Auditoría Pública nº 75. Revista de los órganos autonómicos de control externo

En este tipo de servicios en la nube, unos agentes esenciales son las entidades o proveedores que ofrecen servicios en red (CSP, por sus siglas en inglés de Cloud Service Provider ) con independencia de dónde se en- cuentren alojados los sistemas de información que so- portan dichos servicios, y de forma transparente para el usuario final. El cloud computing ofrece a las organizaciones gran- des beneficios 3 , como la deslocalización, alta disponi- bilidad, acceso a la información desde cualquier lugar, flexibilidad en la asignación de recursos y ahorros eco- nómicos, pero también conlleva riesgos significativos relacionados con la seguridad de la información proce- sada y almacenada en la nube que deben ser previstos por las entidades usuarias y considerados en los trabajos de auditoría. Según Cloud Security Alliance 4 son cinco las carac- terísticas esenciales que hacen que una nube sea una nube: Agregación y compartición de recursos. Los recursos del proveedor se agregan y se po- nen a disposición de múltiples clientes para su compartición. La agregación incluye equipos fí- sicos y equipos virtuales que se asignan dinámi- camente bajo demanda. El cliente se independi- za de la ubicación física de los recursos, aunque puede delimitar ubicaciones a un cierto nivel de abstracción (país, estado, etc.). Autoservicio bajo demanda. El cliente puede ajustar la capacidad necesaria de forma unilateral, sin necesidad de que inter- venga el personal del proveedor. Amplio acceso a la red Significa que todos los recursos están disponibles en una red, sin necesidad del acceso físico direc- to; la red no es necesariamente parte del servicio. Adaptación inmediata. La elasticidad rápida permite a los usuarios ampliar o contraer los recursos que utilizan del grupo (aprovisionamiento y desaprovisio- namiento), a menudo de forma completamen- te automática. Esto les permite relacionar más estrechamente el consumo de recursos con la demanda (por ejemplo, agregar servidores vir- tuales cuando la demanda aumenta y luego apa- garlos cuando baja la demanda). Desde el punto de vista del consumidor, los recursos parecen ilimitados, pudiendo disponer de cualquier vo- lumen en cualquier momento. Servicio medido. El proveedor puede controlar en cada momen- to el servicio efectivamente prestado, al nivel de abstracción que se especifique por contrato; por ejemplo, capacidad de almacenamiento, capaci- dad de procesamiento, ancho de banda, cuen- tas de usuario, etc. El uso de recursos puede ser monitorizado, controlado y reportado, propor- cionando una gran transparencia tanto para el proveedor como para el consumidor del servi- cio utilizado. 3. MODELOS DE DESPLIEGUE Y TIPOS DE SERVI- CIOS CLOUD Los servicios de cloud computing se pueden clasifi- car atendiendo a dos aspectos principales: el modelo de despliegue y el tipo de servicio que se ofrece. Podemos hablar de cuatro modelos de despliegue principales: Nube pública Los recursos son propiedad de un proveedor de servicios en la nube (CSP), público o privado, quien los administra y los ofrece para el público en general a través de internet. El consumidor re- cibe accesibilidad y escalabilidad bajo demanda sin el alto coste de mantener el hardware físico y el software. El CSP es responsable de la gestión y el mantenimiento del sistema, mientras que el con- sumidor paga sólo por los recursos que utiliza. Nube privada Son aquellas que se basan en una infraestructu- ra operada únicamente por una organización y que ofrecen servicios únicamente a esa misma organización. Puede ser propiedad de, adminis- trada y operada por la organización, un tercero o alguna combinación de ellos, y puede existir dentro o fuera de las instalaciones de la organi- zación. Las entidades que optan por las nubes privadas suelen ser entidades grandes y comple- jas que necesitan centralizar los recursos infor- máticos y/o mantener un control total sobre sus procesos críticos y, a la vez, ofrecer flexibilidad en la disponibilidad de estos, por ejemplo, ad- ministraciones públicas grandes. Nube comunitaria o compartida Las nubes con modelos de despliegue comu- nitarios se definen como aquellas alojadas en infraestructuras compartidas por varias organi- zaciones relacionadas entre ellas, compartiendo requisitos de servicio (son los centros de servi- Auditando en la nube (no en las nubes) 37 Auditoría Pública nº 75 (2020), pp. 35 - 44 3 Guía de seguridad TIC CCN-STIC-823, Utilización de servicios en la nube. 4 Guía de Seguridad de áreas críticas para computación en la nube.