“Guía para la implementación de una arquitectura de seguridad en empresas de computación en la nube”

Abstract

Las empresas de computación en la nube no cuentan con una arquitectura (disposición de los elementos de control que conforman un sistema) de seguridad apropiada, que ofrezca los niveles de seguridad básicos, para garantizar a los clientes la protección de la información. Por esta razón se desarrolló una guía, la cual es un conjunto de elementos básicos que debe contener una arquitectura de seguridad, conformada por tres capas (conceptual, funcional y física). Es así que empleando la metodología de investigación exploratoria, bajo un diseño no experimental descriptivo y aplicado a una población conformada por tres empresas de Computación en la Nube con presencia en el territorio nacional colombiano, se identifica un panorama de riesgos a los cuales se expone la información. La investigación se apoya en organizaciones mundiales dedicadas al estudio de la seguridad de la información como:  NIST (National Institute Of Standards And Technology) en noviembre de 2011, realizó una publicación en la cual describió un modelo de arquitectura de referencia. [1]  ENISA (European Network and Information Security Agency) en el 2009 publicó un documento en el cual enunció los beneficios, riesgos y recomendaciones de seguridad en Computación en la Nube.  CSA (Cloud Security Alliance), en noviembre de 2009 publicó una guía para la Seguridad en áreas críticas de atención en Computación en la Nube. El estudio arrojó como resultado la recopilación de elementos básicos de arquitectura y seguridad que permitirán a una nueva empresa de Computación en la Nube, fortalecer las deficiencias de seguridad. Se concluye que las nuevas empresas de computación en la nube tendrán los elementos básicos de seguridad que permitirán proteger la información de sus clientes. Los cuales se encuentran agrupados en una guía de referencia. También es necesario, que las empresas de computación en la nube que posean una arquitectura de seguridad, utilicen la guía de arquitectura para realizar el análisis de brecha, emprendiendo así las acciones de ajuste requeridas

The Cloud Computing Companies do not have appropriate security architecture (arrangement of control elements that make up a system), which offers basic security levels, to ensure the protection of customer information. For this reason we developed a guide, which is a set of basic elements that must contain security architecture, consisting of three layers (conceptual, functional and physical). Thus, using exploratory research methodology on a population of three Cloud Computing companies with nationwide presence in Colombia Identified a series of risks to which the information is exposed. The investigation is 2 based on organizations dedicated to the study of information security such as: • NIST (National Institute of Standards and Technology) in November 2011, made a post in which he described a model of reference architecture. [1] • ENISA (European Network and Information Security Agency) in 2009 published a document which outlined the benefits, risks and safety recommendations in Cloud Computing. • CSA (Cloud Security Alliance), in November 2009 published guidance for safe care in critical areas of Cloud Computing. The survey resulted in the collection of basic elements of security architecture and allows a new Cloud Computing company to strengthen safety deficiencies. We conclude that new Cloud Computing companies will have the basic elements of security that will protect customer information. These elements are grouped in a reference guide. It is also necessary that Cloud Computing companies that use security architecture use the architectural guide for gap analysis, and undertake actions required for adjustment.