N

o

Organizaciones invitadas: Con la colaboración de:

1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing

#EXINWebinarsEnCastellano

Recomendaciones para la correcta gestión de la seguridad de la información en

Cloud Computing

24/01/2013

Con la colaboración de ...

Datos de contacto de la empresa:

Génova 33 - 101, Col. Juárez, 06600

México, D.F.

Tel: (52) 55 5511 0193

www.globallynx.com

contacto@globallynx.com

Twitter: @globallynx

Ponente

Héctor Adolfo Villagómez Jiménez

Fecha de Nacimiento: Agosto 24, 1981

Lugar de Nacimiento: México, D.F.

Escolaridad:

Ingeniero Mecánico (UNAM)

Certificaciones y conocimientos:

ISO/IEC 20000, ITIL, ISO 9001, ISO 19011, ISO/IEC 27000,

Cloud Computing

Cloud Computing

Método de ejecutar software de aplicaciones y almacenar datos

relacionados en sistemas computacionales centrales y

proporcionar a los clientes u otros usuarios acceso a ellos a

través de internet.

Cinco características de la Nube

• Autoservicio on-demand

• Almacenamiento de recursos (multi-arrendamiento)

• Rápida elasticidad (flexibilidad, escalamiento)

• Servicio medido (pagar-por-usar)

• Amplio acceso a la red (“en cualquier momento, en cualquier

lugar, desde cualquier dispositivo”)

Ejemplos de cloud computing

• Para todos:

– Facebook, twitter (redes sociales)

– Wiki’s

– Juegos en línea

– Hotmail (webmail)

– Dropbox

• Para el negocio:

– CRM

– Servicios de respaldo

– ERP

– Finanzas

– Etc

Cuatro modelos de despliegue

– Nube privada

– Nube comunitaria

– Nube pública

– Nube híbrida

Nubes pública, privada, comunitaria e híbrida

Privada/

Interna

La nube

Interna/en las premisas Externa/fuera de las

premisas

Híbrida

Pública/

externa

Modelos de servicio

– La Infraestructura como un Servicio (IaaS)

– La Plataforma como un Servicio (PaaS)

– El Software como un Servicio (SaaS)

Beneficios de Cloud Computing

Costo reducido

Automatizado

Flexibilidad

Más movilidad

Recursos Compartidos

Agilidad y escalabilidad

De regreso al negocio central

Principales limitaciones de Cloud computing

Acceso a internet

Seguridad

Privacidad

Acuerdos de nivel del servicio

Información

‘La comunicación o recepción de conocimiento o

inteligencia’.

Seguridad de la Información

• Protección de la información de un amplio número de

amenazas.

• Para:

Asegurar la continuidad del negocio

Minimizar los riesgos

Maximizar el retorno de la inversiones y las oportunidades

de negocio.

Confiabilidad de la Información

La confiabilidad de la información se determina por tres aspectos

(conocidos como los requerimientos ‘CIA'):

Confidencialidad

Integridad

Disponibilidad

Amenaza

Es una causa potencial de un incidente indeseable,

que puede causar daño a un Sistema o a una

Organización.

Riesgo

Es la combinación de la probabilidad de que

suceda un Evento y también sus Consecuencias.

Riesgos de seguridad en la Nube

Fuga/pérdida de datos

Vulnerabilidades de tecnología compartidas

Interfaces de aplicación insegura

Infiltrados maliciosos

Uso abusivo y malvado del Cloud computing

Perfil y contabilidad de riesgos desconocidos

Secuestro del tráfico, servicio y cuenta

Tipos de Medidas de Seguridad

Preventivas

Detectivas

Represivas

Correctivas

Adquirir seguro

Aceptación

Medidas para mitigar Riesgos de Seguridad

Riesgos Mitigación

Fuga/pérdida de datos Autenticación, auditoría, etc.

Vulnerabilidades de tecnología compartida Prácticas de seguridad operacionales,

procedimientos de operaciones, etc.

Interfaces de aplicación insegura Diseñados para la seguridad, etc.

Infiltrados maliciosos Investigación del personal, etc.

Uso abusivo y malvado del Cloud computing Validación de credenciales, monitoreo activo del

tráfico, etc.

Perfil y contabilidad de riesgos desconocidos Buenos SLAs y auditorías

Secuestro del tráfico, servicio y cuenta Fuerte autenticación, monitoreo activo, etc.

● El proceso desde

● a

● a

Amenazas

Riesgos

Medidas de Seguridad

Gestión de Riesgos

ISO/IEC 27001

Norma del Sistema de Gestión de la Seguridad de la

Información.

Requerimientos.

Certificable para empresas y auditable.

ISO/IEC 27001 con Cloud Computing

Ingresar Cloud Computing en el alcance del SGSI.

Identificar controles y objetivos de controles aplicables a los

temas de Cloud Computing.

Recomendaciones

Prevenir interferencia, daño y acceso físico no autorizado a

la información y a las instalaciones de la organización.

Plan de continuidad de negocio.

Plan de recuperación ante desastres.

Protección apropiada de los equipos.

Recomendaciones

Identificar e implementar los controles apropiados para los

riesgos relacionados con las instalaciones de

procesamiento de información.

Los acuerdos con terceros que involucren acceder,

procesar, comunicar o gestionar la información de la

organización deben

Recomendaciones

Toda información y todos los activos asociados con las

instalaciones de procesamiento de información deben ser

‘propiedad’ de una parte designada de la organización.

Identificar, documentar e implementar reglas para el uso

aceptable de la información y los activos asociados con las

instalaciones de procesamiento de información.

Asegurar que la información reciba un nivel apropiado de

protección.

Recomendaciones

Clasificar la información en términos de su valor,

requerimientos legales, sensibilidad y criticidad para la

organización.

Definir y documentar los roles y responsabilidades de

seguridad.

Un proceso disciplinario formal para los empleados que

cometan una violación a la seguridad.

Recomendaciones

Asegurarse que los terceros implementen, operen y

mantengan los controles de seguridad, definiciones de

servicio y niveles de entrega incluidos en el acuerdo de

entrega de servicio de terceros.

Monitorear y revisar regularmente los servicios, reportes y

registros proporcionados por terceros, y se deben llevar a

cabo auditorias regularmente.

Mantener la integridad y disponibilidad de la información y

las instalaciones de procesamiento de información.

Recomendaciones

Asegurar la protección de la información en las redes y la

protección de la infraestructura de soporte.

Gestionar y controlar las redes de manera adecuada, para

ser protegidas de amenazas y para mantener la seguridad

para los sistemas.

Proteger la integridad de la información que está disponible

en un sistema público, para prevenir modificaciones no

autorizadas.

Recomendaciones

Monitorear el uso de las instalaciones de procesamiento de

información para detectar actividades no autorizadas.

Asegurar el acceso de usuarios autorizados y prevenir el

acceso no autorizado a los sistemas de información.

Restringir y controlar la asignación y el uso de privilegios.

Recomendaciones

Controlar la asignación de contraseñas a través de un

proceso de gestión formal.

La Dirección debe revisar los permisos de acceso de los

usuarios en intervalos regulares, utilizando un proceso

formal.

¡Gracias por su atención!

Datos de contacto de la empresa:

Génova 33 - 101, Col. Juárez, 06600

México, D.F.

Tel: (52) 55 5511 0193

www.globallynx.com

contacto@globallynx.com

Twitter: @globallynx

Ponente

Héctor Adolfo Villagómez Jiménez

Fecha de Nacimiento: Agosto 24, 1981

Lugar de Nacimiento: México, D.F.

Escolaridad:

Ingeniero Mecánico (UNAM)

Certificaciones y conocimientos:

ISO/IEC 20000, ITIL, ISO 9001, ISO 19011, ISO/IEC 27000,

Cloud Computing

Con la colaboración de ...

Organizaciones invitadas: Con la colaboración de:

1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing

#EXINWebinarsEnCastellano

Obtén este y otros Webinars en nuestro canal Youtube Coporativo

http://www.youtube.com/user/ExinCorperate