Marco para el Gobierno de la Seguridad de la Infornación en servicios Cloud Computing.

Resumen

El modelo de servicios Cloud Computing ha surgido como una alternativa real con la que atender la demanda de la industria de las Tecnologías de la Información y las Comunicaciones (TIC) de poder ofrecer los servicios de computación como un suministro básico. Este modelo ha cambiado el modo de provisión de servicios y tiene el potencial de transformar gran parte de la industria TIC. El Cloud Computing permite un acceso bajo demanda a un conjunto de recursos de computación compartido y distribuido, que puede ser provisionado con un mínimo esfuerzo de gestión. Este paradigma engloba diversas tecnologías, con lo que los problemas de seguridad que afecten a cada una de ellas se trasladan a este entorno. Además de los riesgos existentes, el Cloud Computing se ve sometido a nuevos riesgos como consecuencia de las características de sus servicios. Entre los nuevos riesgos que aparecen en este entorno, se encuentran aspectos relacionados con muy diversos temas, como la virtualización, la denegación de servicio o la detección de intrusos. Las organizaciones están actualmente dispuestas a adoptar los servicios Cloud Computing en cualquiera de sus variantes, pero una adecuada gestión de sus seguridad es necesaria tanto para acelerar su adopción como para responder a las exigencias legales. El principal problema de seguridad que está frenando la adopción del Cloud Computing es la pérdida de control de la organización sobre sus activos de información, lo que significa que una estrategia de Gobierno de Seguridad de la Información debe ser desarrollada. Este paradigma extiende los recursos de computación más allá de las fronteras de la organización, lo que requiere una adecuada función de gobierno con participación activa de todo el personal, especialmente de los niveles más elevados. Las particularidades de este entorno hacen necesario disponer de un marco de seguridad que ayude a las organizaciones a tratar con las cuestiones de seguridad de una forma global. La seguridad no puede ser entendida únicamente como un aspecto técnico, sino que se trata de una cuestión multidisciplinar que involucre a todos los niveles de la organización. Actualmente no se dispone de un marco de Gobierno de Seguridad de la Información que sirva para enfrentarse a los problemas de seguridad de los servicios Cloud Computing de una forma global. A pesar de que existen numerosas propuestas técnicas para mejorar la seguridad de estos servicios, no hay soluciones completas. Por lo tanto, en esta Tesis Doctoral se propone un marco de gobierno de seguridad que tenga en consideración las particularidades de los servicios Cloud Computing (ISGcloud). El marco ISGcloud compila los trabajos publicados en este ámbito y los combina para ofrecer un modelo global, capaz de desarrollar procesos de Gobierno de Seguridad sobre estos nuevos servicios. Este marco está alineado con los actuales estándares de seguridad y mejores prácticas en la materia, lo que significa que sus actividades y tareas han sido diseñadas para ser consistentes con ellos y perseguir un objetivo común. La perspectiva seguida en esta propuesta se encuentra orientada a procesos y ha sido modelada empleando la especificación SPEM 2.0 (Software & Systems Process Engineering Meta-Model), de forma que se pueda facilitar su implementación en cualquier organización. Adicionalmente, se ha considerado necesario identificar el ciclo de vida de los servicios Cloud Computing, de forma que las actividades de ISGcloud puedan estar referenciadas a las etapas seguidas durante la provisión del servicio. Además de la definición del marco ISGcloud, esta tesis sugiere un conjunto de herramientas de apoyo, las cuales pueden emplearse para facilitar el desarrollo de los procesos de gobierno. Con el propósito de validar la utilidad práctica del marco y mejorar su desarrollo, se proporcionan los resultados de la evaluación empírica que se ha llevado a cabo en una organización real.