Equipo 1_monografia_SeguridadMetadatoCloudComputing_16112022 corregido

Vista previa del material en texto

Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 1 de 23 
 
 
Universidad de Buenos Aires 
Facultad de Ciencias Económicas 
Departamento de Sistemas 
Auditoría y Seguridad de los Sistemas de Información 1659-02 
 
Monografía 
 
 
¿Cómo se garantiza la seguridad de la 
información del metadato para los 
almacenamientos en el cloud computing? 
 
Equipo 1 - GDJ Consultoría en Seguridad Informática 
 
Integrantes: 
- Borengiu, Diego Ezequiel (890.063) 
- Meana, Gonzalo Sebastián (877.387) 
- Meza, Juan José (877.340) 
 
Cátedra: Morteo, Francisco 
Profesores: Juárez, María Silvia 
 Muriño, Jorge 
 
Cuatrimestre: 2º cuatrimestre 2022 
Mes y Año: Noviembre del 2022 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 2 de 23 
 
- Resumen. 
 
El objetivo de esta monografía consta de poder dar luz al concepto de metadato, cómo es su funcionamiento 
en los sistemas y cómo se relaciona con los métodos de seguridad existentes. Para eso, nos nutrimos de 
materiales académicos y de grandes empresas tecnológicas del sector IT que proveen estos servicios para 
describir acerca de este tema. 
Se utilizó una metodología de investigación cualitativa, ya que los parámetros de la temática a investigar 
no son medibles, y debemos enfocarnos en obtener información de experiencias y percepciones de los 
autores y empresas que están relacionadas con el trabajo investigativo. 
La síntesis de la propuesta determina que no está garantizado completamente la seguridad de los metadatos 
en el cloud computing, las empresas aún no toman real relevancia de lo importante que es para los usuarios, 
aunque el nivel de proactividad para mejorarlo depende de cada empresa y su estrategia para optimizarlo. 
 
 
 
 
 
 
 
 
Palabras claves: 
Cloud, Metadatos, Seguridad de la información, Resguardo de información. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 3 de 23 
 
- Índice. 
 
Introducción Pág. 
 
 a) Fundamentación y planteamiento del problema……………………………….. 4 
 a.1)¿Cuál es el tema sobre el que van a trabajar? 
 a.2)¿Cuál es el problema? 
 a.3)¿Por qué es importante trabajar este tema? 
 b) Definición de Objetivos. ………………………………………………………..4 
 b.1) Objetivo General. 
 b.2)Objetivos Específicos. 
 
Desarrollo ……………………………………………………………………………5 
 Marco teórico 
 
Propuesta ……………….……………….……………….……………….…………19 
 
Conclusiones ……………….……………….……………….………………………21 
 
Referencias bibliográficas ……………….……………….………………………… 22 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 4 de 23 
 
 
- Introducción. 
 
a) Fundamentación y planteamiento del problema: 
 
a.1)¿Cuál es el tema sobre el que van a trabajar? 
La computación en la nube ha cambiado la forma en que se almacenan y se accede a los datos. Con un 
sistema de administración de metadatos basado en la nube, se puede mantener la integridad de los mismos 
metadatos en una ubicación segura y centralizada. Esta monografía va a hacer enfoque en demostrar 
cómo mantener la integridad de los metadatos con un sistema de gestión basado en Cloud Computing. 
 
a.2)¿Cuál es el problema? 
La integridad de los metadatos es un problema para la computación en la nube, ya que es necesaria para 
garantizar que se pueda acceder, procesar y compartir los datos. Cuando la integridad de los metadatos se 
ve comprometida, puede tener consecuencias graves, como la fuga de datos y la pérdida de información. 
El riesgo de no poder controlar la integridad de los metadatos en la nube puede tener muchas 
consecuencias para la organización. Esto desemboca en errores en el sistema, cuando los usuarios 
cometen errores o casos de piratas informáticos, que a través de diversos mecanismos roban o corrompen 
datos. 
 
a.3)¿Por qué es importante trabajar este tema? 
Es importante investigar sobre este tema toda vez que cada vez son de mayor uso ambas herramientas en 
las organizaciones y en consecuencia es fundamental saber y bregar por la seguridad de la información 
bajo dichas circunstancias. 
 
 
b) Definición de Objetivos. 
b.1) Objetivo General. 
Los objetivos generales de la monografía son: 
1) Analizar los procesos de seguridad que contienen los metadatos en las plataformas en la nube, y; 
2) Conocer el “estado del arte” en la Argentina. 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 5 de 23 
 
El objetivo general de la monografía es analizar cómo se garantiza la seguridad de la información del 
metadato para los almacenamientos en el cloud computing, para lo cual resulta indispensable comprender 
los distintos conceptos que dicho objetivo implica; 
Será entonces relevante comprender que es el metadato y que conceptos lo componen, cómo se garantiza 
su seguridad en cualquier tipo de entorno, para luego sí poder analizar a este concepto dentro del cloud 
computing. Será importante también poder comprender qué implica el cloud computing y cómo las 
distintas empresas proveedoras de este servicio gestionan su seguridad. 
 
 
b.2)Objetivos Específicos. 
 
Los objetivos específicos constan de detallar los conceptos de: Metadato junto a sus funciones y 
aplicaciones principales; Sistemas de gestión bibliotecarios; Cloud Computing, estado del arte de esta 
tecnología y los riesgos que implica; Miradas de diferentes autores y proveedores de tal servicio sobre 
esta temática; 
 
c)Metodología para el relevamiento de la información. 
 
La técnica de recolección de información está compuesta de libros, artículos de estudios, tesis, 
monografías del tema, programa de la materia, etc. 
No está prevista la inclusión de entrevistas para el presente trabajo. 
 
 
 
 
- Desarrollo. 
 
● Marco teórico. 
 
 
 
¿Qué son y para qué sirven los metadatos? 
 
La definición más habitual que se puede encontrar respecto a qué son los metadatos es que 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 6 de 23 
 
son «datos sobre datos». Es decir, un metadato es la mínima información indispensable para 
identificar un recurso, como puede ser un archivo en una computadora, una información extra 
sobre un tipo de dato, como por ejemplo el autor, la extensión o su formato. (…) De hecho, si 
atendemos a su etimología, literalmente significa «más allá de los datos» en referencia a esos datos que 
describen. 
 
Los metadatos son muy importantes en el entorno digital (aunque no solo los encontramos en él), pues 
ayudan a mejorar la estructuración de la información, puesto que describen y catalogan esta, además de 
mejorar su recuperación, ya que nos sirven para identificar la relevancia de aquello que estamos 
buscando. Toda información, sea cual sea su soporte, contiene metadatos, por ejemplo, para un libro 
serían el nombre del autor, la fecha de publicación, la editorial o la cantidad de páginas. 
 
Funciones y aplicaciones principales de un metadato 
 
Los metadatos tienen como característica principal que son multifuncionales. Es una herramienta que 
tiene múltiples ventajas que posibilitan una buena administración de los datos cuando se llevan a cabo los 
procesos de gestión y gobierno de la información contenida. Así, vamos a detallar todas las funciones que 
tienen los metadatos: 
 
● Facilitan la búsqueda y el análisis: los metadatos ayudan a buscar los datos más fácilmente y 
permiten realizar el análisis de los datos desde la propia fuente, favoreciendo la auto documentación, la 
transformación y el reporting, entre otras funciones. 
● Mejora la gobernanza de los datos: gestionar los metadatos en un entorno estandarizado hace 
posible la buena gobernanza de los datos y esto, a su vez, hace que el programa sea exitoso. 
● Ayuda a la integración: empleando los metadatos para el uso conjunto entre usuarios de TI y de 
empresas, se permiteque haya una mejor integración completa. De esta manera también ayuda a mejorar 
la gestión de los datos de manera más global. 
● Facilita la estandarización: esto es posible gracias a la eliminación de errores y debilidades. Así, 
mejora la calidad de los metadatos en el transcurso de su ciclo de vida. Además, a través de la gestión de 
estos, se consigue tener una visión más completa de dicho ciclo, de principio a fin. 
● Mejora los informes: la correcta gestión de los metadatos hará que los informes sean mejores, 
permitiendo entregarlos de manera segura y fiable. Esto se debe a la facilidad de intervención que hace 
que los procesos sean de mayor calidad. 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 7 de 23 
 
● Realiza desarrollos más rápidos: acceder a los metadatos de manera inteligente incrementa la 
producción de los creadores y minimiza el período de abastecimiento de la conectividad. Esto hace que se 
rebajen los costes de las modificaciones que se produzcan. 
● Gestiona los cambios: gracias a la gestión de los metadatos se ofrece una visión mejorada, así 
como el control que se requiere para la integración de los datos empresariales. Los cambios se observarán 
por medio de la automatización de los estudios de impacto, por lo que se podrá actuar para resolver los 
problemas que puedan surgir debido a ello. 
● Mayor seguridad: en el supuesto de que se produzcan cambios, se deberán proteger los datos 
críticos de la empresa, así como ayudar a que se cumpla estrictamente la normativa en cuestión. Esto 
puede hacerse como consecuencia de la apropiada gestión de los metadatos. 
 
 
 
 
¿Qué informaciones pueden mostrar los metadatos? 
 
Así, encontramos diferentes modelos de metadatos, cada uno con un esquema de descripción propio. En 
estos modelos, cada dato se describe a través de una serie de atributos, cuyo valor es el que se puede 
utilizar para recuperar la información. En función de la clase de metadatos podemos obtener información 
sobre elementos de datos o atributos, información sobre la propia estructura de los datos o sobre un 
aspecto concreto de los mismos, etc. 
Entre los diferentes tipos de información que ofrecen los metadatos podemos encontrar: 
● Información del contenido. 
● Información sobre aspectos formales (tamaño, fecha, tipo, idioma, etc.). 
● Información de derechos de autor o copyright. 
● Información de la autenticidad del documento o recurso. 
● Información sobre el contexto (calidad, condiciones de acceso, uso, etc.). 
 
Ejemplos de metadatos 
 
Metadatos para seguimiento: Los minoristas y los sitios de compras en línea utilizan metadatos para 
rastrear los hábitos y movimientos de los consumidores. Los especialistas en marketing digital siguen 
cada uno de tus clics y compras, almacenando información sobre ti, como el tipo de dispositivo que usas, 
tu ubicación, la hora del día y cualquier otro dato que puedan recopilar legalmente. 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 8 de 23 
 
Con estos metadatos crean una imagen de tu rutina e interacciones diarias, tus preferencias, tus 
asociaciones y tus hábitos, y pueden usar esa imagen para comercializar sus productos. 
Los proveedores de servicios de Internet, los gobiernos y cualquier otra persona con acceso a grandes 
colecciones de información de metadatos podrían utilizar los metadatos de páginas web, correos 
electrónicos y otros lugares donde hay usuarios en línea para monitorizar la actividad web. 
Dado que los metadatos son una breve representación de los datos más grandes, esta información se 
puede buscar y filtrar para encontrar información sobre millones de usuarios a la vez y rastrear cosas 
como incitación al odio, amenazas, etc. Se sabe que algunos gobiernos recopilan estos datos , incluidos no 
solo el tráfico web, sino también las llamadas telefónicas, la información de ubicación y más. 
 
Metadatos en archivos de computadora: Cada archivo que guardas en tu computadora incluye 
información básica sobre el archivo para que el sistema operativo entienda cómo manejarlo, y para que 
uno u otra persona pueda recopilar rápidamente de los metadatos cuál es el archivo. 
Por ejemplo, en Windows, cuando ve las propiedades de un archivo, puede ver claramente el nombre del 
archivo, el tipo de archivo, dónde está almacenado, cuándo fue creado y modificado por última vez, 
cuánto espacio ocupa en el disco duro, quién es el propietario del archivo y más. 
La información puede ser utilizada por el sistema operativo así como por otros programas. Por ejemplo, 
puedes usar una utilidad de búsqueda de archivos para encontrar rápidamente todos los archivos en tu 
computadora que se crearon en algún momento de hoy y que pesen más de 3 MB. 
 
Metadatos en las redes sociales: Cada vez que haces amigo de alguien en Facebook, escuchas la música 
que Spotify recomienda para ti, públicas un estado o compartes el tweet de alguien, los metadatos 
funcionan en segundo plano. 
Los metadatos online son útiles en situaciones de redes sociales muy específicas, como cuando estás 
buscando a alguien en Facebook. Puedes ver una imagen de perfil y una breve descripción del usuario de 
Facebook para aprender solo los conceptos básicos sobre él antes de decidirte a hacerte amigo o enviarle 
un mensaje. [1] 
 
 
 
Sistemas de gestión Bibliotecarios 
 
La escena está dominada por los sistemas integrados de biblioteca (ILS). Este modelo de automatización 
de bibliotecas, basado en módulos de catalogación, circulación, adquisiciones, gestión de publicaciones 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 9 de 23 
 
seriadas y catálogo online se estableció a principios de la década de 1970 cuando las bibliotecas tenían 
principalmente materiales impresos, y ha evolucionado muy poco desde entonces. Los ILS acostumbran a 
funcionar de manera autónoma, comunicándose con sistemas externos fundamentalmente a través de 
protocolos específicos (...) El modelo tradicional de ILS no es muy adecuado para la gestión de recursos 
electrónicos y ello ha llevado a la proliferación de productos complementarios para abordar este aspecto 
cada vez más estratégico para el funcionamiento de las bibliotecas. 
 
Hoy en día, las universitarias, además de su ILS implementan habitualmente servicios basados en Open 
URL para la resolución de enlaces, sistemas especializados de gestión de recursos electrónicos, interfaces 
de descubrimiento, plataformas de gestión de activos digitales (digital asset management), repositorios 
institucionales, servidores 
proxy y otros componentes que abordan un aspecto u otro de las operaciones digitales. 
Cada una de estas aplicaciones suele requerir la implementación de procesos de gestión y plataformas de 
hardware separadas, de lo cual resulta un entorno muy complejo de 
gestión, que supera la capacidad de muchas bibliotecas. Estos sistemas a menudo no logran interactuar 
entre sí con efectividad, debido a que usan modelos de datos aislados y a la falta de APIs robustas. 
 
Después de dos o tres años de investigación y desarrollo, en 2011-12 se está lanzando un nuevo tipo de 
productos que pueden llamarse plataformas de servicios bibliotecarios, 
con el objetivo de adoptar un enfoque mucho más amplio para la gestión de contenidos. 
Aunque cada una aporta sus propias características de diseño y funciones distintivas, el objetivo común 
de estas plataformas es gestionar todo tipo de recursos, ofreciendo flujos 
de trabajo especializados en función de si el elemento es o no digital, local o remoto, comprado o 
licenciado. En su mayoría incorporan modelos de datos estándar, siguiendo 
un enfoque de ciclo de vida de metadatos que favorece el procesamiento de lotes o flujos de metadatos de 
fuentes externas, enriqueciendo los registros tanto como sea posible 
mediante procesos automatizados y manuales. [3] 
 
¿Qué es el almacenamiento de archivos en la nube?El almacenamiento de archivos en la nube es un método para almacenar datos en la nube que suministra a 
servidores y aplicaciones acceso a los datos mediante sistemas de archivos compartidos. Esta 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 10 de 23 
 
compatibilidad hace que el almacenamiento de archivos en la nube sea ideal para las cargas de trabajo que 
dependen de sistemas de archivos compartidos y provee una integración simple sin necesidad de 
introducir cambios en el código. [1] 
 
¿Qué es un sistema de archivos en la nube? 
Un sistema de archivos en la nube es un sistema de almacenamiento jerárquico en la nube que 
proporciona acceso compartido a los datos de los archivos. Los usuarios pueden crear, eliminar, 
modificar, leer y escribir archivos, así como organizarlos lógicamente en árboles de directorios para un 
acceso intuitivo. (…) 
 
 
¿Cuáles son los casos de uso del almacenamiento de archivos en la nube? 
 
El almacenamiento de archivos en la nube proporciona la flexibilidad necesaria para admitir e integrar las 
aplicaciones existentes, además de la facilidad para desplegar, administrar y mantener todos sus archivos 
en la nube. Estas dos ventajas clave dan a las organizaciones la capacidad de admitir un amplio espectro 
de aplicaciones y verticales. Casos de uso como los grandes repositorios de contenido, los entornos de 
desarrollo, los almacenes multimedia y los directorios personales de los usuarios son cargas de trabajo 
ideales para el almacenamiento de archivos en la nube. Algunos ejemplos de casos de uso para el 
almacenamiento de archivos son los siguientes. 
 
Servidores web 
 
La necesidad de un almacenamiento de archivos compartido para las aplicaciones que sirven a la web 
puede suponer un reto a la hora de integrar las aplicaciones backend. Normalmente, hay varios servidores 
web que entregan el contenido de un sitio web, y cada servidor web necesita acceder al mismo conjunto 
de archivos. Dado que las soluciones de almacenamiento de archivos en la nube se adhieren a los 
protocolos comunes para los archivos, a las convenciones de denominación de archivos y a los permisos a 
los que están acostumbrados los desarrolladores web, el almacenamiento de archivos en la nube puede 
integrarse en sus aplicaciones web. 
 
Administración de contenido 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 11 de 23 
 
Un sistema de administración de contenidos (CMS) requiere un espacio de nombres común y acceso a 
una jerarquía de sistemas de archivos. De forma similar a los casos de uso del servicio web, los entornos 
de CMS suelen tener varios servidores que necesitan acceder al mismo conjunto de archivos para servir el 
contenido. Dado que las soluciones de almacenamiento de archivos en la nube se adhieren a la semántica 
esperada del sistema de archivos, a las convenciones de nomenclatura de archivos y a los permisos a los 
que están acostumbrados los desarrolladores, el almacenamiento de documentos y otros archivos puede 
integrarse en los flujos de trabajo existentes del CMS. 
 
Análisis 
 
La analítica puede requerir cantidades masivas de almacenamiento de datos que, además, pueden escalar 
aún más para seguir el ritmo del crecimiento. Este almacenamiento también debe proporcionar el 
rendimiento necesario para entregar los datos a las herramientas de análisis. Muchas cargas de trabajo 
analíticas interactúan con los datos a través de una interfaz de archivos, dependen de características como 
los bloqueos de archivos y requieren la capacidad de escribir en partes de un archivo. Dado que el 
almacenamiento de archivos basado en la nube es admite los protocolos comunes a nivel de archivo y 
puede escalar la capacidad, así como el rendimiento, es ideal para ofrecer una solución de intercambio de 
archivos que sea fácil de integrar en los flujos de trabajo de macrodatos y análisis existentes. 
 
Contenido multimedia y entretenimiento 
 
Los flujos de trabajo del contenido multimedia y del entretenimiento cambian constantemente. Muchas 
empresas utilizan un despliegue de nube híbrida y necesitan un acceso estandarizado mediante protocolos 
de sistema de archivos (NFS o SMB) o un acceso de protocolo concurrente. Estos flujos de trabajo 
requieren un acceso flexible, consistente y seguro a los datos de las soluciones disponibles en el mercado, 
las construidas a medida y las de los socios. Dado que el almacenamiento de archivos en la nube se 
adhiere a la semántica de los sistemas de archivos existentes, el almacenamiento de contenidos 
multimedia enriquecidos para su procesamiento y colaboración puede integrarse para la producción de 
contenidos, las cadenas de suministro digital, la transmisión de medios, la emisión de programas, el 
análisis y el archivo. 
 
Directorios de inicio 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 12 de 23 
 
El uso de directorios personales para almacenar archivos a los que solo pueden acceder usuarios y grupos 
específicos puede ser beneficioso para muchos flujos de trabajo en la nube. Las empresas que quieren 
aprovechar las ventajas de escalabilidad y costo de la nube amplían el acceso a los directorios personales 
de muchos de sus usuarios. Dado que los sistemas de almacenamiento de archivos en la nube se adhieren 
a protocolos comunes a nivel de archivos y a modelos de permisos estándar, los clientes pueden migrar 
mediante lift a-and-shift a la nube las aplicaciones que necesiten esta capacidad. 
 
Copias de seguridad de bases de datos 
 
La copia de seguridad de los datos mediante los mecanismos, el software y la semántica existentes puede 
crear un escenario de recuperación de desastres aislado con poca flexibilidad de ubicación para la 
recuperación. Muchas empresas quieren aprovechar la flexibilidad de almacenar las copias de seguridad 
de las bases de datos en la nube, ya sea para proteger temporalmente las versiones anteriores durante las 
actualizaciones o para el desarrollo y las pruebas. Dado que el almacenamiento de archivos en la nube 
presenta un sistema de archivos estándar que puede montarse desde los servidores de bases de datos, 
puede ser una plataforma ideal para crear copias de seguridad portátiles de las bases de datos mediante 
herramientas de aplicaciones nativas o aplicaciones de copia de seguridad empresariales. 
 
Herramientas de desarrollo 
 
Los entornos de desarrollo pueden enfrentarse al reto de compartir datos no estructurados de forma segura 
mientras colaboran para desarrollar sus últimas innovaciones. Con la necesidad de compartir el código y 
otros archivos de forma organizada, el uso del almacenamiento compartido de archivos en la nube 
proporciona un repositorio organizado y seguro que es accesible dentro de sus entornos de desarrollo en 
la nube. El almacenamiento de archivos basado en la nube ofrece una solución escalable y de alta 
disponibilidad ideal para la colaboración. 
 
Almacenamiento para contenedores y aplicaciones sin servidor 
 
Los contenedores son ideales para crear microservicios porque son rápidos de aprovisionar, son portátiles 
y proporcionan aislamiento de procesos. Un contenedor que necesite acceder a los datos originales cada 
vez que se inicie puede necesitar un sistema de archivos compartido al que pueda conectarse 
independientemente de la instancia en la que se ejecute. El almacenamiento de archivos en la nube puede 
ofrecer acceso compartido constante a los datos que todos los contenedores de un clúster pueden utilizar. 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 13 de 23 
 
Puede aumentar la agilidad con la computación en la nube sin servidores mientras dedica menos tiempo a 
centrarse en la seguridad, la escalabilidad y la disponibilidad de sus aplicaciones. Por ejemplo, puede 
ejecutar aplicaciones sin servidor a gran escala y de misión crítica en AWS Lambda. El almacenamiento 
de archivos enla nube puede proporcionar un almacenamiento de datos sin servidor altamente disponible 
y duradero para el intercambio de datos que necesita persistir más allá y entre las ejecuciones de las 
funciones Lambda. 
 
Computación para el usuario final 
 
La computación para el usuario final (EUC) es una combinación de tecnologías que proporciona a sus 
empleados un acceso seguro y remoto a las aplicaciones, los escritorios y los datos que necesitan para 
realizar su trabajo. Las empresas modernas utilizan EUC para que sus empleados puedan trabajar desde 
cualquier lugar, a través de múltiples dispositivos, de forma segura y escalable. Las tecnologías EUC, 
como los escritorios persistentes y los sistemas de administración de documentos, requieren sistemas de 
almacenamiento de archivos seguros, fiables y escalables. [3] 
 
 
 
ESTÁNDARES PARA CLOUD COMPUTING: ESTADO DEL ARTE Y ANÁLISIS DE 
PROTOCOLOS PARA VARIAS NUBES 
 
Computación en la Nube se ha ido desarrollando por diferentes fabricantes de Software, pero hasta el 
momento no se tienen unos criterios de estandarización ni para la arquitectura del software, ni para los 
esquemas de comunicación que se utilizan. 
 
La falta de normas es el mayor problema para la nube. 
 
No existen aún marcos ampliamente aceptados para ayudar a la integración de los servicios en la nube en 
las arquitecturas empresariales, para apoyar la transferencia de información entre diferentes nubes o para 
permitir rápida adquisición y negociación de contratos [1]. Sin embargo, se puede partir del hecho que los 
servicios de Computación en la Nube, tales como IaaS (Infraestructura como Servicio), PaaS (Plataforma 
como servicio) y SaaS (Software como Servicio), se basan en los protocolos de comunicaciones TCP/IP y 
que las aplicaciones y servicios ofrecidos por los sistemas de Cloud Computing están basados en 
Servicios Web, Protocolos y Formatos de datos Web con estándares bien establecidos. 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 14 de 23 
 
 
Desde el punto de vista de los estándares, la Computación en la Nube puede ser vista como una red de 
comunicaciones con servidores, clientes y servicios similares a los de cualquier otra red de 
comunicaciones basada en una Internet. Es así, que el intercambio de paquetes está regido por protocolos 
de comunicaciones típicos en un ambiente de computación distribuido tales como TCP, IP, SMTP y 
HTTP. El cambio de los modelos de servicio tales como SMTP o DNS hacia modelos basados en la Nube 
(Cloud Based), en principio no genera cambios en los procesos de comunicación. Sin embargo, es 
necesario hablar de estándares, pues los fabricantes de software están desarrollando sus propias nubes y 
cada uno hace las cosas a su manera, lo que puede traer problemas de interconexión entre nubes de 
diferentes fabricantes. Esto puede inducir a problemas con los usuarios y también problemas de 
inestabilidad de los sistemas de Computación en la Nube. (...) 
 
Según [3], los estándares para los servicios de Computación en la Nube, pueden ser divididos en dos 
clases: estándares prescriptivos y estándares evaluativos. 
Los primeros se refieren a los estándares de comunicaciones, tales como los protocolos TCP, IP, SNMP, 
HTTP, etc. De otra parte, los estándares evaluativos se refieren a estándares de Calidad de los sistemas de 
Cloud Computing, los cuales se encargan de describir y evaluar los procedimientos seguidos en los 
procesos en general, como es el caso de la familia de estándares ISO 9000, y procedimientos específicos 
para seguridad de la información como los de la familia ISO 27000. Algunos aspectos de Calidad de los 
proveedores de Servicios de Cloud Computing incluyen características medibles como: el tiempo de 
actividad, el rendimiento, la disponibilidad, la seguridad, la privacidad, el cumplimiento, el servicio al 
cliente y la portabilidad a través de los vendedores. (...) 
 
De otra parte, la ITU-T también ha hecho esfuerzos conjuntos con la ISO (International Standards 
Organization) y la IEC (International Electrotechnical Commission), y han desarrollado algunas 
recomendaciones conjuntas a través de la JTC (Joint Technical Commission) ó Comisión Técnica 
Conjunta denominada ISO/IEC (...) 
 
Otra entidad que ha iniciado labores de estandarización es la IETF (Internet Engineering Task Force), 
entidad que genera los estándares de Internet. La IETF tiene un grupo de trabajo en Cloud Computing y 
hasta el momento ha generado el RFC 6208 [6], que describe los tipos de medios para las interfaces de 
Gestión de Datos de Nubes (Cloud Data Management Interface-CDMI- Media Types). En el documento 
se describen varios tipos de medios de internet definidos para la Interfaz de Manejo de Datos en la Nube 
(CDMI) por la Asociación de industrias de Redes de Almacenamiento (SNIA) (...) 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 15 de 23 
 
 
 
La CDMI propone un grupo de interfaces funcionales entre datos y la gestión de los mismos 
(control) para crear, editar, actualizar y borrar los datos en un almacenamiento en la nube. Otro concepto 
es el estándar de metadatos, los metadatos facilitan el flujo de trabajo convirtiendo datos 
automáticamente de un formato a otro. Para eso es necesario que los metadatos describen el 
contenido y estructura de los datos. Algunos metadatos hacen posible una compresión de datos más 
eficaz. Por ejemplo, si en un vídeo el software sabe distinguir el primer plano del fondo puede usar 
algoritmos de compresión diferentes y así mejorar la cuota de compresión. (...) [2] 
 
 
 
 
 
 
 
 
¿Qué es el cloud security? 
 
 
A medida que las empresas van migrando al cloud, resulta fundamental comprender los requisitos de 
seguridad para proteger los datos. Aunque los proveedores de cloud computing externos pueden 
encargarse de la gestión de esta infraestructura, la responsabilidad de la seguridad de los activos de datos 
no necesariamente recae en ellos. 
De forma predeterminada, la mayoría de los proveedores de cloud siguen las mejores prácticas de 
seguridad y toman medidas activas para proteger la integridad de sus servidores. Sin embargo, las 
organizaciones deben tomar sus propias consideraciones para proteger los datos, las aplicaciones y las 
cargas de trabajo que se ejecutan en cloud. 
 
¿Cuáles son algunos de los desafíos de la seguridad en cloud? 
Falta de visibilidad 
Es fácil perder la pista de cómo y quién accede a sus datos, ya que se accede a muchos servicios de cloud 
fuera de las redes corporativas y a través de terceros. 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 16 de 23 
 
Multitenencia 
Los entornos de cloud público alojan las infraestructuras de varios clientes bajo el mismo paraguas, por lo 
que es posible que sus servicios alojados sean objeto de ataques maliciosos como daños colaterales 
cuando se ataca a otros negocios. 
 
Gestión de accesos y TI invisible 
Si bien las empresas pueden gestionar y restringir puntos de acceso en los sistemas locales, administrar 
estos mismos niveles de restricciones puede plantear un desafío en entornos cloud. Esto puede resultar 
peligroso para las organizaciones que no implementan políticas de BYOD (traiga su propio dispositivo) 
ya que se permite el acceso sin filtro a los servicios de cloud desde cualquier dispositivo o 
geolocalización. 
 
Conformidad 
La gestión de la conformidad con la normativa es a menudo una fuente de confusión para las empresas 
que utilizan despliegues de cloud público o híbrido. La responsabilidad general de la privacidad y la 
seguridad de los datos recae en la empresa, y la gran dependencia de soluciones de terceros para gestionar 
este componente puede acarrear costosos problemas de conformidad. 
 
Configuraciones incorrectas 
Los activos mal configurados representaron el 86 % de los registros infringidos en 2019, con lo cual el 
actor internoinadvertido se convierte en un elemento clave para los entornos de cloud computing. Las 
configuraciones incorrectas pueden incluir dejar las contraseñas administrativas predeterminadas, o no 
crear configuraciones de privacidad adecuadas. (...) [5] 
 
 
 
 
 
¿Cómo protegen los metadatos las grandes empresas proveedoras de plataformas 
cloud? 
 
 
IBM 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 17 de 23 
 
Recopilación, entrega y almacenamiento de metadatos en la nube 
Para transformar los metadatos en conocimientos y presentarlos en IBM Storage Insights Pro o en IBM 
Storage Insights, el recopilador de datos reenvía paquetes de metadatos para su análisis y almacenamiento 
al centro de datos de IBM Cloud (ubicado en Washington, D.C.). 
 
Metadatos protegidos 
Para mantener el paquete de metadatos seguro en su viaje a la nube, el recopilador de datos utiliza HTTPS 
(Hypertext Transfer Protocol Secure), que cifra los metadatos y envía el paquete de metadatos a través de 
un canal seguro al centro de dato de IBM Cloud. 
 
En la pasarela de proxy inverso 
En la pasarela, o la pasarela de proxy inverso, el paquete de metadatos obtiene instrucciones para entregar 
el paquete al servicio IBM Storage Insights Pro o IBM Storage Insights. Solo los recopiladores de datos 
asociados al servicio pueden recopilar y entregar metadatos sobre el entorno de almacenamiento. 
 
Cuando el paquete de metadatos se entrega, los metadatos se cifran, analizan y almacenan. 
 
Desde el centro de datos a Internet 
Las conexiones HTTPS se utilizan para comprimir y cifrar los metadatos que se recopilan sobre los 
sistemas de almacenamiento y se envían al centro de datos de IBM Cloud. 
 
Como parte del proceso de incorporación, se le proporcionará un nombre de host y un número de puerto 
para el servicio IBM Storage Insights Pro o IBM Storage Insights. Para proteger la comunicación de 
salida entre el recopilador de datos e IBM Storage Insights Pro o IBM Storage Insights, se utiliza un 
certificado SSL (Secure Sockets Layer). Las conexiones HTTPS utilizan certificados emitidos por 
Cloudflare, Inc. (nombre común del emisor "Cloudflare Inc ECC CA-3") y utilizan TLS 1.2 y TLS 1.3 
con claves de 256 bytes. 
 
(...) 
 
En el centro de datos de IBM Cloud 
IBM Storage Insights Pro e IBM Storage Insights están alojados en centros de datos de IBM Cloud, que 
cumplen altos estándares de seguridad organizativa, técnica y física. 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 18 de 23 
 
Seguridad de claves 
Cada instancia de IBM Storage Insights utiliza un almacén de claves local que está dedicado a esa 
instancia y está protegido mediante contraseña. La contraseña para el almacén de claves se genera 
aleatoriamente cuando se crea la instancia. El certificado del almacén de claves es exclusivo para cada 
instancia y la contraseña del almacén está cifrada. (El cifrado no incluye el cifrado de hardware). La 
contraseña maestra se mantiene cifrada en la configuración de carga útil de servicio en una ubicación 
segura en IBM Cloud. 
 
Sólo hay una clave de cliente externa, que es la clave pública que está certificada por DigiCert. Como 
parte del protocolo TLS y del intercambio de certificados, el cliente (navegador web) utiliza el certificado 
firmado para verificar que se está comunicando con IBM Storage Insights Pro o la pasarela de IBM 
Storage Insights en IBM Cloud y que las comunicaciones no se han manipulado indebidamente. Para el 
tráfico interno, cada instancia de cliente de IBM Storage Insights Pro o IBM Storage Insights tiene una 
clave exclusiva, protegida con una contraseña cifrada exclusiva y auto-firmada por IBM para validar que 
la comunicación se produce entre el cliente y la instancia del cliente. 
 
Protección física 
Los centros de datos se controlan de forma rigurosa y se proporciona seguridad en el sitio las 24 horas. El 
acceso a las salas de los servidores está limitado a los empleados certificados y auditores externos 
examinan los controles de seguridad. 
 
 
Seguridad técnica 
Cada instancia de IBM Storage Insights Pro o IBM Storage Insights está aislada de otras instancias de 
IBM Storage Insights Pro o IBM Storage Insights a nivel de cálculo y de almacenamiento. 
Cada instancia utiliza también su propia base de datos, que almacena sólo datos para esa instancia. La 
base de datos se cifra por separado utilizando cifrado IBM DB2 nativo con un algoritmo criptográfico 
sólido, cifrado AES de 256 bits. Se utiliza un certificado SSL. Para la base de datos DB2 cifrada y sus 
copias de seguridad cifradas almacenadas en IBM Cloud, el certificado está auto firmado por IBM. (...) 
 
Seguridad organizativa 
El acceso a la infraestructura y las instancias de IBM Storage Insights Pro e IBM Storage Insights se 
controla: 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 19 de 23 
 
Mediante la restricción del acceso a los miembros del equipo DevOps y los equipos de la infraestructura 
del servicio en la nube que están cualificados como usuarios con privilegios. 
Mediante la realización de exploraciones de vulnerabilidades y de salud del sistema en el nivel de código 
fuente y en las instancias en ejecución. 
Mediante la realización de pruebas periódicas de penetración. Empresas externas realizan las pruebas de 
penetración. [3] 
 
 
Google cloud platform (GCP) 
 
 
Consideraciones de seguridad de metadatos 
Cuando realizas una solicitud para obtener información del servidor de metadatos, la solicitud y la 
respuesta de metadatos posterior nunca abandonan el host físico que ejecuta la VM. 
 
Sin embargo, cualquier proceso que pueda consultar la URL de metadatos tiene acceso a todos los valores 
del servidor de metadatos. Esto incluye cualquier valor de metadatos personalizados que escribas en el 
servidor. Google recomienda que tengas cuidado cuando escribas valores sensibles en el servidor de 
metadatos o cuando ejecutes procesos de terceros. 
 
 
 
 
● Propuesta. 
 
1) síntesis del problema a resolver; 
 
Sin duda alguna, nos enfrentamos a una situación compleja de resolver. Esto se debe a que estamos 
hablando de un concepto completamente relevante para el ámbito de seguridad de la información, como 
es el metadato y una tecnología que, si bien ya lleva varios años en el mercado, aún se encuentra en 
constante actualización y cambios. Dentro de lo que es el cloud computing, no existen estándares o 
normativas vigentes para tratar esta tecnología puntual. De hecho, una de las mayores empresas 
proveedoras de este servicio, Google a partir de su plataforma “GCP” recomienda que “tengas cuidado 
cuando escribas valores sensibles en el servidor de metadatos o cuando ejecutes procesos de terceros”. 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 20 de 23 
 
Dicha frase, analizada objetivamente, implica sin duda alguna la falta de existencia de normativas y 
medidas confiables para el tratamiento de este tipo de archivos. 
Es importante recordar que “un metadato es la mínima información indispensable para identificar un 
recurso, como puede ser un archivo en una computadora, una información extra sobre un tipo de dato, 
como por ejemplo el autor, la extensión o su formato. (…) De hecho, si atendemos a su etimología, 
literalmente significa «más allá de los datos» en referencia a esos datos que describen” 
 
 
2) objetivos de la propuesta; 
 
La presente propuesta intenta promover la definición de estándares con respecto a la seguridad de la 
información del metadato para los almacenamientos en el cloud computing y una normativa de base para 
toda empresa proveedora de sistemas de cloud computing con respecto al manejo de metadatos. 
 
3) estrategia a implementar 
 
En un primer punto, consideramos necesario un profundo relevamiento acerca del estado actual de cada 
una de las empresas proveedoras de cloud acerca de supropio manejo de los metadatos. 
Es importante comentar que se denota una importante distinción entre las distintas empresas como IBM o 
Google. 
Luego del relevamiento y entendiendo que pocas empresas se dedican a proveer el servicio de cloud 
computing, consideramos que estas podrían trabajar en conjunto para la definición de estándares y 
normativas de seguridad. Dicha propuesta, surge de imitar el formato de crecimiento que tomaron las 
empresas de tarjetas de crédito con la normativa “PCI”, sobre la cuál las principales proveedoras de 
tarjetas de crédito (Visa, Mastercard, American Express) trabajaron conjuntamente en la realización de 
una normativa que garantice la seguridad de las transacciones en dicho ámbito. 
 
 
4) descripción del procedimiento y actividades a desarrollar; 
Se recomienda entonces, realizar una alianza estratégica entre las principales proveedoras de cloud 
computing (AWS, GCP, Azure e IBM) en pos de definir una normativa para el tratamiento y 
garantización de la seguridad en lo que respecta a los metadatos dentro del ámbito de cloud computing. 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 21 de 23 
 
Luego de la realización de esta alianza, se recomienda una puesta en común de las distintas formas de 
trabajo de cada una de las empresas en cuanto a la temática planteada. 
Posteriormente, se propone incorporar en un borrador de normativa, las mejores técnicas utilizadas entre 
todas las empresas planteadas. 
 
A su vez, se recomienda incorporar organismos internacionales como pueda ser ISO, a la realización de 
tal normativa, en pos de implementar su visión generalizada de distintas temáticas orientadas a la 
seguridad. 
 
Una vez definido el borrador de la normativa, se recomienda su implementación como “MVP”, y su 
posterior prueba, en pos de verificar que la existencia de la normativa ayude a las distintas empresas a 
garantizar la seguridad de la información del metadato para los almacenamientos en el cloud computing. 
 
 
 
 
 
 
5) acciones previstas para la evaluación de la propuesta. 
 
Se propone definir métricas para la medición de la seguridad en de la información del metadato para los 
almacenamientos en el cloud computing. 
Se propone la realización de pruebas sustantivas a partir de dichas métricas en pos de relevar la situación 
actual de la seguridad en cada una de las empresas. 
Se propone la repetición de las pruebas sustantivas y realización de pruebas de cumplimiento, luego de la 
implementación de las normativas planificadas, en pos de verificar su funcionamiento. 
 
 
 
 
 
 
- Conclusiones. 
 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 22 de 23 
 
 
 
Luego de la investigación realizada, consideramos que hoy en día no se garantiza a nivel general la 
seguridad del metadato en el cloud computing. En nuestra opinión, la seguridad del metadato en el cloud 
computing se trabaja, se intenta mantener y se busca que se mantenga íntegra. No obstante, y basándonos 
en el comentario de Google en su propia página donde comenta dicho tema, cuando recomiendan que 
“tengas cuidado cuando escribas valores sensibles en el servidor de metadatos”, en nuestra opinión están 
demostrando el bajo nivel de seguridad que dicho servicio ofrece. Por el contrario, si garantizarán la 
seguridad su mensaje seguramente sería distinto, comentando que sus metadatos estaban resguardados y 
garantizados por ellos mismos. 
Siguiendo con nuestra conclusión, consideramos que no podemos hablar de una generalidad en cuanto a 
la seguridad del metadato en el cloud computing, porque hoy en día y por el estado del arte de esta 
tecnología, depende puntualmente de cada proveedor de este servicio. 
Por el contrario a Google, IBM comenta que “Para mantener el paquete de metadatos seguro en su viaje 
a la nube, el recopilador de datos utiliza HTTPS (Hypertext Transfer Protocol Secure), que cifra los 
metadatos y envía el paquete de metadatos a través de un canal seguro al centro de dato de IBM Cloud” 
[5]. Sin duda alguna, es una estrategia de seguridad mucho más confiable que la comentada por GCP. 
 
Sin duda alguna, la relevancia de este concepto hará que las distintas empresas continúen trabajando en 
dicha área, en pos de seguir mejorando y perfeccionando su seguridad a nivel general y puntualmente 
garantizando la seguridad del metadato en cloud computing. 
 
 
 
 
 
 
 
- Referencias bibliográficas. 
 
 
[1] Breeding, Marshall (2012) Tendencias actuales y futuras en tecnologías de la información para 
unidades de información. El profesional de la información, Volumen 21, número 1 enero-febrero, Página 
12. Recuperado el día 09/11/2022, de la base de datos de Google 
 
Diego Borengiu - Gonzalo Meana - Juan José Meza 
Página 23 de 23 
 
[2] Padilla Aguilar, Jhon Jairo; Pinzón Castellanos, Javier (2015) ESTÁNDARES PARA CLOUD 
COMPUTING: ESTADO DEL ARTE Y ANÁLISIS DE PROTOCOLOS PARA VARIAS NUBES. 
Facultad de Ingeniería Electrónica. Pontificia Bolivariana 
Recuperado el día 09/05/2015 de la base de datos de Google. 
 
[3] AWS. Amazon ¿Qué es el almacenamiento de archivos en la nube? consulta efectuada el día 22 en 
https://aws.amazon.com/es/what-is/cloud-file-storage/ 
 
[3] Cómo se protegen los metadatos. Consulta efectuada el día 22 en 
https://www.ibm.com/docs/es/storage-insights?topic=security-how-is-metadata-protected 
 
[4] Metadatos. Definición, funciones y ejemplos. Consulta efectuada el día 22 en 
https://protecciondatos-lopd.com/empresas/metadatos/ 
 
[5] Una visión general de seguridad en la nube. Consulta efectuada el día 22 en https://www.ibm.com/ar-
es/topics/cloud-security 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
https://aws.amazon.com/es/what-is/cloud-file-storage/
https://www.ibm.com/docs/es/storage-insights?topic=security-how-is-metadata-protected
https://protecciondatos-lopd.com/empresas/metadatos/
https://www.ibm.com/ar-es/topics/cloud-security
https://www.ibm.com/ar-es/topics/cloud-security