Ciberseguridad INCIBE 6

CIBERSEGURIDAD PARA
MICROEMPRESAS Y
AUTÓNOMOS
Unidad 6.
Ciberseguridad en la nube
Parte teórica
1
CONTENIDOS
1 INTRODUCCIÓN
2 SERVICIOS DISPONIBLES EN LA NUBE
3 MODELOS DE DESPLIEGUE: TIPOS DE INFRAESTRUCTURAS
4 CONTRATACIÓN DE SERVICIOS EN LA NUBE
5 CONSIDERACIONES LEGALES
6 RIESGOS Y AMENAZAS DE LOS SERVICIOS EN LA NUBE
7 PROTECCIÓN FRENTE A RIESGOS Unidad 6

2
OBJETIVOS
Los principales objetivos de esta unidad son:
• Entender de forma global qué es la nube y los diferentes servicios que una empresa puede contratar a través
de la misma.
• Aplicar criterios de seguridad al contratar aplicaciones web en la nube.
• Conocer los aspectos legales relacionados con el uso de la nube, centrándose en la Ley Orgánica de Protección
de Datos y Garantía de los Derechos Personales (en adelante, LOPDGDD) y la Ley de Servicios de la Sociedad de
la Información y de Comercio Electrónico (en adelante, LSSI-CE).
• Identificar los riesgos y amenazas de la contratación de servicios en la nube.
• Conocer y aplicar las medidas de protección que se han de llevar a cabo para protegerse de los riesgos
identificados previamente.
Unidad 6
3
1
INTRODUCCIÓN
Unidad 6
4
1 INTRODUCCIÓN
• Frente a las estrategias de software tradicionales, es decir, el alquiler de dispositivos tecnológicos y bases de datos
internas, el cloud pone al alcance de las pymes sistemas informáticos sin necesidad de comprarlos, solo
contratándolos como servicio. Se ha pasado de pagar por una aplicación o alquilar los equipos a pagar
únicamente por el tipo de uso que necesitemos.
• La tecnología de la nube permite al proveedor ofrecer aplicaciones y

servicios tecnológicos accesibles a través de la Red. Se puede acceder a
estos servicios desde cualquier lugar y con disponibilidad total todos los días
del año. Además, se puede contratar al proveedor el despliegue de las
aplicaciones de la empresa en la nube. En cualquier caso, se establecen
acuerdos de nivel de servicio (o SLA del inglés Service Level Agreements) en
los que se definen las responsabilidades del mantenimiento, actualización,
incidencias, disponibilidad y recuperación.
Unidad 6
5
1 INTRODUCCIÓN
• El cloud se basa en ofrecer los mismos recursos a los clientes desde equipos en Red. Esto quiere decir que se
ofrece el mismo software (en las mismas versiones) para todos, por lo que se consigue mayor fiabilidad, flexibilidad y
escalabilidad, y mejoras en el rendimiento. Por esto, también es más interoperable, es decir, se puede integrar con
mayor facilidad y rapidez con el resto de las aplicaciones empresariales (en cloud o no).
• Este nuevo modelo evita a la empresa o cliente que contrata el servicio cloud la inquietud de adquirir y mantener
la infraestructura y los elementos técnicos de la misma, que son ofrecidos por el proveedor como una aplicación
o servicio.
• Los servicios que se pueden contratar en la nube pueden ser: bases de datos, servidores de correo electrónico,
almacenamiento, servidores web, herramientas de gestión, servidores de aplicaciones, entornos de desarrollo, redes,
etc.
Unidad 6
6
1 INTRODUCCIÓN
Modelo tradicional vs modelo cloud
Frente al modelo tradicional surge el modelo cloud, que traslada los servicios ofrecidos y la infraestructura IT al
proveedor en la nube.
Tradicional Cloud
INFORMACIÓN INFRAESTRUCTURA IT
INTERNET
INFORMACIÓN SERVICIOS
INFRAESTRUCTURA IT
SERVICIOS INTERNET
INFORMACIÓN
USUARIOS FINALES Unidad 6
ENTORNO DE USUARIO Ciberseguridad en la nube
7
1 INTRODUCCIÓN
Así, desde tu empresa o desde dispositivos conectados a Internet (mediante interfaces web o con aplicaciones) tus
empleados y colaboradores tendrán acceso a los servicios que necesiten, como, por ejemplo:
• Salesforce CRM: software para la administración de la relación con

clientes (ventas, marketing…) o CRM.
• Gmail: servicio de correo electrónico que forma parte de Google Apps
(Calendar, Drive, Docs), un paquete de productividad en cloud para
negocios.
• Office 365: suite de servicios como correo, gestión documental,
mensajería instantánea, etc.
• Dropbox: servicio que permite a los usuarios almacenamiento en la nube
y sincronización de ficheros en línea desde diferentes dispositivos.
¿CONOCES LAS VENTAJAS E INCONVENIENTES DE ESTAR EN LA NUBE?

Unidad 6
TemáTICas: seguridad en la nube [1] Ciberseguridad en la nube
8
1 INTRODUCCIÓN
El cloud es posible debido a la evolución y unión de varias tecnologías:
Capacidad de procesamiento o de cálculo: desde la aparición de la informática, la capacidad de

cálculo de los ordenadores ha ido creciendo de forma exponencial. La evolución de la tecnología
permite crear clústeres de ordenadores (ordenadores conectados con redes de alta velocidad) cuya
capacidad de procesamiento es aún mayor. Los proveedores de cloud han visto en esto una
oportunidad de negocio: ofrecer capacidad de procesamiento de alquiler.
Capacidad de almacenamiento: la evolución tecnológica hace posibles infraestructuras de

almacenamiento más eficientes en cuanto a capacidad y velocidad de transferencia. El cloud permite
a las pymes tener al alcance sistemas de almacenamiento rápidos y de gran capacidad sin
necesidad de disponer de infraestructura.
Unidad 6
9
1 INTRODUCCIÓN
Acceso a Internet: la conexión a Internet se ha extendido y abaratado, permitiendo que el número de
conexiones aumente y aparezcan nuevos tipos de negocio que aprovechan esta conectividad como,
por ejemplo, las redes sociales o el e-commerce. Para los proveedores de servicios en cloud,
Internet es esencial como medio de acceso de sus clientes.
Dispositivos móviles: la aparición de tabletas, teléfonos móviles inteligentes, etc., hace posible que
podamos estar siempre conectados y acceder a los recursos de la empresa, incluso cuando
estamos de viaje o desplazándonos. Las aplicaciones cloud aprovechan esta funcionalidad para
ofrecer servicios y aplicaciones móviles (gestión de flotas, partes de obra…).
Virtualización: es un mecanismo software que permite utilizar un equipo para «hospedar» a

otros diferentes. El software de virtualización hace que una máquina pueda albergar virtualmente a
otras distintas y comportarse como ellas. Esta tecnología se aprovecha en algunos servicios cloud y
proporciona al proveedor flexibilidad para mover y reservar los recursos.
Unidad 6
10
1 INTRODUCCIÓN
Aunque te pueda parecer que esta información no está

destinada a autónomos o pymes, ¡estás equivocado!
Como vas a ver a continuación, esto te interesa… ¡y mucho!
Unidad 6
11
1 INTRODUCCIÓN
¿SABIAS QUÉ?
• El 99,3% de las pymes y grandes empresas tienen ordenadores y el 98,4% disponen de conexión a Internet,
frente al 95,3% del teléfono móvil.
• Empresas que han comprado alguno de los siguientes servicios de computación en la nube (%):
Email Servidor de bases de datos

78,2 68,6
79,4 68,4
77,6 69,1 Total
79,5 69,4 10 a 49 empleados
Software office Almacenamiento de ficheros 50 a 249 empleados
250 o más empleados
56,1 75,6
53,4 76,1
61,0 76,1
70,0 73,8
Fuente: Representación gráfica sobre la compra de servicios de

computación en la nube. Elaboración propia a partir de datos INE 2019. Unidad 6
12
1 INTRODUCCIÓN
CARACTERÍSTICAS DE LA NUBE
Se refiere al cálculo del precio en función de las necesidades del cliente de una manera flexible.
PAGO POR USO Si necesitamos más rapidez de servicio debido a un gran volumen de trabajo, solicitaremos más
recursos y solo tendremos que hacer un pago adicional por el uso extra.
Debido a que los recursos están alojados en la Red, se puede acceder a los mismos desde
ACCESO DESDE cualquier lugar.

LA RED Es posible acceder a la gestión de nuestras aplicaciones y como usuarios, desde distintas
oficinas o desde el teléfono móvil.
Los recursos computacionales (servidores, comunicaciones, almacenamiento, máquinas
RECURSOS virtuales, etc.) están en reservas comunes para aquellos clientes que contraten un servicio de
COMPARTIDOS nube pública, es decir, se comparte hardware y software.
Disponemos de recursos que de otra forma no podríamos costear.
Unidad 6
13
1 INTRODUCCIÓN
CARACTERÍSTICAS DE LA NUBE
Los clientes pueden redimensionar sus propias necesidades de recursos (memoria,
RECURSOS A almacenamiento, comunicaciones, …) de manera rápida y eficaz en casi cualquier momento.

LA CARTA Si aumenta nuestra necesidad de recursos podemos cambiarla desde el panel de control de cloud
y estará a nuestra disposición al instante.
El control y optimización de recursos están automatizados por los procesos de la nube gracias a
su capacidad de evaluación, siendo este procedimiento transparente para el cliente que contrata
SERVICIO el servicio.
SUPERVISADO
No tenemos que prever la compra de más equipos o de nuevas licencias de software, ni
tendremos que contratar técnicos para mantenimiento de equipos.
Unidad 6
14
1 INTRODUCCIÓN
VENTAJAS DEL USO DE LA NUBE
AHORRO DE El ahorro de recursos se debe a una minimización de costes de infraestructura y su

COSTES mantenimiento, licencias de servicio, etc. Se paga por uso de los procesos.
Los recursos (equipos, técnicos, etc.) se utilizan cuando existe la necesidad de uso y el cliente
OPTIMIZACIÓN DE está dispuesto a hacer un pago adicional por este servicio. Si tenemos un gran volumen de
RECURSOS trabajo, utilizaremos más recursos. Esto supone un ahorro en la infraestructura que
tendríamos que adquirir si queremos cubrir esos picos.
La información y las aplicaciones están almacenadas en la nube y en distintas ubicaciones. Si

RECUPERACIÓN
se produjera algún fallo o incidente grave, esa información seguiría siendo accesible y
ANTE DESASTRES
disponible para poder recuperarla.
Unidad 6
15
1 INTRODUCCIÓN
VENTAJAS DEL USO DE LA NUBE
TECNOLOGÍA La persona que provee el servicio en la nube es el responsable de realizar las tareas de
ACTUALIZADA Y
SEGURA mantenimiento del sistema, que son transparentes para el cliente.
DEDICACIÓN AL Al reducir el volumen de trabajo para la gestión de los sistemas TIC, podemos emplear una
NEGOCIO mayor atención en la gestión de nuestro negocio y los procesos asociados.
DESVENTAJAS DEL USO DE LA NUBE
Al consumir los servicios cloud no tendremos acceso a las ubicaciones donde se están
PÉRDIDA DE almacenando y ejecutando las aplicaciones que hemos contratado. Cedemos nuestros datos e
CONTROL información directamente al proveedor. Por ello, es importante verificar las condiciones del
contrato del servicio: ubicación, accesibilidad, responsabilidades, etc.
Unidad 6
16
1 INTRODUCCIÓN
DESVENTAJAS DEL USO DE LA NUBE
CONFIDENCIALIDAD Las bases de datos de nuestra empresa (información confidencial, facturación, …) va a

Y SEGURIDAD EN estar almacenada en los servidores del proveedor y, en caso de que sufra un incidente
LOS DATOS
técnico o fallo de seguridad, esta información puede verse comprometida.
La nube, como cualquier otro servicio, no está exenta de incidentes por causa humana o
DISPONIBILIDAD
tecnológica. Como consecuencia de ello, los servicios que hemos contratado podrían no
DEL SERVICIO
estar disponibles.
El acceso a las aplicaciones está condicionado a la conexión de Internet. Si estamos

ACCESO A
desconectados por algún motivo, no tendremos acceso a ninguna de las aplicaciones del
INTERNET
servicio que hemos contratado.
Unidad 6
17
Unidad 6
18
Como clientes de servicios en la nube podemos contratar:

• Aplicaciones finales que podrás administrar desde una interfaz web.
• Plataformas para almacenamiento, desarrollo, servidores web, etc.
• Infraestructuras completas (centros de datos, comunicaciones, …).
Unidad 6
19
Servidores
Aplicación
Portátiles Ordenadores
de sobremesa
Telemedida Contenidos Colaboración Comunicación Finanzas
Plataforma
Almacenamiento Identificación Ejecución Colas Bases de datos

Infraestructura
Computación Almacenaje de bloques Redes

Teléfonos Tabletas
Unidad 6
Computación en la nube Ciberseguridad en la nube
20
Los servicios que una empresa puede contratar en la nube se ofrecen en tres niveles diferentes, en función
del control que el usuario final tenga sobre la infraestructura tecnológica.
Como es lógico, no todos los clientes tienen las mismas necesidades y, por lo tanto, existen diferentes opciones de
contratación.
OPCIONES DE CONTRATACIÓN
1 2 3
SaaS PaaS IaaS
Software as a Service Platform as a Service Infrastructure as a Service
(software como servicio) (plataforma como servicio) (infraestructura como servicio)
Cloud Computing: diferencias entre laaS, PaaS y SaaS [2].
Unidad 6
21
SaaS - Software como servicio
• El cliente utiliza software como, por ejemplo, una aplicación de nómina alojada en la nube, que el proveedor le
proporciona.
• Se puede acceder y administrar las aplicaciones desde diferentes dispositivos a través de una interfaz web o una
aplicación.
• El cliente no gestiona ni controla la infraestructura existente en la nube. Este proceso es totalmente
transparente para él.
Ejemplo: correo electrónico a través de web, almacenamiento tipo Dropbox, un blog sencillo (tipo Blogger o
Wordpress.com) o herramientas para la creación sencilla de páginas web, tipo Wix, Weebly, Jimdo, etc.
Unidad 6
22
SaaS - Software como servicio
Adecuado para organizaciones que solamente necesitan aplicaciones que el proveedor proporciona y se ajustan
a sus necesidades.
No existen costes tecnológicos de hardware, software y soporte técnico. Suele ser atractivo para pymes.
VENTAJAS INCONVENIENTES
• Reducción drástica de costes. • Integración con aplicaciones existentes en la

• Reducción de tiempos debido a que el software organización.
ya está instalado. • Incertidumbre en relación al dueño de las
• Escalabilidad. aplicaciones.
• Facilidad de uso. • Gran dependencia del proveedor.
Unidad 6
23
PaaS - Plataforma como servicio
• El cliente despliega sus propias aplicaciones en la infraestructura proporcionada por el proveedor, que da una
plataforma de procesamiento completa al usuario.
• El cliente no gestiona ni controla la infraestructura existente en la nube. Este proceso es totalmente transparente
para él.
• El proveedor proporciona al cliente la capacidad de gestionar las aplicaciones desplegadas y la posibilidad de
controlar las configuraciones de entorno (tipo de base de datos, capacidad de almacenamiento, número de
usuarios, permisos…).
Ejemplo: correo electrónico corporativo que instalamos en la plataforma o una web que creamos y mantenemos
nosotros, instalando aplicaciones, como el gestor de contenidos o CMS (Drupal, Joomla, Wordpress.org) en un
servicio de alojamiento compartido (que nos proporciona la base de datos y el entorno de desarrollo web).
Unidad 6
24
PaaS - Plataforma como servicio
Adecuado para organizaciones que deseen desarrollar sus propias aplicaciones sobre la infraestructura que
proporciona el proveedor.
Conlleva unos costes de soporte y software. Bastante atractivo para las pymes.
• Facilidad para administrar la plataforma. • Dependencia del proveedor.
• Sencillez a la hora de permitir un desarrollo • Dudas sobre la confidencialidad de los datos.
propio.
• Facilidad de integración con el resto de la
plataforma.
Unidad 6
25
IaaS - Infraestructura como servicio
• El cliente dispone de la infraestructura completa, es decir, del hardware necesario como servidores, sistemas de
almacenamiento, dispositivos de comunicaciones, etc.
• El cliente puede instalar el software necesario y desplegar sus propias aplicaciones desde cero.
Ejemplos: redes internas de empresa (infraestructura corporativa), sistemas de respaldo, hosting y centros virtuales de
datos.
Adecuado para organizaciones que necesitan una mayor versatilidad, ya que permite ejecutar prácticamente
lo que la organización desee.
Coste elevado, ya que la organización es la encargada de mantener todo el software y el hardware virtual. No es
muy atractivo para las pymes.
Unidad 6
26
IaaS - Infraestructura como servicio
• Flexibilidad en relación a la infraestructura • Soporte ofrecido, ya que al estar

necesaria por el cliente. externalizado el servicio, es más
• Rapidez de instalación. complicado solucionar el problema de una
• Facilidad al desplegar las aplicaciones del forma rápida.
cliente.
Unidad 6
27
3 MODELOS DE DESPLIEGUE
Unidad 6
28
Independientemente de las diferentes formas de contratación que hemos visto, existen

distintas formas de prestar los servicios cloud, según el grado en el que se
comparten los recursos.
Por ello, dependiendo de las necesidades de la organización, de dónde se encuentren
instaladas las aplicaciones de esta y de qué clientes puedan usarlas, se hace una
distinción entre los siguientes tipos de nube.
Unidad 6
29
Una infraestructura cloud para muchos clientes.

NUBE
PÚBLICA Adecuado para negocios que no temen compartir recursos.
Gran capacidad de expansión (escalabilidad) a bajo coste.
Uso exclusivo para cada cliente de cloud.
NUBE
PRIVADA Adecuado para cuando no se prevé aumentar recursos a corto plazo.
Diseño específico.
Una parte en nube privada y otra en nube pública.
NUBE Las aplicaciones fundamentales para el negocio en la parte privada.
HÍBRIDA
Útil si se necesita aumentar recursos a corto plazo (sobre la parte pública).
Nube compartida entre organizaciones o empresas con objetivos similares.

NUBE
COMUNITARIA o Proporciona los beneficios de una nube y privada a varias organizaciones.
«Multicloud»
Costes compartidos.
Unidad 6
30
Nube pública
• La infraestructura es compartida entre varios clientes de VENTAJAS

cloud. • Escalabilidad.
• Está disponible para el público en general. • Ahorro de tiempo y costes.
• La propiedad de la nube es de una organización externa. • Mayor eficiencia de los recursos.
Ejemplo: • Google Drive gratuito.
• Dropbox. INCONVENIENTES
• La infraestructura es compartida.
• Hay poca transparencia para el cliente de
cloud, ya que se desconoce el resto de
recursos que se pueden estar compartiendo.
Unidad 6
31
Nube privada
• La infraestructura es única para una organización. VENTAJAS

• La nube puede ser manejada por la organización o por un
• Cumple con las políticas internas,
tercero.
ofreciendo mayor seguridad que la pública.
• Puede estar dentro o fuera de las instalaciones.
• Control total de los recursos.
•Ejemplo: • Amazon VPS.
• IBM Softlayer. INCONVENIENTES
• Elevado coste.
• Dependencia de la infraestructura contratada.
Unidad 6
32
Nube híbrida
• La nube híbrida es una combinación entre nube pública y VENTAJAS

privada.
• Maximiza el valor al utilizar recursos
• Los diferentes usuarios (clientes de cloud) tienen partes
privados y compartidos.
compartidas y partes privadas.
• Reducción de costes.
• Las diferentes nubes que la forman son entidades
separadas, pero unidas por la misma administración. INCONVENIENTES
Ejemplo: • VMware vCloud Air.
• Riesgo al combinar dos modelos de
• IBM Bluemix.
implementación diferentes.
• Control de la seguridad entre ambas nubes.
Unidad 6
33
Nube comunitaria o «Multicloud»
• La nube comunitaria es aquella en que la infraestructura VENTAJAS

tecnológica se comparte entre diversas organizaciones u
• Proporciona los beneficios de una nube y
empresas que mantienen objetivos similares.
privada a varias organizaciones.
• Puede ser gestionada por las propias organizaciones o
• Costes compartidos.
por un tercero y puede establecerse en las propias
instalaciones de la comunidad o grupo o fuera de ellas. INCONVENIENTES
Ejemplo: • IBM Federal Community Cloud.
• Infraestructura compartida.
• Windows Azure US Government Cloud.
• Posibles conflictos entre las organizaciones
• AWS GovCloud.
involucradas.
Unidad 6
34
4 CONTRATACIÓN DE SERVICIOS EN LA NUBE
Unidad 6
35
4 CONTRATACIÓN DE SERVICIOS EN LA
NUBE
Cuando una organización contrata un servicio, es necesario conocer qué

servicio y qué forma de prestación necesita para poder elegir al proveedor que
mejor se adecúe a sus propias necesidades.
Unidad 6
36
NUBE
A la hora de elegir un proveedor, se deben tener en cuenta diferentes aspectos:

• Tratamiento y protección de los datos.
• Ubicación de la información confidencial.
• Opciones de portabilidad de los datos.
• Productos y servicios ofertados.
• Contratos de nivel de servicio.
• Unilateral: no se puede negociar el acuerdo; sería el caso de nubes públicas.
• Parcialmente definido: se pueden negociar algunas cláusulas del contrato; más común en nubes híbridas y
privadas.
• Negociable: el servicio se puede negociar casi en su totalidad; habitual en nubes privadas.
Unidad 6
37
NUBE
ACUERDOS DE NIVEL DE SERVICIO
Aspectos a negociar
Seguridad Privacidad Escalabilidad Disponibilidad
En cualquier caso, todos los puntos a tratar dependerán del servicio que se contrate, aunque es recomendable
tener en cuenta lo siguiente:
• Medidas de seguridad adoptadas por el proveedor para conservar nuestros datos.
• Confidencialidad de los datos almacenados por el proveedor.
• Calidad de servicio por parte del proveedor.
• Seguridad en las transacciones de datos.
Unidad 6
38
NUBE
Todo esto está muy bien, pero ahora me surgen algunas dudas respecto a la contratación: ¿qué
acuerdo de nivel de servicio puede adecuarse más a mis necesidades?
Eso depende de la personalización que quieras tener del servicio y del dinero
que quieras invertir en el mismo.
Debes de saber que, cuanto más personalizado sea el servicio, más
coste tendrá el mismo.
SERVICIO + PERSONALIZADO COSTE + ELEVADO
Unidad 6
39
Unidad 6
40
Cuando se decide contratar un servicio alojado en cloud es importante tener en
cuenta el factor de las condiciones legales existentes, tanto del país donde
reside la empresa como del país del proveedor que ofrece el servicio en la nube.
En el caso de España, además del Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo de 27 de abril de 2016 (en adelante RGPD), será de
aplicación la Ley Orgánica de Protección de Datos y Garantía de los Derechos
Digitales (en adelante LOPDGDD), que se cumple gracias a la actuación de la
Agencia Española de Protección de Datos.
Esta ley pretende:
«Garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los
derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y
familiar».
Unidad 6
41
Localización del proceso (infraestructura)
Es importante conocer la localización de la infraestructura cloud, pues el proveedor puede

proporcionar la estructura directamente desde sus instalaciones o contratar a su vez los servicios
a terceros.
SUBCONTRATACIÓN
Se da cuando el proveedor no dispone de los recursos e infraestructura propias y la subcontrata a terceros.

Este proceso puede ser sucesivo, permitiendo redimensionar los recursos de la nube, adaptándose a las
necesidades de los clientes.
Unidad 6
42
Localización del proceso (infraestructura)
LOCALIZACIÓN
Cuando se contrata un servicio cloud es importante saber dónde están localizados los proveedores.
Este hecho condicionará las consecuencias legales por incumplimiento, como verás después.
TRANSPARENCIA
Los servicios cloud pueden ser auditables o transparentes en función de:

• La posibilidad de solicitar información acerca de cuándo, dónde y quién ha almacenado o procesado sus datos
confidenciales.
• Las políticas de seguridad.
Unidad 6
43
Localización de datos
Si tratamos con datos de carácter personal, es importante saber en qué país residirán los datos que subimos al cloud,
pues si se encuentran alojados en países del Espacio Económico Europeo (EEE) se considera que son países
adecuados para la recepción de datos de acuerdo con la normativa europea y nacional.
En caso de que estén fuera del EEE podría tratarse de una transferencia internacional de datos, y en esta situación
sería necesario asegurar que dicho país ofrece unos niveles jurídicos de protección de datos equivalentes a los del
EEE [3].
Las transferencias de datos internacionales que no reúnan los niveles jurídicos de protección de datos equivalentes a
los del EEE, requerirán una previa autorización de la Agencia Española de Protección de Datos o, en su caso, de las
autoridades autonómicas de protección de datos.
Unidad 6
44
Localización de datos
Ejemplos de transferencia de datos internacional: transferencia monetaria entre un banco español y un banco
americano, registro de un usuario en eBay.es, etc.
INFRAESTRUCTURA
DATOS
CONTRATACIÓN
Unidad 6
45
El acuerdo entre una empresa o un cliente y proveedor

se realizará a través de un contrato de prestación de
servicios, que debe incorporar las políticas a las que
obliga el RGPD y la LOPDGDD.
¿SABIAS QUÉ?
Según el RGPD: dato personal es toda información sobre una persona física identificada o identificable («el
interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación,
datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona…
Unidad 6
46
El contrato de prestación de servicios entre proveedor y cliente puede ser:
NEGOCIADO
El cliente puede fijar las condiciones de contratación en relación a:
• Tipo de datos que va a procesar.
• Medidas de seguridad.
• Localización de los datos.
• Portabilidad de los mismos
ADHESIÓN
El cliente no puede fijar las condiciones de contratación.

Se tiene que adaptar a las que fija el proveedor, que son iguales para todos sus clientes.
Este suele ser el caso más común en cloud pública o híbrida.
Unidad 6
47
El contrato de prestación de servicios entre proveedor y cliente puede ser:
MIXTO
En este caso, el cliente va a poder fijar únicamente parte de las condiciones del contrato, otras vendrán determinadas
por el propio proveedor.
Estas condiciones, que el cliente va a poder determinar, varían en función de la flexibilidad del proveedor.
Unidad 6
48
Después de todo lo que has estado viendo, podemos aclarar algunas cuestiones importantes
sobre la protección de datos.
Como puedes comprobar ahora, si tratas con «datos de carácter personal», ¡esto te afecta a
ti y a tu empresa, independientemente del tamaño de esta!
¿Cuál es mi papel como cliente de un servicio cloud a la hora de cumplir con la

Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales?
Como cliente, eres el responsable del tratamiento de los

datos personales.
El proveedor es un simple prestador de servicios que actúa como
encargado del tratamiento según la ley.
Unidad 6
49
Me queda claro, soy el responsable, pero en función de lo que me acabas de decir…
¿qué garantías debe incorporar el contrato?
Aquellas que nos den un nivel de protección igual al que ofrece el

Espacio Económico Europeo. Las garantías proporcionadas por las
empresas ubicadas en los Estados Unidos se tendrán que gestionar a
través de los mecanismos provistos por la ley debido a la anulación del
acuerdo con Estados Unidos (Safe Harbour).
En cualquier caso, es necesario preguntar al proveedor si va a haber
transferencias internacionales y qué garantías tienen. Si los datos están
en terceros países las autoridades pueden reclamar esos datos, por lo
que el proveedor debería avisar al cliente en estos casos.
En Europa la tendencia de la UE es la de ir hacia un mercado único digital europeo. Unidad 6

50
Más información en el apartado de referencias [4].
Creo que las garantías necesarias me han quedado claras pero,
¿qué medidas de seguridad debo exigir?
Las medidas de seguridad exigibles van a depender de la sensibilidad de los datos que se quieren tratar y serán
las necesarias para:
• Asegurar la integridad de los datos y su recuperación.
• Evitar accesos no autorizados.
Así, los datos relacionados con la salud, ideología, religión, etc., son más sensibles que los meramente identificativos y
las medidas exigibles serán acordes según el reglamento de desarrollo de la LOPDGDD.
Además, si deseas acceder a los datos a través de redes de comunicaciones (por ejemplo, Internet o redes
inalámbricas) se tendrán que contemplar medidas de seguridad que garanticen un nivel de seguridad equivalente al
acceso en local.
Unidad 6
51
Muchas gracias por todas las aclaraciones, pero aunque sepa las medidas de
seguridad que debo exigir, ¿cómo puedo saber que estas medidas se están
cumpliendo correctamente?
• El cliente tiene derecho a acceder a los registros que permiten saber quién o quiénes han
accedido a los datos.
• El proveedor puede acreditar haber superado una certificación de seguridad adecuada.
• El cliente de cloud puede requerir que un tercero audite la seguridad según los estándares
establecidos.
• El proveedor del servicio debe notificar al cliente sobre cualquier incidente de seguridad.
Unidad 6
52
En cualquier caso, si en algún momento mi relación con el proveedor se extingue, ¿cómo puedo
estar seguro de que voy a recuperar los datos de los que soy responsable?
El proveedor debe entregar toda la información de forma segura al cliente para que este
la guarde en sus propios sistemas o la transfiera a otro proveedor.
Pero una vez que ya he migrado mis datos a otro sitio… ¡el proveedor que tenía puede haberse
quedado con mis datos!
¿Qué hago para saber si realmente los ha borrado?
Antes de extinguir el contrato deben establecerse medidas adecuadas que aseguren el

borrado seguro de los datos cuando el cliente lo desee o cuando el contrato finalice. Esto se
puede hacer a través de una certificación de destrucción que emite el proveedor.
Unidad 6
53
LSSI o LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y EL COMERCIO ELECTRÓNICO [5].
• El objeto de esta ley es regular el régimen jurídico de aquellos que presten servicios relacionados con la
sociedad de la información.
• Esta ley afecta a empresas con páginas web o que hagan envíos publicitarios por correo electrónico, siempre y
cuando estas actividades se realicen con fines lucrativos, como pueden ser la contratación online, ofrecer
información o publicidad sobre productos, servicios de intermediación o comercio electrónico.
• En referencia a los prestadores de servicios establecidos en un estado miembro de la Unión Europea o del
Espacio Económico Europeo, se les aplicará esta ley en función de los servicios que ofrezcan (para más
información, consulta la Ley de Servicios de la Sociedad de la Información).
• Para los prestadores que estén ubicados en estados que no pertenecen a la Unión Europea o al Espacio
Económico Europeo, les será también de aplicación esta ley, si no es contraria al convenio internacional.
• Además, los contratos suelen incluir la jurisdicción aplicable en caso de que pudieran existir conflictos.
Unidad 6
54
6 RIESGOS Y AMENAZAS DE SERVICIOS EN LA NUBE
Unidad 6
55
6 RIESGOS Y AMENAZAS DE SERVICIOS EN
LA NUBE
El uso del cloud computing lleva asociados amenazas y riesgos que es necesario conocer y saber gestionar [6].
Este conocimiento y gestión implica que la información debe permanecer protegida y disponible en cualquier
momento.
Unidad 6
56
LA NUBE
Las amenazas que se van a citar a continuación tienen como objetivo ayudar a las organizaciones en la toma de
decisiones y en su estrategia de cloud. Las amenazas más críticas que se identifican son las siguientes:
1. Acceso. Si no se llevan a cabo las políticas de seguridad acordadas con el proveedor de cloud
no habrá opción de controlar los accesos de los empleados a información de carácter
confidencial, lo que puede provocar una divulgación de datos, inyección de código malicioso, etc.
2. Amenazas internas. Cuando los trabajadores salen de la organización (fin de contrato o

despido), se debe notificar al proveedor de servicios cloud su baja para evitar que sigan teniendo
acceso a la información.
3. Interfaces. Uno de los incidentes más comunes es cuando las interfaces que ofrece el
proveedor para acceder a la plataforma en la nube no cumplen con los estándares de seguridad
y presentan vulnerabilidades que pueden ser aprovechadas por terceros.
Unidad 6
57
LA NUBE
4. Problemas derivados del uso de las tecnologías compartidas. Se suele dar en modelos de
infraestructura como servicio (IaaS). Si contratamos el servicio de una infraestructura compartida existe el
riesgo de que por un bajo umbral de seguridad otras organizaciones puedan acceder a nuestros datos.
5. Fuga de información. Si nuestra organización lleva a cabo muchas operaciones con el cliente al cabo del
día y estas no están cifradas, puede producirse una fuga de información.
6. Suplantación de identidad. Esto sucede cuando a una persona le roban las credenciales de usuario y
acceden a la plataforma en su nombre, pudiendo manipular la información.
7. Desconocimiento del entorno. Si los empleados responsables de verificar que se están cumpliendo las
políticas de seguridad no conocen el entorno cloud, estas no serán óptimas.
8. Ataques de hacking. Sucede cuando una persona maliciosa intenta robar o acceder a la información que
maneja alguno de los empleados de nuestra organización o el administrador de la plataforma.
Unidad 6
58
LA NUBE
Es necesario realizar una evaluación de los riesgos antes de implementar una solución cloud. A continuación, se
enumeran los riesgos que se han considerado más importantes:
1. Acceso de usuarios con privilegios. Este riesgo sucede cuando un empleado con acceso
autorizado tiene en su poder información sensible o lleva a cabo acciones de forma maliciosa
(por ejemplo, exempleados) alterando datos o ajustes de configuración. También es posible que
se asignen roles de acceso por error a empleados que no deban tenerlos y estos por incidentes
involuntarios provoquen daños.
2. Cumplimiento normativo. Este tipo de riesgos aparecen cuando el proveedor cloud no cumple,
o no nos permite cumplir con los estándares y políticas legales. Por este tipo de acciones
comprometidas nos podemos enfrentar a sanciones legales.
Unidad 6
59
LA NUBE
3. Localización de los datos. Surge cuando se contratan servicios cloud a una empresa que
aloja nuestra información confidencial en un centro de datos del cual desconocemos su
ubicación. Por ello, si tratamos con datos personales o sensibles, en caso de alojarse fuera del
Espacio Económico Europeo, es clave que se garanticen las políticas jurídicas vigentes.
4. Aislamiento de datos. Si nuestra empresa comparte la infraestructura con otra es necesario

que el proveedor gestione que nuestra información no la intercambie con la de la otra
organización.
5. Recuperación. Si la copia de seguridad de nuestro proveedor sufre un fallo y no tiene la

información replicada en otra ubicación de datos, no nos podrá seguir prestando el servicio.
Unidad 6
60
LA NUBE
6. Soporte investigativo. Si sucede cualquier incidente y necesitamos revisar quién ha tenido

acceso a la información, es necesario que estos no estén mezclados con los de otros clientes.
7. Viabilidad a largo plazo. Existe el riesgo de que las cláusulas del contrato sufran alguna
modificación debido al cambio de estructura del proveedor, a la entrada en situación de crisis
económica de este o a que decida descentralizar parte de sus servicios. Por ello, es
recomendable asegurar el acceso a la información y su recuperación.
Unidad 6
61
LA NUBE
Casos reales
UBER
Uber reveló que su cuenta de AWS fue pirateada a finales de 2016, comprometiendo la información
personal de 57 millones de usuarios en todo el mundo [7].
FACEBOOK
Facebook anunció una violación de datos que afectó a más de 50 millones de cuentas en septiembre
de 2018. Según se informa, se introdujo una vulnerabilidad de robo de credenciales en el código de
Facebook en julio de 2017, más de un año antes. La compañía admitió que no sabía qué información
fue robada, ni cuántas otras cuentas de usuario se vieron comprometidas como resultado de la
violación [8].
Unidad 6
62
LA NUBE
Casos reales
Cloud Amazon
Debido a una mala configuración de los ajustes del servicio por parte de los usuarios que mantienen
las credenciales por defecto se produjo una filtración de los datos sensibles del cloud de Amazon.
Amazon mitigó esta amenaza ofreciendo a los usuarios la opción de cifrar los datos para evitar que
sean accesibles a terceros sin su consentimiento [9].
ABBY
Debido a un error en un servidor MongoDB, se filtró más de 203.000 documentos de clientes, o lo que es lo mismo,
142GB de documentos escaneados, de los cuales muchos eran contratos de acuerdos de confidencialidad, y otro tipo
de documentos privados. La organización bloqueó el acceso a esa base de datos 48 horas después de recibir la
notificación del error [10].
Unidad 6
63
7 PROTECCIÓN FRENTE A RIESGOS
Unidad 6
64
Pero… ¿la adopción de estas medidas no corresponde al

proveedor de servicios cloud?
Es tu responsabilidad revisar que las cláusulas del contrato con el

proveedor se adecúen a tus necesidades de seguridad.
En cualquier caso, serás tú el que debe hacerse responsable de
las acciones de tus empleados sobre la información
almacenada en la nube.
Unidad 6
65
RIESGOS MITIGACIÓN RESPONSABILIDAD DEL EMPRESARIO
Acuerdo con el proveedor para que los Decidir qué privilegios de acceso tendrán
Acceso de usuarios con
usuarios que tienen acceso autorizado sus empleados en función de la información
privilegios
sean los únicos que deban tenerlos. a acceder.
Velar por el cumplimiento normativo dentro

Realización de auditorías externas y
Cumplimiento normativo de su organización. Se asegurará de que
certificaciones de seguridad.
estas auditorías se realizan adecuadamente.
Unidad 6
66
Conocer el marco regulatorio vigente de

Localización de los datos almacenamiento y procesado de datos. El Conocer la localización de sus datos para
proveedor tiene que adaptarse al marco saber cuál será la legislación aplicable.
legal del país de quien contrata el servicio.
Los datos en reposo deberán estar
Conocer dónde se encuentra la información
aislados y los procedimientos de cifrado
Aislamiento de datos sensible de la organización y tomar medidas
deben ejecutarse por personal
de protección adecuadas para la misma.
experimentado.
Unidad 6
67
Es necesario asegurarse de que los proveedores

Recuperación tienen la copias de recuperación de los datos y
conocen el tiempo estimado en caso de incidente.
Asegurarse que estas condiciones
El proveedor debe demostrar que conoce las políticas quedan establecidas en el acuerdo.
Soporte
investigativo de gestión centralizada de los logs y los datos. Adicionalmente, sería conveniente tener
los datos replicados en otra plataforma
El cliente debe tener la certeza de que va a poder (servidores o equipos propios)
Viabilidad a largo
plazo recuperar toda la información en caso de que el aplicable.
proveedor cambie la estructura o la ubicación.
Aquí encontrarás más información sobre la seguridad en la nube [11].

Unidad 6
68
CONCLUSIONES
• Las soluciones cloud se pueden contratar en diferentes modalidades (SaaS, PaaS, IaaS) y a través de distintos
modelos de despliegue (pública, híbrida, privada y compartida o «multicloud»).
• A pesar de eso, es muy importante tener en cuenta la legislación vigente de nuestro país y la aplicable al contrato.
Así, debemos saber en qué país residen nuestros datos ya que, por ejemplo, los países del Espacio Económico
Europeo (EEE) tienen mayores garantías jurídicas respecto a la seguridad de los datos personales.
• Como cualquier tecnología, presenta una serie de amenazas que pueden comprometer el negocio aprovechando
diferentes vulnerabilidades (fallos técnicos, desconocimiento, malas configuraciones, falta de procedimientos) en
los sistemas de información (equipos, Redes, programas, datos, personas, procesos).
• Además de las amenazas que supone optar por la tecnología del cloud, existen una serie de riesgos que es
necesario gestionar.
Unidad 6
69
REFERENCIAS
Enlaces de interés de la unidad
[1] INCIBE - TemáTICas: seguridad en la nube:
https://www.incibe.es/empresas/tematicas/cloud
[2] Red Hat - Diferencias entre laaS, PaaS y SaaS:

https://www.redhat.com/es/topics/cloud-computing/iaas-vs-paas-vs-saas
[3] AEPD – Garantías para las transferencias de datos personales a terceros países u organizaciones internacionales:
https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/transferencias-
internacionales
[4] europarl - En Europa la tendencia es trabajar hacia un mercado único de servicios cloud:
https://www.europarl.europa.eu/factsheets/es/sheet/43/el-mercado-unico-digital-omnipresente
[5] Agencia Estatal Boletín Oficial del Estado - Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información
y de comercio electrónico: Unidad 6
70
https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758 Ciberseguridad en la nube
REFERENCIAS
[6] INCIBE - Cloud computing: una guía de aproximación para el empresario:
https://www.incibe.es/empresas/guias/cloud-computing-guia-aproximacion-el-empresario
[7] INCIBE-CERT: Uber ocultó la fuga de información de 57 millones de usuarios:

https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/uber-oculto-fuga-informacion-57-millones-usuarios
[8] INCIBE-CERT: 50 millones de usuarios de Facebook afectados por vulnerabilidad:

https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/50-millones-usuarios-facebook-afectados-
vulnerabilidad
[9] INCIBE-CERT: Filtrados los datos de usuarios del servicio de cloud de Amazon:
https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/filtrados-los-datos-usuarios-del-servicio-cloud-amazon
Unidad 6
71
REFERENCIAS
[10] INCIBE-CERT: Filtrados 203.000 documentos de clientes de ABBY:
https://www.incibe.es/incibe-cert/publicaciones/bitacora-de-seguridad/filtrados-203000-documentos-clientes-abbyy
[11] ENISA - Guía sobre seguridad en la nube para pymes:

https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes
Unidad 6
72
51

Ciberseguridad INCIBE 6

Cargado por

Copyright:

Formatos disponibles

Ciberseguridad INCIBE 6

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ciberseguridad INCIBE 6

Cargado por

Copyright:

Formatos disponibles

CIBERSEGURIDAD PARA

2 SERVICIOS DISPONIBLES EN LA NUBE

3 MODELOS DE DESPLIEGUE: TIPOS DE INFRAESTRUCTURAS

4 CONTRATACIÓN DE SERVICIOS EN LA NUBE

6 RIESGOS Y AMENAZAS DE LOS SERVICIOS EN LA NUBE

7 PROTECCIÓN FRENTE A RIESGOS Unidad 6

• La tecnología de la nube permite al proveedor ofrecer aplicaciones y

• Salesforce CRM: software para la administración de la relación con

¿CONOCES LAS VENTAJAS E INCONVENIENTES DE ESTAR EN LA NUBE?

Capacidad de procesamiento o de cálculo: desde la aparición de la informática, la capacidad de

Capacidad de almacenamiento: la evolución tecnológica hace posibles infraestructuras de

Virtualización: es un mecanismo software que permite utilizar un equipo para «hospedar» a

Aunque te pueda parecer que esta información no está

Email Servidor de bases de datos

Fuente: Representación gráfica sobre la compra de servicios de

ACCESO DESDE cualquier lugar.

Los recursos computacionales (servidores, comunicaciones, almacenamiento, máquinas

Los clientes pueden redimensionar sus propias necesidades de recursos (memoria,

RECURSOS A almacenamiento, comunicaciones, …) de manera rápida y eficaz en casi cualquier momento.

AHORRO DE El ahorro de recursos se debe a una minimización de costes de infraestructura y su

La información y las aplicaciones están almacenadas en la nube y en distintas ubicaciones. Si

DESVENTAJAS DEL USO DE LA NUBE

CONFIDENCIALIDAD Las bases de datos de nuestra empresa (información confidencial, facturación, …) va a

El acceso a las aplicaciones está condicionado a la conexión de Internet. Si estamos

Como clientes de servicios en la nube podemos contratar:

Almacenamiento Identificación Ejecución Colas Bases de datos

Computación Almacenaje de bloques Redes

Cloud Computing: diferencias entre laaS, PaaS y SaaS [2].

• Reducción drástica de costes. • Integración con aplicaciones existentes en la

• Facilidad para administrar la plataforma. • Dependencia del proveedor.

• Sencillez a la hora de permitir un desarrollo • Dudas sobre la confidencialidad de los datos.

• Flexibilidad en relación a la infraestructura • Soporte ofrecido, ya que al estar

Independientemente de las diferentes formas de contratación que hemos visto, existen

Una infraestructura cloud para muchos clientes.

Nube compartida entre organizaciones o empresas con objetivos similares.

• La infraestructura es compartida entre varios clientes de VENTAJAS

• La infraestructura es única para una organización. VENTAJAS

• IBM Softlayer. INCONVENIENTES

• La nube híbrida es una combinación entre nube pública y VENTAJAS

• La nube comunitaria es aquella en que la infraestructura VENTAJAS

Cuando una organización contrata un servicio, es necesario conocer qué

A la hora de elegir un proveedor, se deben tener en cuenta diferentes aspectos:

Seguridad Privacidad Escalabilidad Disponibilidad

SERVICIO + PERSONALIZADO COSTE + ELEVADO

Es importante conocer la localización de la infraestructura cloud, pues el proveedor puede

Se da cuando el proveedor no dispone de los recursos e infraestructura propias y la subcontrata a terceros.

Los servicios cloud pueden ser auditables o transparentes en función de:

El acuerdo entre una empresa o un cliente y proveedor

El cliente no puede fijar las condiciones de contratación.

¿Cuál es mi papel como cliente de un servicio cloud a la hora de cumplir con la

Como cliente, eres el responsable del tratamiento de los

Aquellas que nos den un nivel de protección igual al que ofrece el

En Europa la tendencia de la UE es la de ir hacia un mercado único digital europeo. Unidad 6

Antes de extinguir el contrato deben establecerse medidas adecuadas que aseguren el

2. Amenazas internas. Cuando los trabajadores salen de la organización (fin de contrato o

4. Aislamiento de datos. Si nuestra empresa comparte la infraestructura con otra es necesario

5. Recuperación. Si la copia de seguridad de nuestro proveedor sufre un fallo y no tiene la

6. Soporte investigativo. Si sucede cualquier incidente y necesitamos revisar quién ha tenido

Pero… ¿la adopción de estas medidas no corresponde al