You are on page 1of 20

Resumen: GUAS DE SEGURIDAD DE REAS

CRTICAS EN
CLOUD COMPUTING V3.0
DOMINIO 2: GOBIERNO Y GESTIN DEL RIESGO CORPORATIVO
GOBIERNO CORPORATIVO
Conjunto de procesos que abarca principalmente:

Tecnologas.
Polticas.
Leyes.
Instituciones.

Que afectan el funcionamiento de una compaa en cuanto al cumplimiento de sus


objetivos.
Todos los modelos corporativos se basan en 5 principios:

Auditoria de la cadena de suministro.


Estructura del consejo de direccin, gestin ejecutiva y sus procesos.
Responsabilidad corporativa y cumplimiento legal.
Transparencia financiera y divulgacin de la informacin.
Estructura accionaria y ejercicio de los derechos de control.

GESTIN DEL RIESGO CORPORATIVO


Es el compromiso de la organizacin para determinar cmo medir, gestionar y mitigar la
incertidumbre dentro de la organizacin, esto mediante la identificacin, comprensin y
gestin de los riesgos.
Existen estrategias para dar respuestas a ello:

Evitar el riesgo.
Reducir el riesgo.
Compartir el riesgo.
Aceptar el riesgo.

Cmo Cloud computing genera beneficio para el manejo y seguridad de la informacin?

Utilizacin optimizada de los recursos.


Ahorro de costes.
Transformacin de los costos de inversin a costos de operacin.
Escalabilidad dinmica de los activos de tecnologa.

Reduccin del ciclo de vida de desarrollo.

Es por ello que los clientes siempre buscan tener procesos de gestin de riesgo y
gobierno con sus partes interesadas (Clientes, empleados, proveedores, accionistas,
estado, entre otros.) que permitan reducir la incertidumbre mediante la implantacin de
controles o acuerdos internos o externos.
RECOMENDACIONES

Revisin especfica de sus procesos y estructura de gobierno.


Establecer con los proveedores acuerdos de seguridad de la informacin.
Identificar el tipo de nivel de servicio y generar tratamientos de gestin de riesgo.
Si un proveedor no cuenta con procesos establecidos para el tratamiento de
riesgos o gobierno de informacin se debe evaluar cuidadosamente la utilizacin
de este.

REQUISITOS

Proporcionar transparencia de la informacin.


Respetar los niveles de riesgo existentes en el cliente y las partes interesadas.
Revisar y analizar los riesgos de las partes interesadas que puedan afectar.

Preguntas:
1. En la organizacin XYZ no se establecieron acuerdos de seguridad entre el
proveedor y el cliente, afectara esto el funcionamiento de la gestin de riesgos y
gobierno corporativo?:
a) Verdadero
b) Falso
2. Es el conjunto de procesos, tecnologas, polticas, leyes e instituciones que
afectan a la manera que una compaa est dirigida, administrada o controlada:
a) Gestin de Riesgo Corporativo
b) Gobierno
c) Gobierno Corporativo
d) Ninguna de las anteriores
3. Algunas estrategias para dar respuesta frente a riesgos especficos identificados y
analizados son:
a) Evitar el riesgo, Reducir el riesgo, Compartir el riesgo, Aceptar el riesgo
b) Evitar el riesgo, Dominar el riesgo, Cambiar el riesgo, Analizar el riesgo
c) Reducir el riesgo, Comparar el riesgo, Inducir el Riesgo, Analizar el riesgo
d) Ninguna de las anteriores.

4. Cmo Cloud computing genera beneficio para el manejo y seguridad de la


informacin
Utilizacin optimizada de los recursos.
Ahorro de costes.
Transformacin de los costos de inversin a costos de operacin.
Escalabilidad dinmica de los activos de tecnologa.
Reduccin del ciclo de vida de desarrollo.

DOMINIO 4: CUMPLIMIENTO LEGAL Y GENERAL DE LA


AUDITORIA
Las organizaciones no solo se enfrentan a retos cuando migran datos tradicionales a
cloud sino tambin respecto al cumplimiento, medicin y comunicacin con la legislacin
que est vigente.
Tanto los clientes como proveedores necesitan comprender y apreciar los estndares de
auditoria, procesos y prcticas de cumplimiento legal. Adems, los reguladores y
auditores se tienen que ajustar a esto (Cloud)
Los clientes que utilicen cloud tienen la facultad de solicitarle al proveedor del servicio
que muestre que tiene todo legal (Documentacin, evidencias, etc.)
CUMPLIMIENTO LEGAL
El cumplimiento legal puede ser definido como la concienciacin y seguimiento de las
obligaciones incluyendo el conocimiento de las acciones correctivas que sean necesarias
y apropiadas
Las tecnologas de informacin cloud estn sujeta a una creciente exposicin a mas
polticas y regulaciones. El gobierno espera que estas organizaciones cumplan con la ley,
como as tambin estas establecen estrategias para su cumplimiento sin afectar a clientes
y defendiendo sus intereses.
AUDITORIA
La auditora debe ser llevada a cabo de manera independiente y debe estar diseada de
manera robusta.
Tanto la auditoria interna como la auditoria externa juegan un papel importante en la
tecnologa cloud (Tanto para clientes como para proveedores) ya que es un mtodo que
proporciona garanta de que las actividades han sido comprobadas y revisadas en
profundidad
La existencia de y ejecucin de auditoras independientes y planificadas que incluyan
trazabilidad de acciones y documentacin ayudaran a mejorar en eficiencia y confiabilidad
RECOMENDACIONES
-

Es preferible disponer de auditores que conozcan el mbito cloud y que estn


familiarizados con los retos de garanta de virtualizacin y de cloud
Los contratos deben facilitar una revisin por un tercero de las mtricas y acuerdos
de niveles de servicios del cumplimiento legal

REQUERIMIENTOS
-

Los auditores de terceros deben ser mutuamente reconocidos o escogidos de


manera anticipada, conjuntamente por el proveedor y el cliente.
Todas las partes implicadas deben acordar el uso de un marco de referencia
comn para la certificacin y garanta para el gobierno ti y controles de seguridad

PREGUNTAS

Qu se entiende por cumplimiento legal?

El cumplimiento legal puede ser definido como la concienciacin y seguimiento de las


obligaciones incluyendo el conocimiento de las acciones correctivas que sean necesarias
y apropiadas

Por qu la auditoria interna y externa son importantes en la tecnologa cloud?

Tanto la auditoria interna como la auditoria externa juegan un papel importante en la


tecnologa cloud (Tanto para clientes como para proveedores) ya que es un mtodo que
proporciona garanta de que las actividades han sido comprobadas y revisadas en
profundidad

Qu pueden solicitarles los clientes a los proveedores Cloud?

Tienen la facultad de solicitarle al proveedor del servicio que muestre que tiene todo legal
(Documentacin, evidencias, etc.)

Dominio 5: GESTION DE LA INFORMACION Y DE LA SEGURIDAD


DE LOS DATOS
El objetivo principal de seguridad de la informacin es proteger los datos fundamentales
que alimentan nuestro sistema y aplicaciones.
Las nuevas arquitecturas fsicas, lgicas y controles abstractos requieren nuevas
estrategias de seguridad de datos.
Comienza con la gestin de datos internos y las migraciones a cloud que se extiende para
proteger la informacin en aplicaciones y servicios que afectan a ms de una
organizacin.
La transicin a Cloud crea oportunidades para mejorar la seguridad de los datos en una
infraestructura tradicional.
El autor recomienda un Ciclo de vida de la seguridad de los datos para evaluar y definir
las estrategias de seguridad de los datos en cloud, debe ser segura aplicada mediante
tecnologas clave, tales como el cifrado y herramientas de monitorizacin.
Incluye 3 secciones
1. Material de referencia sobre arquitectura de informacin y almacenamiento en
cloud

2. Mejores practicas de gestin de la informacin, inclutendo el ciclo de vida de


seguridad de los datos
3. Controles especficos de seguridad de los datos y cuando utilizarlos.
Arquitectura de informacin

IAAS(Infraestructura como un servicio) incluye opciones de almacenamiento tales como:


Almacenamiento Puro: Medios Fsicos de almacenamiento, se puede configurar cloud
Privada.
Almacenamiento de Volmenes: Discos duros virtuales, estos usan dispersin de datos
que proporciona robustez y seguridad.
Almacenamiento de objetos: Almacenamiento de ficheros, mas que un disco virtual este
se parece mas a un fichero compartido accediendo mediante APIS o una interfaz Web red
de distribucin de contenidos (CDN) se ubica en almacenamiento de objetos, este se
distribuye a multiples nodos repartidos geogrficamente para mejorar la velocidad y el
consumo desde internet.

PAAS (plataforma como servicio) Este proporciona


Database asa service (DAAS) se usa mediante un API o llamados del SQL, los datos
estn aislados del resto, pueden ser relacional plana u otra estructura comn.
Haddop/Mapreduce/Big Data as a service:
-Big Data: Son datos de amplia distribucin, heterogeneidad nuevas tcnicas y analtica
- Haddop: Ofrecido como una plataforma Cloud.
Almacenamiento para aplicaciones: Es consumible mediante APIS y no encaja en ningn
otra categora de almacenamiento.

PAAS puede consumir


1 Base de datos almacenamiento de texto u objetos binarios,
2 Almacenamiento de objetos / ficheros acceso a al red API Paas
3 Almacenamiento de volmenes almacenado en volumen IAAS asociados a instancias al
servicio PAAS.

SAAS (Software como un servicio) Accede siempre mediante una interfaz de usuario
basado en web o una aplicacin cliente/servidor, si se accede mediante API se considera
PAAS.

SAAS proporciona
Almacenamiento y gestin de la informacin datos introducidos mediante una interfaz
Web.
Almacenamiento de contenidos/ficheros: Contenido basado en ficheros se alacena en la
app SAAS un ejemplo informes fichero de imgenes, documentos acceso mediante una
interfaz basado en web.

SAAS puede consumir


Base de datos

Almacenamiento de Objetos/Fichero se guarda en almacenamiento de objetos se


acceden mediante aplicaciones Saas
Dispersion de datos (Informacion)

Utilizada para mejorar la seguridad de los datos, tipo de algoritmo IDA(Instrusion


detection algoritms ) permite proporcionar alta disponibilidad y asegurar los datos
almacenados en cloud por medio de la fragmentacin de datos.

Un esquema de fragmentacin
Un fichero f se trocea en n fragmentos
Todos de los cuales se forman y distribuyen a N servidores remotos
El usuario puede reconstruir F accediendo M fragmentos escogidos.

Gestin de la informacin
Este incluye procesos y polticas para entender como se usa la informacion y como se
gobierna su uso
Ciclo de vida de la seguridad de los datos
Este incluye 6 fases desde la creacin hasta la destruccin
Creacin; es la generacin de un nuevo contenido digital
Almacenamiento: ubicar datos en algn tipo de repositorio de almacenamiento
Uso: Datos Visualizados procesados o utilizados

Comparacin: Informacin accesible a otros


Archivado: dejan de ser usados activamente y entran a un almacenamiento de largo
plazo
Destruccin: Son destruidos de forma permanente usando medios fsicos o digitales.

LOCALIZACION Y ACCESO
Localizacin
Los datos pueden moverse prcticamente en cada fase dentro, fuera o entre entornos.
Localizacin Lgica y como la fsica de los datos.
Acceso
Cmo pueden acceder a ellos (Dispositivos y canal)?
Se accede alos datos mediante una variedad de dispositivos estos dispositivos tienen
diferentes caractersticas de seguridad y pueden utilizar diferentes aplicaciones o clientes.

FUNCIONES, ACTORES Y CONTROLES


Funciones
Que pueden ser realizadas con los datos por un actor (Persona o sistema ) y una
localizacin concreta.
3 cosas que se pueden hacer
Acceder: Ver/Acceder al dato incluye crearlo, copiarlo, y toda la gestin.
Tratar. Actualizarlo, usarlo en una transaccin de un proceso de negocio
Almacenar: Guardar dato en un fichero o base de datos
UN actor persona aplicacin o sistema realiza cada funcin en una localizacin.

CONTROLES
Restringe una lista de posibles acciones a las acciones permitidas

Gobierno de la clasificacin
Polticas y procedimientos para gestionar el uso de la informacin

Clasificacin de la informacin: define categoras de alto nivel tales como Regulado y


Secreto Comercial para determinar que controles de seguridad se pueden aplicar.

Polticas de gestin de la informacin: Que actividades se permiten para los distintos tipos
de informacin.
Polticas Jurisdiccionales y de localizacin: Donde se ubican los datos lo cual tiene
importantes ramificaciones legales y regulatorias
Autorizaciones: Definir permisos para acceder a qu tipo de informacin
Propiedad: Quien es el responsable final da la informacin.
Custodia: Quien es el responsable de la gestin de la informacin a peticin del
propietario.

Seguridad de los datos


Incluye los controles y tecnologas especificas utilizadas para garantizar el cumplimiento
del gobierno de la informacin.

Deteccin y prevencin en la migracin de datos a cloud


Muchas personas u organizaciones migran datos delicados a cloud sin haber informado a
seguridad

Migraciones internas de datos


Todo dato antes de migrar a cloud necesita ser extrado de un repositorio una herramienta
DAM (data base activity monitoring) puede detectar cuando una persona o administrador
extrae grandes cantidades de datos esto puede ser indicio de una migracin.
Una herramienta FAM (File Activity Monitoring) proporciona una proteccin similar para
los datos contenidos en ficheros como las carpetas compartidas.

Migracin a Cloud
Un filtrado de URL permite vigilar y evitar la conexin de los usuarios a servicios cloud.
Dado que las interfaces de administracin de estos servicios suelen utilizar direcciones
distintas a las de uso el usuario conoce entre alguien que accede a una consola de
administracin frente a un usuario que accede a una aplicacin alojada con el proveedor.
Una herramienta DLP(Data loss Prevention) vigilan los datos/contenidos que se
transmiten no solo al destino, asi el usuario genera alertas o bloqueos.

Proteger migracin de datos a o en cloud


Es importante proteger los datos en transito esto incluye datos movidos desde la
infraestructura tradicional a los proveedores cloud ya sea publica o privada.
Datos de migracion entre proveedores de Cloud
Datos movindose entre instancias (Componentes cloud determinado)
Tres Opciones por orden
1 cifrado cliente/app cifrado local
2 cifrado enlace/red tcnicas de cifrado de red incluye SSL(Secure Socket Layer) VPN
SSH preferible de extremo a extremo.
3 Cifrado Basado en Proxy Los datos son transmitidos a un servidor dedicado a proxy el
cual los cifra antes de enviarlos por la red, esta opcin es escogida para integracin con
app legacy (Sistema heredado ) pero no es recomendable.
Proteccin de los datos en Cloud
Localizacin de contenido

Funciona la DLP para base de datos Escaneo Cloud Aware capaz de almacenar
almacenamiento de objetos.

CIFRADO IAAS
Cifrado de almacenamiento de volmenes
Este protege de los siguientes riesgos:
-

Protege el Volumen de su exposicin a un clonado mediando snapshot


Protege el volumen de ser explorado por el proveedor cloud y administradores
Protege el volumen de verse expuesto ante una perdida fsica de disco y un
problema de seguridad real

Volumen IAAS puede cifrarse usando 3 metodos


-

Cifrado gestionado por instancia : el motor de cifrado y la clave se guardan en el


volumen para proteger con contrasea.
Cifrado gestionado externamente el motor funciona dentro de la instancia clave
gestiona de forma externa y se proporciona a la instancia bajo demanda.
Cifrado Proxy se conecta a una aplicacin o software y se conecta en una
instancia del cifrado.

CIFRADO ALMACENAMIENTO DE OBJETOS

Cifrado de fichero/carpetas : herramientas de cifrado estndar de ficero para cifrar los


datos,
Cifrado cliente aplicacin
Cifrado proxy psar el proxy antes de ser enviados al almacenamiento

Cifrado PAAS
NO cubre las siguientes Operaciones
Cifrado cliente / aplicacin
Cifrado de la base de datos
Cifrado Proxy
Cifrado SAAS

Cifrado gestionado por el proveedor


Cifrado proxy

DRM(Digital Rights management )

En su nucleo DRM cifra el contenido y aplica una serie de derechos, estos pueden ser tan
simples como copiar , especifican restricciones por grupo o usuario en actividades.
Hay dos categoras en sentido amplio DRM

DRM Consumidor: Usado para proteger contenido de amplia distribucin como audio
video y libros electrnicos destinado a audiencias masivas

DRM Corporativo: Protege el contenido de una organizacin de forma interna y con sus
colaboradores de negocio

El DRM puede proteger correctamente el contenido almacenado en cloud, require una


integracin profunda de la infraestructura es til para la gestin y distribucin de
contenidos basados en documentos, este no tiene una buena trayectoria dado que para la
mayora de tecnologas desarrolladas hasta la fecha se ha encontrado la forma de romper
los mecanismos de la proteccin que aplican.

DATA LOSS PREVENTION


DLP se usa normalmente para el descubrimiento de contenidos y la monitorizacin de
datos en movimiento

Utiliza
Appliance / servidor dedicado
Aplicativo Virtual
Agente externo
Agente en Hipervisor
DLP PAAS.

Recomendaciones

Ayuda a determinar el riesgo de seguridad


Almacenamiento en dispersin de datos
Monitorea el acceso de los empleados a internet con filtrado URL y herramienta DLP.

Requerimientos
Utiliza un cilo de vida de la seguridad de los datos para identificar riesgos de seguridad y
determinar los controles mas adecuados
Cifra los datos delicados que se mueven hacia o adentro de cloud en la capa de red o en
los nodos antes de la transmisin por la red.
Cifra datos delicados en aplicaciones PAAS y el almacenamiento.

Preguntas correspondientes a dominio cinco Gestin de la informacin y seguridad de los


datos
1 Para prevenir la perdida de datos una arquitectura cloud implementa una herramienta
especial para evitar la perdida de este como se llama esta Herramienta.
R/ DLP (Data loss Prevention)

2. Existen diferentes Cifrados para el almacenamiento de objetos cuales son


mencinelas:
R. - Cifrado fichero/Carpeta
- Cifrado Cliente aplicacin
- Cifrado Proxy.
3. Que es DRM y para que sirve
R. DRM (Digital Rigth Management) y sirve para especificar restricciones de grupo a
usuario o actividades.
4. Cuando un usuario extrae grandes cantidades de informacin esto indica una migracin
en Cloud que herramienta monitorea este tipo de trficos.
R, DAM (Data base activity monitoring) esta detecta trafico extra grandes de informacin.

DOMINIO 6.

Cul es el requisito necesario para qu los componentes de un


ecosistema de Cloud trabajen juntos con el fin de alcanzar un resultado
deseado?
RTA: Interoperabilidad

Cul es el requisito que se refiere a la facilidad con la que los


componentes de una aplicacin se pueden migrar a otros lugares y
reutilizar en estos?
RTA: portabilidad
la interoperabilidad y la portabilidad son importantes para tener en cuenta
en la eleccin del modelo de servicio, independientemente si la estrategia
de migracin es: ____, ____, ____.
RTA: Saas, Paas, Iaas.

Dominio 7: SEGURIDAD TRADICIONAL, CONTINUIDAD DE


NEGOCIO Y RECUPERACIN DE DESASTRES

INTRODUCCION
Los aspectos de seguridad han asumido gran importancia y criticidad, debido al carcter
emergente del cloud computing como tecnologa preferida para la externalizacin de TI.
La evolucin de los servicios de cloud ha facilitado a las organizaciones la realizacin de
ms con menos, menos recursos, y mejor eficiencia operativa.
La seguridad tradicional puede ser definida como las medidas tomadas para garantizar la
seguridad de la informacin personal y o material contra robo, espionaje, sabotaje u otros
daos.
CSP (Cloud service provider)

ESTABLECIENDO UNA FUNCIN DE SEGURIDAD NACIONAL

Muchas organizaciones no han prestado atencin acerca de las a las posibles


obsolescencias en materia de seguridad de equipamiento IT o a la tecnologa de red, esto
ha ocasionado que en muchas organizaciones la instalacin fsica de equipamiento
informticos, redes y sistemas de comunicaciones no cuente con adecuados
emplazamientos fsicos que permitan proteger los activos y mantener la disponibilidad.
Para mantener en buen estado este equipamiento en un entorno cloud, es importante que
las responsabilidades sean asignadas a personal apropiado dentro del proveedor cloud.
-

Necesidades de seguridad del equipamiento y servicios que estn siendo


protegidos
Recursos humanos disponibles para seguridad fsica
Gestin de iniciativas de seguridad fsica as como los recursos disponibles
previos a la migracin cloud.

Recursos financieros disponibles en dichas iniciativas.

Para mejorar la seguridad fsica es recomendable:


-

Obstculos para disuadir y retrasar eventos incidentes y o ataques


Sistemas de detencin para monitorizar las condiciones medioambientales y de
seguridad
Protocolo de respuesta ante incidentes diseado para repeler a los atacantes

EVALUACION DE LA SEGURIDAD FISICA TRADICIONAL

Los clientes deben considerar los aspectos de IaaS)

UBICACIN FISICA DE LAS INSTALACIONES DEL CSP


Para la organizacin que depende de un servicio cloud, es importante entender la
infraestructura de cloud de la que depende, por tanto, se debe realizar una evaluacin
critica de la ubicacin del CPD (Centro de procesamiento de datos)
-

Comprobar si la localizacin se encuentra en una zona ssmica


No debera estar ubicada donde haya posibles inundaciones
No debera estar en zona de alta criminalidad
Comprobar la accesibilidad de la ubicacin

REVISION DOCUMENTAL

Antes de la contratacin de un proveedor de alojamiento se debe revisar la siguiente


documentacin:
-

Anlisis de riesgos
Valoracin de riesgos
Valoracin de vulnerabilidad
Plan de continuidad de negocio
Plan de recuperacin de desastres
Polticas de seguridad fsica y ambiental
Procedimientos de baja de cuentas de usuario

Plan de contingencia

CUMPLIMIENTO DE LOS ESTANDARES INTERNACIONALES Y POR INDUSTRIS DE


SEGURIDAD

Se debe garantizar que el CSP cumple con estndares globales de seguridad como la
ISO27001 ISMS u otros estndares de industria como TOGAR, SABSA, ITIL, COSO o
COBIT.
-

Verificar el certificado de cumplimiento y su validez


Buscar evidencias de la asignacin de recursos
Verificar informes de auditora interna

INSPECCION VISUAL DE LAS INSTALACIONES DEL CSP

ALCANCE:
-

reas administrativas
Recepcin
Aparcamiento
Almacn
Salidas de emergencia
Vestuarios

SEALIZACION:
-

Mapa de las rutas de escape


Directrices en caso de incendio
Sealizacin
Nmeros de contactos de emergencia
Diagrama de escalado de emergencias

INFRAESTRUCTURA DE SEGURIDAD

El permetro de seguridad sirve como primera lnea de proteccin contra intrusos y


visitantes indeseados.
-

Asegurar puntos de entrada


Extintores
Salidas antiincendios
Barras de pnico en las puertas anti incendios
Cierres y alarmas de efecto retardado en las puertas
Kit de equipo de respuesta de emergencia

SEGURIDAD FISICA DE LOS RECURSOS HUMANOS


El propsito de esta es minimizar el riesgo de que el personal propio comprometa las
operaciones o servicios prestados.
-

Roles y responsabilidades
Verificacin de antecedentes
Acuerdos con los empleados
Proceso de baja de empleados

Seguridad Medioambiental

Controles medioambientales

Ubicacin y proteccin del equipamiento

Mantenimiento del equipamiento

Continuidad de negocio

Recuperacin de desastres

Permisos

Recomendaciones
o
o
o
o

Recomendaciones para las polticas


Recomendaciones de recursos humanos
Recomendaciones de continuidad de negocio
Recomendaciones de recuperacin de desastres

Requerimientos

PREGUNTAS:

1. Qu es Seguridad Tradicional?
Respuesta: La seguridad tradicional puede ser definida como las medidas tomadas para
garantizar la seguridad de la informacin personal y o material contra robo, espionaje,
sabotaje u otros daos.

2. Nombre varias caractersticas de la revisin documental?


Respuesta:
-

Anlisis de riesgos
Valoracin de riesgos
Valoracin de vulnerabilidad
Plan de continuidad de negocio
Plan de recuperacin de desastres
Polticas de seguridad fsica y ambiental
Procedimientos de baja de cuentas de usuario
Plan de contingencia

3. Qu factores se deben tener en cuenta para evaluar la ubicacin de la empresa


prestadora de servicios de cloud?
Respuesta:
-

Comprobar si la localizacin se encuentra en una zona ssmica


No debera estar ubicada donde haya posibles inundaciones
No debera estar en zona de alta criminalidad
Comprobar la accesibilidad de la ubicacin

You might also like