Professional Documents
Culture Documents
CRTICAS EN
CLOUD COMPUTING V3.0
DOMINIO 2: GOBIERNO Y GESTIN DEL RIESGO CORPORATIVO
GOBIERNO CORPORATIVO
Conjunto de procesos que abarca principalmente:
Tecnologas.
Polticas.
Leyes.
Instituciones.
Evitar el riesgo.
Reducir el riesgo.
Compartir el riesgo.
Aceptar el riesgo.
Es por ello que los clientes siempre buscan tener procesos de gestin de riesgo y
gobierno con sus partes interesadas (Clientes, empleados, proveedores, accionistas,
estado, entre otros.) que permitan reducir la incertidumbre mediante la implantacin de
controles o acuerdos internos o externos.
RECOMENDACIONES
REQUISITOS
Preguntas:
1. En la organizacin XYZ no se establecieron acuerdos de seguridad entre el
proveedor y el cliente, afectara esto el funcionamiento de la gestin de riesgos y
gobierno corporativo?:
a) Verdadero
b) Falso
2. Es el conjunto de procesos, tecnologas, polticas, leyes e instituciones que
afectan a la manera que una compaa est dirigida, administrada o controlada:
a) Gestin de Riesgo Corporativo
b) Gobierno
c) Gobierno Corporativo
d) Ninguna de las anteriores
3. Algunas estrategias para dar respuesta frente a riesgos especficos identificados y
analizados son:
a) Evitar el riesgo, Reducir el riesgo, Compartir el riesgo, Aceptar el riesgo
b) Evitar el riesgo, Dominar el riesgo, Cambiar el riesgo, Analizar el riesgo
c) Reducir el riesgo, Comparar el riesgo, Inducir el Riesgo, Analizar el riesgo
d) Ninguna de las anteriores.
REQUERIMIENTOS
-
PREGUNTAS
Tienen la facultad de solicitarle al proveedor del servicio que muestre que tiene todo legal
(Documentacin, evidencias, etc.)
SAAS (Software como un servicio) Accede siempre mediante una interfaz de usuario
basado en web o una aplicacin cliente/servidor, si se accede mediante API se considera
PAAS.
SAAS proporciona
Almacenamiento y gestin de la informacin datos introducidos mediante una interfaz
Web.
Almacenamiento de contenidos/ficheros: Contenido basado en ficheros se alacena en la
app SAAS un ejemplo informes fichero de imgenes, documentos acceso mediante una
interfaz basado en web.
Un esquema de fragmentacin
Un fichero f se trocea en n fragmentos
Todos de los cuales se forman y distribuyen a N servidores remotos
El usuario puede reconstruir F accediendo M fragmentos escogidos.
Gestin de la informacin
Este incluye procesos y polticas para entender como se usa la informacion y como se
gobierna su uso
Ciclo de vida de la seguridad de los datos
Este incluye 6 fases desde la creacin hasta la destruccin
Creacin; es la generacin de un nuevo contenido digital
Almacenamiento: ubicar datos en algn tipo de repositorio de almacenamiento
Uso: Datos Visualizados procesados o utilizados
LOCALIZACION Y ACCESO
Localizacin
Los datos pueden moverse prcticamente en cada fase dentro, fuera o entre entornos.
Localizacin Lgica y como la fsica de los datos.
Acceso
Cmo pueden acceder a ellos (Dispositivos y canal)?
Se accede alos datos mediante una variedad de dispositivos estos dispositivos tienen
diferentes caractersticas de seguridad y pueden utilizar diferentes aplicaciones o clientes.
CONTROLES
Restringe una lista de posibles acciones a las acciones permitidas
Gobierno de la clasificacin
Polticas y procedimientos para gestionar el uso de la informacin
Polticas de gestin de la informacin: Que actividades se permiten para los distintos tipos
de informacin.
Polticas Jurisdiccionales y de localizacin: Donde se ubican los datos lo cual tiene
importantes ramificaciones legales y regulatorias
Autorizaciones: Definir permisos para acceder a qu tipo de informacin
Propiedad: Quien es el responsable final da la informacin.
Custodia: Quien es el responsable de la gestin de la informacin a peticin del
propietario.
Migracin a Cloud
Un filtrado de URL permite vigilar y evitar la conexin de los usuarios a servicios cloud.
Dado que las interfaces de administracin de estos servicios suelen utilizar direcciones
distintas a las de uso el usuario conoce entre alguien que accede a una consola de
administracin frente a un usuario que accede a una aplicacin alojada con el proveedor.
Una herramienta DLP(Data loss Prevention) vigilan los datos/contenidos que se
transmiten no solo al destino, asi el usuario genera alertas o bloqueos.
Funciona la DLP para base de datos Escaneo Cloud Aware capaz de almacenar
almacenamiento de objetos.
CIFRADO IAAS
Cifrado de almacenamiento de volmenes
Este protege de los siguientes riesgos:
-
Cifrado PAAS
NO cubre las siguientes Operaciones
Cifrado cliente / aplicacin
Cifrado de la base de datos
Cifrado Proxy
Cifrado SAAS
En su nucleo DRM cifra el contenido y aplica una serie de derechos, estos pueden ser tan
simples como copiar , especifican restricciones por grupo o usuario en actividades.
Hay dos categoras en sentido amplio DRM
DRM Consumidor: Usado para proteger contenido de amplia distribucin como audio
video y libros electrnicos destinado a audiencias masivas
DRM Corporativo: Protege el contenido de una organizacin de forma interna y con sus
colaboradores de negocio
Utiliza
Appliance / servidor dedicado
Aplicativo Virtual
Agente externo
Agente en Hipervisor
DLP PAAS.
Recomendaciones
Requerimientos
Utiliza un cilo de vida de la seguridad de los datos para identificar riesgos de seguridad y
determinar los controles mas adecuados
Cifra los datos delicados que se mueven hacia o adentro de cloud en la capa de red o en
los nodos antes de la transmisin por la red.
Cifra datos delicados en aplicaciones PAAS y el almacenamiento.
DOMINIO 6.
INTRODUCCION
Los aspectos de seguridad han asumido gran importancia y criticidad, debido al carcter
emergente del cloud computing como tecnologa preferida para la externalizacin de TI.
La evolucin de los servicios de cloud ha facilitado a las organizaciones la realizacin de
ms con menos, menos recursos, y mejor eficiencia operativa.
La seguridad tradicional puede ser definida como las medidas tomadas para garantizar la
seguridad de la informacin personal y o material contra robo, espionaje, sabotaje u otros
daos.
CSP (Cloud service provider)
REVISION DOCUMENTAL
Anlisis de riesgos
Valoracin de riesgos
Valoracin de vulnerabilidad
Plan de continuidad de negocio
Plan de recuperacin de desastres
Polticas de seguridad fsica y ambiental
Procedimientos de baja de cuentas de usuario
Plan de contingencia
Se debe garantizar que el CSP cumple con estndares globales de seguridad como la
ISO27001 ISMS u otros estndares de industria como TOGAR, SABSA, ITIL, COSO o
COBIT.
-
ALCANCE:
-
reas administrativas
Recepcin
Aparcamiento
Almacn
Salidas de emergencia
Vestuarios
SEALIZACION:
-
INFRAESTRUCTURA DE SEGURIDAD
Roles y responsabilidades
Verificacin de antecedentes
Acuerdos con los empleados
Proceso de baja de empleados
Seguridad Medioambiental
Controles medioambientales
Continuidad de negocio
Recuperacin de desastres
Permisos
Recomendaciones
o
o
o
o
Requerimientos
PREGUNTAS:
1. Qu es Seguridad Tradicional?
Respuesta: La seguridad tradicional puede ser definida como las medidas tomadas para
garantizar la seguridad de la informacin personal y o material contra robo, espionaje,
sabotaje u otros daos.
Anlisis de riesgos
Valoracin de riesgos
Valoracin de vulnerabilidad
Plan de continuidad de negocio
Plan de recuperacin de desastres
Polticas de seguridad fsica y ambiental
Procedimientos de baja de cuentas de usuario
Plan de contingencia