1. Introducción.

El presente trabajo pretende dar a conocer todos aquellos aspectos relevantes en referencia al tema de investigación seleccionado como es la seguridad en la nube, de tal manera y como propuesta planteamos una solución de esta problemática considerando los lineamientos establecidos para el curso de Proyecto de Grado.

Durante el desarrollo del curso hemos venido realizando el análisis a la problemática sobre planteamientos basados en técnicas de implementación de herramientas tecnológicas en mejoras de la seguridad.

Con ello estaremos dando alcance a sus beneficios en términos de seguridad que veremos en los siguientes aspectos a mostrar.

2. Titulo:

Características de la seguridad en la web con protocolos HTTP: El caso de la computación en la nube en Colombia en el 2020

3. Antecedentes del tema

El primer ataque reportado a gran escala de hackers a servidores web fue el PHF CGI en 1996 (Estupiñan, 2013). Este tipo de sucesos, normalmente, representan un detonante para investigar e implementar sistemas novedosos que presten una mayor seguridad para los servidores, en este caso.

Sucedido esto, era evidente que muchas entidades pondrían manos a la obra para evitar que este tipo de eventos se presentasen de nuevo; de modo que, esto condujo a la investigación sobre nuevos modelos de seguridad para proteger las aplicaciones y los servidores Web.

Este fue el inicio de los WAF; los primeros participantes en el mercado aparecieron en 1999, como Perfect Software AppShield, que se centró en el mercado de comercio electrónico, protegiendo entradas de caracteres ilegales en páginas Web. NetContinuum se acercó al problema proporcionando servidores de seguridad preconfigurados.

Estas opciones tuvieron problemas de propiedad intelectual y costos de desarrollo demasiado altos, y, dado que, para aquel entonces, no era muy latente la necesidad de seguridad, no tuvieron mucho patrocinio económico; no obstante, esto fue un primer acercamiento del cual varios tomarían referencia para sus futuros proyectos.

En 2002, el proyecto de código abierto ModSecurity, se formó con la decidida misión de resolver los obstáculos generados en intentos anteriores, y, principalmente, hacer accesible la solución para la mayor parte de las empresas. ModSecurity estableció un conjunto de reglas principal, utilizado para proteger las aplicaciones Web; éste sistema tenía un modelo estandarizado, estable y bien documentado.

En 2003, el trabajo WAS TC se amplió y se estandarizó a través de OWASP, una lista anual que clasifica y publica las vulnerabilidades de seguridad Web, describiendo la amenaza inicial y el impacto; esta lista se volvería el referente para que muchas empresas tuvieran un criterio más claro sobre los riesgos de seguridad latentes.

En 2004, grandes empresas proveedoras incursionaron en el mercado con soluciones de gestión de tráfico y seguridad; una de las más sobresalientes fue F5 con la solución de software TrafficShield, y el sistema de gestión de tráfico Big-IP.

Hasta este punto, el mercado de WAF fue dominado por Nicho Providers, los cuales se enfocaron en brindar seguridad sobre la capa de aplicaciones Web, aunque las opciones eran muy confusas y bastante costosas.

En 2006, se conformó el Web Application Security Consortium para ayudar a concretar la estructura de los WAF, y se creó el WAFEC, un proyecto disponible para toda la comunidad de usuarios, proveedores, académicos, investigadores y analistas, el cual generó un criterio común de evaluación para los WAF que aún se utiliza hoy en día.

En 2007, PCI Security Standards Council, entidad que supervisa y controla las empresas proveedoras de tarjetas de crédito, forma la norma PCI como una manera de regular las prácticas de seguridad, y reducir el fraude con las tarjetas de crédito, imponiendo el uso de un WAF.

En 2010, el mercado WAF ya estaba totalmente implementado.

Con el auge que se viene presentando en la actualidad de los servicios en la nube o servicios Cloud y que no podemos negar sus aportes son significativos para todos los usuarios, pero con ello también se identifican algunos temas de seguridad de los cuales hay que tomar acciones de manera inmediata. Estando en la Nube aumentan las amenazas comprometiendo la viabilidad de las empresas y los servicios prestados a sus clientes.

Es por esto que vemos importante dar a conocer estos riesgos muy de la mano a Cloud Computing en términos de Ciberseguridad.

Data Breaches: robo de información sensible no autorizado.

Gestión insuficiente de accesos: Mala gestión en la autenticación de credenciales, ausencia de encriptación.

Interfaces inseguras: Exposición de APIS sin control

Sistemas vulnerables: puertas abiertas para los atacantes.

Robo de cuentas: es las que podemos contar el phishing, fraude, etc.

Insiders Maliciosos: Riesgos al interior de las compañías.

Advanced Persistent Threats: Continuas amenazas que comprometer la seguridad.

Pérdida de Datos: por actores externos.

DDos: Denegación de Servicio.

Tecnologías compartidas. El uso de la infraestructura, aplicaciones. Aumentan los riesgos.

Siendo conscientes estos riesgos también se tienen alternativas que permites mitigar estas amenazas, por lo cual es prioritario implementar metodologías y contar con personal especializado, que nos garanticen el buen funcionamiento de estos servicios ofrecidos en la nube. Viene entonces lo que conocemos como Servicios y Seguridad en la Nube compañías especializadas en la implementación de tecnologías informáticas, lo que se pretende es ofrecer un servicio integrado y tecnológico contando con personal capacitado y brindando asesoría, servicios de alta calidad certificados y consultoría según el tamaño y necesidad de cada empresa por lo tanto estamos en la capacidad de proveer los siguientes servicios:

• Asistencia presencial y remota en la implementación de soluciones a las problemáticas por el uso de los servicios Cloud.

• Soportamos la Instalación y administración de servidores

• Acompañamiento en el Helpdesk para Instalación de software empresarial.

• Capacitación a usuarios

• Consultorías especializadas en seguridad informática

• Backups programados

• Integración de servicios webs.

4. Estado del Arte

Fichas RAE

Numero de RAE	001
Tema	Funcionamiento y características de los WAF
Título del articulo	Web Application Firewall – WAF
Autor	Juan Evangelista Estupiñan Ojeda
Fuente bibliográfica	Estupiñan, Juan. (2013). Web Application Firewall - WAF. Universidad Piloto de Colombia. Bogotá, Colombia. Recuperado de: http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2917/00001884.pdf?sequence=1
Año	2013
Resumen: El artículo describe el uso y funcionamiento de la herramienta WAF; además, resalta la importancia que ésta posee como segmento de seguridad en el desarrollo e implementación de las aplicaciones web, y en los sistemas de protección que deben tener las entidades para mantener la confidencialidad, integridad y disponibilidad de la información.
Palabras claves: CSRF, Firewall, IPS, SQL Injection, WAF, XSS.
Contenidos: Antecedentes del WAF, Funcionamiento, Tipos de Implementación, Top 10 de OWASP año 2013.
Objetivo: Sensibilizar al lector acerca de la seguridad en la nube, describir las características de los sistemas WAF, y evidenciar posibles fallas de seguridad que pueden ser evitadas a través del uso de WAF.
Problema: Con el creciente uso de la tecnología a través de la Internet, podemos estar al día y mantenernos conectados con, prácticamente, cualquier cosa; no obstante, estamos vulnerables a posibles fraudes. Una muy buena posibilidad para evitar esta constante exposición reside en el uso de los WAF.
Principales referentes teóricos y conceptuales: 1. Rapid7.com. (1996, Marzo 19). PHF CGI Remote Command Execution. Recuperado de: https://www.rapid7.com/db/vulnerabilities/http-cgi-phf-command-execution 2. Wikipedia.org. (2014, Agosto 11). Application firewall. Recuperado de: https://en.wikipedia.org/wiki/Application_firewall 3. Revista Seguridad Universidad Autónoma de México. (2013, Mayo 2). Firewall de Aplicación WEB – Parte II. Recuperado de: https://revista.seguridad.unam.mx/numero-17/firewall-de-aplicaci%c3%b3n-web-parte-ii 4. Elhacker.net. (S. F). Introducción a los Web Applications Firewall (WAF). Recuperado de: http://wiki.elhacker.net/seguridad/web/introduccion-a-los-web-application-firewalls-waf
Metodología: El documento no denota ninguna metodología específica.
Resultados: El artículo aclara las brechas de seguridad presentes en los sistemas informáticos de la nube, concientiza al lector sobre este asunto, y describe el alivio que ofrecen las soluciones basadas en WAF.
Conclusiones: Actualmente, los WAF son dispositivos imprescindibles para brindar seguridad a los servidores web, sirviendo como intermediario y actuando como filtro entre los usuarios y las aplicaciones web. Los WAF son sistemas que se implementan por hardware y/o software, y se utilizan para analizar y monitorear el tráfico de datos. La OWASP es un proyecto dedicado a determinar las causas que hacen que un software sea inseguro, y es un sólido referente para desarrollar soluciones de seguridad como los WAF.
Comentarios: El autor utiliza un lenguaje comprensible y datos concretos sobre el tema. Es bueno también que se resalte la referencia a OWASP. El artículo brinda información precisa, y puede ser considerado como fuente de información; no obstante, deberá complementarse con otras fuentes.

Elaborado por: Jefferson Aragón		Revisado por:

Numero de RAE	002
Tema	Características, similitudes, diferencias, ventajas y desventajas de diversos WAF
Título del articulo	Análisis comparativo de soluciones WAF Open Source
Autor	Néstor Traña Obando
Fuente bibliográfica	Traña, Nestor. (2018, Noviembre). Análisis Comparativo de Soluciones WAF Open Source. Universidad Nacional de Ingeniería. Managua, Nicaragua. Recuperado de: http://ribuni.uni.edu.ni/2707/1/92609.pdf
Año	2018
Resumen: La tesis realiza un análisis comparativo de tres herramientas WAF Open Source (Endian, Shadow Daemon y Sophos UTM), mostrando un panorama claro y preciso de cuál es la herramienta que mejor puede adaptarse a cada necesidad particular de protección de los sitios web.
Palabras claves: Seguridad, Vulnerabilidad, Test de Penetración, WAF.
Contenidos: ¿Qué es un WAF?, Razones para usar WAF, Riesgos al usar WAF, Comparación soluciones WAF Open Source, Análisis de vulnerabilidades, Herramienta de ataque OWASP ZAP.
Objetivo: Determinar la efectividad de los WAF Open Source, facilitando a las organizaciones el tomar decisiones sobre su implementación para proteger sus sistemas web.
Problema: Los sistemas o aplicaciones web están expuestas a un sin número de amenazas debido al exponencial incremento de los datos que circulan en la red y la creciente sofisticación de las herramientas de ataque; por tanto, se hace necesario que las empresas cuenten con un mecanismo de protección que sea eficiente y eficaz.
Principales referentes teóricos y conceptuales: 1. Arévalo, J. (2011, Septiembre 15). Hacker bloquean varias páginas de Internet del gobierno de Nicaragua, La Jornada. 5 de mayo 2015. Recuperado de: http://www.lajornadanet.com/diario/archivo/2011/septiembre/15/1.php 2. [Nuxbone]. (2015, Mayo 5). Que es test de penetración. Recuperado de: http://www.nyxbone.com/pentest.html 3. Pérez, T. (2017, Febrero). WAF, un enfoque práctico para la seguridad de sitios web. Recuperado de: https://blog.sucuri.net/espanol/2017/02/website-applicationfirewalls-waf-un-enfoque-practico-para-la-seguridad-de-sitios-web.html 4. [Symantec]. (2017, Agosto). Políticas WAF para proteger servidores contra ataques. Recuperado de: https://originsymwisedownload.symantec.com/resources/webguides/managementcenter/1.9.1.1/Content/ConfigurationManagementGuide/6_Policy/WAF/WAF_ solution.htm
Metodología: Se utilizaron máquinas físicas y virtuales para recrear un entorno de red en que fuera posible realizar pruebas de manera controlada. Además, se hizo uso de herramientas OWASP Benchmark.
Resultados: Las tres soluciones WAF analizadas son muy similares en muchos de los aspectos evaluados, no obstante, se observó que Endian tiene un mayor índice de precisión reconociendo los falsos positivos más eficientemente.
Conclusiones: Se indagó sobre distintos mecanismos de ataque, los cuales fueron de mucha utilidad para poner a prueba las soluciones evaluadas. Los resultados obtenidos a partir de las soluciones WAF mejoran si se realiza la modificación de sus reglas estándar, y se incluyen reglas específicas en función del entorno de trabajo.
Comentarios: El autor incluye figuras representando simulaciones con entornos de potenciales sistemas web, y tablas con los resultados de las pruebas realizadas con cada una de las soluciones planteadas, aclarando sobremanera el análisis comparativo.

Elaborado por: Jefferson Aragón		Revisado por:

Numero de RAE	003
Tema	Definiciones relación, y diferencias entre vulnerabilidad, amenaza, riesgo, impacto y ataque. Influencia de OWASP en la seguridad de los sistemas informáticos.
Título del articulo	Metodología para la prevención de incidentes de seguridad críticos en aplicaciones web mediante la adopción de escenarios seguros
Autor	Pablo César Velasco Somera
Fuente bibliográfica	Velasco, Pablo. (2011). Metodología para la prevención de incidentes de seguridad críticos en aplicaciones Web mediante la adopción de escenarios seguros. Universidad Autónoma de Occidente. Cali, Colombia. Recuperado de: http://red.uao.edu.co/bitstream/10614/1429/1/TIS00560.pdf
Año	2011
Resumen: La tesis genera una alternativa para la prevención de incidentes de seguridad, que se adapta al arquitecto de software; ésta se enfoca, principalmente, en prevenir los incidentes, más que en corregirlos.
Palabras claves: Vulnerabilidad, Amenaza, Riesgo, Impacto, Seguridad.
Contenidos: Vulnerabilidad, Amenaza, Riesgo, Impacto, Ataque, Test de Penetración, OWASP, Simulación de Escenarios.
Objetivo: Desarrollar una metodología para la prevención de incidentes de seguridad en las aplicaciones web mediante la adopción de escenarios seguros.
Problema: Las aplicaciones web están expuestas a numerosas vulnerabilidades de seguridad; por tanto, se requiere generar una serie de medidas metodológicas para la prevención de incidentes críticos de seguridad que éstas puedan sufrir.
Principales referentes teóricos y conceptuales: 1. [IEEE]. (S. F). 1471-2000 - IEEE Recommended Practice for Architectural Description for Software-Intensive Systems. [Archivo web]. IEEE Computer Society, 2004. Recuperado de: http://standards.ieee.org/findstds/standard/1471-2000.html 2. [OWASP Foundation]. (S. F). Configuration, [Archivo web]. Recuperado de: http://www.owasp.org/index.php/Configuration 3. [CSRF]. (S. F). Cross-Site Request Forgery. [Archivo web]. CWE, 2010. Recuperado de: http://cwe.mitre.org/data/definitions/352.html 4. ESCAMILLA., & MURUKAN. (S. F). Anandha. Architecture and Design Review for Security: Cryptography. [Archivo web]. Microsoft, 2006. Recuperado de: http://msdn.microsoft.com/enus/library/ff648650.aspx#c05618429_012
Metodología: Se investigó sobre las vulnerabilidades más críticas en las aplicaciones web, y sobre las mejores prácticas para la prevención de vulnerabilidades; además, se desarrollaron laboratorios basados en estos conceptos, utilizando Webgoat, y apoyados sobre las publicaciones de OWASP.
Resultados: Luego de realizar diversas pruebas de penetración con validación de datos de entrada, autenticación, autorización, manejo de sesiones, manejo de la configuración y criptografía, se evidencia la necesidad de adopción de escenarios seguros.
Conclusiones: Mediante la investigación de vulnerabilidades consideradas como críticas, se pudo determinar la importancia y el riesgo que representan para la información que manejan las aplicaciones web. El uso y adopción de la metodología podría minimizar los costos de las soluciones correctivas de seguridad en las aplicaciones web.
Comentarios: El autor incluye la descripción de conceptos básicos para la apropiación del tema; no obstante, no se encuentran disponibles todas las mediciones obtenidas como resultado de las pruebas realizadas.

Elaborado por: Jefferson Aragón		Revisado por:

5. Marco Teórico

Estudios previos realizados de la seguridad en la nube para proteger la computación en la nube contra HTTO-DoS (ataques de denegación de servicios), realizados por Chonka, Xiang, Zhou, & Bonti (2011, p1097) nos exponen:

“La mayoría de los hackers se inclinan por usar herramientas basadas en la web menos complicadas como Lenguaje de Marcado Extensible (XML), Denegación de servicios y protocolo de transferencia de hipertexto (HTTP) Denegación de servicios (H-DoS).”

Es una de las razones por las cuales hemos centrado el estudio en seguridad en la web con protocolos HTTP y computación en la nube, viendo que esta es bastante afectada por estas personas inescrupulosas.

Respecto a conceptos básicos de computación en la nube existen nubes privadas y nubes públicas es lo que nos dice Sun (2020, p 1):

“Nube Privada: computación en la nube es corrida y manejada en un centro de datos de una organización, la cual es referida como nube privada. En una nube privada, las relaciones entre cliente y proveedor son más fáciles de identificar porque la infraestructura pertenece y es operada por l misma organización.

Nube Publica: las empresas, la academia u organizaciones de gobierno tienen un ambiente de nube público, el cual puede causar muchos problemas porque usuarios no conocen las ubicaciones o dueños de recursos, lo cual incrementa la dificultad de proteger los recursos de ataques.”

Es un aspecto bien importante para tener en cuenta y que nos permite darle un curso a la investigación, con el conocimiento de estas clasificaciones de la computación en la nube.

Imagen tomada de Sun (2020, p 2)

Sun nos habla también de otros términos como nube de comunidad, nube hibrida, nube virtual privada, almacenamiento de nube. Además, se observa en la imagen todo lo que hay que tener en cuenta cuando se habla de computación en la nube y seguridad de computación en la nube, lo que incluye seguridad privacidad en la nube, seguridad de privacidad de software, seguridad de infraestructura, seguridad de privacidad almacenamiento y seguridad de privacidad de la nube.

Mthunzi, Benkhelifa, Bosakowski, Guegan, & Barhamgi (2020, p 621) exponenen de la seguridad de la computación en la nube:

“Una creciente literatura indica que la vulnerabilidad de máquinas virtuales para ataques del lado del canal expone IaaS (Infraestructura como un servicio), PaaS (Plataforma como un servicio) and SaaS (Software como un servicio) a infracciones. Se propuso que existen al menos 60 dominios de seguridad en la arquitectura de la nube (Baars, & Spruit, 2012), con más dominios argumentables retoñando como nuevas implementaciones introduce nuevos aspectos de la nube.”

Se puede observar que es bastante amplio el campo de seguridad en la nube al hablar de 60 dominios involucrados. Lo que abre las puertas no solo a esta investigación sino muchas más que pueden ser llevadas a cabo a futuro.

Mthunzi, Benkhelifa, Bosakowski, Guegan, & Barhamgi (2020, p 622) también afirman:

“La computación en la nube esta repleta de cambios, la mayoría discutibles en la existencia del resurgimiento de pre-nube (Chen, Paxson, & Katz, 2010). Lo que claramente ha cambiado en el ambiente, por ejemplo, la encriptación para protección de datos y seguro de integridad.”

Como se observa la computación en la nube está llena de desafíos de seguridad, dentro de los cuales se podemos mencionar algunos: malware, ataques a los servicios web, perdida de datos, inseguridad de interfaces y de APIs, jaqueo, privilegios de acceso de usuarios, etc.

6. Marco Conceptual

La seguridad en la nube es una acción más frecuente en el siglo XXI, ya que el poder obtener la seguridad y la protección de datos ha generado mucha incertidumbre en el manejo de la información y de los datos confidenciales. En donde el objetivo principal es poder determinar los aspectos más relevantes para poder implementarla en el diario vivir en este caso aplicado a las organizaciones en donde se ha logrado identificar mediante varias investigaciones en donde se debe tener en cuenta infraestructuras para poder ejecutar esta acción de manera ideal y segura.

Las herramientas tecnológicas del siglo XXI de almacenamiento en la nube integra y abarca un aspecto único el cual es Big Data o en este caso el internet de las cosas en donde específica y variadamente se ha logrado desempeñar en la en todos los sectores productivos de la modernidad como el educativo el de la salud, industrial y de los servicios públicos.

Una de las grandes ventajas del CLOUD o la seguridad que ofrece la nube debido a su alta flexibilidad en donde se puede manejar los sistemas informáticos desde cualquier parte del mundo y con mucha dinamicidad lo hace muy conveniente y altamente flexible a la demanda existente de almacenamiento en la nube en donde se puedan aprovechar los recursos al máximo en donde se tendrá en cuenta lo siguiente

La Seguridad en la nube es trascendental el poder definirla debido a que ha sido mal interpretada en varias infraestructuras en donde no se define los alcances y se pueden crear usuarios no autorizados a información confidencial, entonces es bueno el poder definir una política de seguridad para acceder al entorno deseado por ende la seguridad en la nube debe poder clasificarse y categorizarse de acuerdo a los requerimientos debidos teniendo en cuenta las herramientas en este caso software para poder ejecutarla de manera segura y adecuada.

Referenciando la identificación del problema, de acuerdo a varias investigaciones es claro que los protocolos de seguridad no están definidos ni sus alcances para poder determinar e implementar los protocolos de seguridad adecuados mediante la adquisición de softwares o procedimientos de autenticidad del enrolamiento de la seguridad con base a estos se deben tener en cuenta varios aspectos como

· Ser responsable de lo que se tiene.

· Controlar los accesos

· Proteger los datos

Como aspecto fundamental estos tres pilares son la clave para la solución del problema en donde se podría contar con la infraestructura en donde se puede incluir la configuración de los sistemas operativos y aplicaciones que se estén manejando en donde se maneje la protección de la información y los datos. Otro error es el no saber proteger los datos ya que muchas veces por errores humanos exponemos información confidencial por ende las organizaciones deben verificar sus sistemas de seguridad constantemente alrededor de sus datos en la nube y también de los proveedores y socios de negocio y en el poder verificar quien tiene o no acceso a la información por ende ese es una de las características más importantes para el poder.

7. Marco Tecnológico

Cuando hablamos de almacenamiento en la nube existen ciertas compañías que ofrecen este servicio de manera pública como los son: Amazon Js storage, Google Cloud storage, y Rackspace Cloud Files entre otras compañías, Sin embargo (Wang, 2017) a firma: “aunque tiene muchas ventajas y ha sido buscado por muchas compañías de tecnologías de información. El almacenamiento en la nube no ha sido ampliamente usado, una de las importantes razones son los problemas de la seguridad de datos”. Por tal motivo queremos buscar un poco más de las consideraciones tecnológicas.

No hablando solamente de problemas de seguridad referentes a hackers, pero además de estos ¿qué otros problemas podemos encontrar? (Wang, 2017) nos expone: “en el almacenamiento en el ambiente de la nube, los datos no son usualmente almacenados en un solo nodo, pero son divididos en tramos, y son almacenados aleatoriamente en nodos de almacenamiento”. Esto podría ser bueno en cierto modo, debido a que reduce el tamaño de almacenamiento en archivos y puede prevenir de ataques que se realicen a un nodo ya que los datos están divididos en varios nodos. Sin embargo, puede ser perjudicial en cuanto a que si se ataca a un nodo muchos archivos quedaran desfragmentados, aunque la redundancia de datos puede tolerar cierta perdida.

Tecnológicamente hablando existe el esquema de almacenamiento seguro basado en código tornado, y las consideraciones que se deben tener en cuanta cuando se habla de este son: el modelo de almacenamiento, la confidencialidad de datos, recuperación de pérdida de datos, y el modelo del sistema de seguridad.

“Para usuarios, la confidencialidad de datos es unos de los temas populares en el campo de almacenamiento en la nube. Los datos son almacenados en un servidor remoto, y el usuario no tiene control sobre ellos. En todo el ciclo de vida de almacenamiento de datos, el usuario no puede monitorear el comportamiento del proveedor de servicios de la nube” (Wang, 2017). Consideración muy importante a tener en cuanto por parte de usuario, ya que muchas no saben y confían totalmente en el proveedor, pero debe saber que no hay seguridad absoluta en la nube. A continuación, se muestra la estructura universal de datos de almacenamiento en la nube.

Estructura universal de datos de almacenamiento en la nube

Figura tomada de (Wang, 2017).

Para el desarrollo del marco tecnológico es necesario definir las herramientas tecnológicas que se pueden emplear para el correcto desarrollo de las mismas como los lenguajes de programación en donde se han vuelto más complejos a lo largo de los años y estas tareas de programación se vuelven más desafiantes.

La NIST agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.

El Instituto Nacional de Estándares y Tecnología (NIST - National Institute of Standards and Technology) promueve la innovación y la competitividad industrial por medio de avanzadas mediciones, estándares y tecnología para mejorar la seguridad económica y la calidad de vida.

Desarrolla el programa NIST Cloud Computing, un modelo de gestión TI que permite el acceso compartido, bajo demanda, a diversos recursos informáticos (servidores, aplicaciones, otros), de manera rápida y bajo mínimos requerimientos de gestión y costos, y con la garantía de la permanente disponibilidad de información TOMADO DE https://www.mintic.gov.co/gestion-ti/4682:NIST-Cloud-Computing

Para el correo desarrollo se pueden ejercer estas diferentes metodologías

· Software SaaS: aplicación que se administra por un proveedor con una infraestructura que posee este en donde los clientes acceden por medio de una web en donde esencialmente los accesos son definidos por el proveedor.

· Acceso ilimitado a la red: Todo puede estar disponible sin necesidad de acceso físicos directos en donde la Red no está integrada al servicio.

· Adaptabilidad Rápida: Los clientes predeterminan los recursos que requieren en este caso en acceso directo con el proveedor se pueden ofrecer recursos como almacenamiento, procesamiento en donde todo depende del cliente.

Ahora hay que tener muy claro que existen 3 despliegues ofrecidos en este caso por el proveedor en la nube las cuales son:

· Nube Privada: Uso exclusivo de la organización en donde se administra por la misma empresa o por terceros.

· Nuble Hibrida: se combinan nubes públicas y privadas en donde se mantiene la finalidad que cada una pero se encuentran en una sola.

· Nube Colectiva: esta solo se usa exclusivamente por un grupo definido de organizaciones en donde son unidas por su política, su misión y su seguridad

· Nube Pública: Bien de una organización en donde se vende los servicios de la Nube a compañías u organizaciones.

(Ramírez, 2008) por su parte afirma: “Los medios TIC, los docentes y los estudiantes interactúan en un proceso de crecimiento, educación y aprendizaje que todos disfrutan del acceso al conocimiento en cualquier sitio y momento”.

En la actividad humana se deben aprovechar los medios para lograr ser más eficientes en el desarrollo integral como personas, y en la comunidad educativa se debe impulsar La implementación de las TIC para mejorar los procesos de enseñanza-aprendizaje. La computadora en sí no es una tecnología sino una herramienta que permite realizar tareas que no se pueden efectuar por otros medios existentes. Las TIC son el conjunto de técnicas de información y de comunicación es decir, medios, herramientas, aparatos o estrategias aplicadas con el objeto de comunicar e informar, que permiten trabajar con mayor información, con buena calidad, en tiempos muy cortos, además de una comunicación inter usuarios

8. Tipo de Investigación

El estudio es del tipo de investigación explicativa, con el modelo logramos identificar el fenómeno, el comportamiento de los distinto objetos, por lo que su metodología es netamente cuantitativa, siendo más específico en la problemática planteada y sustentándola con el apoyo de instrumentos de indagación. El enfoque de la investigación se centra en temas de seguridad en la nube. Con el tipo de investigación planteada identificamos los siguientes aspectos:

Objeto:

Es el Tema de investigación que se plantea Seguridad en la Nube.

Medio:

Se refiere a la metodología aplicada dentro del proyecto de investigación.

El sujeto:

Este actor toma el rol de investigador y una participación en la validación de la problemática.

Investigación de Campo donde se presenta la problemática, aquí el sujeto o investigador hace el levantamiento de información, y se sustenta entonces sobre los datos obtenidos previamente para investigar en referencia a la problemática planteada. Es por ello que la observación de manera presencial y directa con los actores Cliente y Proveedores.

Con base en los datos obtenidos y técnicas aplicadas se entrar a revisión frente a otros casos ya conocidos con el mismo problema. Se clasifican entonces algunos datos que tiene un origen externo y otros internos. Ya sean o del cliente o los prestadores de servicio en la nube, se determina así mismo el tamaño de la muestra es decir aquellos usuarios que tienen afectación por causa de esta problemática.

9. Enfoque de Investigación

Su enfoque principal se basa en la investigación sobre seguridad en la nube como lo indicamos de manera cuantitativa implementado herramientas de carácter exploratorio haciendo una aproximación mas especifica y detalla en términos de seguridad e integridad de la información.

Hacemos uso de las siguientes herramientas metodológicas; encuestas, entrevistas etc. Que nos llevan a un modelo cuantitativo dentro de los que podemos destacar:

• Encuestas con el Equipo de TI Tecnologías de la Información y el Cliente.

• Entrevistas al equipo de TI.

• Revisión, Análisis de datos.

10. Población y Muestra

La población es Colombia.

Muestra: se toma una parte de la ciudad de Cali.

Este grupo de componen de personal de TI de aquellas Organizaciones prestadoras de Servicios en la nube como son:

· Systems Cloud Team

· Network Cloud

· Plataform Cloud

· Security Cloud

· Data Base Cloud

El otro grupo son los clientes que hacen uso de estos servicios IAAS y que a su vez llegan a sus propios clientes

11. Formulación de Hipótesis

Mediante la investigación presente se pueden plantear diferentes hipótesis acerca de cuáles pueden ser las razones más comunes para que las empresas o las organizaciones guarden la información en la nube y hagan uso de estas más comúnmente para esto de usaran hipótesis descriptivas.

· La seguridad

· Acceso fácil y seguro a la información

· Evitar el gasto en licencias o softwares preventivos

Ahora bien las hipótesis son:

· Cuantos más accesos se crean para ingresar a la nube se deben mejorar los procedimientos de seguridad.

· Entre más se guarde información privilegiada en la nube más restrictivos se deben hacer los procedimientos.

· Se está más expuesto a ataques cibernéticos a medida que las empresas soportan más sus productos y servicios por medio de las TI.

Teniendo en cuenta los antecedentes que ha sido difícil poder adoptar la tecnología en la nube ya que los riesgos de ataque a la información son altos y el poder identificar estas amenazas en la mitigación de estos riesgos con la adopción nuevas tecnologías basadas en la prevención donde finalmente se podrán evidenciar si el uso de estas tecnologías tiene el resultado esperado.

12. Diseño de Instrumentos de Indagación

Como herramienta para el levantamiento de los datos se estableció la encuesta la que se construyó en la nube para que sea de acceso online desde un pc o móvil, con ella lograremos conocer de manera directa los resultados de la mismas que nos permitirán identificar los aspectos y per-sección que se tiene tanto desde la posición de las empresas que contratan estos servicios y hacen uso internamente y que ofrecen sus servicios a los usuario o clientes. También tiene como objetivo conocer desde la posición del cliente que es relevante e importante para este segmento de usuarios.

La encuesta se orienta a las (PyME), grandes organizaciones y clientes que hacen uso de estos servicios en la nube.

Estos son algunos aspectos a consideración:

• Servidores.

• Almacenamiento en la nube.

• Virtualización de equipos.

• Cómputo en la nube privado/público.

Link de acceso a la encuesta:

https://docs.google.com/forms/d/e/1FAIpQLSdQ0pO212stxNRsERvIz0wj0-QfWkdTFxz9BMKj17RtNKKvyw/viewform

13. Ingeniería del Proyecto: Describir paso a paso la metodología Propuesta

Investigación

Con la investigación se pretende mostrar la solución a la problemática planteada y que desde la óptica del equipo de investigación nosotros como estudiantes y consultores ofrecemos los servicios en temas de Seguridad en la Nube.

Por lo tanto, la investigación sustentada en la Tecnología, dará como resultado cuales deben ser los usos y las implementaciones aplicadas con base en las herramientas que se encuentra a la mano de las empresas para minimizar los riesgo en términos de seguridad, estableciendo a si mismo los controles, procedimientos y metodologías incorporadas para el desarrollo del proyecto en cada una de las fases o actividades. Se construye el cronograma el que debe ser la ruta para el equipo de trabajo y los clientes, con ello lograremos los objetivos trazados y finalmente la puesta en marcha.

Metodología incorporada en el Proyecto de Investigación.

Dentro de la metodología consideramos los siguientes pasos para su puesta en marcha:

· Sustentar y apoyar los análisis con base en los documentos técnicos de otras investigaciones Bibliográficas haciendo referencia a metodologías, procesos y aplicaciones tecnológicas que se incorporan en el ciclo de vida del proyecto.

· Llevar a cabo el levantamiento de información, necesaria en el Desarrollo metodológico para el equipo de trabajo.

· Estudiar y analizar las características de la metodología incorporadas en la investigación, sobre esta identificaremos que procesos dan alcance y cuales no según el ciclo de vida del proyecto.

· Trazar el diseñar de la estrategia metodológica y mostrarla como alternativa aplicándola para su uso en el desarrollo en la optimización de las fases del proyecto de investigación.

· Plantear una solución a la problemática, aplicando las respectivas pruebas de validación que permitan y garanticen que la herramienta tecnológica cuenta con todos los estándares de seguridad, como complemento de la estrategia metodológica.

· Colocar en marcha la ejecución del plan de trabajo que nos permitan dar alcance a una solución de la problemática planteada en la investigación.

Actores que hacen parte del equipo de investigación.

Dentro del recurso humano y profesional estamos considerando para su desarrollo al interior los integrantes del curso del Proyecto de Grado serán los investigadores, además de este recurso será necesario la participación de aquellos actores que ofrecen estos servicios a las empresas, como también de estas empresas y sus colaboradores, clientes finales que hacen uso de los servicios en la Nube.

Duración del proyecto de investigación

Se considera un estimado de 6 meses aplicando la metodología, con el acompañamiento de personal capacitado en manejo de seguridades en la Nube y como apoyo metodológico el tutor del curso.

14. Presupuesto

15. Cronograma

Impacto que genera la solución de la problemática encontrada en el entorno

De acuerdo a la investigación de los protocolos de seguridad en la nube y como una de las soluciones se puede decir que cada día son más las empresas que utilizan este tipo de solución en la Nube en donde específicamente se requiere tiempo para adoptarlas ta que también surgen riesgos.

· Uno de los beneficios es que con la adopción de este tipo se requiere una menor inversión de capital ya que no es necesario tener una licencia para poder realizarlo. en donde se tendrá un menor costo de implementación de interno de operación.

· Unas de ventajas antes de adoptar uno de estos procedimientos es que el administrador de la nube permite utilizar y hacer una verificación antes de comprar y un beneficio de valor agregado es poder decir que de acuerdo a la experiencia de los clientes se tiene mejores soluciones cada día

16. Conclusiones

Teniendo en cuenta el sin número de vulnerabilidades presentes en la actualidad, se hace, prácticamente, imprescindible la adopción de una tecnología como los WAF para mitigar las amenazas latentes.

Conforme avanza la tecnología, surgen nuevas vulnerabilidades que precisarán que las herramientas y metodologías adoptadas hasta entonces, deban ser actualizadas y optimizadas en pos de adaptarse a las amenazas emergentes.

El proyecto OWAF es un excelente referente en el que basarse para investigar, documentar e implementar entornos seguros para los sistemas web.

Se lograron identificar las herramientas de tecnología necesarias para el desarrollo del proyecto la nube oferta un sin número para ello y para cada requerimiento de cada cliente organización o persona con esto se entiende la funcionalidad que esta misma ofrece pero como principio fundamental es poder entender que se tiene y que se quiere proteger para de esta manera definir los mejores procedimientos de seguridad para ello.

Uno de los beneficios del poder dimensionar estas buenas prácticas de protocolos de seguridad en la nube es que si se realiza permitirá reducción de costos y adicional la seguridad de la información y continuidad de los negocios.

Bibliografía

Palladino, E. (2014). Administración y gestión de proyectos. Administración y gestión de proyectos (pp. 25-34). Buenos Aires, AR: Espacio Editorial. Recuperado de: http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=25&docID=11162736&tm=1482795267282

Pérez-Montoro, M. (2016). Gestión del conocimiento: orígenes y evolución (pp. 1-10). El Profesional De La Información, 25(4), 526-534. doi:10.3145/epi.2016.jul.02. Recuperado de: http://bibliotecavirtual.unad.edu.co:2051/login.aspx?direct=true&db=buh&AN=117565381&lang=es&site=ehost-live

Bataller, A. (2016). Planificación de proyectos. La gestión de proyectos (pp. 27-42). Barcelona, ESPAÑA: Editorial UOC. Recuperado de: http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?ppg=27&docID=11231227&tm=1482795056529

Estupiñan, J. (2013). Web Application Firewall-WAF (Bachelor's thesis, Universidad Piloto de Colombia). Recuperado de: http://repository.unipiloto.edu.co/bitstream/handle/20.500.12277/2917/00001884.pdf?sequence=1

Sun, P. (2020). Security and privacy protection in cloud computing: Discussions and challenges. Journal of Network and Computer Applications, 160, 102642. https://doi.org/10.1016/j.jnca.2020.102642

Mthunzi, S. N., Benkhelifa, E., Bosakowski, T., Guegan, C. G., & Barhamgi, M. (2020). Cloud computing security taxonomy: From an atomistic to a holistic view. Future Generation Computer Systems, 107, 620-644. https://doi.org/10.1016/j.future.2019.11.013

Chonka, A., Xiang, Y., Zhou, W., & Bonti, A. (2011). Cloud security defence to protect cloud computing against HTTP-DoS and XML-DoS attacks. Journal of Network and Computer Applications, 34(4), 1097-1107. https://doi.org/10.1016/j.jnca.2010.06.004

X. Galindo-Ramírez; M. A. Gómez Duarte; J. Hernández-Gutiérrez, “Seguridad en la nube, evolución indispensable en el siglo XXI”. Revista Vínculos: Ciencia, Tecnología y Sociedad, vol 16, n° 1, enero-junio 2019, 110-127. DOI: https://doi.org/10.14483/2322939X.15535

Wigodski, J. (13 de July de 2010). Metodología de la Investigación. Obtenido de Formulación de Hipótesis: metodologiaeninvestigacion.blogspot.com.co.

Traña, Nestor. (2018, Noviembre). Análisis Comparativo de Soluciones WAF Open Source. Universidad Nacional de Ingeniería. Managua, Nicaragua. Recuperado de: http://ribuni.uni.edu.ni/2707/1/92609.pdf

Baars, T. & Spruit, M. (2012) Analysing the security risks of cloud adoption using

the SeCA model: A case study

Chen, Y. Paxson, V. & Katz, R.H. (2010) What’s New About Cloud Computing Security.

Rep. vol. 20, no. 2010, Universidad de California, Berkeley, pp. 2010–2015.

Velasco, Pablo. (2011). Metodología para la prevención de incidentes de seguridad críticos en aplicaciones Web mediante la adopción de escenarios seguros. Universidad Autónoma de Occidente. Cali, Colombia. Recuperado de: http://red.uao.edu.co/bitstream/10614/1429/1/TIS00560.pdf

Wang, R. (2017). Research on Data Security Technology Based on Cloud Storage. Procedia Engineering, 174, 1340-1355. https://doi.org/10.1016/j.proeng.2017.01.286

Buscar este blog

Proyecto de Grado (UNAD) - Seguridad en la Nube

Propuesta Ampliada Paso 9