universidad politécnica de madridoa.upm.es/68078/1/tfg_alvaro_martin_marti.pdf · 2021. 7. 29. ·...

Universidad Politécnica de Madrid

Escuela Técnica Superior de Ingenieros Informáticos

Grado en Ingeniería Informática

Trabajo Fin de Grado

Estudio de la Seguridad en los Entornos de E-learning Basados en Cloud

Computing

Autor: Álvaro Martín Martí Tutor(a): Edmundo Tovar Caro

Madrid, Junio 2021

Este Trabajo Fin de Grado se ha depositado en la ETSI Informáticos de la Universidad Politécnica de Madrid para su defensa.

Trabajo Fin de Grado Grado en Ingeniería Informática Título: Estudio de la Seguridad en los Entornos de E-learning Basados en

Cloud Computing Junio 2021

Autor: Álvaro Martín Martí Tutor:

Edmundo Tovar Caro Lenguajes y Sistemas Informáticos e Ingeniería de Software ETSI Informáticos Universidad Politécnica de Madrid

i

Resumen La forma de aprender ha cambiado radicalmente, la aparición de las nuevas herramientas tecnológicas ha obligado al área de la docencia a adaptarse a una nueva manera de que los estudiantes adquieran y evalúen sus conocimientos. El e-learning está rompiendo todas las barreras y permitiendo que los alumnos transformen el método de aprender con la educación online. Durante los últimos meses hemos podido ser testigos, más que nunca, del aprendizaje mediante Internet. La pandemia mundial ocasionada por el COVID 19 supuso un paso adelante del e-learning, donde muchos colegios y universidades tuvieron que reinventar el formato presencial que hasta ahora prevalecía. La computación en la nube ha jugado un papel muy importante en este cambio tan abrupto, especialmente en el campo relacionado con la educación superior. El cloud computing permite contar con recursos virtuales situados en otros lugares geográficos en lugar de físicos. Sus principales características como el fácil acceso, el almacenamiento seguro, su gran alcance o el ahorro de costes ofrecen grandes ventajas a la hora de establecer un entorno educativo virtual. Es decir, es un sistema cómodo que requiere un esfuerzo humano mínimo. A pesar de todas estas ventajas, que suponen un gran avance en la tecnología del aprendizaje online, los problemas relacionados con la seguridad suponen las mayores limitaciones para los proveedores y usuarios de la nube. En especial la seguridad de los datos, que, aunque es una preocupación que engloba a todas las tecnologías, supone una gran responsabilidad cuando los usuarios dependen de los proveedores para obtener una seguridad adecuada al servicio.

ii

Abstract The way of learning has changed radically, the emergence of new technological tools has forced the teaching area to adapt to a new way for students to acquire and evaluate their knowledge. E-learning is breaking down all barriers and allowing students to transform the method of learning with online education. Over the past few months, we have witnessed, more than ever before, learning via the Internet. The global pandemic caused by COVID 19 was a step forward for e-learning, where many colleges and universities had to reinvent the previously prevailing face-to-face format. Cloud computing has played a very important role in this abrupt change, especially in the field related to higher education. Cloud computing allows for virtual resources located in other geographical locations instead of physical ones. Its main features such as easy access, secure storage, wide reach and cost savings offer great advantages when setting up a virtual educational environment. In other words, it is a convenient system that requires minimal human effort. Despite all these advantages, which represent a breakthrough in e-learning technology, security-related issues pose the greatest limitations for cloud providers and users. In particular, data security, which, although an all-encompassing concern for all technologies, is a major liability when users depend on providers to provide adequate security for the service.

iii

Tabla de contenidos 1 Introducción ......................................................................................1

1.1 Trabajos previos ................................................................................. 2 2 Cloud Computing ...............................................................................3

2.1 Características principales ................................................................. 3 2.2 Modelos de servicio............................................................................. 4 2.3 Modelos de implantación .................................................................... 5

3 E-learning ..........................................................................................6 3.1 Escenarios y características ............................................................... 6 3.2 Evolución ........................................................................................... 7

4 Cloud Learning ..................................................................................9 4.1 Modelo de implantación ...................................................................... 9 4.2 Beneficios ......................................................................................... 10 4.3 Framework ....................................................................................... 11 4.4 MOOCS ............................................................................................ 13

5 Análisis de seguridad ....................................................................... 15 5.1 Análisis de seguridad en el Framework ............................................. 15

5.1.1 Institucional ............................................................................... 15 5.1.2 Pedagógica ................................................................................. 17 5.1.3 Tecnológica ................................................................................ 18 5.1.4 Diseño de interfaz ...................................................................... 19 5.1.5 Evaluación ................................................................................. 20 5.1.6 Gestión ...................................................................................... 21 5.1.7 Apoyo de recursos ...................................................................... 22 5.1.8 Ética .......................................................................................... 27

5.2 Cloud Security Alliance .................................................................... 28 6 Resultados y conclusiones ............................................................... 32 7 Análisis de Impacto ......................................................................... 33 8 Bibliografía ...................................................................................... 35

1

1 Introducción

En la actualidad y durante los últimos años, la computación en la nube está creciendo rápidamente, con aplicaciones en casi todas las áreas, incluida la educación. Hoy en día se puede acceder a Internet desde cualquier dispositivo, lo que hace que sea más distribuida en comparación con cualquier entidad centralizada. Los sistemas de e-learning requieren de muchos recursos hardware y software y la computación en la nube ofrece todas las facilidades que el e-learning necesita. La computación en la nube ha ayudado a mejorar las funciones de e-learning, sobre todo en la consecución de la flexibilidad, eficiencia y costos como nunca antes. Los problemas relacionados con la seguridad suponen las mayores limitaciones para los proveedores y usuarios de la nube. Los beneficios que hemos citado ya consideran esta combinación de tecnologías como un sustituto del e-learning tradicional, pero la seguridad es un factor que se convierte en el principal problema que preocupa a los usuarios a la hora de hacer uso de la computación en la nube bajo demanda. Uno de los principales beneficios es la copia de seguridad de los datos, que es de vital importancia para facilitar su posterior recuperación, pero introduce problemas de seguridad. En general muchos de los problemas que analizaremos tienen que ver con los datos y el almacenamiento. Tener accesibilidad y disponibilidad de ellos a todas horas y desde todos los lugares supone un riesgo más, aunque sea otro de los puntos a favor del uso de la nube para llevar a cabo la gestión del e-learning. Por el momento ninguna organización o institución que haga uso de los servicios en la nube es inexpugnable a las amenazas de seguridad. Algunas de las grandes empresas como Facebook o Google, que es uno de los grandes proveedores de cloud, han sido víctimas de ataques. Esto nos quiere decir que es muy difícil abolir por completo los problemas de seguridad, pero las organizaciones saben que es vital estar al día de las últimas medidas de seguridad para evitar problemas. El objetivo principal del trabajo no es resolver estas amenazas ni reducir a cero la posibilidad de que se produzcan. El objetivo es investigar y desarrollar los principales problemas de seguridad que tienen ambas tecnologías, analizarlos, enmarcarlos en una de las ocho dimensiones del framework de Badrul Khan y proponer una serie de medidas para intentar evitar que ocurran. Como se trata de dos tecnologías los problemas de seguridad pueden provenir de ambos campos, lo que duplica la posibilidad de que haya amenazas sensibles al entorno. Veremos las ocho dimensiones del autor, pero siempre teniendo en cuenta que hay una parte social, que aporta el e-learning, como pueden ser los profesores y los alumnos, y la parte tecnológica por supuesto del aprendizaje en línea y la computación en la nube. La primera parte del trabajo que incluirá los dos primeros apartados será una introducción de ambas tecnologías. Respecto al cloud computing, un análisis de sus principales características, los modelos de servicio que ofrece y los modelos de implantar la tecnología. La información sobre e-learning no es tan extensa en general como la que se puede encontrar sobre cloud computing.

2

Detallaremos sus características, sus entornos, los posibles escenarios y un esquema de su evolución. Antes de pasar al análisis de seguridad desarrollaremos un concepto más reciente, el cloud learning, que es la tecnología que involucra a los dos modelos descritos anteriormente, el cloud computing y el e-learning. Que cosas en común ponen cada una de las materias para sacar beneficios en este nuevo modelo y un ejemplo de tecnología actual que cumple con los requisitos del framework descrito, los MOOCS. La parte principal del trabajo será el desarrollo del objetivo prioritario del estudio, un repaso a la seguridad de los sistemas de e-learning basados en cloud computing, describiendo cada una de estas cuestiones y proponiendo una serie de posibles mejoras dentro de las dimensiones del marco de aprendizaje. Antes de analizar las amenazas definiremos las dimensiones y subdimensiones de este marco, para entender en que aspectos afectan estos problemas de seguridad. Cerraremos con una serie de conclusiones y enseñanzas que recogemos tras haber realizado el trabajo y la investigación. Por último, un análisis de impacto. Una vez finalizado, analizar el impacto del trabajo intentando vincularlo con los Objetivos de Desarrollo Sostenible. Estos objetivos adoptados desde 2015 se definieron con el fin de erradicar la pobreza, proteger el planeta y asegurar la prosperidad para todos como parte de una nueva agenda de desarrollo sostenible. Cada uno de estos objetivos tiene unas metas específicas que deben alcanzarse dentro de 15 años. Examinaremos estos objetivos y explicaremos como concuerdan los objetivos de nuestro trabajo con algunos de estos puntos.

1.1 Trabajos previos

Hay una gran variedad de artículos y de libros que hablan sobre el tema que vamos a tratar en el trabajo. Respecto al e-learning y la tecnología educativa encontramos a Badrul Huda Khan como uno de los más importantes en este campo. Al educador, orador, autor y consultor de renombre mundial se le adjudica el mérito de haber acuñado por primera vez el término “instrucción basada en la web” y de haber expandido el término en su libro “Web-Based Instruction”, que fue éxito de ventas en 1977 y allanó el camino de lo que hoy en día conocemos como e-learning. El autor tras reflexionar sobre los diversos factores que eran importantes a la hora de establecer entornos de aprendizaje abiertos y distribuidos desarrolló un marco (framework) para el aprendizaje en línea. Este marco en el que nos apoyaremos para la realización del trabajo fue revisado y aprobado por académicos y profesionales de todo el mundo.

En términos de seguridad de los sistemas de e-learning basado en cloud computing Gunasekar Kumar y Anirudh Chelikani escribieron en 2011 el libro “Analysis of security issues in cloud based e-learning”. Donde investigaban una serie de cuestiones de seguridad relacionadas con el uso de ambas tecnologías. Para lograr el objetivo de su tesis hicieron uso de estudios teóricos y empíricos. Estos últimos realizados a través de la información recogida en los sitios web de varios proveedores de soluciones de e-learning en la nube.

3

2 Cloud Computing

La primera parte del trabajo consiste en entender que es el Cloud Computing. Para ello vamos a apoyarnos en dos definiciones. La primera la encontramos en el diccionario de la Real Academia de Ingeniería, y define la computación en la nube como: “Utilización de las instalaciones propias de un servidor web albergadas por un proveedor de Internet para almacenar, desplegar y ejecutar aplicaciones a petición de los usuarios demandantes de las mismas” [1]. La segunda la recogemos del Instituto Nacional de Estándares y Tecnología (NIST) y determina que: "La computación en nube es un modelo que permite un acceso cómodo y bajo demanda a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente provisionados y liberados con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios. Este modelo de nube se compone de cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue” [2]. Como podemos ver, ambas definiciones coinciden en definirlo como un servicio bajo demanda que un proveedor facilita a los usuarios que acceden.

2.1 Características principales

Aunque no hay una única descripción para todos los entornos de cloud, casi todos ellos reúnen una serie de propiedades comunes que son la base para un producto de calidad. Como nos indica la definición aportada por el NIST [3] son cinco las características principales del cloud computing que ellos recogen: El Autoservicio bajo demanda, como hemos visto en la definición, un consumidor puede aprovisionar unilateralmente las capacidades informáticas, como el tiempo de servidor y almacenamiento en red, según las necesidades, de forma automática y sin requerir la interacción humana con cada proveedor de servicios. El Amplio acceso a la red, las capacidades están disponibles en la red y se accede a ellas a través de mecanismos estándar que promueven el uso de plataformas heterogéneas de clientes ligeros o gruesos (por ejemplo, teléfonos móviles, tabletas, ordenadores portátiles y estaciones de trabajo). La Puesta en común de recursos, los recursos informáticos del proveedor se ponen en común para servir a múltiples consumidores mediante un modelo multi-arrendatario, con diferentes recursos físicos y virtuales asignados y reasignados dinámicamente en función de la demanda de los consumidores. Existe una sensación de independencia de la ubicación, ya que el cliente generalmente no tiene control o conocimiento sobre la ubicación exacta de los recursos proporcionados, pero puede especificar su ubicación a un nivel superior de abstracción (por ejemplo, país, estado o centro de datos). Algunos ejemplos de recursos son almacenamiento, procesamiento, memoria y ancho de banda de la red. La rápida Elasticidad, las capacidades pueden aprovisionarse rápida y elásticamente, en algunos casos de forma automática, para escalar rápidamente hacia fuera y hacia dentro en función de la demanda. Para el consumidor, las

4

capacidades disponibles para el aprovisionamiento suelen parecer ilimitadas y pueden ser apropiadas en cualquier cantidad y en cualquier momento. El Servicio medido, los sistemas en la nube controlan y optimizan automáticamente el uso de los recursos aprovechando una capacidad de medición (por lo general, esto se hace sobre una base de pago por uso o de cobro por uso) en algún nivel de abstracción apropiado para el tipo de servicio (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de los recursos puede ser supervisado, controlado y notificado, proporcionando transparencia tanto para el proveedor como para el consumidor del servicio utilizado.

2.2 Modelos de servicio

La computación en la nube tiene tres modelos de servicio que predominan. Cada uno de estos modelos ofrece sus propios beneficios que dependerán de la solución que mejor se ajuste al cliente y de sus necesidades. Para poder elegir entre ellos es necesario conocer los modelos, evaluar que se busca y averiguar como el modelo elegido puede ofrecer los flujos de trabajo requeridos. [3]

Software como servicio (SaaS). La capacidad que se ofrece al consumidor es la de utilizar las aplicaciones del proveedor que se ejecutan en una infraestructura en la nube. Las aplicaciones son accesibles desde varios dispositivos cliente a través de una interfaz de cliente ligero, como un navegador web (por ejemplo, el correo electrónico basado en la web), o una interfaz de programa. El consumidor no gestiona ni controla la infraestructura de nube subyacente, incluyendo la red, los servidores, los sistemas operativos, el almacenamiento o incluso las capacidades individuales de las aplicaciones, con la posible excepción de los ajustes de configuración de la aplicación específicos del usuario.

Plataforma como servicio (PaaS). La capacidad que se ofrece al

consumidor es la de desplegar en la nube aplicaciones creadas o adquiridas por el consumidor que utilizan lenguajes de programación y herramientas. El consumidor no gestiona ni controla la infraestructura subyacente de la nube, incluida la red, los servidores, los sistemas operativos o el almacenamiento, pero tiene control sobre las aplicaciones desplegadas y posiblemente las configuraciones del entorno de alojamiento de las aplicaciones.

Infraestructura como servicio (IaaS). La capacidad que se proporciona

al consumidor es la de aprovisionar procesamiento, almacenamiento, redes y otros recursos informáticos fundamentales en los que el consumidor puede desplegar y ejecutar software arbitrario, que puede incluir sistemas operativos y aplicaciones. El consumidor no gestiona ni controla la infraestructura subyacente de la nube, pero tiene control sobre los sistemas operativos, el almacenamiento, las aplicaciones desplegadas y, posiblemente, un control limitado de determinados componentes de red (por ejemplo, firewalls).

5

2.3 Modelos de implantación

Antes de hablar de los modelos que ofrece la nube hay que definir tres términos clave para entender el funcionamiento de esta. Consumidor o cliente de la nube: una persona u organización que es cliente de una nube; nótese que un cliente de la nube puede ser a su vez una nube y que las nubes pueden ofrecer servicios entre sí. Cliente: una máquina o aplicación de software que accede a una nube a través de una conexión de red, quizás en nombre de un consumidor. Proveedor de la nube o proveedor: una organización que proporciona servicios en la nube. A lo largo de este documento, cualquier uso general del término "nube" o "sistema de nube" debe suponerse que se aplica a cada uno de los cuatro modelos de despliegue. Se tiene cuidado de especificar un modelo de despliegue específico cuando una afirmación no es aplicable a los cuatro modelos. Una vez definidos los conceptos clave para entender cómo funciona, vamos a concretar cómo se dividen y que características tienen cada uno de estos modelos. [3] Nube privada: la infraestructura de la nube se aprovisiona para el uso exclusivo de una sola organización que comprende múltiples consumidores (por ejemplo, unidades de negocio). Puede ser propiedad de la organización, gestionada y operada por ella, por un tercero o por una combinación de ambos, y puede existir dentro o fuera de las instalaciones. Nube comunitaria: la infraestructura de la nube se proporciona para el uso exclusivo de una comunidad específica de consumidores de organizaciones que tienen preocupaciones compartidas (por ejemplo, misión, requisitos de seguridad, política y consideraciones de cumplimiento). Puede ser propiedad de una o varias organizaciones de la comunidad, de un tercero o de una organización de la comunidad, y estar gestionada y operada por ellas. Nube pública: la infraestructura de la nube se suministra para su uso abierto por el público en general. Puede ser propiedad, gestionada y operada por una organización empresarial, académica o gubernamental, o una combinación de ellas. Existe en las instalaciones del proveedor de la nube. Nube híbrida: la infraestructura de la nube es una composición de dos o más infraestructuras de nube distintas (privadas, comunitarias o públicas) que siguen siendo entidades únicas, pero que están unidas por tecnología estandarizada o patentada que permite la portabilidad de los datos y las aplicaciones (por ejemplo, el cloud bursting para equilibrar la carga entre nubes).

6

3 E-learning

A diferencia de la computación en la nube, no encontramos una definición concreta de la educación virtual, ningún diccionario o instituto ha recogido una explicación exacta de que es. Además, puede llevar a confusión debido a la cantidad de acrónimos, tecnologías y aplicaciones convergentes tanto en la formación como en las TIC. Por ello, vamos a definirla de la manera más breve posible, poniendo en común todas las definiciones que hemos ido encontrando en el proceso de búsqueda. Así, podríamos definir el e-learning como: un sistema de enseñanza y aprendizaje que se basa en Internet y en todas las herramientas que se pueden conectar a la red. Aunque hayamos acuñado el término de e-learning y será el que más usemos a lo largo del trabajo, también recibe otros nombres como: tele formación, formación a distancia o enseñanza virtual u online.

Con el paso del tiempo esta educación a distancia ha ido evolucionando y adaptándose a las nuevas necesidades tecnologías que han ido surgiendo. En los siguientes apartados vamos a ir recogiendo las características, ventajas y desventajas, escenarios, herramientas y elementos que hemos investigado y que engloban la actualidad del e-learning. Como ya dijimos anteriormente no hay unos estándares específicos, nos apoyaremos en las herramientas ya creadas que ponen en común todos estos campos.

3.1 Escenarios y características

Dependiendo de los medios tecnológicos que se usen y debido a las transformaciones y a la evolución que ha sufrido la educación a distancia basada en las TIC el e-learning puede ser clasificado de distintas formas. Como vamos a ver a continuación, a medida que se iban descubriendo nuevas tecnologías y formas de propagar la información, el aprendizaje virtual iba cambiando y adaptándose hasta el día de hoy.

El CBT (computer based training) o CAI (computer assisted instruction) fue el aprendizaje basado en computador o instrucción asistida por computador, basado en la lectura con mecanismos de pregunta-respuesta, convirtiendo al alumno en la parte más activa del proceso. Con la llegada de Internet evolucionó a IBT (Internet based training) pudiendo hacer llegar el contenido a través de la red. Finalmente derivó en la WBT (web based training), como es el ejemplo del campus virtual, que se basa en el aprendizaje por medio web [4].

En función del tipo de soporte que ofrece el e-learning en el proceso de enseñanza, este se puede clasificar como:

E-learning puro o virtual: la formación se lleva a cabo totalmente a distancia con el soporte de las tecnologías de información.

Blended learning: este método mezcla o completa de alguna manera la enseñanza presencial con formación a través de la tecnología.

Como ya hemos comentado al principio del apartado, no hay un estándar único, pero si hay alguno ampliamente aceptado y utilizado en el campo de la educación web. SCORM (Shareable Content Object Reference Model) se trata del conjunto de especificaciones que permiten estandarizar la producción de contenidos en e-learning para poder crear contenidos fácilmente reutilizables.

7

En 1999 el laboratorio ADL (Advanced Distributed Learning) se basó en especificaciones ya existentes para disponer de un formato común de distribución de contenidos formativos y son actualmente las especificaciones más utilizadas. Dichas especificaciones son las siguientes:

Interoperable: accesible desde diferentes plataformas de gestión de contenidos.

Reutilizable: empleando un mismo objeto de aprendizaje en diferentes situaciones formativas o cursos.

Accesible: desde cualquier dispositivo y en cualquier momento. Secuenciado y estructurado: con un orden de visualización de los

contenidos en su acceso, además de normas y requisitos para alcanzar y superar apartados.

Seguimiento personalizado: el entorno virtual donde se suban los contenidos pueda registrar la actividad de cada alumno, como sus progresos o número de accesos.

3.2 Evolución

El origen de las plataformas de e-learning, que se basan en web, se debe a una especialización de los CMS, que son sistemas de gestión de contenidos, en sistemas orientados a la gestión de contenidos para la enseñanza a distancia. Los sistemas de gestión de contenidos (Content Management Systems o CMS) es un software utilizado con el fin principal de facilitar la gestión de webs, ya sea en Internet o en una intranet, y por esto también reciben el nombre de gestores de contenido web (web content management o WCM). Aunque hay que saber que la aplicación de los CMS no se limita sólo a las webs, y en el caso que estudiamos, el del e-learning, la gestión no está centrada en la web, sino en los contenidos educativos (recursos, documentos y pruebas evaluadoras, entre otros).

Los CMS han ido evolucionando, como veremos a continuación, para cubrir una serie de necesidades específicas que los CMS no siempre pueden cubrir, o si lo cubre, no es con las mismas facilidades que lo hace un sistema creado específicamente para realizar esas funciones. Con el paso de los años estos CMS han ido evolucionando cada vez de forma más notoria. Durante tres distinguidas etapas han ido mejorando el coste, la flexibilidad, la personalización del aprendizaje, la calidad en la atención al usuario y en las ventajas competitivas que ofrecen las organizaciones que han aplicado soluciones de e-learning [4].

Primera etapa: los CMS (content management system o course management system) son los que permiten generar sitios webs dinámicos y en el conjunto de las plataformas e-learning, los más básicos. Estos programas tienen como objetivo crear y gestionar información online (textos, imágenes, gráficos, vídeos, sonido, etc.). Otra de sus principales características es no poseer herramientas elaboradas de colaboración (foros, chats, diarios, etc.) ni apoyo en tiempo real. Es decir, falta el entorno comunicativo entre los alumnos y los profesores mediante esas herramientas.

Segunda etapa: los LMS (learning management system) se desarrollan a partir de los CMS y su entorno posibilita que se pueda actualizar, mantener y ampliar la web con la ayuda de múltiples usuarios. Su principal fin es el aprendizaje y la educación, y proporcionan herramientas para la gestión de contenidos de tipo

8

académico, permitiendo la mejora de las competencias de los alumnos, de los cursos y su intercomunicación. Este entorno ofrece la posibilidad de adaptar la formación a los requisitos de la empresa y al propio desarrollo profesional. Disponen de mejoras que permiten la distribución de cursos, noticias, recursos y contenidos relacionados con la formación general.

Tercera etapa: los LCMS (learning content management system) integran las funcionalidades de las dos etapas anteriores, CMS y LMS. Son capaces de incorporar la gestión de contenidos en el campo de la personalización de recursos de cada uno de los estudiantes y en este caso las empresas pasan a convertirse en su propia entidad editora, con un grado de autosuficiencia en la publicación del contenido, de una forma sencilla, rápida y eficiente, resolviendo los problemas o inconvenientes que presentaban las anteriores plataformas. Ofrecen una gran facilidad en la generación de los materiales de educación, flexibilidad, adaptabilidad a los cambios, control de aprendizaje y un mantenimiento actualizado del conocimiento.

Los LCMS añaden al modelo de los LMS una variedad de técnicas de gestión de conocimiento en ambientes diseñados y estructurados para que las empresas pueden desarrollar sus procesos y prácticas de una manera más eficiente. Esto es gracias a que se apoyan en cursos, materiales y contenidos online. Esto habilita a los desarrolladores, expertos colaboradores o instructores que se dedican a la creación de contenidos a mejorar sus procesos.

9

4 Cloud Learning

El Cloud Learning, que es el nombre que recibe la combinación de las tecnologías que está emergiendo como una gran solución debido a los beneficios que aporta la nube al aprendizaje virtual. Los servicios en la nube aportan una serie de características que hacen del e-learning una herramienta más atractiva.

4.1 Modelo de implantación

Como vimos en la primera parte del trabajo en el apartado de cloud computing hay una serie de modelos de implantación a la hora de elegir una solución en la nube. A continuación, vamos a analizar tres de estos modelos que pueden utilizarse para implementar un entorno de e-learning basado en la computación en la nube y cuál sería el más adecuado. [5] Nube privada: Una nube operada dentro de una sola organización y controlada por la misma o por un tercero proporciona un sistema seguro y portátil de e-learning basado en la nube. Por otro lado, los costes son más elevados, dado que la nube privada se aloja a la vista. La organización tiene que ocuparse del suministro energético adecuado, la refrigeración y el mantenimiento general. Por lo tanto, la organización corre el riesgo de sufrir una pérdida de datos debido a daños físicos. Estos datos pueden ser activos digitales de vital importancia como preguntas de exámenes, resultados, etc. Nube pública: La elección de este modelo de implantación a priori parece la opción más practica para obtener la solución más rápida para desarrollar un sistema e-learning basado en la nube. A la hora de tener en cuenta los requisitos para el desarrollo de producto los desarrolladores se benefician de una solución rápida y de menor coste. Sin embargo, este enfoque genera una incomodidad para los propietarios de la organización. La migración de las cargas de trabajo a una infraestructura compartida aumenta el potencial de acceso no autorizado y exposición. Esto se interpreta como un gran riesgo de seguridad y de privacidad. Una vez que la organización construye o transfiere un sistema para utilizar las ventajas de los proveedores de nubes públicas, es relativamente costoso y difícil devolverlo. Nube híbrida: Este enfoque proporciona facilidad para traer el sistema de e-learning o transferirlo a otro proveedor de la nube, lo que reduce la dependencia de la plataforma. Además, ayuda a aumentar la seguridad del sistema. Sin embargo, teniendo en cuenta que es una combinación de modelos públicos y privados, la distribución de unidades entre estos modelos es importante para abordar los requisitos de la organización. La gobernanza y la gestión son otras cuestiones al haber dos modelos en uso, y aumenta los costes de mantenimiento e instalación.

10

4.2 Beneficios

Algunas de las razones por las que las organizaciones deciden implementar soluciones cloud en sus entornos virtuales de aprendizaje son las siguientes: [6]

Bajo coste: Los usuarios de e-learning no necesitan tener ordenadores configurados para ejecutar las aplicaciones de e-learning. Pueden ejecutar las aplicaciones desde la nube a través de su PC, teléfonos móviles o tabletas con una configuración mínima con conectividad a Internet. Dado que los datos se crean y en la nube, el usuario no necesita gastar más dinero para una gran memoria de almacenamiento de datos en las máquinas locales. Las organizaciones también tienen que pagar por uso, por lo que es más barato y necesitan pagar sólo por el espacio que necesitan.

Mejora del rendimiento: Como las aplicaciones de e-learning basadas

en la nube tienen la mayoría de las aplicaciones y procesos en la nube, las máquinas cliente no crean problemas en el rendimiento cuando están trabajando.

Actualizaciones de software instantáneas: Dado que la aplicación

basada en la nube de e-learning se ejecuta con la potencia de la nube, el software se actualiza automáticamente en la fuente de la nube. Por lo tanto, los alumnos de e-learning siempre reciben actualizaciones al instante.

Mejora de la compatibilidad del formato de los documentos: Desde

algunos formatos de archivo y fuentes que no se abren correctamente en algunos PCs/teléfonos móviles, las aplicaciones de e-learning en la nube no tienen que preocuparse por este tipo de problemas. Las aplicaciones de e-learning basadas en la nube abren el archivo desde la nube.

Beneficios para los estudiantes: Los estudiantes obtienen más ventajas

a través del e-learning basado en la nube. Pueden tomar cursos en línea, asistir a los exámenes en línea, recibir comentarios sobre los cursos de los instructores, y enviar sus proyectos y tareas a través de Internet a sus profesores.

Beneficios para los profesores: Los profesores también obtienen

numerosos beneficios del e-learning en la nube. Los profesores pueden preparar pruebas en línea para los estudiantes, tratar y crear mejores recursos de contenido para los alumnos a través de la gestión de contenidos, evaluar los exámenes, los deberes y los proyectos realizados por los alumnos, enviar los comentarios y comunicarse con los estudiantes a través de foros.

11

4.3 Framework

Badrul H. Khan define en su libro “A framework for Web-based learning” [7] un marco de referencia para el diseño de los entornos e-learning basados en la web. Defiende que los avances en la tecnología de la información y los nuevos desarrollos en la ciencia del aprendizaje proporcionan oportunidades para crear cursos bien diseñados, centrados en el alumno, atractivos, interactivos, asequibles, eficientes, fácilmente accesibles, flexibles, significativos, distribuidos y fáciles de entornos de e-learning. Cada etapa del proceso de e-learning requiere un análisis y una investigación sobre cómo utilizar el potencial de Internet en conjunto con unos principios de diseño y las cuestiones importantes para las distintas dimensiones del entorno e-learning.

El autor habla de que las instituciones que se aventuran a emprender iniciativas de e-learning deben hacerse la pregunta ¿Qué se necesita para crear una experiencia de e-learning exitosa para diversos alumnos? Hay una gran cantidad de factores que contribuyen a crear un entorno de e-learning significativo. Badrul H. Khan reflexionó sobre estos factores y desarrolló un marco de referencia para el e-learning. En su libro explica que antes de empezar, la semilla del marco empezó a germinar con una pregunta, ¿Qué se necesita para proporcionar el mejor y más significativo entorno de aprendizaje abierto, flexible y distribuido para los alumnos de todo el mundo?

Este marco de e-learning está diseñado para tener el potencial de proporcionar orientación en las siguientes facetas:

Planificar y diseñar materiales de e-learning y blended-learning (por ejemplo, los cursos en línea masivos y abiertos, MOOCS)

Organizar los recursos para el entorno de e-learning y los materiales de blended-learning.

Diseño de sistemas de aprendizaje distribuido, universidades corporativas, universidades virtuales y ciber escuelas.

Diseño de LMS, LMCS y sistemas de autoría integral.

Evaluar cursos y programas de e-learning y blended-learning

Evaluación de herramientas/sistemas de autoría de e-learning, LMS y LMCS.

El marco tiene ocho dimensiones: institucional, pedagógica, tecnológica, diseño de interfaz, evaluación, gestión, apoyo de recursos, y ética. Cada una de estas dimensiones tiene varios subdimensiones, cada una de las cuales se centra en un aspecto específico de un entorno de e-learning [Figura 1].

Institucional Esta dimensión se divide en tres tipos de subdimensiones y cuestiones:

Asuntos administrativos: como, por ejemplo, organización y cambio, acreditación, presupuesto y retorno de la inversión, servicios de tecnología de la información, el desarrollo de la enseñanza y los servicios de comunicación, el marketing, las admisiones, la graduación y los temas relacionados con los antiguos alumnos.

12

Asuntos académicos: aquí se engloba el apoyo al profesorado y al personal, asuntos de instrucción, carga de trabajo, tamaño de las clases y compensación y derechos de propiedad intelectual.

Servicios: como pueden ser los servicios de preinscripción, información sobre cursos y programas, orientación, asesoramiento, ayuda financiera, de pago, ayuda a la biblioteca, librería, red de apoyo social, servicios de apoyo social, servicios de tutoría, servicios de prácticas y empleo y otros servicios relacionados con el e-learning.

Pedagógica Se refiere a todo lo relacionado con la enseñanza y el aprendizaje. Esta dimensión aborda cuestiones relativas a metas/objetivos, el contenido el enfoque de diseño, la organización los métodos y estrategias, y el medio de los entornos de aprendizaje electrónico. En cuanto a métodos de e-learning se refiere a la presentación, la demostración, el ejercicio y la práctica, los tutoriales, los juegos, las simulaciones, juegos de rol, debates, interacción, modelado, facilitación, colaboración, aprendizaje, casos de estudio, desarrollo generativo y motivación.

Tecnológica Esta dimensión del marco examina cuestiones de la infraestructura tecnológica en los entornos de e-learning. Esto incluye la planificación de infraestructura, el hardware y el software.

Diseño de interfaz En este campo se refiere al aspecto general de los programas en los que se basa el e-learning. Cuando nos referimos a la dimensión del diseño estamos abarcando el diseño de la página y el diseño del sitio, el diseño del contenido de la plataforma, la navegación y las pruebas de usabilidad.

Evaluación Al tratarse de una forma de aprendizaje no podía faltar tanto la evaluación de los alumnos como la evaluación de la instrucción y el entorno de aprendizaje.

Gestión En el marco del e-learning hace referencia al mantenimiento del entorno de aprendizaje y a la distribución de la información.

Apoyo de recursos Esta dimensión examina el apoyo en línea, por ejemplo, el apoyo de instrucción/consejo, apoyo técnico, servicios de orientación profesional y otros servicios de apoyo en línea. Además de los recursos, tanto online como offline, necesarios para fomentar entornos de aprendizaje significativos.

Ética Estas consideraciones se refieren a la diversidad social y cultural, los prejuicios, la diversidad geográfica, la diversidad de los alumnos, la accesibilidad de la

13

información, la etiqueta y las cuestiones legales, la política y sus directrices, temas de privacidad, plagio o derechos de autor.

Figura 1. Framework para e-learning de Badrul Khan [7]

4.4 MOOCS

Hoy en día los MOOCS, o cursos abiertos masivos y en línea (Massive Open Online Courses) son una tendencia en la educación virtual. Especialmente en la educación superior ha aumentado exponencialmente el número de participantes, y, por lo tanto, el número de plataformas. Su metodología se conoce especialmente por la capacidad que tiene de llegar a una gran cantidad de alumnos. Uno de los beneficios de estas plataformas es la libertad del alumno de recibir o de consumir el contenido de aprendizaje cuando prefiera. Los cursos están a disponibilidad de los usuarios en Internet por parte de los proveedores de MOOC. [15]

Para entender mejor el framework descrito en el apartado anterior vamos a relacionar cada una de las dimensiones con los elementos de estos cursos abiertos y masivos en línea. A diferencia de otros sistemas de e-learning los MOOCS no necesariamente tienen que ser síncronos, es decir, el profesor o docente y los alumnos o usuarios no tienen por qué estar conectados al mismo tiempo a la plataforma. Estos cursos permiten, mediante el almacenamiento en la nube de contenido, guardar todos los elementos de aprendizaje para que el usuario los consuma a libre elección de tiempo y lugar.

La dimensión pedagógica de los cursos es la parte más relevante. La implementación de estos cursos tiene el fin último de la educación y de la adquisición de conocimientos de cualquier materia. Los MOOCS como los entornos de aprendizaje que conocemos están dotados de ejercicios y práctica, de tutoriales y de todo tipo de elementos de interacción relacionados con la materia en cuestión del curso.

Al ser cursos en línea abordamos las dimensiones tecnológicas y de diseño de la interfaz. Uno de los puntos más importantes de estos cursos es la facilidad con la que el usuario puede manejarse por el entorno. Que sea intuible, que sea usable y que no lleve a confusión es imprescindible para que sea un entorno

14

exitoso. El desarrollo software y hardware es, quizás, la parte más característica, y más evaluable, a nivel de calidad.

Que sea un recurso educativo añade la característica de la evaluación. Aunque en este caso se puede presentar de una manera más novedosa. Puede ser que en muchos casos no haya un profesor detrás de las correcciones de las pruebas o exámenes de los alumnos. Muchos de los elementos de evaluación se componen de test y de exámenes que se corrigen automáticamente por el servidor. Lo que puede ser un gran beneficio, ya que las evaluaciones pueden ser instantáneas y que el usuario conozca la calificación nada más acabar la prueba.

La gestión, la dimensión institucional y el apoyo de recursos es clave para el funcionamiento de estos modelos. Que la plataforma este dotada de los recursos necesarios por todos los alumnos en el momento en el que lo necesiten caracteriza la disponibilidad del sistema, que es muy importante tratándose de un sistema abierto. La gestión por parte de los proveedores es vital para que los alumnos y profesores conozcan sus límites y realicen sus tareas en momento y forma. No deja de ser un producto, por lo que tiene que dar servicios perfectos, en términos administrativos: acreditación, preinscripción, información, marketing o desarrollo.

Éticamente engloba temas legales y políticos. La aplicación ha de cumplir con todos los criterios legales y con las normas y estándares que se esperan de un entorno de aprendizaje y de un sistema web. La asincronía del método favorece los temas de privacidad, plagio o derechos de autor. Como veremos a continuación en el estudio de seguridad hay que hacer hincapié en los temas relacionados con los ataques y problemas que pueden derivar del almacenamiento y distribución de los datos en línea.

15

5 Análisis de seguridad

5.1 Análisis de seguridad en el Framework

Una vez que hemos definido anteriormente las características de ambas tecnologías vamos a hacer un análisis de los aspectos de seguridad que conciernen a un entorno e-learning basado en la nube. Para ello nos vamos a apoyar en el framework definido por Khan de un entorno educativo basado en la web, y vamos a repasar las amenazas y las posibles medidas de seguridad a tener en cuenta en la educación y en la nube cada de las dimensiones que describe el autor. [7] [8]

5.1.1 Institucional

Amenazas Las principales amenazas en esta dimensión son las amenazas consideradas “primarias” de seguridad, que están relacionadas principalmente con la nube y con la forma de proveer sus servicios

La seguridad física se pierde con el control del modelo de la nube, porque las empresas no tienen el conocimiento ni el control de los recursos en funcionamiento cuando comparten los recursos informáticos con terceras empresas.

En la mayoría de los casos, una empresa viola la ley cuando utiliza servicios en la nube. Y También existe la posibilidad de que los países extranjeros confisquen los datos.

La mayoría de los servicios de los proveedores de la nube no son compatibles con otros proveedores de la nube. Así que puede ser se convierte en un problema cuando la empresa trata de mover sus fuentes de un proveedor de la nube a otro.

Cuando los proveedores de soluciones de e-learning utilizan la fuente en la nube, se plantea la cuestión de quién debe controlar los procedimientos de autenticación. Por lo general, los clientes sólo disponen de las claves de cifrado/descifrado.

Los proveedores de la nube deben garantizar la integridad de los datos mediante transacciones autorizadas como la transferencia, el almacenamiento y la recuperación de datos. Para este problema, los proveedores de la nube necesitan seguir los mismos estándares para asegurar este problema de integridad de los datos.

Los clientes necesitan procesar contra los proveedores de la nube si los derechos de privacidad del cliente son violados. Los proveedores de la nube deben proporcionar respuestas claras sobre cómo la información personal del cliente se utiliza o se filtra a terceros. Los proveedores de la nube deben proporcionar las actualizaciones regularmente a sus clientes para garantizar una seguridad actualizada.

16

Medidas Seguridad del software como servicio (SaaS) Muchas medidas y prácticas de seguridad en el SaaS, que son servicios de modelo de presentación se basan en la nube. Antes de la aceptación por parte de los usuarios o de las empresas del modelo de servicio, deben ser conscientes de la seguridad de los datos y vender políticas. Antes de utilizar sus servicios pueden bloquear el acceso involuntario de los datos.

o Acceso de usuarios con privilegios: Los usuarios deben recabar información de las distintas personas de gestión que acceden a los datos. Deben obtener información útil y supervisión de todos los administradores privilegiados, y el control sobre su acceso.

o Cumplimiento normativo: hay que asegurarse de que el proveedor debe estar preparado para someterse a auditorías externas y/o certificaciones de seguridad.

o Ubicación de los datos: Al utilizar los servicios de computación en la nube no estamos seguros de dónde residen nuestros datos. Pueden almacenarse en varios países, por lo que los proveedores de servicios de computación en la nube deben estar dispuestos a aceptar las normas y las jurisdicciones, y deben someterse al contrato con los requisitos de privacidad locales en nombre de sus clientes.

o Segregación de datos: Los datos deben poder cifrarse en todas las etapas, y los algoritmos de encriptación deben ser probados por profesionales experimentados.

o Apoyo a la investigación: Si se produce un ataque involuntario o una actividad ilegal en una fuente de computación en la nube, no se puede investigar fácilmente de dónde procede. Los usuarios pueden conectarse desde múltiples ubicaciones y desde una variedad de hosts y centros de datos. Los proveedores deben ser capaces de proporcionar privilegios para la investigación junto con la evidencia de que tales actividades son apoyadas por los vendedores. Esta investigación de los ataques puede realizarse de forma sistemática.

o Viabilidad a largo plazo: En un contexto empresarial es bastante común que el proveedor de servicios sea adquirido por una gran empresa. Incluso entonces el cliente o el usuario debe poder acceder a los datos y adquirir todos sus datos. En tal situación se espera que los proveedores de SaaS incorporen estas prácticas de gestión de la seguridad para desarrollar otras nuevas para los entornos de computación en nube.

Legislación y Regulación La mayoría de las organizaciones intentan aplicar planes de seguridad relativamente buenos, protecciones y capacidades de respuesta. Sin embargo, para planificar el futuro, incluso una entidad bien preparada necesita comprender las fuerzas que le obligarán a cambiar sus planes de seguridad, protecciones y respuestas. El cumplimiento y la las regulaciones son probablemente el conjunto más importante de fuerzas motrices para las organizaciones hoy en día. Para estar en cumplimiento las organizaciones necesitan invariablemente mejorar sustancialmente su seguridad. Esto es especialmente en las áreas de documentación y gestión de identidad

17

Algunos ejemplos de leyes son los requisitos de datos, como la ley SB 1386 de California. Algunas tratan de la protección de la intimidad, por ejemplo, la Directiva de Protección de Datos de la Unión Europea (UE) de 2002, y la ley estadounidense Gramm-Leach-Bliley (GLBA). Las universidades se enfrentan al cumplimiento no sólo por la normativa federal (por ejemplo, el requisito federal 4.8 sino también por las directrices establecidas por agencias de acreditación, como la Southern Association of Colleges and Schools (SACS). LA SACS espera que cada institución documente procedimientos que garanticen la seguridad de la información personal en la realización de evaluaciones y en la difusión de los resultados. Las instituciones también deben contar con un procedimiento escrito para proteger la privacidad de los estudiantes en cursos o programas de educación a distancia o por correspondencia.

5.1.2 Pedagógica

Amenazas Comportamientos fraudulentos Como ya hemos visto en la definición de las dimensiones del marco de referencia, el e-learning tiene un componente social muy marcado. Los estudiantes pueden llegar a ser los propios causantes de brechas de seguridad en el propio sistema. El hecho de que los sistemas de aprendizaje tienen un fin común de evaluar a los alumnos puede llevarlos a cometer acciones o comportamientos fraudulentos. El robo de credenciales para la sustracción de exámenes, o resultados es uno de los más comunes. Por ello los profesores y docentes son los responsables de que esto no ocurra.

Medidas Arquitectura Esto puede ser un reto abrumador para el aprendizaje electrónico. La naturaleza de la impartición de cursos en línea suscita muchos ámbitos de preocupación en lo que respecta a la seguridad. La infraestructura de la institución y la arquitectura de seguridad deben estar diseñadas para abordar lo siguiente:

Definir los roles de los usuarios (estudiantes e instructores) y su identidad e inicio de sesión

El contenido del curso y la manipulación del usuario (contenido, modificación, eliminación y uso)

Canales de acceso.

Como parte de la impartición de cursos en línea, el uso de un sistema de gestión del aprendizaje (LMS) se ha convertido en algo común y frecuente. Muchos de ellos se abordarán mediante acuerdos (o entendimiento) de lo que las instituciones proveerán y cuáles serán las obligaciones del instructor. Por ejemplo, se suele entender que el instructor será el diseñador/gestor del curso. Será el único que pueda añadir, modificar o eliminar contenidos. En el rol de estudiante, el público participante tendrá acceso en función de lo que el instructor les permita hacer usando las diferentes características del LMS. La definición de los parámetros para un acceso seguro y protección de la propiedad intelectual debe ser abordada en la arquitectura.

18

5.1.3 Tecnológica

Amenazas Disponibilidad

En lo referentes a los entornos de aprendizaje la información fiable debe estar presente para poder acceder a ella y modificarla por personas autorizadas. La información en los servidores de e-learning debe estar presente para estudiantes y profesores u otras personas autorizadas en el momento oportuno para su trabajo. Los estudiantes necesitan asegurarse de que el sistema de e-learning es fiable y no se interrumpe para presentar sus tareas. Hay dos tipos principales de ataques a la disponibilidad que crean problemas en los sistemas de e-learning, son:

o Ataque de bloqueo: En este ataque generalmente el contenido de e-learning será atacado por el usuario externo y obtiene el permiso para acceder al material e-learning. En este caso hay que controlar la dirección IP del atacante y bloquear esa dirección para deshacerse de este problema.

o Ataque de inundación: El ataque de inundación es aquel en el que una gran cantidad de peticiones a un servicio específico o una gran cantidad de datos en forma de pequeños mensajes se envían bloqueando todo el servicio o la sesión. Esto también puede causar la pérdida de disponibilidad durante más tiempo debido a los retrasos en el procesamiento. Las medidas para contrarrestar este tipo de ataques consisten en validar eficazmente la solicitud entrante o el mensaje.

En relación con la seguridad cloud, el acceso a las aplicaciones y a los datos importantes en los servidores de la nube para prestar servicios ininterrumpidos a los clientes en la computación en nube es una de las principales preocupaciones. Un ataque de denegación de servicio (DoS Attack) o un ataque de denegación de servicio distribuido (DDoS Attack) son los ataques más populares en línea, ataques que afectan a la disponibilidad de los servicios en línea y hacen que los datos almacenados sean inaccesibles para los usuarios en el servidor. Debido a estos ataques se produjeron muchos incidentes de interrupción de la nube, como Gmail (interrupción de un día a mediados de octubre de 2008), Amazon S3 (más de siete horas en 2008), FlexiScale (interrupción de 18 horas en 2008), la interrupción de Google blogger (más de 48 horas en 2011), y el problema de restablecimiento de cuentas de Gmail el (2011). Puntos de entrada

Las entradas, y, por lo tanto, el número de terminales son formas pasivas en las que puede producirse una violación de la seguridad en el caso del e-learning. Debido al número de clientes con el acceso a los servidores de e-learning desde zonas remotas, generan tantas entradas, que darán lugar a amenazas de seguridad.

19

No repudio

En esta etapa de la seguridad de la información, el formato de los datos es destruido o dañado por virus, (los troyanos y otras amenazas maliciosas son comunes). El sistema debe estar dotado de mucha capacidad para que ningún dato sea modificado por los ataques

Medidas Recuperación en caso de desastre

Al considerar el entorno SaaS, los clientes esperan que los sistemas respondan y proporcionen servicios 24 horas al día, 7 días a la semana, 365 días al año, sin ningún problema. Utilizando la virtualización software el servidor virtual puede ser copiado, respaldado y fácilmente reubicado como un simple archivo. Gracias a esto, no se requiere tiempo de inactividad para reasignar los recursos informáticos en caso de que algún desastre natural o de otro tipo afecte a los servidores en la nube. Además, es capaz de proporcionar y entregar los acuerdos de nivel de servicio con servicio de alta calidad.

5.1.4 Diseño de interfaz

Amenazas Seguridad del navegador Las tareas de computación en nube están relacionadas con servidores remotos. Los clientes de la máquina sólo utilizan dispositivos I / O para acceder a cualquier aplicación. En este caso, el navegador en el cliente de la máquina se utiliza como una puerta de enlace para acceder a los servidores de la nube. Por lo tanto, la seguridad de todo el navegador de la nube es crítica porque si la puerta de enlace es atacada por atacantes de software la seguridad general de la nube se convertirá en un problema. Políticas de seguridad y certificados de autenticación necesarios para un navegador seguro. La firma XML y el cifrado XML también ayudan a garantizar los problemas de seguridad.

Carácter dinámico

Una de las principales preocupaciones con el e-learning es que hay más procesos disponibles en las sesiones dinámicas donde un proceso puede unirse y terminar la sesión sin avisar a los demás. Esto es vulnerable para muchas infracciones de seguridad donde pueden atacar fácilmente el servidor y las ubicaciones de los clientes. Para deshacerse de este tipo de sucesos uno debe tener que mantener sesiones estrictas y varias credenciales de seguridad en ambos sitios, el cliente y el servidor.

Medidas Mecanismos biométricos

Es el mecanismo en el que se mantiene la seguridad. Da permiso a al usuario legítimo mediante el uso de uno o más de sus propios atributos físicos o de comportamiento. Durante la fase de registro, se recogen los rasgos físicos de un usuario como huellas dactilares, reconocimiento del iris o rasgos de comportamiento como el reconocimiento de la voz, etc., y se almacenan en la

20

base de datos. Durante el inicio de sesión del usuario se comparan sus atributos con los almacenados en la base de datos mediante el uso de dispositivos biométricos como la huella dactilar del ratón, etc. Si ambos son iguales, el contenido del aprendizaje electrónico se proporciona al usuario. En este proceso se requiere la presencia física del usuario, lo que es muy importante, fiable y seguro.

Seguridad de las máquinas virtuales El entorno de la nube suele agrupar muchos servidores físicos en servidores virtuales para operar las máquinas virtuales. En este entorno, no solo los proveedores de la nube y sus equipos de seguridad de datos son los que aseguran las máquinas virtuales para implementar los importantes controles de seguridad para el centro de datos. Esos equipos de seguridad de datos también dan las directrices a sus clientes para preparar sus máquinas virtuales y su seguridad para el entorno de la nube.

5.1.5 Evaluación

Amenazas Integridad

La información o los datos no se borran o cambian de forma accidental o maliciosa, y debe mantenerse con la misma exactitud que en su forma original. Los estudiantes se sienten seguros si saben que se mantienen las normas de integridad. Esto sólo puede ocurrir cuando sus trabajos presentados a profesores se mantienen a salvo en su formato original sin que otros puedan editarlas.

Confidencialidad

La confidencialidad es un aspecto importante en materia de seguridad, donde los datos o la información enviados a través de Internet deben mantenerse en secreto y no ser no deben ser revelados a terceros no autorizados. Desde el punto de vista del aprendizaje electrónico, los estudiantes quieren tener la seguridad de que las copias de sus trabajos enviados a través de Internet se mantengan secreto y sólo se revelan a sus profesores en el entorno del e-learning.

Medidas Token de seguridad

Es una forma común de emitir autenticación por parte de muchas universidades para sus estudiantes donde proporcionan un token de seguridad de hardware. A veces se denomina "token criptográfico" y actúa como una llave para acceder al sistema de e-learning. Además, está provisto de un mecanismo de contraseña, mostrando la identidad electrónicamente e introduciendo la contraseña se puede acceder al sistema.

Mecanismo ACL

El mecanismo ACL o Lista de Control de Acceso es el proceso para acceder al servidor o a los recursos específicos. En este el usuario puede acceder a su mecanismo mediante el uso de factor de personalización. El factor ACL se adjuntará o se construirá en el archivo. Por ejemplo, queremos añadir el usuario

21

“Pepe” para obtener acceso al sistema, entonces tenemos que especificar el usuario “Pepe” en el archivo ACL para que pueda acceder al sistema. Nosotros también podemos dar otras funciones al usuario como "leer, escribir, borrar". Esta opción le dará acceso al usuario Pepe para leer, modificar o borrar el archivo específico. Estos son todos mecanismos basados en el host y todos los permisos se confirman bajo el control del proveedor de servicios.

Firmas digitales Las firmas digitales se utilizan para autenticar la identidad de un remitente. En este caso es fácil averiguar si el contenido original del mensaje ha sido modificado o no. Consta principalmente de tres contenidos. En primer lugar, se ha generado una firma electrónica del remitente al enviar el mensaje al receptor desde una red insegura. Junto con el mensaje y la firma, el remitente presentará una especie de certificado que se produce a partir de un algoritmo hash y una clave privada del ordenador del remitente. Las principales ventajas de estas firmas digitales son el no repudio. Aunque el remitente afirme que no ha firmado un mensaje y haya mantenido su clave privada en secreto, podemos afirmar que utilizando algunos algoritmos de no repudio que pueden producir un sello de tiempo con el que podemos autorizar y afirmar que el mensaje ha llegado del remitente. También podemos comprobar si los datos han sido modificados por el usuario previsto.

5.1.6 Gestión

Amenazas Bloqueo de datos

Hoy en día, los proveedores de la nube proporcionan numerosas herramientas, aplicaciones y formatos de datos estándar a sus clientes. Pero estos servicios se enfrentan a problemas cuando un cliente intenta utilizar los servicios de otro proveedor. Porque la mayoría de los proveedores de la nube no son compatibles entre sí. Así que los clientes no pueden migrar a otro operador de servicios en la nube. Este problema dificulta la obtención de servicios de los operadores de la nube.

Medidas Vigilancia y conciencia de seguridad

Dentro de la organización se puede formar un comité de seguridad con el fin de orientar y cuidar las estrategias de seguridad de la organización, para definir las funciones y responsabilidades relacionadas con la seguridad. La concienciación en materia de seguridad es también un importante trabajo a realizar. La falta de una alerta de seguridad adecuada obliga a revelar o divulgar datos cruciales. Por el contrario, la organización será vulnerable a las amenazas. Los ataques de ingeniería social ralentizan la respuesta a posibles eventos de seguridad y pueden causar enormes pérdidas financieras a la organización, lo que es resultado de una pobre conciencia de seguridad.

22

Seguridad física

La computación en la nube no permite que sus clientes tengan el acceso para los activos físicos, por lo que el modelo de seguridad debe ser reevaluado. Aunque los datos valiosos de los clientes no se almacenan en su propia memoria física, sí que se almacenan en algún lugar de la ubicación física del proveedor de la nube. Se necesita un enorme presupuesto financiero para construir una seguridad de alto nivel para los centros de datos físicos, esta es la razón por la que las empresas evitan construir sus propios centros de datos y de la migración a los servicios de la nube.

Seguridad contra ataques pasivos

En todos los métodos anteriores hemos hablado de los ataques activos por parte de los emisores. En el caso de un ataque pasivo, no se producirá ningún efecto en los sistemas de origen o destino, pero el texto cifrado o en algún caso el texto plano será modificado por el atacante. Utilizando métodos modernos de cifrado podemos evitar este tipo de ataques. En métodos criptográficos como la criptografía de clave privada, la criptografía de clave pública y funciones hash, podemos evitar los ataques pasivos.

5.1.7 Apoyo de recursos

Amenazas Inseguridad de la eliminación de datos incompleta

En la mayoría de los sistemas operativos, los datos no se borran completamente incluso después de que los datos sean borrados de su máquina física. Los clientes no pueden saber si sus datos se han borrado completamente de todas las máquinas virtuales una vez que se aplica el comando de borrado. Este problema conduce a la falta de seguridad de los datos en la nube. Y también puede haber un riesgo de que estos datos robados sean utilizados por personas no autorizadas o hackers desde la nube

Medidas Políticas y normas

Para desarrollar políticas o estándares para los sistemas de computación en nube es siempre es una buena idea tener en cuenta las plantillas y los recursos ya disponibles. La primera y más importante tarea del equipo de seguridad es considerar la seguridad de los datos junto con los requisitos de la empresa. Estas políticas deben estrictamente proporcionar la documentación adecuada que respalde las políticas y las normas. Para mantener la relevancia, estas normas y políticas deben ser revisadas de vez en tiempo teniendo en cuenta los cambios significativos que se producen en el negocio o en el entorno de TI.

En el campo de la educación supones la premisa de que las organizaciones siguen buscando mejoras y todas sus actividades están diseñadas para ayudar a conseguir estas mejoras. En consecuencia, las políticas se crean, perfeccionan y se implementan para ayudar a alcanzar los objetivos estratégicos de la organización. Cuando se inician y adoptan las políticas, deben estar dirigidas a la seguridad y la privacidad de las partes interesadas. A la hora de desarrollar

23

políticas de seguridad para el e-learning deben tenerse en cuenta muchos factores:

El entorno familiar del alumno

El uso que hace el alumno de la tecnología

El profesor/facilitador de la interacción.

Para las instituciones educativas, su práctica del uso de la tecnología debe estar claramente establecida como una medida de protección para el bienestar del estudiante participante. Además, la integridad de la experiencia (plagio/trampeo), el bienestar de la institución (obligaciones legales), y el uso del material por parte del instructor (derechos de autor) deben incluirse en estas políticas. En el contexto del aumento del uso de las tecnologías de Internet para la enseñanza y el aprendizaje a distancia, el profesorado y los estudiantes deben ser considerados también a la hora de establecer estas políticas institucionales. Además, la privacidad debe ser tratada como un elemento de política estratégica de las distintas partes interesadas de la enseñanza.

Estándares Hay muchas normas de gestión utilizadas en todo el mundo para cada tecnología o producto para garantizar su seguridad. Dado que el e-learning basado en la nube es una combinación de dos tecnologías diferentes, tenemos que considerar ambas tecnologías y sus normas de seguridad para conocer las normas de gestión generales que garantizan la seguridad del e-learning en la nube.

Estándares para la gestión de la seguridad utilizadas en el sector de la computación en nube Biblioteca de infraestructura de tecnologías de la información (ITIL) ITIL es un conjunto de normas que definen un funcionamiento integrado y basado en procesos para para tratar los servicios de tecnología de la información. [9] Se utiliza e implementa en casi todos los sectores de TI, incluida la computación en nube. ITIL ofrece un acceso sistemático y profesional a la gestión de las TI y sus servicios y ayuda a obtener buenas medidas de seguridad de la información en todos los niveles, como el estratégico, el táctico y el operativo. tácticas y operativas. Las operaciones de ITIL consisten en muchos procesos iterativos como controlar, planificar implementar, evaluar y mantener. El principal problema de ITIL es que sólo los practicantes pueden certificarse como "conformes con ITIL", por lo que las organizaciones y otros sistemas de gestión no pueden obtener la certificación "ITIL-compliant". Los sectores de TI que implementan y utilizan directrices de ITIL obtienen muchos beneficios, algunos de ellos son:

Eficiencia de costes.

Los servicios de TI mejoran gracias a las mejores políticas y directrices de ITIL.

Los clientes están más satisfechos gracias a una mejor prestación de servicios con enfoque profesional.

24

La producción se vuelve mejor y se mejora a través de las directrices de ITIL.

ITIL ayuda a diferenciar las tareas administrativas y técnicas por separado, por lo que de manera más eficaz para asignar los recursos adecuados.

ITIL contribuye a la prestación eficaz de servicios de terceros a través de su especificación o la ISO 20000 como norma para la contratación de servicios.

ITIL ayuda a utilizar las experiencias de manera eficiente.

El proceso de gestión de la seguridad de ITIL explica la planificación general de organización de la gestión para adecuar la seguridad de la información. Este proceso es básicamente Este proceso depende básicamente del código de prácticas utilizado para la gestión de la seguridad de la información, que ahora se denomina ISO/IEC 27002. que ahora se llama ISO/IEC 27002. ITIL ayuda a dividir la seguridad de la información en

o Políticas: Es el objetivo principal de una organización que trata de alcanzar

o Procesos: Estos ocurren cuando se logran los objetivos de las políticas. o Procedimientos: Estos procedimientos sirven para identificar a las

personas y también para mencionar qué y cuándo debe realizar los objetivos.

o Instrucciones de trabajo: Estas instrucciones ayudan a realizar las tareas específicas para realizar el objetivo.

El objetivo principal de la gestión de la seguridad es controlar y garantizar la suficiente seguridad de la información. El objetivo final de la seguridad de la información es salvar información/datos de los ataques de seguridad. Normalmente estos objetivos se explican en términos de asegurar la confidencialidad, la integridad y la disponibilidad, que junto con los atributos u objetivos atributos u objetivos asociados, como la autenticidad, la responsabilidad, la no reputación y la fiabilidad.

Organización Internacional de Normalización (ISO) 27001/27002: La norma ISO/IEC 27001 determina básicamente las exigencias obligatorias para un sistema de gestión de la seguridad de la información (SGSI) [10]. Estas normas también utilizan y norma de certificación ISO/IEC 27002 para mostrar los controles de seguridad de la información deseables controles de seguridad de la información deseables en el SGSI. Básicamente, los modelos ITIL, ISO/IEC 20000 e ISO/IEC 27001/27002 ayudan a los sectores de TI a responder y contestar algunas preguntas fundamentales como:

¿Cómo garantizar que los niveles de seguridad actuales son adecuados para sus necesidades?

¿Cómo aplico una línea de base de seguridad en toda su operación?

¿Cómo garantizo que mis servicios son seguros?

25

Formato de virtualización abierto (OVF): OVF ayuda a proporcionar el software eficiente, flexible y seguro de distribución. En proporciona la movilidad de las máquinas virtuales y la independencia de la plataforma al proveedor del cliente [11]. Los clientes pueden utilizar máquinas virtuales con formato OVF en sus técnicas de virtualización existentes. OVF ofrece numerosas ventajas a sus clientes para disfrutar de la virtualización mejorada con mayor flexibilidad, portabilidad, firma, versionado verificación, independencia de la plataforma y condiciones de licencia. OVF también ayuda a los clientes como:

La experiencia del usuario se mejora con la ayuda de instalaciones racionalizadas

Los clientes obtienen independencia de la plataforma al utilizar la virtualización

Los clientes pueden crear fácilmente los difíciles servicios preconfigurados de varios niveles

Las máquinas virtuales móviles ayudan a entregar el software de la empresa con de manera más eficiente

La extensibilidad ayuda a los clientes a adoptar su tecnología fácilmente en virtualización y también ayuda a proporcionar mejoras basadas en la plataforma

Estándares de gestión de la seguridad utilizadas en el sector de la tecnología del e-learning Para desarrollar una solución de e-learning en línea hay una serie de factores y normas de la educación a distancia que hay que tener en cuenta, que influirán en su supervivencia y el crecimiento en el mercado futuro. Para los distintos proveedores de aprendizaje en línea, los principales factores que son vitales para vender los productos en los mercados son la estandarización y la compatibilidad. También hay que comprobar si los diferentes sistemas de aprendizaje en línea son compatibles entre sí o no. entre sí o no. Hay varios grupos de trabajo que intentan desarrollar los estándares para las fuentes de e-learning. Estos grupos sugieren los principios y estándares que se refieren principalmente a los componentes compartibles y otros recursos. Los principios implicados en también sugieren la privacidad y las cuestiones de seguridad relacionadas con las soluciones de e-learning. Algunos de los grupos que trabajan en la propuesta y desarrollo de estos estándares son.

IEEE P1484

IEEE P1484 es el modelo propuesto por IEEE LTSC. Implica la especificación de la Información Pública y Privada (PAPI) que describe efectivamente todas las variantes que se ocupan de la privacidad y las características de seguridad utilizando la información del alumno. información del alumno. Pueden crear, almacenar y recuperar la información de los usuarios mediante el uso de entidades específicas. entidades específicas. Categoriza los puntos de vista relacionados con la seguridad de las diferentes partes interesadas involucrados en el sistema como el desarrollador, el regulador, etc. También elige las

26

diferentes entidades implicadas en la gestión de clientes como su información de contacto preferencias, rendimiento, información personal y carteras. [12]

Como se ha explicado anteriormente, no explica una estructura específica o un modelo o una tecnología, sino que explica todos los aspectos de seguridad implementados para proporcionar factor de privacidad. Además, no proporciona ninguna política de privacidad o de seguridad. Sólo explica que los administradores y los alumnos actuarán como responsables de la política aplicando el factor de la política de privacidad utilizando ciertas técnicas y tecnologías de seguridad. seguridad. Utiliza un factor de división lógica de la información del alumno. Una vez que la información del alumno se acredita en el servidor, se desidentifica, se divide y se compartimenta y compartimentada que cubrirá la mayoría de los factores de privacidad y seguridad relacionados con el usuario.

IMS LIP El consorcio de aprendizaje global IMS (IMS GLC) es una organización destinada a desarrollar especificaciones abiertas para el aprendizaje distribuido. Se trata de abordar los principales retos y problemas de los entornos de aprendizaje distribuido con una serie de especificaciones de referencia que incluyen especificaciones de metadatos, especificación de contenido y empaquetado, especificación de preguntas y pruebas, especificación de secuenciación simple, y especificación del paquete de información del alumno. Entre todas las especificaciones mencionadas anteriormente, el paquete de información de los alumnos de IMS se ocupa de la interoperabilidad de los sistemas de información del alumno con otros sistemas que se apoyan en el entorno de aprendizaje de Internet. [13]

Emplea diferentes formas de capturar la información de los alumnos, que incluye su registro de educación, registro de formación, registro de desarrollo profesional, y periodo de aprendizaje a lo largo de la vida y el registro de servicios a la comunidad (por ejemplo, experiencia laboral y formativa). Con la ayuda de la información del alumno, el sistema puede responder a las necesidades específicas del usuario o alumno. Al emplear el servidor de información del alumno, el sistema de aprendizaje puede ser utilizado eficazmente por el usuario. Para mantener la privacidad y la seguridad de los alumnos, la información para proporcionar un mejor apoyo al alumno, permite ciertos mecanismos en la especificación LIP de IMS. Un servidor de información del alumno es responsable de recibir y enviar los datos del alumno a otros sistemas de información u otros servidores. El servidor es administrado o supervisado por una persona especial autorizada. Todos los paquetes que se necesitan para importar o exportar los datos del servidor de información del alumno.

La privacidad e integridad de los datos se consideran los requisitos más importantes para la especificación IMS LIP. Sin embargo, la especificación IMS LIP no ofrece la posibilidad de conocer los detalles de mecanismos de implementación o arquitecturas que se emplean para proporcionar seguridad e integridad a la información de los alumnos. La especificación final V1.0 de IMS LIP no proporciona ninguna de las siguientes estructuras para habilitar cualquier arquitectura adecuada para la protección de la privacidad de los alumnos.

o La meta-estructura de la privacidad y la protección de datos: Si consideramos un árbol de información del alumno, cada nodo y cada hoja

27

del árbol se asocia con el conjunto de descripción de la privacidad que consiste en niveles de privacidad, derechos de acceso e integridad de los datos. La granularidad de la información puede definirse como el conjunto de datos que no pueden desglosarse más los datos de privacidad independientes.

o Una estructura de datos de "clave de seguridad": En general, la contraseña, la clave pública y las firmas digitales pueden ser consideradas como claves de seguridad. La estructura de la clave de seguridad, la contraseña y los códigos de seguridad se utilizan para la comunicación. Sobre la base de la estructura podemos permitir el cifrado de clave pública, la autenticidad de los datos y la contraseña y el control de acceso basado en la contraseña de la información del alumno.

5.1.8 Ética

Amenazas Aumento de las exigencias de autenticación

Los proveedores de la nube ofrecen varias ventajas a sus clientes, una de ellas es proporcionar el software y acceder a su aplicación en línea. Así, la máquina del cliente no necesita instalarse con ninguna aplicación de software para acceder a su funcionalidad. Los usuarios no se preocupan por la privacidad del software ya que son ejecutados por servidores de monitoreo centralizados a través de la nube. Pero, los proveedores de la nube deben tener cuidado de proporcionar autenticación a sus clientes para que accedan las personas autorizadas. Si los operadores de la nube no proporcionan estos procedimientos de autenticación, puede llevar a aumentar la amenaza de phishing u otras vulnerabilidades mediante acceso no autorizado de esas aplicaciones en la nube.

Para que el usuario entre en el entorno de E-learning es una licencia importante y esencial. En general, los usuarios de e-learning están en lugares diferentes, por lo que el ID de usuario y la contraseña deben ser proporcionados. El alumno o estudiante, basándose en el permiso que se haya definido para la cuenta puede acceder a la instalación. Basándose en los métodos de facturación puede permitir acceder al siguiente nivel de reglas de aprendizaje (provisión de aprendizaje) o no.

Medidas Mecanismo de seguridad por SMS

Este proceso se utiliza para la autenticación de un usuario legítimo en el entorno de e-learning. El procedimiento es el mismo que en el caso del "team viewer", donde un usuario se registra primero en el servidor de e-learning con la ayuda de un nombre de usuario y una contraseña que se proporciona durante el periodo de registro. Después de entrar el usuario obtendrá un código de acceso para esa sesión específica en forma de un SMS (servicio de mensajes cortos) a su teléfono móvil, que está registrado en el servidor y así se mantiene la seguridad. Como la fase de registro del usuario se especifica de sesión con un código de acceso diferente, se utiliza principalmente para detener las disposiciones o la entrada ilegal en el servidor de e-learning por parte de personas ajenas o usuarios ilegítimos.

28

Análisis de riesgos Un análisis de riesgos eficaz debe integrar los objetivos del programa de seguridad con los objetivos y requisitos empresariales del centro de enseñanza. Cuanto más se alineen la universidad y los objetivos de seguridad más éxito tendrán ambos. El análisis ayudará a una universidad a elaborar un presupuesto adecuado para un programa de seguridad y sus componentes de seguridad. Una vez que una organización sabe cuánto valen sus activos y las posibles amenazas a las que están expuestos, puede tomar decisiones inteligentes sobre cuánto dinero debe invertir para proteger esos activos. La Southern Association of Colleges and Schools (SACS) establece que una institución tiene la responsabilidad ética de tomar medidas razonables para proporcionar un entorno saludable, seguro y protegido para todos los de los campus, ya que esto contribuirá a una gestión de riesgos más eficaz. La gestión/análisis de riesgos, según la SACS, puede ser realizado a través de la revisión del plan de seguridad, del plan de comunicación de crisis y otros procedimientos de salud y seguridad de la institución. Sin embargo, una vez más, en el ámbito de la tecnología de aprendizaje electrónico, faltan detalles en términos de directrices requeridas.

5.2 Cloud Security Alliance

Además de todas las medidas que proponemos para la seguridad de la nube añadimos un resumen de las recomendaciones de la CSA para mejorar la seguridad en la computación en la nube. La Cloud Security Alliance es una organización internacional sin ánimo de lucro para promover el uso de mejores prácticas para garantizar la seguridad en cloud. En marzo del 2010 publicó un informe «Top Threats to Cloud Computing V1.0» [14] sobre las siete mayores amenazas de la infraestructura cloud. El propósito era ayudar a las organizaciones a la hora de tomar decisiones y de adoptar las estrategias que puedan incluir la tecnología de cloud computing. Esta lista de amenazas se actualiza de manera regular, con el fin de consensuar con los expertos. A continuación, resumimos las amenazas que se describen en el informe y las medidas que proponen desde la CSA.

Abuso y mal uso del cloud computing La primera amenaza afecta principalmente a los modelos IaaS y PaaS y tiene que ver con un registro de acceso a estas plataformas/infraestructuras poco restrictivo. Esto viene a decir que cualquiera con una tarjeta de crédito válida puede acceder al servicio. La consecuencia de esto es una gran presencia de spammers, creadores de código malicioso y otros criminales que utilizan la nube como objetivo de sus operaciones. Este primer problema es externo al cloud computing, pero no por ello deja de ser de menos riesgo para los clientes de la nube, por ello se recomienda:

Implementar un sistema de registro de acceso más restrictivo.

Coordinar y monitorizar el fraude en tarjetas de crédito.

Monitorizar el tráfico de clientes para la detección de posibles actividades ilícitas.

29

Comprobar las listas negras públicas para identificar si los rangos IP de la infraestructura han entrado en ellas.

Interfaces y API poco seguros Este problema está relacionado con los proveedores de servicios en la nube, que suelen ofrecer una serie de interfaces y API (Application Programming Interface) para controlar e interactuar con los recursos. De esta manera. A través de la API, se realiza toda la organización, el control, la provisión y la monitorización de los servicios de cloud que la empresa ofrece. Dado que todo (autenticación, acceso, cifrado de datos…) se realiza a través de estas herramientas, es necesario que estas estén diseñadas de forma segura, para evitar problemas de seguridad, tanto los intencionados como los accidentales. Ejemplos de este problema son: la permisión de acceso anónimo, la reutilización de tokens, la autenticación sin cifrar, las limitaciones a la hora de gestionar los logs o la monitorización. La organización propone dos medidas:

Analizar los problemas de seguridad de las interfaces de los proveedores de servicio.

Asegurarse que la autenticación y los controles de acceso se implementan teniendo en cuenta el cifrado de los datos.

Amenaza interna Una de las amenazas más importantes en todos los sistemas de información son los usuarios, dado el acceso que tienen en todo momento de forma natural a los datos y aplicaciones de la empresa. Para los entornos cloud esto no cambia, ya que se pueden desencadenar igualmente incidentes de seguridad provocados por empleados descontentos y accidentes por error o desconocimiento.

En muchos casos es el propio proveedor de servicio el que gestiona las altas y bajas de los usuarios, lo que puede provocar brechas de seguridad cuando el consumidor del servicio no informa al proveedor de las bajas de personal en la empresa. Como es lógico, esto repercute de forma importante en la imagen de la empresa y en los activos gestionados. Recomendaciones:

Especificar cláusulas legales y de confidencialidad en los contratos laborales.

Determinar los posibles problemas en los procesos de notificación.

Problemas derivados de las tecnologías compartidas En un modelo de infraestructura como servicio (IaaS) los componentes físicos (CPU, GPU, etc.) no fueron diseñados específicamente para una arquitectura de aplicaciones compartidas, es por eso por lo que esta amenaza sólo afecta a este modelo de cloud. Por esta razón se dieron casos en los que los hipervisores de virtualización podían acceder a los recursos físicos del anfitrión, provocando incidentes de seguridad. Ejemplos de estos problemas son los exploits (fragmento de software utilizado con el fin de aprovechar una vulnerabilidad de seguridad) o malware que consiguen acceder a los recursos del equipo anfitrión de la virtualización. Para evitar esto:

Diseñar buenas prácticas para la instalación y configuración.

30

Monitorizar los entornos para detectar cambios no deseados en las configuraciones o la actividad.

Proporcionar autenticación fuerte y control de acceso para el trato de la información.

Adecuar los acuerdos de nivel de servicio para controlar el parcheado y la corrección de vulnerabilidades.

Pérdida o fuga de información Los datos se pueden ver comprometidos de numerosas formas. Por ejemplo, el borrado o modificación de datos sin tener una copia de seguridad de los originales, puede suponer una pérdida de datos. En el caso de la nube este riesgo aumenta, debido a que el número de interacciones entre ellos se multiplica por la arquitectura de esta. Lo que se refleja en pérdida de imagen de la compañía, datos económicos, y, si se produce algún caso de fugas, problemas legales o infracciones de normas. El mal uso de las claves de cifrado y de software, la autenticación y la auditoría débil son causas de esta amenaza. En la lucha contra estos problemas se debe:

Implementar API´s potentes para el control de acceso.

Proteger el intercambio de datos mediante el cifrado de los mismos.

Analizar la protección de datos tanto en tiempo de diseño como en tiempo de ejecución.

Definir, por contrato, la destrucción de los datos antes de que los medios de almacenamiento sean eliminados de la infraestructura, así como la política de copias de seguridad.

Secuestro de sesión o de servicio En un entorno permaneciente a la nube si un atacante obtiene las credenciales de un usuario el entorno puede acceder a actividades y transacciones, manipular datos, devolver información falsificada o redirigir a los clientes a sitios maliciosos. Por ello se recomienda:

Prohibir, mediante políticas, compartir credenciales entre usuarios y servicios.

Aplicar técnicas de autenticación de doble factor cuando sea posible.

Monitorizar las sesiones para buscar y detectar actividades inusuales.

Riesgos por desconocimiento Uno de los fundamentos principales de las infraestructuras cloud es reducir la cantidad de software y hardware que tienen que adquirir y mantener las compañías, para poder centrar todos sus esfuerzos en el negocio. Esto, que repercute en ahorros de costes tanto a nivel económico como operacional, no puede ser motivo para que el nivel de seguridad baje por falta de desconocimiento de esta infraestructura.

Para formar parte de las decisiones sobre la seguridad, y las medidas que se tienen que tomar e implantar en un entorno cloud es conveniente conocer, al menos en parte, la información más técnica de la plataforma. Datos como con

31

quién se comparte la infraestructura o los intentos de acceso no autorizados pueden resultar de vital importancia a la hora de decidir y llevar a cabo una estrategia de seguridad. La falta de información de este tipo puede desencadenar en brechas de seguridad desconocidas por el afectado, es por eso por lo que es conveniente:

Tener acceso a los logs (registros de actividad) de todas las aplicaciones y de los datos de estas.

Estar al corriente, de manera parcial, o totalmente, de los detalles de la infraestructura, como ya mencionamos antes.

Monitorizar y recibir alertas sobre el uso que se le da a la información más crítica del sistema.

32

6 Resultados y conclusiones

La seguridad en los entornos de e-learning basados en cloud computing tiene que ser uno de los puntos más importantes a la hora de desarrollar una solución de cloud learning. Principalmente los proveedores de cloud tienen que ser los primeros en garantizar una repuesta de seguridad contundente que convenza tanto a las organizaciones de e-learning como a los usuarios de estas plataformas. Los proveedores han de gestionar los modelos de nube de manera que los desarrolladores de los entornos de aprendizaje estimen que se puede implementar un sistema seguro para sus potenciales clientes, los profesores y los alumnos. Los usuarios a día de hoy tienen una gran preocupación por el almacenamiento de sus datos y por los ataques contra la integridad que puedan sufrir. El framework que hemos usado de referencia que desarrolló Badrul Khan nos ha servido para entender que aspectos hay que tratar a la hora de proponer un sistema de aprendizaje basado en web. En el momento en el que integramos una solución tecnológica con la educación tenemos que tener en cuenta el plano social, además del plano tecnológico. El autor refleja esta faceta social en varias de las dimensiones del marco que describe, incluyendo una dimensión pedagógica, una ética y una relacionada con la evaluación. Las demás dimensiones tienen que ver con aspectos tecnológicos del aprendizaje, que son los principales causantes de problemas relacionados con la seguridad. Analizamos, en un pequeño apartado los MOOCS, una solución que se está expandiendo mundialmente y que recoge todos los requisitos de una solución de e-learning basada en la web. Un almacenamiento total de recursos en la nube a los que se accede de manera asíncrona, que permite una disponibilidad total al alumno y la libertad de organizarse. Se adapta, como hemos visto, perfectamente al marco de Badrul Khan, y es un gran ejemplo de entorno de futuro, a nivel educativo y tecnológico. A medio camino entre el aspecto social y el aspecto tecnológico está la cuestión institucional y de gestión. Los principales responsables de la seguridad son las propias organizaciones, tanto de cloud como de e-learning, y son ellos los que tienen que asegurar que se cumplan las medidas. Estas medidas van desde el cumplimiento de leyes y normas que velan por la seguridad del usuario hasta la referencia en estándares ya existentes que ayudan a proporcionar unas bases de seguridad básicas. El último punto del trabajo se lo dedicamos a una organización, la CSA que es de gran ayuda para conservar la seguridad y prevenir los ataques. Por medio de un análisis de todos los riesgos posibles y proponiendo para cada uno de ellos varias medidas. Respecto al cloud parece una solución muy completa y que va a sustituir en un futuro a los sistemas tradicionales de e-learning que conocemos hoy en día. Por lo que hemos analizado en el apartado que dedicamos a esta tecnología la implementación en la nube híbrida es la que más puede llegar a encajar a la hora de implementar una solución educativa en cloud. En el apartado de modelos de servicio la infraestructura como servicio (IaaS) se postula como el favorito para desarrollar los entornos virtuales de aprendizaje.

33

7 Análisis de Impacto

El 25 de septiembre de 2015, se reunieron los líderes mundiales para adoptar un conjunto de objetivos a nivel global con el fin de erradicar la pobreza, proteger el planeta y asegurar la prosperidad para todos, como parte de una nueva agenda de desarrollo sostenible. Cada uno de estos objetivos tiene unas metas específicas que deberían alcanzarse en los próximos 15 años. Todas las partes involucradas, los gobiernos, el sector privado, la sociedad civil y las personas deben hacer su parte para llegar a alcanzar estas metas. El cuarto objetivo de esta lista se titula “Educación de calidad” y define la siguiente meta: “Garantizar una educación inclusiva, equitativa y de calidad y promover oportunidades de aprendizaje durante toda la vida para todos”. Explica que la educación permite la movilidad socioeconómica ascendente y es un punto clave para salir de la pobreza. Este objetivo dispone de 10 metas que se esperan cumplir para 2030. La primera meta dice lo siguiente: “De aquí a 2030, asegurar que todas las niñas y todos los niños terminen la enseñanza primaria y secundaria, que ha de ser gratuita, equitativa y de calidad y producir resultados de aprendizaje pertinentes y efectivos” y la octava: “Construir y adecuar instalaciones educativas que tengan en cuenta las necesidades de los niños y las personas con discapacidad y las diferencias de género, y que ofrezcan entornos de aprendizaje seguros, no violentos, inclusivos y eficaces para todos”. Ambas metas tienen que ver con la disponibilidad y esta última con la seguridad de los entornos de aprendizaje. Uno de los beneficios principales, como ya comentamos al principio del trabajo, es la alta disponibilidad de los entornos de e-learning que se basan en cloud computing. Los recursos educativos disponibles en la nube incrementan, gracias a la posibilidad de ser compartidos entre escuelas y universidades. Aplicaciones y servicios novedosos mejoran la colaboración entre estudiantes de diferentes instituciones y comunidades sociales. Además, la fusión de ambas tecnologías supone una reducción de costes, gracias al sistema de pago por uso y de no tener la necesidad de mantener y actualizar tanto el hardware como el software. Existe mayor conectividad entre las aplicaciones centralizadas y los dispositivos con los que acceden de bajo coste o capacidad de procesador, lo que genera un mejor acceso, más control y proporciona más libertad a los estudiantes. En 2020 la pandemia provocada por el COVID-19 obligó al cierre temporal de la mayoría de las escuelas en todo el mundo, afectando a más del 90% de los estudiantes. La UNESCO, en marzo de 2020, inició la “Coalición Mundial para la Educación COVID-19” con el fin de proteger el bienestar de los estudiantes y garantizar que tienen un acceso a un aprendizaje continuo. Esta coalición tenía varios objetivos, entre ellos “implementar soluciones innovadoras y adecuadas al contexto para proporcionar una educación a distancia a la vez que se aprovechan los enfoques de alta, baja o sin tecnología” y “buscar soluciones equitativas y el acceso universal”. Cómo hemos explicado anteriormente el bajo coste y la disponibilidad del cloud computing son grandes ventajas en la educación virtual, y en gran medida pueden ayudar a las aspiraciones de la Coalición Mundial. Para que estos

34

entornos se puedan llevar a cabo es necesario dotarlos de unos aspectos de seguridad básicos. La situación actual ha generado un escenario clave para la irrupción de los sistemas de aprendizaje en línea, desarrollar estas tecnologías junto con el cloud computing supone una gran cantidad de beneficios, que solo son posibles en un marco seguro y libre de amenazas. A nivel personal ha supuesto un gran avance en el conocimiento tanto de los entornos de e-learning como en el campo de la seguridad. Conocedor por otros trabajos de la tecnología de cloud computing quería aplicar esta novedosa herramienta y que está adquiriendo tantas dimensiones en algún campo tecnológico. La investigación que he hecho sobre la educación creo que se adecua a las necesidades actuales de la sociedad. El recurso del cloud learning puede ser un avance en la globalización de la educación y la idea de que pueda llegar a todas partes con el menor coste posible. El COVID-19 nos ha hecho darnos cuenta de que la educación virtual está a la vuelta de la esquina, y que es una solución que ya no queda tan lejos.

35

8 Bibliografía

[1] Diccionario Español de Ingeniería, Excmo. Sr. D. Antonio Colino Martínez, Real Academia de Ingeniería, [online] http://diccionario.raing.es Versión 1.0.

[2] Mell, P. and Grance, T. (2011), The NIST Definition of Cloud Computing, Special Publication (NIST SP), National Institute of Standards and Technology, Gaithersburg, MD, [online], https://doi.org/10.6028/NIST.SP.800-145

[3] Badger, M. Grance, T., Patt-Corner, R. and Voas, J. (2012), Cloud Computing Synopsis and Recommendations, Special Publication (NIST SP), National Institute of Standards and Technology, Gaithersburg, MD, [online], https://doi.org/10.6028/NIST.SP.800-146

[4] Boneu, Josep M. (2007). «Plataformas abiertas de e-learning para el soporte de contenidos educativos abiertos». En: «Contenidos educativos en abierto» [online]. Revista de Universidad y Sociedad del Conocimiento (RUSC). Vol. 4, neo 1. UOC. http://www.uoc.edu.

[5] E. Leloglu, T. Ayav and B. G. Aslan, "A review of cloud deployment models for e-learning systems," 2013 43rd Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN), 2013, pp. 1-2 [online] https://ieeexplore.ieee.org

[6] Utpal Jyoti Bora, Majidul Ahmed, E-Learning using Cloud Computing, International Journal of Science and Modern Engineering (IJISME) ISSN: 2319-6386, Volume-1 Issue-2, January 2013 [online] https://www.ijisme.org/

[7] Khan, B. H. (2001). A framework for Web-based learning. In B. H. Khan (Ed.), Web-based training. Englewood Cliffs, NJ: Educational Technology Publications. [online] http://badrulkhan.com

[8] G. Kumar and A. Chelikani, ‘Analysis of security issues in cloud-based e-learning’, Dissertation, University of Borås/School of Business and IT, 2011. [online] https://www.diva-portal.org

[9] What is ITIL, Best Practice Solutions [online] https://www.axelos.com

[10] ISO/IEC 27001:2013 Information technology - Security techniques -Information security management systems – Requirements [online] https://www.iso.org/ [11] ISO/IEC 17203:2017 (INCITS 469:2015) Information technology -- Open Virtualization Format (OVF) specification [online] https://www.iso.org

[12] P1484.20.1 - Standard for Learning Technology-Data Model for Reusable Competency Definitions [online] https://standards.ieee.org

[13] IMS Learner Information Package Accessibility for LIP Information Model, 18 June 2003, [online] https://www.imsglobal.org

[14] CSA, 2010, Top Threats to Cloud Computing V1.0 [online], https://cloudsecurityalliance.org

[15] Marcelo Maina, Lourdes Guárdia, Overcome The Challenges Of MOOC Implementation In Five Steps : EMMA 5D MOOC Framework [online] https://www.researchgate.net/

Este documento esta firmado porFirmante CN=tfgm.fi.upm.es, OU=CCFI, O=Facultad de Informatica - UPM,

C=ES

Fecha/Hora Thu Jun 03 23:40:03 CEST 2021

Emisor delCertificado

[email protected], CN=CA Facultad deInformatica, O=Facultad de Informatica - UPM, C=ES

Numero de Serie 630

Metodo urn:adobe.com:Adobe.PPKLite:adbe.pkcs7.sha1 (AdobeSignature)

universidad politécnica de madridoa.upm.es/68078/1/tfg_alvaro_martin_marti.pdf · 2021. 7. 29. ·...

Documents