01 Cloud_Security - esp OK.txt

Full Transcript

Cloud_Security

No. This video isn't about locking up clouds. It's about the cybersecurity aspects of cloud computing. Cloud computing gets its name because the Internet is normally displayed as a vague cloud shape in network diagrams. Within the cloud are an immense number of computers dotted around the globe.

When we browse the World Wide Web, browser software on our computer, smartphone, tablet, or some other device, connects via the Internet to get the information from 1 or more servers out of 1,000,000 in the cloud. Aside from the website addresses, the URLs, or uniform resource locators, we don't know precisely where in the world the information comes from. The URL is all we need to know, while the cloud sorts out the details for us. With traditional computing, our IT device does the data processing. Our information is mostly stored on a hard drive, either inside the device itself, or on a local area network server in our office.

With cloud computing, servers and disks in the cloud do most of the processing and store the data. Our device simply acts as a window into the cloud. A big advantage of cloud computing is that both information and applications are accessible from almost anywhere. All we need is a basic low power network device and an Internet connection, and we're in business. Useful when we are traveling or working from home.

Many cloud services are designed to be highly resilient with reliable performance using groups of servers that automatically swell to cope with peaks in demand, then shrink back down to reduce costs. Have you noticed, for instance, that we hardly ever wait for the results of a Google search? No matter whether we are searching at peak times or in the early hours of the morning, it's as if there is unlimited computing power available to us day and night. There is serious engineering involved in Google's massive global infrastructure. There are, however, disadvantages to cloud computing, including cybersecurity risks.

With few exceptions, we have no say in how public cloud applications are designed, managed, and secured, and no control over the storage and security of our data. We depend on the cloud service providers to protect their systems and our data against all manner of cybersecurity threats. Hackers, social engineers, fraudsters and snoopers, viruses, software bugs, accidental misconfiguration, malicious insiders, and physical incidents such as hardware or network failures, power cuts, floods and fires, or theft. That's quite a list. When nude photos of Jennifer Lawrence leaked out in 2010, it was initially thought that her smartphone had somehow been compromised.

In fact, it turned out that Apple's Icloud service had been hacked, exposing data stored in the cloud by all its users. A massive breach. If the hackers had kept quiet about it, the incident may have continued indefinitely. It is likely that there are other cloud cyber incidents occurring right now that we don't yet know about. Some may remain secret forever.

So with all that in mind, what can we realistically do to protect our data? The primary control we have is deciding which cloud computing services and providers to use, if any. Cybersecurity plus privacy, performance and capacity, resilience, and compliance requirements are just as important as functionality, price, usability, and so on. Being careful about how we use cloud services and what we put into the cloud is another factor. Free cloud based office services such as Google Docs and Gmail, for example, may be ideal in low risk situations where the possibility of our information being leaked or lost is of little consequence, but would be inappropriate for business or safety critical data without additional security controls.

Users have few security options and limited assurance regarding the cybersecurity arrangements within free cloud services. Customers who commission and pay for commercial cloud services have more say in ensuring that the suppliers adequately address cybersecurity and other aspects, if they choose to do so. Private cloud services are another option where companies design, set up, manage, and secure cloud services purely for their own use, giving them full control over all aspects. Lastly, don't neglect the cybersecurity basics, such as securing the devices through which you access the cloud, running antivirus and firewalls, keeping up with security patches, and making offline data backups. Summing up, here are three tips for cloud security.

Check the security policies and procedures in your organization. For instance, public email services and forums such as Gmail and Yahoo may be expressly forbidden for business use due to the risks. Cybersecurity is a major concern with highly sensitive or valuable data. So if it is to be processed and stored in the cloud, the associated cybersecurity controls must be fit for purpose. Anticipate and prepare for trouble.

It's not a great idea to be totally dependent on cloud services if your Internet connection is unreliable, or if there is a possibility that cloud services might turn out to be less secure and private than you expect. What would happen if your organization had a commercial dispute with a cloud service provider, or the service failed completely due to a major technical issue? Would you be able to retrieve all your data and transfer to another service? Identifying, evaluating, and dealing appropriately with information risks is the key. Always be vigilant.

Report cloud security or privacy issues and concerns as soon as possible. Your manager, colleagues, IT, help desk, or cybersecurity professionals can assist. Identifying things that nobody else has spotted before they cause problems is especially helpful.

__________________________________________________________________

Español sin correcciones.

No. Este no es un video sobre bloquear nubes. Se trata de los aspectos de ciberseguridad de la computación en la nube. El "Cloud Computing" obtiene su nombre porque el Internet normalmente se muestra como una vaga forma de nube en los diagramas de red. Dentro de la nube, hay un innumerable número de computadoras repartidas por todo el mundo.

Cuando navegamos por la red, el software de navegación de nuestro PC, smartphone, tablet u otro dispositivo, se conecta a través de internet para obtener información de 1 o más servidores de los 1.000.000 que hay en la nube. Además de las direcciones web, la URL o "Uniform Resource Locator" Localizador de Recursos Uniforme, no sabemos de qué parte del mundo viene la información. Las URL son todo lo que debemos saber, mientras la nube se encarga de esos detalles por nosotros. Con la computación tradicional, nuestro dispositivo se encarga del procesamiento de datos. Nuestra información está principalmente almacenada en un disco duro, ya sea dentro del dispositivo o dentro de un servidor en la red local de nuestra oficina.

Con la Computación en la Nube, los servidores y discos en la nube realizan la mayor parte del procesamiento y almacenamiento de datos. Nuestro dispositivo solo actúa como una ventana a la nube. Una gran ventaja del Cloud Computing es que tanto la información como las aplicaciones están disponibles desde casi cualquier parte. Todo lo que necesitamos es un dispositivo básico de bajo consumo para conectarnos a la red y una conexión a internet, y estamos en marcha. Muy útil cuando estamos viajando o trabajando desde casa.

Muchos servicios en la nube están diseñados para ser altamente resistentes con un rendimiento fiable usando grupos servidores que automáticamente se amplían para hacer frente a picos de demanda, luego se reducen para disminuir los costos. ¿Te has dado cuenta, por ejemplo, que jamás debemos esperar por los resultados de una búsqueda de Google? No importa si estamos buscando en horas punta o muy temprano en la mañana, es como si tuviésemos potencia de cálculo ilimitada a nuestra disposición día y noche. La infraestructura global de Google requiere una gran ingeniería. Hay también, de todas maneras, desventajas en la computación en la nube, incluyendo riesgos de ciberseguridad.

Salvo algunas excepciones, no tenemos voz ni voto en como las aplicaciones cloud son diseñadas, gestionadas o como se aseguran, tampoco control sobre el almacenamiento o seguridad de nuestros datos. Dependemos en de los proveedores de dichos servicios cloud para proteger sus sistemas y nuestros datos contra todo tipo de amenazas de ciberseguridad. Hackers, ingenieros sociales, estafadores e intrusos, viruses, fallos de software, errores de configuración accidentales, personal interno malintencionado, e incidentes físicos como fallos de hardware o de red, cortes de electricidad, inundaciones e incendios o robos. Toda una lista. Cuando se filtraron las fotos de Jennifer Lawrence desnuda en el 2010, inicialmente se pensó que su smartphone había sido comprometido de alguna manera.

Lo que pasó realmente, fue que el servicio de nube iCloud había sido hackeado, exponiendo data almacenada en la nube de todos sus usuarios. Una brecha masiva. Si los hackers se hubiesen quedado callados, este incidente podría haber continuado indefinidamente. Es muy probable que en estos momentos se esté desarrollando otro incidente de ciberseguridad en la nube ahora mismo y no nos hemos enterado aún. Algunos se mantienen en secreto por siempre.

Entonces, teniendo en cuenta todo esto, ¿Qué podemos hacer, de forma realista, para proteger nuestros datos? El principal control que tenemos es decidir qué servicios y proveedores de Cloud Computing usar, en cada caso.
Ciberseguridad además de privacidad, rendimiento y capacidad, resistencia y los requisitos de cumplimiento son tan importantes como la funcionalidad, precio, manejabilidad, etc. Tener cuidado en cómo utilizamos los servicios en la nube y lo que ponemos en ella es otro factor de riesgo. La ofimática gratuita basada en la nube, como Google Docs y Gmail, por ejemplo, pueden ser ideales en situaciones de bajo riesgo donde la posibilidad de que nuestros datos sean filtrados o perdidos tengan poca importancia, pero serían inadecuados para datos empresariales o críticos sin los controles de seguridad adicionales.

Los usuarios tienen pocas opciones de seguridad y limitada garantía respecto a los mecanismos de ciberseguridad de los servicios gratuitos en la nube. Los clientes que ponen en marcha y pagan por servicios cloud comerciales tienen más voz a la hora de asegurar que los proveedores aborden adecuadamente la ciberseguridad y otros aspectos, si así lo deciden. Los servicios de nube privada también son otra opción donde la compañía puede diseñar, configurar, gestionar y proteger sus servicios cloud únicamente para uso propio, dándoles control total sobre todos los aspectos. Por último, no hay que descuidar los aspectos básicos de ciberseguridad, como proteger los dispositivos a través de los cuales se accede a la nube, con antivirus y firewalls, manteniéndose al día con los parches de seguridad, y haciendo respaldos de manera local. En resumen, estos son tres consejos para la seguridad en la nube.

Comprueba las políticas y procedimientos de seguridad de tu organización. Por ejemplo, servicios de correo electrónico públicos y foros como Gmail y Yahoo pueden estar explícitamente prohibidos para uso empresarial debido a los riesgos que llevan consigo. La ciberseguridad es una de las principales preocupaciones cuando se trata de datos sensibles o valiosos. Por eso, si se van a procesar y almacenar en la nube, los controles de ciberseguridad asociados deben ser adecuados. -Prepárate para los problemas y más vale que temas- Anticípate y preparate para los problemas.

No es buena idea ser completamente dependiente de servicios cloud si tu conexión a internet es poco fiable, o si hay alguna posibilidad de que el servicio cloud pueda ser menos seguro y privado de lo que esperas. ¿Qué pasaría si tu organización tuviera una disputa comercial con un proveedor de servicios en la nube, o si el servicio fallara por completo debido a un problema técnico importante? ¿Podría recuperar todos sus datos y transferirlos a otro servicio? Identificar, evaluar y tratar adecuadamente los riesgos de la información es la clave. Manténgase siempre alerta.

Reporta los problemas e inquietudes relacionados con la seguridad o la privacidad en la nube cuanto antes. Tu supervisor, colegas, los especialistas de TI, la mesa de ayuda o los profesionales en ciberseguridad te pueden asistir. Identificar cosas que nadie ha detectado antes de que causen problemas es especialmente útil.