Gastos de Fabricación resumen
Enviado por Marielyeya • 1 de Septiembre de 2018 • Tarea • 2.196 Palabras (9 Páginas) • 92 Visitas
RESUMEN DE DOCUMENTOS:
The NIST Definition of Cloud Computing - Recommendations of the National Institute of Standards and Technology / Lineamientos para el Uso de Servicios en la Nube para entidades de la Administración Pública del Estado Peruano
De acuerdo a lo establecido en el documento, el Instituto Nacional de Estándares y Tecnología (NIST) promueve la economía y el bienestar público de Estados Unidos al proporcionar liderazgo técnico para la infraestructura de medición y estándares del país. ITL desarrolla pruebas, métodos de prueba, datos de referencia, implementaciones de prueba de concepto y análisis técnico para avanzar en el desarrollo y el uso productivo de la tecnología de la información.
Las responsabilidades de ITL incluyen el desarrollo de normas y directrices técnicas, físicas, administrativas y de gestión para la seguridad y privacidad rentables de la información delicada no clasificada en los sistemas informáticos federales. Se informa sobre los esfuerzos de investigación, orientación y divulgación de ITL en seguridad informática y sus actividades de colaboración con la industria, el gobierno y las organizaciones académicas. Dentro de los modelos de servicios están: Software como servicio (SaaS), Plataforma como servicio y Infraestructura como servicio (IaaS)
Las entidades del Sector Público que integran el Sistema Nacional de Informática encuentran retos debido al desarrollo y evolución constante de las TIC, como lo es el empleo de servicios en la nube. Este servicio ofrece una gran cantidad de beneficios potenciales a las entidades públicas, como la escalabilidad, elasticidad, alto rendimiento, resistencia y la seguridad.
La gestión eficaz de los riesgos relacionados con la adopción e integración de los servicios en la nube en las entidades del Sector Público está llevando a muchas de estas entidades a innovar y, en ciertos casos, a replantearse sus procesos de evaluación del riesgo y de toma de decisiones fundadas respecto a este nuevo modelo de servicios.
Se establecieron principios generales para el uso de servicios en la nube para entidades de la Administración Pública en el Estado Peruano, las cuales considero que podrían ser aplicadas en algún otro país en donde se vayan a aplicar los servicios en la nube en las entidades del Sector Público, las que se mencionan a continuación:
- Impulsar la transformación digital del país.
- Facilitar un mejor acceso de servicios a las personas.
- Respetar las jurisdicciones de otros países.
Servicios en la Nube: Este tipo de servicios se toma como un modelo para permitir el acceso por red, de forma práctica y bajo demanda, a un conjunto de recursos de computación configurables que pueden ser suministrados y desplegados rápidamente con una mínima gestión o interacción con el proveedor de servicio.
La característica principal de los servicios en la nube es la accesibilidad de la información, sin embargo algunas de las características que menciona la NIST SP-800-145 son las siguientes: Autoservicio a demanda, Amplio acceso a través de redes, Agregación y compartición de recursos, Adaptación inmediata, Servicio consumido, Aprovecha las grandes economías de escala y Aumentar la velocidad y agilidad.
Dentro de los Modelos de despliegue para crear un entorno de servicios en la nube se pueden mencionar: Nube pública: La infraestructura de esta nube está disponible para el público en general. Nube privada: La infraestructura de esta nube es operada únicamente por y para una organización. Nube híbrida: Es la composición de dos o más modelos. Nube comunitaria: La infraestructura de esta nube es compartida por varias organizaciones relacionadas entre ellas y que comparten requisitos de servicio.
Asimismo, como parte de las categorías del servicio se tiene: la Infraestructura, plataforma y software como servicio. Las entidades del sector público deben de tomar en cuenta los requisitos basados en el rendimiento, el precio, la seguridad y garantía/auditoría que se brinda, así como los términos y condiciones necesarias, en su estrategia de adquisición.
Con relación al cumplimiento de requisitos de seguridad, el modo de afrontar dicha normativa difiere en función de que la infraestructura en la nube sea propiedad y esté administrada por un tercero o lo esté por la propia entidad pública.
La gestión de la seguridad de los servicios en la nube que se contraten en las entidades del Sector Público son una responsabilidad compartida entre la entidad contratante y el proveedor de servicios en la nube, donde la primera define los controles de seguridad, mientras que el proveedor de servicios en la nube es responsable de la seguridad de la nube.
Las entidades del Sector Público que contraten servicios en la nube habrá de considerar lo siguiente: Disponer de una política de seguridad de la información, controles de seguridad de la información, proceso de gestión de riesgos, en base a base lo indicado en la R.M. N° 004-2016-PCM y sus modificatorias; Observar la guía de buenas prácticas señaladas en la Directiva de Seguridad en el ámbito de la protección de datos personales; Disponer de un Acuerdo de Nivel de Servicio - ANS con el proveedor de servicios en la nube, en la que queden definidas las responsabilidades de la entidad pública y el proveedor de servicios en la nube; Requerir al proveedor de servicios en la nube un certificado de seguridad de la información ampliamente reconocido y basado en estándares internacionales, el mismo que tiene que ser emitido por una organización de auditoría independiente, lo anterior de acuerdo a lo establecido en: ISO/IEC 27001 Seguridad de la información; ISO/IEC 27017 Controles de seguridad de la información basada en ISO/IEC 27002 específicamente para los servicios en nube; ISO/IEC 27018 Requisitos para la protección de la información de identificación personal (PII) en sistemas cloud; Requerir al proveedor de servicios en la nube mínimamente, el manejo de los siguientes protocolos de cifrado, los cuales se basan en estándares y algoritmos aceptados y probados por la industria.
La responsabilidad sobre la seguridad de la información es propia de cada uno de los entes públicos y debe ser ejercida por los mismos, en cuanto establecen los controles de seguridad de acuerdo con la legislación y normativa vigente.
Las entidades del sector público clasificarán sus sistemas según la Norma NTP ISO/IEC 27001:2014 Tecnología de la Información. Esta labor la coordina el área o responsable de la seguridad conjuntamente con los responsables internos.
Cuando se da el caso de los servicios de almacenamiento en la nube, sin tratamiento de datos en la nube, se recomienda que todos los datos se cifren antes de salir de la entidad pública, de forma que los requisitos de seguridad sobre los proveedores de servicios en la nube se reducen a la dimensión de disponibilidad.
...