong>n a<br />
<strong>la</strong> nube pública, se <strong>de</strong>b<strong>en</strong> <strong>en</strong>fr<strong>en</strong>tar los problemas <strong>de</strong> estándares<br />
<strong>de</strong> <strong>seguridad</strong> y compatibilidad, <strong>en</strong>tre ellos, <strong>la</strong> aut<strong>en</strong>ticación<br />
sólida, <strong>la</strong> autorización <strong>de</strong>legada, <strong>la</strong> administración <strong>de</strong> c<strong>la</strong>ves<br />
para datos <strong>en</strong>criptados, <strong>la</strong> protección contra <strong>la</strong> pérdida <strong>de</strong> datos<br />
y <strong>la</strong> creación <strong>de</strong> informes reg<strong>la</strong>m<strong>en</strong>tarios. ¿Cómo se cumplirán<br />
estos requerimi<strong>en</strong>tos <strong>en</strong> <strong>la</strong>s infraestructuras <strong>de</strong> nube<br />
individuales y <strong>en</strong> varias nubes seleccionadas por el consumidor<br />
como mejores prácticas? Los proveedores <strong>de</strong> servicios <strong>de</strong> nube<br />
actuales pue<strong>de</strong>n convertirse <strong>en</strong> mo<strong>de</strong>los <strong>de</strong> facto <strong>en</strong> <strong>función</strong> <strong>de</strong><br />
los cuales pue<strong>de</strong>n emerger <strong>la</strong> <strong>seguridad</strong> y <strong>la</strong> fe<strong>de</strong>ración <strong>de</strong> los<br />
controles <strong>de</strong> autorización. O bi<strong>en</strong>, es posible que, <strong>de</strong>l trabajo<br />
actualm<strong>en</strong>te realizado por diversos organismos, surjan <strong>la</strong>s<br />
respuestas a preguntas, como qué estándares actuales se<br />
pue<strong>de</strong>n aplicar a <strong>cloud</strong> <strong>computing</strong>, qué brechas exist<strong>en</strong> y qué<br />
estándares nuevos <strong>de</strong>b<strong>en</strong> <strong>de</strong>sarrol<strong>la</strong>rse.<br />
Administración <strong>de</strong> riesgos<br />
Bu<strong>en</strong> manejo y control<br />
White paper <strong>de</strong> <strong>RSA</strong><br />
3
Portabilidad <strong>en</strong>tre nubes públicas<br />
Si bi<strong>en</strong> <strong>cloud</strong> <strong>computing</strong> promete una arquitectura abierta y<br />
<strong>de</strong> fácil integración, <strong>la</strong>s ofertas tempranas <strong>de</strong> nubes ti<strong>en</strong><strong>en</strong><br />
t<strong>en</strong><strong>de</strong>ncia a crear “silos” <strong>de</strong> <strong>seguridad</strong>: los usuarios<br />
necesitan una cu<strong>en</strong>ta <strong>de</strong> Amazon para usar el servicio EC2 <strong>de</strong><br />
Amazon y una cu<strong>en</strong>ta <strong>de</strong> Google para acce<strong>de</strong>r a <strong>la</strong>s<br />
aplicaciones <strong>de</strong> AppEngine. <strong>La</strong>s empresas requerirán<br />
portabilidad <strong>de</strong> información y <strong>de</strong> i<strong>de</strong>ntida<strong>de</strong>s <strong>en</strong>tre <strong>la</strong>s<br />
difer<strong>en</strong>tes nubes, <strong>de</strong> modo que puedan combinar y ajustar<br />
sus servicios <strong>en</strong> un ambi<strong>en</strong>te abierto basado <strong>en</strong> estándares<br />
que permita <strong>la</strong> interoperabilidad.<br />
<strong>La</strong> portabilidad se convertirá <strong>en</strong> un problema importante a<br />
medida que <strong>la</strong>s infraestructuras <strong>de</strong> múltiples nubes ofrezcan<br />
servicios más complejos. Por ejemplo, imagine que <strong>de</strong>sea<br />
alqui<strong>la</strong>r un gran volum<strong>en</strong> <strong>de</strong> pot<strong>en</strong>cia <strong>de</strong> CPU <strong>de</strong> Amazon<br />
durante algunos días para realizar un análisis profundo <strong>de</strong><br />
los datos <strong>de</strong> sus cli<strong>en</strong>tes utilizando una herrami<strong>en</strong>ta<br />
analítica personalizada, pero los datos están <strong>en</strong><br />
Salesforce.com. <strong>La</strong>s nubes <strong>de</strong>berán comunicarse <strong>en</strong>tre sí <strong>de</strong><br />
manera segura.<br />
Confi<strong>de</strong>ncialidad y privacidad<br />
<strong>La</strong>s unida<strong>de</strong>s <strong>de</strong> negocios ya están asignando tareas a los<br />
<strong>de</strong>partam<strong>en</strong>tos <strong>de</strong> TI que implican <strong>la</strong> protección <strong>de</strong> los datos<br />
<strong>en</strong> <strong>la</strong>s nubes privadas y públicas, con <strong>la</strong> expectativa <strong>de</strong> que<br />
<strong>la</strong> información <strong>de</strong>licada pierda su estado <strong>de</strong>licado o se<br />
implem<strong>en</strong>te con autorización <strong>de</strong> acceso verificable para<br />
proteger su privacidad y su confi<strong>de</strong>ncialidad. <strong>La</strong>s<br />
organizaciones <strong>de</strong> TI históricam<strong>en</strong>te no han <strong>de</strong>sarrol<strong>la</strong>do <strong>la</strong><br />
capacidad para i<strong>de</strong>ntificar y c<strong>la</strong>sificar <strong>de</strong> con eficacia<br />
usuarios y datos <strong>de</strong>licados. Sin esta capacidad, <strong>en</strong>fr<strong>en</strong>tarán<br />
dificulta<strong>de</strong>s para ext<strong>en</strong><strong>de</strong>r <strong>la</strong>s funcionalida<strong>de</strong>s <strong>de</strong> <strong>seguridad</strong><br />
a los ambi<strong>en</strong>tes <strong>de</strong> nubes.<br />
¿De qué manera su proveedor <strong>de</strong> nubes garantizará <strong>la</strong><br />
confi<strong>de</strong>ncialidad y <strong>la</strong> privacidad? Reci<strong>en</strong>tem<strong>en</strong>te, un<br />
proveedor <strong>de</strong> telefonía celu<strong>la</strong>r se sintió avergonzado, por<br />
ejemplo, cuando sus empleados vieron los registros<br />
telefónicos antiguos <strong>de</strong> Barack Obama. ¿Cómo se pue<strong>de</strong>n<br />
evitar estos inci<strong>de</strong>ntes? ¿De qué manera se protegerá contra<br />
am<strong>en</strong>azas internas, como un empleado <strong>de</strong>l proveedor <strong>de</strong><br />
nubes que extrae información empresarial <strong>de</strong>licada? Los<br />
proveedores <strong>de</strong> nubes <strong>de</strong>berán <strong>en</strong>fr<strong>en</strong>tar esta<br />
responsabilidad fundam<strong>en</strong>tal.<br />
4 White paper <strong>de</strong> <strong>RSA</strong><br />
Controles <strong>de</strong> acceso viables<br />
Los requerimi<strong>en</strong>tos <strong>de</strong>l bu<strong>en</strong> manejo y control <strong>de</strong> <strong>la</strong><br />
información <strong>de</strong>berán equilibrarse con el <strong>de</strong>seo <strong>de</strong> los<br />
usuarios <strong>de</strong> contar con un control <strong>de</strong> acceso efici<strong>en</strong>te y<br />
sólido al mismo tiempo. Los usuarios y <strong>la</strong>s corporaciones<br />
esperarán que el acceso sea transpar<strong>en</strong>te y conv<strong>en</strong>i<strong>en</strong>te. En<br />
el caso <strong>de</strong> muchas nubes, como <strong>la</strong>s que ofrec<strong>en</strong> servicios<br />
popu<strong>la</strong>res al público g<strong>en</strong>eral, es posible que los usuarios no<br />
toler<strong>en</strong> un <strong>en</strong>foque basado <strong>en</strong> tok<strong>en</strong>.<br />
Otro punto débil importante es <strong>la</strong> car<strong>en</strong>cia <strong>de</strong> autorización<br />
<strong>de</strong>legada. Mi<strong>en</strong>tras algunos servicios <strong>de</strong> nube ofrec<strong>en</strong> una<br />
aut<strong>en</strong>ticación <strong>de</strong>legada sólida (por ejemplo, Salesforce.com)<br />
que permite el control <strong>de</strong> acceso basado <strong>en</strong> <strong>la</strong> i<strong>de</strong>ntidad <strong>de</strong>l<br />
usuario, pocos (si es que hay alguno), ofrec<strong>en</strong> autorización<br />
<strong>de</strong>legada para permitir el control <strong>de</strong> acceso basado <strong>en</strong> el<br />
cont<strong>en</strong>ido <strong>de</strong> <strong>la</strong> información <strong>en</strong> sí. Esta capacidad se está<br />
convirti<strong>en</strong>do <strong>en</strong> un factor cada vez más importante <strong>de</strong>bido a<br />
<strong>la</strong> incorporación <strong>de</strong> Web 2.0, don<strong>de</strong> los privilegios<br />
<strong>de</strong>tal<strong>la</strong>dos para <strong>la</strong> administración y el control <strong>de</strong><br />
autorizaciones serán sumam<strong>en</strong>te es<strong>en</strong>ciales.<br />
Cumplimi<strong>en</strong>to <strong>de</strong> normas<br />
Muchas unida<strong>de</strong>s <strong>de</strong> negocios están optando por el uso <strong>de</strong><br />
servicios <strong>de</strong> nube <strong>en</strong> <strong>función</strong> <strong>de</strong>l aspecto económico<br />
atractivo y omit<strong>en</strong> los <strong>de</strong>partam<strong>en</strong>tos <strong>de</strong> TI para almac<strong>en</strong>ar<br />
<strong>la</strong>s aplicaciones y los datos <strong>en</strong> <strong>la</strong> nube directam<strong>en</strong>te. Esto<br />
crea varios problemas para <strong>la</strong>s organizaciones <strong>de</strong> TI con un<br />
m<strong>en</strong>or control interno y externo. <strong>La</strong>s activida<strong>de</strong>s <strong>de</strong> <strong>la</strong>s<br />
unida<strong>de</strong>s <strong>de</strong> negocios multiplican los retos <strong>de</strong> cumplimi<strong>en</strong>to<br />
<strong>de</strong> normas <strong>de</strong>l <strong>de</strong>partam<strong>en</strong>to <strong>de</strong> TI incluso cuando los<br />
<strong>de</strong>partam<strong>en</strong>tos legales y <strong>de</strong> cumplimi<strong>en</strong>to <strong>de</strong> normas prevén<br />
que los <strong>de</strong>partam<strong>en</strong>tos <strong>de</strong> TI podrán informar y <strong>de</strong>mostrar el<br />
control sobre <strong>la</strong> información <strong>de</strong>licada. A<strong>de</strong>más, cada Cli<strong>en</strong>te<br />
empresarial <strong>de</strong>be evaluar at<strong>en</strong>tam<strong>en</strong>te el cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong><br />
norma SAS-70 <strong>de</strong> un proveedor <strong>de</strong> nubes para comprobar si<br />
<strong>la</strong> certificación cumple con <strong>la</strong> política <strong>de</strong> cumplimi<strong>en</strong>to <strong>de</strong><br />
normas establecida por su propia empresa.
<strong>La</strong> creación <strong>de</strong> informes será un requerimi<strong>en</strong>to c<strong>la</strong>ve para<br />
cualquier ambi<strong>en</strong>te <strong>de</strong> nube <strong>en</strong> el que haya información <strong>de</strong><br />
i<strong>de</strong>ntificación personal (PII) y otros datos <strong>de</strong>licados o<br />
reg<strong>la</strong>m<strong>en</strong>tados. ¿Quién será responsable <strong>de</strong> garantizar el<br />
cumplimi<strong>en</strong>to <strong>de</strong> normas? ¿Usted o su proveedor <strong>de</strong> nubes?<br />
¿T<strong>en</strong>drá acceso a los datos <strong>de</strong> log <strong>de</strong>l ambi<strong>en</strong>te <strong>de</strong> nube<br />
<strong>en</strong> el que se <strong>en</strong>cu<strong>en</strong>tra <strong>la</strong> información <strong>de</strong> su empresa<br />
para po<strong>de</strong>r corre<strong>la</strong>cionarlos con ev<strong>en</strong>tos <strong>en</strong> otros<br />
sistemas? ¿Qué suce<strong>de</strong> si algui<strong>en</strong> roba datos <strong>de</strong> su<br />
sistema basado <strong>en</strong> nubes <strong>en</strong> un int<strong>en</strong>to <strong>de</strong> forzar<br />
el acceso a los sistemas <strong>de</strong>l data c<strong>en</strong>ter<br />
administrado internam<strong>en</strong>te <strong>de</strong> su empresa?<br />
¿Cómo se corre<strong>la</strong>cionan esos ev<strong>en</strong>tos? ¿Quién es<br />
responsable si se vio<strong>la</strong> alguna PII? ¿Sabrá cuál es <strong>la</strong><br />
ubicación física <strong>de</strong> su información? Estas preguntas<br />
pue<strong>de</strong>n crear un problema re<strong>la</strong>cionado con el<br />
cumplimi<strong>en</strong>to <strong>de</strong> reg<strong>la</strong>m<strong>en</strong>taciones internacionales.<br />
Niveles <strong>de</strong> servicio <strong>de</strong> <strong>seguridad</strong><br />
Dado que todos los tipos <strong>de</strong> datos terminarán <strong>en</strong> <strong>la</strong>s nubes,<br />
<strong>de</strong>s<strong>de</strong> los datos <strong>de</strong> mayor valor a los datos masivos y no<br />
<strong>de</strong>licados, habrá una necesidad cada vez mayor <strong>de</strong> contar<br />
con distintos niveles <strong>de</strong> servicio <strong>de</strong> <strong>seguridad</strong> que se<br />
correspondan con <strong>la</strong> confi<strong>de</strong>ncialidad <strong>de</strong> difer<strong>en</strong>tes tipos <strong>de</strong><br />
datos. El reto real será el mapeo <strong>de</strong> niveles <strong>de</strong> <strong>seguridad</strong> a<br />
procesos <strong>de</strong> información o <strong>de</strong> negocios, <strong>de</strong> modo que<br />
puedan transferirse a <strong>la</strong> nube al m<strong>en</strong>or costo posible, pero al<br />
nivel <strong>de</strong> <strong>seguridad</strong> más alto necesario.<br />
Se requerirán distintos<br />
niveles <strong>de</strong> servicio <strong>de</strong><br />
<strong>seguridad</strong> para que se<br />
ajust<strong>en</strong> a <strong>la</strong> confi<strong>de</strong>ncialidad<br />
<strong>de</strong> difer<strong>en</strong>tes tipos <strong>de</strong> datos.<br />
Elem<strong>en</strong>tos principales para proteger <strong>la</strong> nube<br />
Seguridad <strong>de</strong> <strong>la</strong> nube<br />
I<strong>de</strong>ntida<strong>de</strong>s Infraestructura<br />
Información<br />
IV. Principios para <strong>la</strong> protección <strong>de</strong> <strong>la</strong> nube:<br />
<strong>seguridad</strong> <strong>de</strong> <strong>la</strong> i<strong>de</strong>ntidad, <strong>la</strong> información<br />
y <strong>la</strong> infraestructura<br />
<strong>La</strong> <strong>cloud</strong> <strong>computing</strong> pública requiere un mo<strong>de</strong>lo <strong>de</strong><br />
<strong>seguridad</strong> que reconcilie <strong>la</strong> esca<strong>la</strong>bilidad y <strong>la</strong> t<strong>en</strong><strong>en</strong>cia<br />
múltiple con <strong>la</strong> necesidad <strong>de</strong> <strong>confianza</strong>. A medida que <strong>la</strong>s<br />
empresas tras<strong>la</strong>dan sus ambi<strong>en</strong>tes informáticos con <strong>la</strong>s<br />
i<strong>de</strong>ntida<strong>de</strong>s, <strong>la</strong> información y <strong>la</strong> infraestructura a <strong>la</strong> nube,<br />
<strong>de</strong>b<strong>en</strong> estar dispuestas a r<strong>en</strong>unciar a cierto nivel <strong>de</strong> control.<br />
Para hacerlo, <strong>de</strong>b<strong>en</strong> confiar <strong>en</strong> los sistemas y los<br />
proveedores <strong>de</strong> nubes, y verificar los procesos y los ev<strong>en</strong>tos<br />
<strong>de</strong> nubes. Entre los compon<strong>en</strong>tes básicos importantes <strong>de</strong> <strong>la</strong><br />
<strong>confianza</strong> y <strong>de</strong> <strong>la</strong>s re<strong>la</strong>ciones <strong>de</strong> verificación, se incluy<strong>en</strong> el<br />
control <strong>de</strong> acceso, <strong>la</strong> <strong>seguridad</strong> <strong>de</strong> los datos, el<br />
cumplimi<strong>en</strong>to <strong>de</strong> normas y <strong>la</strong> administración <strong>de</strong> ev<strong>en</strong>tos;<br />
todos ellos son elem<strong>en</strong>tos <strong>de</strong> <strong>seguridad</strong> bi<strong>en</strong> compr<strong>en</strong>didos<br />
por los <strong>de</strong>partam<strong>en</strong>tos <strong>de</strong> TI actuales, implem<strong>en</strong>tados con<br />
productos y tecnologías exist<strong>en</strong>tes, y ext<strong>en</strong>sibles a <strong>la</strong> nube.<br />
Seguridad <strong>de</strong> <strong>la</strong> i<strong>de</strong>ntidad<br />
<strong>La</strong> administración <strong>de</strong> i<strong>de</strong>ntida<strong>de</strong>s <strong>en</strong>d-to-<strong>en</strong>d, los servicios<br />
<strong>de</strong> aut<strong>en</strong>ticación <strong>de</strong> otros fabricantes y <strong>la</strong> i<strong>de</strong>ntidad fe<strong>de</strong>rada<br />
se convertirán <strong>en</strong> un elem<strong>en</strong>to c<strong>la</strong>ve <strong>de</strong> <strong>la</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong><br />
nube. <strong>La</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> i<strong>de</strong>ntidad preserva <strong>la</strong> integridad y <strong>la</strong><br />
confi<strong>de</strong>ncialidad <strong>de</strong> los datos y <strong>la</strong>s aplicaciones, a <strong>la</strong> vez que<br />
ofrece acceso <strong>de</strong> disponibilidad inmediata a los usuarios<br />
a<strong>de</strong>cuados. El soporte para estas capacida<strong>de</strong>s <strong>de</strong><br />
administración <strong>de</strong> i<strong>de</strong>ntida<strong>de</strong>s <strong>de</strong> usuarios y compon<strong>en</strong>tes<br />
White paper <strong>de</strong> <strong>RSA</strong><br />
5
<strong>de</strong> <strong>la</strong> infraestructura será un requerimi<strong>en</strong>to importante para<br />
<strong>cloud</strong> <strong>computing</strong>, y <strong>la</strong> i<strong>de</strong>ntidad <strong>de</strong>berá administrarse <strong>de</strong><br />
manera que cree <strong>confianza</strong>. Se requerirá.<br />
– Aut<strong>en</strong>ticación sólida: <strong>cloud</strong> <strong>computing</strong> <strong>de</strong>be ir más<br />
allá <strong>de</strong> <strong>la</strong> aut<strong>en</strong>ticación débil <strong>de</strong> nombres <strong>de</strong> usuario y<br />
contraseñas si pret<strong>en</strong><strong>de</strong> brindar soporte a <strong>la</strong> empresa.<br />
Esto significa adoptar técnicas y tecnologías que ya<br />
son estándar <strong>en</strong> el área <strong>de</strong> TI empresarial, como <strong>la</strong><br />
aut<strong>en</strong>ticación sólida (aut<strong>en</strong>ticación <strong>de</strong> múltiples<br />
factores con tecnología <strong>de</strong> contraseña <strong>de</strong> un solo uso),<br />
<strong>la</strong> fe<strong>de</strong>ración <strong>de</strong>ntro <strong>de</strong> <strong>la</strong>s empresas y <strong>en</strong>tre estas, y <strong>la</strong><br />
aut<strong>en</strong>ticación basada <strong>en</strong> riesgos que mi<strong>de</strong> el historial <strong>de</strong><br />
comportami<strong>en</strong>to, el contexto actual y otros factores que<br />
permit<strong>en</strong> evaluar el nivel <strong>de</strong> riesgo <strong>de</strong> <strong>la</strong> solicitud <strong>de</strong> un<br />
usuario. Niveles adicionales <strong>de</strong> aut<strong>en</strong>ticación serán<br />
fundam<strong>en</strong>tales para cumplir con los acuerdos <strong>de</strong> nivel<br />
<strong>de</strong> servicio <strong>de</strong> <strong>seguridad</strong>; y el uso <strong>de</strong> un mo<strong>de</strong>lo <strong>de</strong><br />
aut<strong>en</strong>ticación basado <strong>en</strong> riesgos que sea transpar<strong>en</strong>te<br />
<strong>en</strong> gran medida para los usuarios reducirá <strong>la</strong> necesidad<br />
<strong>de</strong> una fe<strong>de</strong>ración más amplia <strong>de</strong> controles <strong>de</strong> acceso.<br />
– Autorización más granu<strong>la</strong>r: <strong>la</strong> autorización pue<strong>de</strong><br />
ser g<strong>en</strong>eral <strong>en</strong> una empresa o, incluso, <strong>en</strong> una nube<br />
privada. No obstante, para manejar datos <strong>de</strong>licados y<br />
requerimi<strong>en</strong>tos <strong>de</strong> cumplimi<strong>en</strong>to <strong>de</strong> normas, <strong>la</strong>s nubes<br />
públicas necesitarán capacida<strong>de</strong>s <strong>de</strong> autorización<br />
granu<strong>la</strong>r (como controles basados <strong>en</strong> funciones e IRM)<br />
que puedan ser persist<strong>en</strong>tes <strong>en</strong> toda <strong>la</strong> infraestructura<br />
<strong>de</strong> nube y el ciclo <strong>de</strong> vida <strong>de</strong> los datos.<br />
6 White paper <strong>de</strong> <strong>RSA</strong><br />
Los datos <strong>de</strong>licados <strong>en</strong> <strong>la</strong> nube<br />
requerirán <strong>seguridad</strong> granu<strong>la</strong>r,<br />
que <strong>de</strong>be mant<strong>en</strong>erse <strong>de</strong> manera<br />
consist<strong>en</strong>te durante todo el ciclo<br />
<strong>de</strong> vida <strong>de</strong> los datos.<br />
Seguridad <strong>de</strong> <strong>la</strong> información<br />
En el data c<strong>en</strong>ter tradicional, los controles sobre el acceso<br />
físico, el acceso a hardware y software, y los controles <strong>de</strong><br />
i<strong>de</strong>ntidad se combinan para <strong>la</strong> protección <strong>de</strong> los datos. En <strong>la</strong><br />
nube, esa barrera <strong>de</strong> protección que garantiza <strong>la</strong> <strong>seguridad</strong><br />
<strong>de</strong> <strong>la</strong> infraestructura se disipa. Para comp<strong>en</strong>sar, <strong>la</strong> <strong>seguridad</strong><br />
<strong>de</strong>berá estar c<strong>en</strong>trada <strong>en</strong> <strong>la</strong> información. Los datos necesitan<br />
que su propia <strong>seguridad</strong> se tras<strong>la</strong><strong>de</strong> con ellos y los proteja.<br />
Se requerirá.<br />
– Ais<strong>la</strong>mi<strong>en</strong>to <strong>de</strong> datos: <strong>en</strong> situaciones <strong>de</strong> t<strong>en</strong><strong>en</strong>cia<br />
múltiple, será necesario mant<strong>en</strong>er los datos <strong>de</strong> manera<br />
segura para protegerlos cuando varios cli<strong>en</strong>tes us<strong>en</strong><br />
recursos compartidos. <strong>La</strong> virtualización, <strong>la</strong> <strong>en</strong>criptación<br />
y el control <strong>de</strong> acceso serán excel<strong>en</strong>tes herrami<strong>en</strong>tas<br />
que permitirán distintos grados <strong>de</strong> separación <strong>en</strong>tre<br />
<strong>la</strong>s corporaciones, <strong>la</strong>s comunida<strong>de</strong>s <strong>de</strong> interés y los<br />
usuarios. En el futuro cercano, el ais<strong>la</strong>mi<strong>en</strong>to <strong>de</strong> datos<br />
será más importante y ejecutable para IAAS <strong>de</strong> lo que<br />
quizá será para PAAS y SAAS.<br />
– Seguridad <strong>de</strong> datos más granu<strong>la</strong>r: a medida que<br />
<strong>la</strong> confi<strong>de</strong>ncialidad <strong>de</strong> <strong>la</strong> información aum<strong>en</strong>ta, <strong>la</strong><br />
granu<strong>la</strong>ridad <strong>de</strong> <strong>la</strong> implem<strong>en</strong>tación <strong>de</strong> <strong>la</strong> c<strong>la</strong>sificación<br />
<strong>de</strong> los datos <strong>de</strong>be aum<strong>en</strong>tar. En los ambi<strong>en</strong>tes <strong>de</strong> data<br />
c<strong>en</strong>ter actuales, <strong>la</strong> granu<strong>la</strong>ridad <strong>de</strong>l control <strong>de</strong> acceso<br />
basado <strong>en</strong> funciones a nivel <strong>de</strong> grupos <strong>de</strong> usuarios o<br />
unida<strong>de</strong>s <strong>de</strong> negocios es aceptable <strong>en</strong> <strong>la</strong> mayoría <strong>de</strong><br />
los casos porque <strong>la</strong> información permanece <strong>de</strong>ntro <strong>de</strong>l<br />
control <strong>de</strong> <strong>la</strong> empresa. Para <strong>la</strong> información <strong>en</strong> <strong>la</strong> nube,<br />
los datos <strong>de</strong>licados requerirán <strong>seguridad</strong> a nivel <strong>de</strong><br />
archivos, campos o incluso bloques para satisfacer <strong>la</strong>s<br />
<strong>de</strong>mandas <strong>de</strong> <strong>seguridad</strong> y cumplimi<strong>en</strong>to <strong>de</strong> normas.<br />
– Seguridad <strong>de</strong> datos coher<strong>en</strong>te: habrá una necesidad<br />
evi<strong>de</strong>nte <strong>de</strong> contar con protección <strong>de</strong> cont<strong>en</strong>ido basada<br />
<strong>en</strong> políticas para satisfacer <strong>la</strong>s necesida<strong>de</strong>s propias <strong>de</strong> <strong>la</strong><br />
empresa y <strong>la</strong>s directivas <strong>de</strong> políticas reg<strong>la</strong>m<strong>en</strong>tarias. Para<br />
algunas categorías <strong>de</strong> datos, <strong>la</strong> <strong>seguridad</strong> c<strong>en</strong>trada <strong>en</strong> <strong>la</strong><br />
información necesitará <strong>en</strong>criptación <strong>en</strong> transmisión y <strong>en</strong><br />
reposo, a<strong>de</strong>más <strong>de</strong> administración <strong>en</strong> <strong>la</strong> nube y <strong>en</strong> todo<br />
el ciclo <strong>de</strong> vida <strong>de</strong> los datos.
– C<strong>la</strong>sificación eficaz <strong>de</strong> datos: <strong>cloud</strong> <strong>computing</strong> impone<br />
un intercambio <strong>de</strong> recursos <strong>en</strong>tre el alto r<strong>en</strong>dimi<strong>en</strong>to<br />
y los requerimi<strong>en</strong>tos <strong>de</strong> mayor <strong>seguridad</strong> sólida. <strong>La</strong><br />
c<strong>la</strong>sificación <strong>de</strong> los datos es una herrami<strong>en</strong>ta fundam<strong>en</strong>tal<br />
para equilibrar esa ecuación. <strong>La</strong>s empresas necesitarán<br />
saber qué datos son importantes y dón<strong>de</strong> están ubicados<br />
como requerimi<strong>en</strong>to previo para tomar <strong>de</strong>cisiones<br />
re<strong>la</strong>cionadas con el costo/b<strong>en</strong>eficio <strong>de</strong>l r<strong>en</strong>dimi<strong>en</strong>to,<br />
a<strong>de</strong>más <strong>de</strong> garantizar el <strong>en</strong>foque <strong>en</strong> <strong>la</strong>s áreas más<br />
críticas para los procedimi<strong>en</strong>tos <strong>de</strong> prev<strong>en</strong>ción <strong>de</strong><br />
pérdida <strong>de</strong> datos.<br />
– Administración <strong>de</strong> <strong>de</strong>rechos <strong>de</strong> información: se suele<br />
tratar a IRM como un compon<strong>en</strong>te <strong>de</strong> i<strong>de</strong>ntidad, una<br />
forma <strong>de</strong> establecer controles g<strong>en</strong>erales sobre qué<br />
usuarios ti<strong>en</strong><strong>en</strong> acceso a los datos. No obstante, <strong>la</strong><br />
<strong>seguridad</strong> c<strong>en</strong>trada <strong>en</strong> los datos más granu<strong>la</strong>r requiere<br />
que <strong>la</strong>s políticas y los mecanismos <strong>de</strong> control sobre el<br />
almac<strong>en</strong>ami<strong>en</strong>to y el uso <strong>de</strong> información estén asociados<br />
directam<strong>en</strong>te con <strong>la</strong> información <strong>en</strong> sí.<br />
– Bu<strong>en</strong> manejo y control y cumplimi<strong>en</strong>to <strong>de</strong> normas:<br />
un requerimi<strong>en</strong>to c<strong>la</strong>ve <strong>de</strong>l bu<strong>en</strong> manejo y control y el<br />
cumplimi<strong>en</strong>to <strong>de</strong> normas <strong>de</strong> <strong>la</strong> información corporativa<br />
es <strong>la</strong> creación <strong>de</strong> información <strong>de</strong> administración y<br />
validación; se realiza el monitoreo y <strong>la</strong> auditoría <strong>de</strong>l<br />
estado <strong>de</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> información con capacida<strong>de</strong>s<br />
<strong>de</strong> registro. Aquí, no solo es importante docum<strong>en</strong>tar<br />
el acceso y <strong>la</strong> <strong>de</strong>negación <strong>de</strong> acceso a los datos,<br />
sino también garantizar que los sistemas <strong>de</strong> TI estén<br />
configurados para cumplir con <strong>la</strong>s especificaciones <strong>de</strong><br />
<strong>seguridad</strong> y no se hayan alterado. <strong>La</strong> expansión <strong>de</strong> <strong>la</strong>s<br />
políticas <strong>de</strong> ret<strong>en</strong>ción para el cumplimi<strong>en</strong>to <strong>de</strong> normas<br />
y políticas <strong>de</strong> datos también se convertirá <strong>en</strong> una<br />
capacidad es<strong>en</strong>cial <strong>de</strong> <strong>la</strong> nube. Básicam<strong>en</strong>te, <strong>la</strong>s<br />
infraestructuras <strong>de</strong> <strong>cloud</strong> <strong>computing</strong> <strong>de</strong>b<strong>en</strong> t<strong>en</strong>er <strong>la</strong><br />
capacidad <strong>de</strong> verificar que se administr<strong>en</strong> los datos<br />
según <strong>la</strong>s reg<strong>la</strong>m<strong>en</strong>taciones locales e internacionales<br />
correspondi<strong>en</strong>tes (como PCI y HIPAA) con controles<br />
a<strong>de</strong>cuados, recopi<strong>la</strong>ción <strong>de</strong> logs y creación <strong>de</strong> informes.<br />
Los datos <strong>de</strong>licados <strong>en</strong> <strong>la</strong> nube requerirán <strong>seguridad</strong><br />
granu<strong>la</strong>r, que <strong>de</strong>be mant<strong>en</strong>erse <strong>de</strong> manera consist<strong>en</strong>te<br />
durante todo el ciclo <strong>de</strong> vida <strong>de</strong> los datos.<br />
<strong>La</strong> infraestructura base para una<br />
nube <strong>de</strong>be ser inher<strong>en</strong>tem<strong>en</strong>te<br />
segura, ya sea una nube privada<br />
o pública, o un servicio SAAS,<br />
PAAS o IAAS.<br />
Seguridad <strong>de</strong> <strong>la</strong> infraestructura<br />
<strong>La</strong> infraestructura base para una nube <strong>de</strong>be ser<br />
inher<strong>en</strong>tem<strong>en</strong>te segura, ya sea una nube privada o pública,<br />
o un servicio SAAS, PAAS o IAAS. Se requerirá.<br />
– Seguridad inher<strong>en</strong>te <strong>de</strong> compon<strong>en</strong>tes: <strong>la</strong> nube <strong>de</strong>be<br />
estar diseñada para ser segura, creada con compon<strong>en</strong>tes<br />
inher<strong>en</strong>tem<strong>en</strong>te seguros, implem<strong>en</strong>tada y aprovisionada<br />
<strong>de</strong> manera segura con interfaces sólidas a otros<br />
compon<strong>en</strong>tes y, finalm<strong>en</strong>te, soportada <strong>de</strong> manera<br />
segura con procesos <strong>de</strong> evaluación <strong>de</strong> vulnerabilida<strong>de</strong>s<br />
y administración <strong>de</strong> cambios que produc<strong>en</strong> información<br />
<strong>de</strong> administración y segurida<strong>de</strong>s <strong>de</strong> nivel <strong>de</strong> servicio que<br />
crean <strong>confianza</strong>. Para estos compon<strong>en</strong>tes implem<strong>en</strong>tados<br />
<strong>de</strong> manera flexible, <strong>la</strong> i<strong>de</strong>ntificación mediante <strong>la</strong> huel<strong>la</strong><br />
digital <strong>de</strong>l dispositivo para garantizar <strong>la</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong><br />
configuración y el estado también será un elem<strong>en</strong>to <strong>de</strong><br />
<strong>seguridad</strong> importante, al igual que lo es para los datos<br />
y <strong>la</strong>s i<strong>de</strong>ntida<strong>de</strong>s <strong>en</strong> sí.<br />
– Seguridad <strong>de</strong> interfaz más granu<strong>la</strong>r: los puntos <strong>en</strong><br />
el sistema <strong>en</strong> los que se pres<strong>en</strong>tan interv<strong>en</strong>ciones<br />
(usuario a red, servidor a aplicación) requier<strong>en</strong> políticas<br />
y controles <strong>de</strong> <strong>seguridad</strong> granu<strong>la</strong>res que garantic<strong>en</strong><br />
consist<strong>en</strong>cia y responsabilidad. Aquí, el sistema <strong>en</strong>d-to<strong>en</strong>d<br />
<strong>de</strong>be ser pat<strong>en</strong>tado, un estándar <strong>de</strong> facto o una<br />
fe<strong>de</strong>ración <strong>de</strong> proveedores que ofrezca políticas <strong>de</strong><br />
<strong>seguridad</strong> implem<strong>en</strong>tadas <strong>de</strong> manera consist<strong>en</strong>te.<br />
– Administración <strong>de</strong>l ciclo <strong>de</strong> vida <strong>de</strong> los recursos: el aspecto<br />
económico <strong>de</strong> <strong>cloud</strong> <strong>computing</strong> está basado <strong>en</strong> <strong>la</strong> t<strong>en</strong><strong>en</strong>cia<br />
múltiple y <strong>en</strong> el uso compartido <strong>de</strong> recursos. A medida que<br />
<strong>la</strong>s necesida<strong>de</strong>s y los requerimi<strong>en</strong>tos <strong>de</strong> un Cli<strong>en</strong>te se<br />
modifican, un proveedor <strong>de</strong> servicios <strong>de</strong>be ofrecer y<br />
<strong>de</strong>sactivar esos recursos (ancho <strong>de</strong> banda, servidores,<br />
almac<strong>en</strong>ami<strong>en</strong>to y <strong>seguridad</strong>) según corresponda. Este<br />
proceso <strong>de</strong>l ciclo <strong>de</strong> vida <strong>de</strong>be administrarse <strong>en</strong> re<strong>la</strong>ción<br />
con <strong>la</strong> responsabilidad para crear <strong>confianza</strong>.<br />
White paper <strong>de</strong> <strong>RSA</strong><br />
7
V. Conclusión<br />
Cloud <strong>computing</strong> promete modificar <strong>la</strong> economía <strong>de</strong>l data<br />
c<strong>en</strong>ter; pero, antes <strong>de</strong> tras<strong>la</strong>dar los datos <strong>de</strong>licados y<br />
reg<strong>la</strong>m<strong>en</strong>tados a <strong>la</strong> nube pública, se <strong>de</strong>b<strong>en</strong> <strong>en</strong>fr<strong>en</strong>tar los<br />
problemas <strong>de</strong> estándares <strong>de</strong> <strong>seguridad</strong> y compatibilidad,<br />
<strong>en</strong>tre ellos, <strong>la</strong> aut<strong>en</strong>ticación sólida, <strong>la</strong> autorización <strong>de</strong>legada,<br />
<strong>la</strong> administración <strong>de</strong> c<strong>la</strong>ves para datos <strong>en</strong>criptados, <strong>la</strong><br />
protección contra <strong>la</strong> pérdida <strong>de</strong> datos y <strong>la</strong> creación <strong>de</strong><br />
informes reg<strong>la</strong>m<strong>en</strong>tarios. Todos estos elem<strong>en</strong>tos forman<br />
parte <strong>de</strong> un mo<strong>de</strong>lo <strong>de</strong> i<strong>de</strong>ntidad, información e<br />
infraestructura seguro, y pue<strong>de</strong>n aplicarse a nubes privadas<br />
y públicas, a<strong>de</strong>más <strong>de</strong> a servicios IAAS, PAAS y SAAS.<br />
En el <strong>de</strong>sarrollo <strong>de</strong> nubes públicas y privadas, <strong>la</strong>s empresas<br />
y los proveedores <strong>de</strong> servicios <strong>de</strong>berán usar estos principios<br />
que sirv<strong>en</strong> como guía para adoptar y ampliar <strong>de</strong> manera<br />
selectiva <strong>la</strong>s herrami<strong>en</strong>tas <strong>de</strong> <strong>seguridad</strong> y garantizar <strong>la</strong><br />
<strong>seguridad</strong> <strong>de</strong> los productos a fin <strong>de</strong> crear y ofrecer <strong>cloud</strong><br />
<strong>computing</strong> y servicios confiables <strong>en</strong>d-to-<strong>en</strong>d. Por suerte,<br />
muchas <strong>de</strong> estas soluciones <strong>de</strong> <strong>seguridad</strong> están<br />
ampliam<strong>en</strong>te disponibles hoy <strong>en</strong> día y se están<br />
<strong>de</strong>sarrol<strong>la</strong>ndo <strong>en</strong> <strong>de</strong>talle para llevar a cabo funcionalida<strong>de</strong>s<br />
<strong>de</strong> nube cada vez más transpar<strong>en</strong>tes.<br />
8 White paper <strong>de</strong> <strong>RSA</strong><br />
Empleados TI empresarial Proveedores<br />
Proveedores<br />
<strong>de</strong> servicios<br />
I<strong>de</strong>ntida<strong>de</strong>s Infraestructura<br />
Información<br />
IAAS PAAS SAAS<br />
Cli<strong>en</strong>tes<br />
Creación <strong>de</strong> una nube confiable
EMC, <strong>RSA</strong> y <strong>cloud</strong> <strong>computing</strong> segura<br />
Seguridad <strong>de</strong> i<strong>de</strong>ntida<strong>de</strong>s,<br />
información e infraestructuras<br />
Para administrar <strong>la</strong>s i<strong>de</strong>ntida<strong>de</strong>s <strong>en</strong> <strong>la</strong> nube, <strong>RSA</strong><br />
aprovecha sus capacida<strong>de</strong>s <strong>de</strong> aut<strong>en</strong>ticación sólida, <strong>la</strong><br />
aut<strong>en</strong>ticación <strong>de</strong> múltiples factores, <strong>la</strong>s contraseñas <strong>de</strong><br />
un solo uso, <strong>la</strong> administración <strong>de</strong> i<strong>de</strong>ntida<strong>de</strong>s fe<strong>de</strong>rada<br />
y <strong>la</strong>s soluciones <strong>de</strong> aut<strong>en</strong>ticación basada <strong>en</strong> riesgos,<br />
como Auth<strong>en</strong>tication Manager, Fe<strong>de</strong>rated I<strong>de</strong>ntity<br />
Manager, Access Manager y Adaptive Auth<strong>en</strong>tication. El<br />
sistema Transaction Monitoring <strong>de</strong> <strong>RSA</strong> trasci<strong>en</strong><strong>de</strong> <strong>la</strong><br />
protección <strong>de</strong> <strong>la</strong> i<strong>de</strong>ntidad <strong>de</strong> los usuarios que se<br />
registran mediante <strong>la</strong> aut<strong>en</strong>ticación <strong>de</strong> <strong>la</strong>s<br />
transacciones que ejecutan para increm<strong>en</strong>tar <strong>la</strong><br />
<strong>seguridad</strong> <strong>en</strong> línea, reducir el frau<strong>de</strong> y mo<strong>de</strong>rar los<br />
riesgos <strong>de</strong> am<strong>en</strong>azas avanzadas. Este proceso se<br />
realiza, <strong>en</strong> gran medida, <strong>en</strong> <strong>función</strong> <strong>de</strong>l servicio <strong>RSA</strong><br />
eFraudNetwork , una red interoganizacional <strong>de</strong><br />
co<strong>la</strong>boración para combatir frau<strong>de</strong>s <strong>en</strong> línea <strong>de</strong>dicada a<br />
compartir y difundir información sobre activida<strong>de</strong>s<br />
fraudul<strong>en</strong>tas. Para administrar <strong>la</strong> autorización que<br />
toma <strong>en</strong> cu<strong>en</strong>ta el contexto con privilegios <strong>de</strong>tal<strong>la</strong>dos y<br />
<strong>la</strong> administración <strong>de</strong> autorizaciones basada <strong>en</strong> <strong>la</strong><br />
administración c<strong>en</strong>tral e intelig<strong>en</strong>te <strong>de</strong> políticas, <strong>RSA</strong> ®<br />
Entitlem<strong>en</strong>ts Policy Manager protege los recursos aún<br />
más allá <strong>de</strong> <strong>la</strong>s aplicaciones web.<br />
Para obt<strong>en</strong>er información sobre <strong>la</strong> <strong>seguridad</strong> <strong>en</strong> <strong>la</strong> nube,<br />
EMC Information Rights Manager ofrece autorización que<br />
toma <strong>en</strong> cu<strong>en</strong>ta el cont<strong>en</strong>ido para docum<strong>en</strong>tos, mi<strong>en</strong>tras<br />
que <strong>RSA</strong> ® Data Loss Prev<strong>en</strong>tion Suite ofrece <strong>de</strong>tección<br />
que toma <strong>en</strong> cu<strong>en</strong>ta el cont<strong>en</strong>ido, c<strong>la</strong>sificación y<br />
soluciones <strong>de</strong> prev<strong>en</strong>ción <strong>de</strong> pérdida <strong>de</strong> datos. Juntos,<br />
estos productos brindan a <strong>la</strong>s nubes públicas y privadas<br />
<strong>la</strong> posibilidad <strong>de</strong> implem<strong>en</strong>tar políticas <strong>de</strong> <strong>seguridad</strong><br />
coher<strong>en</strong>tes que toman <strong>en</strong> cu<strong>en</strong>ta el cont<strong>en</strong>ido para el<br />
bu<strong>en</strong> manejo y control <strong>de</strong> los datos, el control y el<br />
cumplimi<strong>en</strong>to <strong>de</strong> normas. A<strong>de</strong>más, <strong>RSA</strong> ® Key Manager<br />
cu<strong>en</strong>ta con capacida<strong>de</strong>s <strong>de</strong> <strong>en</strong>criptación <strong>en</strong> <strong>la</strong> nube para<br />
<strong>la</strong> protección y el control <strong>de</strong> datos.<br />
Finalm<strong>en</strong>te, para <strong>la</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> infraestructura, el<br />
amplio portafolio <strong>de</strong> productos <strong>de</strong> EMC no solo ofrece<br />
bases seguras para <strong>la</strong> virtualización, <strong>la</strong> separación <strong>de</strong><br />
datos y <strong>la</strong>s capacida<strong>de</strong>s <strong>de</strong> protección y disponibilidad<br />
<strong>de</strong> datos, sino que, a<strong>de</strong>más, los productos <strong>de</strong> EMC se<br />
crean, se implem<strong>en</strong>tan y se soportan <strong>de</strong> manera segura<br />
para ofrecer mayor <strong>seguridad</strong> a <strong>la</strong>s infraestructuras <strong>de</strong><br />
nube. Los productos <strong>de</strong> administración <strong>de</strong> recursos <strong>de</strong><br />
infraestructura <strong>de</strong> EMC combinados con el producto <strong>de</strong><br />
análisis y administración <strong>de</strong> logs <strong>RSA</strong> <strong>en</strong>Vision ® permit<strong>en</strong><br />
<strong>la</strong> administración y el control eficaces <strong>de</strong> los<br />
compon<strong>en</strong>tes <strong>de</strong> <strong>la</strong> infraestructura mediante <strong>la</strong><br />
evaluación <strong>de</strong>l estado, <strong>la</strong> administración <strong>de</strong> <strong>la</strong><br />
configuración, y <strong>la</strong>s funcionalida<strong>de</strong>s <strong>de</strong> administración y<br />
control <strong>de</strong> ev<strong>en</strong>tos. Todos estos elem<strong>en</strong>tos son<br />
importantes para optimizar <strong>la</strong>s operaciones <strong>de</strong> <strong>la</strong> nube y<br />
cumplir los requerimi<strong>en</strong>tos <strong>de</strong>l cumplimi<strong>en</strong>to <strong>de</strong> normas.<br />
EMC y <strong>RSA</strong> están trabajando cada vez más a fin <strong>de</strong><br />
<strong>de</strong>sarrol<strong>la</strong>r soluciones para <strong>la</strong> <strong>seguridad</strong> <strong>de</strong> nubes<br />
que estén diseñadas <strong>de</strong>s<strong>de</strong> una perspectiva <strong>de</strong><br />
arquitectura ori<strong>en</strong>tada a servicios, <strong>de</strong> modo que<br />
soport<strong>en</strong> los niveles <strong>de</strong> <strong>seguridad</strong> flexibles que los<br />
mo<strong>de</strong>los <strong>de</strong> nubes emerg<strong>en</strong>tes requier<strong>en</strong>.<br />
PaaS, IaaS y Saas seguros<br />
EMC y <strong>RSA</strong> también ofrec<strong>en</strong> productos y servicios al<br />
mercado <strong>de</strong> <strong>cloud</strong> <strong>computing</strong>. Los sigui<strong>en</strong>tes son<br />
algunos ejemplos:<br />
El mo<strong>de</strong>lo Seguridad como un servicio (SaaS) <strong>de</strong> <strong>RSA</strong><br />
para fe<strong>de</strong>rar los controles <strong>de</strong> <strong>seguridad</strong> <strong>en</strong> ambi<strong>en</strong>tes<br />
SaaS y PaaS con servicios <strong>de</strong> control <strong>de</strong> acceso y<br />
aut<strong>en</strong>ticación que han estado disponibles <strong>de</strong>s<strong>de</strong> 2002.<br />
<strong>RSA</strong> ® Key Manager pue<strong>de</strong> <strong>en</strong>cargarse <strong>de</strong> <strong>la</strong><br />
administración <strong>de</strong> los controles <strong>de</strong> <strong>seguridad</strong> <strong>de</strong> datos<br />
(c<strong>la</strong>ves <strong>de</strong> <strong>en</strong>criptación) <strong>de</strong> los administradores <strong>de</strong><br />
SaaS/PaaS y mant<strong>en</strong>er el control con los propietarios<br />
<strong>de</strong> datos o <strong>la</strong>s corporaciones <strong>de</strong> cli<strong>en</strong>tes.<br />
Atmos <strong>de</strong> EMC es un proveedor <strong>de</strong> Almac<strong>en</strong>ami<strong>en</strong>to<br />
como un servicio para el mo<strong>de</strong>lo IaaS con políticas<br />
sobre el r<strong>en</strong>dimi<strong>en</strong>to y <strong>la</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> distribución<br />
<strong>de</strong>l almac<strong>en</strong>ami<strong>en</strong>to <strong>de</strong> información.<br />
White paper <strong>de</strong> <strong>RSA</strong><br />
9
Autor y co<strong>la</strong>boradores<br />
Satchit Dokras, Bret Hartman, Tim Mathers, Brian Fitzgerald,<br />
Sam Curry, Magnus Nystrom, Eric Baize, Nirav Mehta<br />
Acerca <strong>de</strong> <strong>RSA</strong><br />
<strong>RSA</strong>, <strong>la</strong> División <strong>de</strong> Seguridad <strong>de</strong> EMC, cu<strong>en</strong>ta con expertos<br />
<strong>en</strong> <strong>seguridad</strong> c<strong>en</strong>trada <strong>en</strong> <strong>la</strong> información, lo que permite<br />
proteger <strong>la</strong> información durante todo su ciclo <strong>de</strong> vida. <strong>RSA</strong><br />
permite a los cli<strong>en</strong>tes asegurar <strong>de</strong> manera r<strong>en</strong>table los<br />
recursos <strong>de</strong> información importantes y <strong>la</strong>s i<strong>de</strong>ntida<strong>de</strong>s <strong>en</strong><br />
línea (<strong>en</strong> el lugar y <strong>en</strong> <strong>la</strong> etapa <strong>en</strong> que se <strong>en</strong>cu<strong>en</strong>tr<strong>en</strong>), y<br />
administrar <strong>la</strong> información y los ev<strong>en</strong>tos <strong>de</strong> <strong>seguridad</strong> para<br />
aliviar <strong>la</strong> carga que impone el cumplimi<strong>en</strong>to <strong>de</strong> normas.<br />
<strong>RSA</strong> ofrece soluciones lí<strong>de</strong>res <strong>en</strong> <strong>la</strong> industria <strong>de</strong> verificación<br />
<strong>de</strong> i<strong>de</strong>ntidad y control <strong>de</strong> acceso, <strong>en</strong>criptación y<br />
administración <strong>de</strong> c<strong>la</strong>ves, administración <strong>de</strong>l cumplimi<strong>en</strong>to<br />
<strong>de</strong> normas y <strong>la</strong> información <strong>de</strong> <strong>seguridad</strong>, y protección contra<br />
frau<strong>de</strong>s. Estas soluciones brindan <strong>confianza</strong> respecto a<br />
millones <strong>de</strong> i<strong>de</strong>ntida<strong>de</strong>s <strong>de</strong> usuarios, a <strong>la</strong>s transacciones que<br />
ejecutan y a los datos que se g<strong>en</strong>eran. Para obt<strong>en</strong>er más<br />
información, consulte www.EMC.com (visite el sitio web <strong>de</strong><br />
su país correspondi<strong>en</strong>te) y <strong>la</strong>tinamerica.rsa.com.<br />
<strong>RSA</strong>, <strong>en</strong>Vision, eFraudNetwork y <strong>RSA</strong> Security son marcas registradas o marcas<br />
comerciales <strong>de</strong> <strong>RSA</strong> Security Inc. <strong>en</strong> los Estados Unidos y <strong>en</strong> otros países. EMC,<br />
Mozy y Atmos son marcas registradas o marcas comerciales <strong>de</strong> EMC Corporation.<br />
Todos los otros productos o servicios m<strong>en</strong>cionados son marcas comerciales <strong>de</strong> sus<br />
respectivos dueños. ©2009 <strong>RSA</strong> Security Inc. Todos los <strong>de</strong>rechos reservados.<br />
CLOUD WP 0209<br />
10 White paper <strong>de</strong> <strong>RSA</strong>