Viquiprojecte:Fonaments Tecnològics de l'e-learning/Grup 11

Integrants del grup i tema

A continuació heu d'indicar els quatre noms d'usuari que teniu cada membre del grup, perquè puguem controlar les vostres edicions i ajudar-vos. Heu de substituir els usuaris d'exemple amb l'usuari de cada component del grup:

• Manel Justicia Rivasés: Jurima72 (discussió • contribucions • registre)
• Jose Gil Cabedo: Jsglcbd (discussió • contribucions • registre)
• Roser Aguilar Campdepadrós: Ragcamp  (discussió • contribucions • registre)

Tema escollit pel grup: Seguretat de còmput en el núvol

Acords i fases per a l'elaboració d'un article a la Viquipèdia

Un cop establert el grup de treball al voltant d'una temàtica d'interès comú, a continuació es mostren les indicacions per a l'establiment explícit d'acords entre els integrants i l'atribució de responsabilitats segons les diferents fases del treball:

1. Fase d'acords inicials. Distribució del treball entre els participants del grup, establint els rols de cadascun, les tasques a realitzar i la seva temporització. Primer acord sobre els elements de l'article de la Viquipèdia a modificar o crear (del 30/09/21 al 07/10/21).
2. Fase de documentació anàlisi i síntesi sobre la temàtica. Inclou l'aprofundiment sobre la temàtica mitjançant una cerca i identificació de fonts rellevants, que seran incorporades posteriorment en l'article. Aquesta redacció es publicarà directament en el “Taller”, perquè tots els integrants del grup puguin anar fent un seguiment de l'avanç de l'article (del 08/10/21 al 17/10/21).
3. Fase de revisió i publicació. Sobre la base d'una versió quasi definitiva de l'article, cada participant del grup ha de realitzar una revisió de totes les aportacions per a assegurar que el text respecta una estructura, estil i llenguatge coherents. Quan tots els membres del grup hagin revisat i verificat la informació aportada, es podrà emplenar el document “Llista de control”, per a lliurar al docent via correu electrònic amb les explicacions necessàries en cada casella. Amb aquest document, el professor podrà indicar al grup les millores a realitzar abans del lliurament. Quan es facin els canvis indicats pel docent i es disposi de la versió definitiva, s'haurà d'escriure novament al professor per a demanar la seva autorització per a publicar (del 18/10/21 al 24/10/21).
4. Fase de publicació. Una vegada rebuda l'autorització del professor, procedir a la publicació en la Viquipèdia (del 25/10/21 al 31/10/21).

Edició del text a integrar en el "tema" seleccionat de la Viquipèdia

A partir d'aquí el grup escriu/edita el text que, una vegada verificat per el/la professor/a, serà publicat en l'article principal del tema seleccionat a la Viquipèdia. Seguretat de còmput en el núvol

1. Introducció
2. [...]
3. Bibliografia

Seguretat de còmput en el núvol

La Seguretat de còmput al núvol fa referència a tots aquells aspectes que tenen a veure amb la ciberseguretat a l’hora de l’ús del cloud computing. Aquests aspectes engloben tants els que són a nivell d’usuari, com a nivell d’empreses que fan ús dels serveis de còmput en el núvol,^[1] com de les empreses que n’ofereixen el servei. També fa referència a totes les accions legislatives i de difusió que les administracions públiques realitzen per salvaguardar la seguretat de qualsevol usuari, la seva privacitat i la seva protecció de dades.

Claus per la seguretat

Tipus de núvol

Es poden identificar tres tipus de núvol:^[2]

• Privat: el que està instal·lat a l'espai físic de l'usuari.
• Públic: el que està instal·lat en un prestador de serveis en el núvol.
• Híbrid: el que combina núvol privat i públic.

Tipus de controls de seguretat en el núvol

Podem identificar quatre tipus de control de seguretat en el núvol:^[3]

1. Dissuasius: per evitar que els atacants actuïn.
2. Preventius: que s'ocupen de prevenir que els atacs siguin efectius.
3. Controls de detecció: comproven si els controls anteriors, tant dissuasius com preventius, són suficients.
4. Correctius: resolen els problemes quan tots els controls previs han fallat.

Classificació dels serveis al núvol

El còmput en el núvol ofereix diferents serveis als usuaris. El servei SaaS (Software as a Service) és un tipus de servei que contempla tot aquell programari i aplicacions que els usuaris utilitzen directament al núvol. El servei IaaS (Infrastructure as a Service) entén el servei com a infraestructura, i proporciona als usuaris un maquinari virtual o físic on instal·lar qualsevol sistema operatiu o programari. El servei PaaS (Platform as a service) són maquinaris preinstal·lats amb un sistema operatiu preparat perquè l'usuari pugui instal·lar aplicacions.^[4] Els serveis en el núvol poden oferir diferents opcions als usuaris.^[5]

• Emmagatzematge: per emmagatzemar informació.
• Càlcul: per processar informació.
• Virtualització: per substituir equipament físic per virtual, permet l'ús en qualsevol indret i en qualsevol dispositiu que suporti aquest tipus de connexions.
• Aplicacions: són aplicacions que s'executen en el núvol on també s'acostuma a emmagatzemar la informació amb la que treballen.
• Control-interacció: recol·lecció de dades de salut o seguretat mitjançant tecnologies de recollida de dades tal com el reconeixement facial, el reconeixement de la parla o la biometria.

Tipus d'informàtica

Actualment hi ha dues gran tendències d'investigació i desenvolupament de la computació o informàtica:

• Computació Convencional: basada en bits^[6] segons la física binària, on el pas de corrent elèctrica equival al valor 1 i l'absència al valor 0, sempre en un dels dos estats.
• Computació Quàntica: basada en qubits,^[7] segons la física quàntica i es basa en la combinació dels valors 0 i 1, a la vegada.^[8] Es basa en els principis de la superposició, entrellaçament i la interferència.^[9] Té especials aplicacions en seguretat, donat que comportat certs riscs però també suposa avenços en l'encriptació de dades, com el nou sistema Quantum Key Distribution (QKD).^[10] I en el futur es podria encarregar de resoldre temàtiques més complexes que la informàtica convencional.

Amenaces

 

Adaptació de les ciberamenaces descrites per INCIBE

Les fallades de seguretat poden ser originades per errades humanes o per atacs informàtics.^[11] Els atacs informàtics poden classificar-se en dues grans categories. Un primer grup són els que fan referència a alterar, esborrar o sostreure informació. I un segon grup anomenat DDoS que denega el servei, ja sigui per sobrecàrrega del servei o per l'aprofitament que els delinqüents informàtics fan de les vulnerabilitats del sistema.^[12][13] Una altra tipus d'amenaça a la seguretat és la relacionada amb catàstrofes naturals o accidents catastròfics que provoquen una pèrdua de serveis.

Estratègies i protocols de seguretat i protecció

Per mantenir una mínima seguretat en l'accés als serveis al núvol cal prevenir els possibles perills mantenint de forma regular tota la instal·lació i disposar d'un pla de contingència.^[1] Després d'instal·lar l’equip cal assegurar tot el sistema amb actualitzacions, tallafocs, còpies de seguretat i antivirus. També cal monitoritzar amb els registres de sistema (logs) o programes especialitzats que el funcionament es el correcte i revisar la informació de vulnerabilitats, en registres com CVE,^[14] i actualitzacions disponibles per tal de subsanar-les el més aviat possible. I així reiniciar el procés fins que l'equipament deixi de complir els requisits de seguretat i usabilitat i calgui substituir-lo per un altre que els hi compleixi.

Garanties de seguretat de les empreses

La iniciativa privada dedica esforços -mitjançant empreses i fundacions de seguretat- en prevenir i auditar la seguretat d'altres empreses i facilitar eines i recursos que els ha de permetre mantenir i reforçar la seva exposició davant de vulnerabilitats que facilitarien intrusions malicioses als seus sistemes tecnològics.^[15] A nivell internacional, un cas concret és el de Qualys, que disposa d'informes públics amb informació tècnica d'atacs.^[16] Un altre cas exemplar és el de la Internet Security Research Group (ISRG) que va crear una autoritat de certificació, que emet certificats de seguretat web gratuïts, per tal de facilitar que totes les webs i d'altres serveis disposin d'encriptació amb l'objectiu d'evitar fugues d'informació.^[17]

Garanties de seguretat de les administracions

Les administracions han de vetllar per la seguretat de les persones i les empreses en l'ús de la informació en el núvol. En aquest sentit s'han legislat normatives de diversos àmbits, que regulen les pràctiques i estableixen uns límits^[18] i s'han creat organismes públics per promoure les bones pràctiques. A Europa, l'organisme encarregat és l'Agència Europea de la Ciberseguretat (ENISA), a l'Estat espanyol es va crear l'Instituto Nacional de Ciberseguridad (INCIBE) i a l'àmbit català hi ha l'Agència de Ciberseguretat de Catalunya i també Internet segura.

Publicacions

• Cattedu, Daniele; Hobgen, Giles. «Beneficios, riesgos y recomendaciones para la seguridad de la información» (en espanyol). Agencia Europea de Seguridad de las Redes y de la Información (ENISA), Octubre 2009. [Consulta: 24 octubre 2021].
• Informe de Amenazas y Tendencias. «Informe de Amenazas y Tendencias. Edición 2019» (en espanyol). Centro Criptológico Nacional. [Consulta: 24 octubre 2021].
• Martí, Carles; Sala, Xavier. «Llenguatges de marques i sistemes de gestió d'informació.Sistemes de gestió empresarial. Informàtica en núvol». Institut Obert de Catalunya. [Consulta: 27 octubre 2021].

Referències

1. «Protegeix-te del Programari Maliciós». Internet Segura. [Consulta: 21 octubre 2021].
2. Guia serveis al núvol. «Guía para clientes que contraten servicios de Cloud Computing» (en español). Agencia Española de protección de datos. [Consulta: 24 octubre 2021].
3. Krutz, Ronald L.; VINE, Russel Dean. Cloud Security: A Comprehensive Guide to Secure Cloud Computing (en anglès). Indianapolis: Wiley, 2010. ISBN 978-0-470-93894-2 [Consulta: 21 octubre 2021]. 
4. Guia serveis al núvol. «Guía para clientes que contraten servicios de Cloud Computing» (en español). Agencia Española de protección de datos. [Consulta: 24 octubre 2021].
5. «Llenguatges de marques i sistemes de gestió d'informació.Sistemes de gestió empresarial. Informàtica en núvol». Institut Obert de Catalunya. [Consulta: 27 octubre 2021].
6. «Definició bit». Termcat, Centre de terminologia. [Consulta: 30 octubre 2021].
7. «Definició bit quàntic». www.termcat.cat. [Consulta: 30 octubre 2021].
8. «¿Qué es y cómo funciona la computación cuántica?» (Vídeo) (en castellà). Universitat Politècnica de València, 13 febrer. [Consulta: 30 octubre 2021].
9. «Quantum Computing Expert Explains One Concept in 5 Levels of Difficulty» (Vídeo) (en anglès). WIRED, 25 juny. [Consulta: 30 octubre 2021].
10. «La computación cuántica y las supercomputadoras que revolucionarán la tecnología». Iberdrola. [Consulta: 21 octubre 2021].
11. «Com treballar al núvol amb seguretat». Internet segura. [Consulta: 21 octubre 2021].
12. «Informe de Amenazas y Tendencias. Edición 2019». Centro Criptológico Nacional. [Consulta: 24 octubre 2021].
13. «Beneficios, riesgos y recomendaciones para la seguridad de la información» (en espanyol). Agencia Europea de Seguridad de las Redes y de la Información (ENISA). [Consulta: 24 octubre 2021].
14. «Common Vulnerabilities and Exposures (CVE)» (en anglès). [Consulta: 30 octubre 2021].
15. «Empresas Certificadas en el ENS» (en castellà). Centro Criptológico Nacional (CCN). [Consulta: 30 octubre 2021].
16. «SSL Pulse». Qualys. [Consulta: 21 octubre 2021].
17. «Let’s Encrypt». Internet Security Research Group (ISRG). [Consulta: 21 octubre 2021].
18. «Normativa». Autoritat Catalana de Protecció de Dades. [Consulta: 21 octubre 2021].

Enllaços externs

• Agència de Ciberseguretat de Catalunya
• Agencia de la Unión Europea para la Ciberseguridad (ENISA) (castellà)
• Basque Cybersecurity Centre (basc) (anglès) (castellà)
• Centro Criptológico Nacional (CCN) (castellà)
• Instituto Nacional de Seguridad (INCIBE) (castellà) (anglès)
• Internet Security Research Group (ISRG) (anglès)
• Internet Segura