7º webinar exin en castellano : recomendaciones para la correcta gestión de la seguridad de la...
DESCRIPTION
En la actualidad los servicios de TI en la Nube son un medio primordial para la optimización de los recursos de la organización. Sin embargo, también es una de las áreas más vulnerables en materia de seguridad de la información.TRANSCRIPT
N
o
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
Recomendaciones para la correcta gestión de la seguridad de la información en
Cloud Computing
24/01/2013
Con la colaboración de ...
Datos de contacto de la empresa:
Génova 33 - 101, Col. Juárez, 06600
México, D.F.
Tel: (52) 55 5511 0193
www.globallynx.com
Twitter: @globallynx
Ponente
Héctor Adolfo Villagómez Jiménez
Fecha de Nacimiento: Agosto 24, 1981
Lugar de Nacimiento: México, D.F.
Escolaridad:
Ingeniero Mecánico (UNAM)
Certificaciones y conocimientos:
ISO/IEC 20000, ITIL, ISO 9001, ISO 19011, ISO/IEC 27000,
Cloud Computing
Cloud Computing
Método de ejecutar software de aplicaciones y almacenar datos
relacionados en sistemas computacionales centrales y
proporcionar a los clientes u otros usuarios acceso a ellos a
través de internet.
Cinco características de la Nube
• Autoservicio on-demand
• Almacenamiento de recursos (multi-arrendamiento)
• Rápida elasticidad (flexibilidad, escalamiento)
• Servicio medido (pagar-por-usar)
• Amplio acceso a la red (“en cualquier momento, en cualquier
lugar, desde cualquier dispositivo”)
Ejemplos de cloud computing
• Para todos:
– Facebook, twitter (redes sociales)
– Wiki’s
– Juegos en línea
– Hotmail (webmail)
– Dropbox
• Para el negocio:
– CRM
– Servicios de respaldo
– ERP
– Finanzas
– Etc
Cuatro modelos de despliegue
– Nube privada
– Nube comunitaria
– Nube pública
– Nube híbrida
Nubes pública, privada, comunitaria e híbrida
Privada/
Interna
La nube
Interna/en las premisas Externa/fuera de las
premisas
Híbrida
Pública/
externa
Modelos de servicio
– La Infraestructura como un Servicio (IaaS)
– La Plataforma como un Servicio (PaaS)
– El Software como un Servicio (SaaS)
Beneficios de Cloud Computing
Costo reducido
Automatizado
Flexibilidad
Más movilidad
Recursos Compartidos
Agilidad y escalabilidad
De regreso al negocio central
Principales limitaciones de Cloud computing
Acceso a internet
Seguridad
Privacidad
Acuerdos de nivel del servicio
Información
‘La comunicación o recepción de conocimiento o
inteligencia’.
Seguridad de la Información
• Protección de la información de un amplio número de
amenazas.
• Para:
Asegurar la continuidad del negocio
Minimizar los riesgos
Maximizar el retorno de la inversiones y las oportunidades
de negocio.
Confiabilidad de la Información
La confiabilidad de la información se determina por tres aspectos
(conocidos como los requerimientos ‘CIA'):
Confidencialidad
Integridad
Disponibilidad
Amenaza
Es una causa potencial de un incidente indeseable,
que puede causar daño a un Sistema o a una
Organización.
Riesgo
Es la combinación de la probabilidad de que
suceda un Evento y también sus Consecuencias.
Riesgos de seguridad en la Nube
Fuga/pérdida de datos
Vulnerabilidades de tecnología compartidas
Interfaces de aplicación insegura
Infiltrados maliciosos
Uso abusivo y malvado del Cloud computing
Perfil y contabilidad de riesgos desconocidos
Secuestro del tráfico, servicio y cuenta
Tipos de Medidas de Seguridad
Preventivas
Detectivas
Represivas
Correctivas
Adquirir seguro
Aceptación
Medidas para mitigar Riesgos de Seguridad
Riesgos Mitigación
Fuga/pérdida de datos Autenticación, auditoría, etc.
Vulnerabilidades de tecnología compartida Prácticas de seguridad operacionales,
procedimientos de operaciones, etc.
Interfaces de aplicación insegura Diseñados para la seguridad, etc.
Infiltrados maliciosos Investigación del personal, etc.
Uso abusivo y malvado del Cloud computing Validación de credenciales, monitoreo activo del
tráfico, etc.
Perfil y contabilidad de riesgos desconocidos Buenos SLAs y auditorías
Secuestro del tráfico, servicio y cuenta Fuerte autenticación, monitoreo activo, etc.
● El proceso desde
● a
● a
Amenazas
Riesgos
Medidas de Seguridad
Gestión de Riesgos
ISO/IEC 27001
Norma del Sistema de Gestión de la Seguridad de la
Información.
Requerimientos.
Certificable para empresas y auditable.
ISO/IEC 27001 con Cloud Computing
Ingresar Cloud Computing en el alcance del SGSI.
Identificar controles y objetivos de controles aplicables a los
temas de Cloud Computing.
Recomendaciones
Prevenir interferencia, daño y acceso físico no autorizado a
la información y a las instalaciones de la organización.
Plan de continuidad de negocio.
Plan de recuperación ante desastres.
Protección apropiada de los equipos.
Recomendaciones
Identificar e implementar los controles apropiados para los
riesgos relacionados con las instalaciones de
procesamiento de información.
Los acuerdos con terceros que involucren acceder,
procesar, comunicar o gestionar la información de la
organización deben
Recomendaciones
Toda información y todos los activos asociados con las
instalaciones de procesamiento de información deben ser
‘propiedad’ de una parte designada de la organización.
Identificar, documentar e implementar reglas para el uso
aceptable de la información y los activos asociados con las
instalaciones de procesamiento de información.
Asegurar que la información reciba un nivel apropiado de
protección.
Recomendaciones
Clasificar la información en términos de su valor,
requerimientos legales, sensibilidad y criticidad para la
organización.
Definir y documentar los roles y responsabilidades de
seguridad.
Un proceso disciplinario formal para los empleados que
cometan una violación a la seguridad.
Recomendaciones
Asegurarse que los terceros implementen, operen y
mantengan los controles de seguridad, definiciones de
servicio y niveles de entrega incluidos en el acuerdo de
entrega de servicio de terceros.
Monitorear y revisar regularmente los servicios, reportes y
registros proporcionados por terceros, y se deben llevar a
cabo auditorias regularmente.
Mantener la integridad y disponibilidad de la información y
las instalaciones de procesamiento de información.
Recomendaciones
Asegurar la protección de la información en las redes y la
protección de la infraestructura de soporte.
Gestionar y controlar las redes de manera adecuada, para
ser protegidas de amenazas y para mantener la seguridad
para los sistemas.
Proteger la integridad de la información que está disponible
en un sistema público, para prevenir modificaciones no
autorizadas.
Recomendaciones
Monitorear el uso de las instalaciones de procesamiento de
información para detectar actividades no autorizadas.
Asegurar el acceso de usuarios autorizados y prevenir el
acceso no autorizado a los sistemas de información.
Restringir y controlar la asignación y el uso de privilegios.
Recomendaciones
Controlar la asignación de contraseñas a través de un
proceso de gestión formal.
La Dirección debe revisar los permisos de acceso de los
usuarios en intervalos regulares, utilizando un proceso
formal.
¡Gracias por su atención!
Datos de contacto de la empresa:
Génova 33 - 101, Col. Juárez, 06600
México, D.F.
Tel: (52) 55 5511 0193
www.globallynx.com
Twitter: @globallynx
Ponente
Héctor Adolfo Villagómez Jiménez
Fecha de Nacimiento: Agosto 24, 1981
Lugar de Nacimiento: México, D.F.
Escolaridad:
Ingeniero Mecánico (UNAM)
Certificaciones y conocimientos:
ISO/IEC 20000, ITIL, ISO 9001, ISO 19011, ISO/IEC 27000,
Cloud Computing
Con la colaboración de ...
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
Obtén este y otros Webinars en nuestro canal Youtube Coporativo
http://www.youtube.com/user/ExinCorperate