Análisis de riesgos a tres modelos de servicios ofrecidos por Cloud Computing

Abstract

Este artículo mostrará los resultados de un análisis de riesgos que se realizó a tres modelos de servicio que ofrece Cloud Computing (SaaS, PaaS, IaaS), a partir del planteamiento de 30 escenarios hipotéticos a los cuales se puede ver enfrentado el proveedor de servicios en la nube. Con base en lo anterior, se realizó una tabulación que permitió conocer, cuáles de estas situaciones impactarían la continuidad del negocio y los tres pilares de la seguridad de la información (integridad, disponibilidad y confidencialidad). Al conocer el o los impactos que afectarían al proveedor de servicios Cloud Computing, se plantearon controles preventivos y correctivos, que ayudaran a evitar o mitigar las situaciones que se plantearon en cada uno de los escenarios, tomando como referencia principal los controles propuestos en la norma ISO/IEC 27002:2005. Este análisis se realizó en el mes de febrero de 2012 y hace parte del trabajo de grado “Análisis de riesgos al modelo de servicios cloud computing”, que desarrolló el autor de este artículo en conjunto con la Ing. Angélica Forero, como requisito para optar al titulo de Especialista en Seguridad Informática de la Universidad Piloto de Colombia.

This article will show the results of a risk analysis that was done over the three cloud computing services models offered by cloud computing (SaaS, PaaS, IaaS); this article was done reviewing thirty scenarios which can be faced by the service provider in the cloud. Based on the above, the data was tabulated and allowed us to know which of these situations would impact business continuity and the three pillars of information security (integrity, availability and confidentiality). Knowing the impacts on the cloud computing service provider, and raising preventive and corrective controls, which help avoid or mitigate situations that arose in each of the scenarios, taking as main reference the controls proposed in the standard ISO / IEC 27002:2005. This analysis was conducted in February 2012 and is part of the thesis "Analysis of risks to the cloud services model," developed by the author of this article together with Angelica Forero Engineer, as a requirement to qualify for the title Computer Security Specialist from Pilot University of Colombia.