Page 1
N
o
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
Recomendaciones para la correcta gestión de la seguridad de la información en
Cloud Computing
24/01/2013
Page 2
Con la colaboración de ...
Datos de contacto de la empresa:
Génova 33 - 101, Col. Juárez, 06600
México, D.F.
Tel: (52) 55 5511 0193
www.globallynx.com
[email protected]
Twitter: @globallynx
Ponente
Héctor Adolfo Villagómez Jiménez
Fecha de Nacimiento: Agosto 24, 1981
Lugar de Nacimiento: México, D.F.
Escolaridad:
Ingeniero Mecánico (UNAM)
Certificaciones y conocimientos:
ISO/IEC 20000, ITIL, ISO 9001, ISO 19011, ISO/IEC 27000,
Cloud Computing
Page 3
Cloud Computing
Método de ejecutar software de aplicaciones y almacenar datos
relacionados en sistemas computacionales centrales y
proporcionar a los clientes u otros usuarios acceso a ellos a
través de internet.
Page 4
Cinco características de la Nube
• Autoservicio on-demand
• Almacenamiento de recursos (multi-arrendamiento)
• Rápida elasticidad (flexibilidad, escalamiento)
• Servicio medido (pagar-por-usar)
• Amplio acceso a la red (“en cualquier momento, en cualquier
lugar, desde cualquier dispositivo”)
Page 5
Ejemplos de cloud computing
• Para todos:
– Facebook, twitter (redes sociales)
– Wiki’s
– Juegos en línea
– Hotmail (webmail)
– Dropbox
• Para el negocio:
– CRM
– Servicios de respaldo
– ERP
– Finanzas
– Etc
Page 6
Cuatro modelos de despliegue
– Nube privada
– Nube comunitaria
– Nube pública
– Nube híbrida
Page 7
Nubes pública, privada, comunitaria e híbrida
Privada/
Interna
La nube
Interna/en las premisas Externa/fuera de las
premisas
Híbrida
Pública/
externa
Page 8
Modelos de servicio
– La Infraestructura como un Servicio (IaaS)
– La Plataforma como un Servicio (PaaS)
– El Software como un Servicio (SaaS)
Page 9
Beneficios de Cloud Computing
Costo reducido
Automatizado
Flexibilidad
Más movilidad
Recursos Compartidos
Agilidad y escalabilidad
De regreso al negocio central
Page 10
Principales limitaciones de Cloud computing
Acceso a internet
Seguridad
Privacidad
Acuerdos de nivel del servicio
Page 11
Información
‘La comunicación o recepción de conocimiento o
inteligencia’.
Page 12
Seguridad de la Información
• Protección de la información de un amplio número de
amenazas.
• Para:
Asegurar la continuidad del negocio
Minimizar los riesgos
Maximizar el retorno de la inversiones y las oportunidades
de negocio.
Page 13
Confiabilidad de la Información
La confiabilidad de la información se determina por tres aspectos
(conocidos como los requerimientos ‘CIA'):
Confidencialidad
Integridad
Disponibilidad
Page 14
Amenaza
Es una causa potencial de un incidente indeseable,
que puede causar daño a un Sistema o a una
Organización.
Page 15
Riesgo
Es la combinación de la probabilidad de que
suceda un Evento y también sus Consecuencias.
Page 16
Riesgos de seguridad en la Nube
Fuga/pérdida de datos
Vulnerabilidades de tecnología compartidas
Interfaces de aplicación insegura
Infiltrados maliciosos
Uso abusivo y malvado del Cloud computing
Perfil y contabilidad de riesgos desconocidos
Secuestro del tráfico, servicio y cuenta
Page 17
Tipos de Medidas de Seguridad
Preventivas
Detectivas
Represivas
Correctivas
Adquirir seguro
Aceptación
Page 18
Medidas para mitigar Riesgos de Seguridad
Riesgos Mitigación
Fuga/pérdida de datos Autenticación, auditoría, etc.
Vulnerabilidades de tecnología compartida Prácticas de seguridad operacionales,
procedimientos de operaciones, etc.
Interfaces de aplicación insegura Diseñados para la seguridad, etc.
Infiltrados maliciosos Investigación del personal, etc.
Uso abusivo y malvado del Cloud computing Validación de credenciales, monitoreo activo del
tráfico, etc.
Perfil y contabilidad de riesgos desconocidos Buenos SLAs y auditorías
Secuestro del tráfico, servicio y cuenta Fuerte autenticación, monitoreo activo, etc.
Page 19
● El proceso desde
● a
● a
Amenazas
Riesgos
Medidas de Seguridad
Gestión de Riesgos
Page 20
ISO/IEC 27001
Norma del Sistema de Gestión de la Seguridad de la
Información.
Requerimientos.
Certificable para empresas y auditable.
Page 21
ISO/IEC 27001 con Cloud Computing
Ingresar Cloud Computing en el alcance del SGSI.
Identificar controles y objetivos de controles aplicables a los
temas de Cloud Computing.
Page 22
Recomendaciones
Prevenir interferencia, daño y acceso físico no autorizado a
la información y a las instalaciones de la organización.
Plan de continuidad de negocio.
Plan de recuperación ante desastres.
Protección apropiada de los equipos.
Page 23
Recomendaciones
Identificar e implementar los controles apropiados para los
riesgos relacionados con las instalaciones de
procesamiento de información.
Los acuerdos con terceros que involucren acceder,
procesar, comunicar o gestionar la información de la
organización deben
Page 24
Recomendaciones
Toda información y todos los activos asociados con las
instalaciones de procesamiento de información deben ser
‘propiedad’ de una parte designada de la organización.
Identificar, documentar e implementar reglas para el uso
aceptable de la información y los activos asociados con las
instalaciones de procesamiento de información.
Asegurar que la información reciba un nivel apropiado de
protección.
Page 25
Recomendaciones
Clasificar la información en términos de su valor,
requerimientos legales, sensibilidad y criticidad para la
organización.
Definir y documentar los roles y responsabilidades de
seguridad.
Un proceso disciplinario formal para los empleados que
cometan una violación a la seguridad.
Page 26
Recomendaciones
Asegurarse que los terceros implementen, operen y
mantengan los controles de seguridad, definiciones de
servicio y niveles de entrega incluidos en el acuerdo de
entrega de servicio de terceros.
Monitorear y revisar regularmente los servicios, reportes y
registros proporcionados por terceros, y se deben llevar a
cabo auditorias regularmente.
Mantener la integridad y disponibilidad de la información y
las instalaciones de procesamiento de información.
Page 27
Recomendaciones
Asegurar la protección de la información en las redes y la
protección de la infraestructura de soporte.
Gestionar y controlar las redes de manera adecuada, para
ser protegidas de amenazas y para mantener la seguridad
para los sistemas.
Proteger la integridad de la información que está disponible
en un sistema público, para prevenir modificaciones no
autorizadas.
Page 28
Recomendaciones
Monitorear el uso de las instalaciones de procesamiento de
información para detectar actividades no autorizadas.
Asegurar el acceso de usuarios autorizados y prevenir el
acceso no autorizado a los sistemas de información.
Restringir y controlar la asignación y el uso de privilegios.
Page 29
Recomendaciones
Controlar la asignación de contraseñas a través de un
proceso de gestión formal.
La Dirección debe revisar los permisos de acceso de los
usuarios en intervalos regulares, utilizando un proceso
formal.
Page 30
¡Gracias por su atención!
Datos de contacto de la empresa:
Génova 33 - 101, Col. Juárez, 06600
México, D.F.
Tel: (52) 55 5511 0193
www.globallynx.com
[email protected]
Twitter: @globallynx
Ponente
Héctor Adolfo Villagómez Jiménez
Fecha de Nacimiento: Agosto 24, 1981
Lugar de Nacimiento: México, D.F.
Escolaridad:
Ingeniero Mecánico (UNAM)
Certificaciones y conocimientos:
ISO/IEC 20000, ITIL, ISO 9001, ISO 19011, ISO/IEC 27000,
Cloud Computing
Con la colaboración de ...
Page 31
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
Obtén este y otros Webinars en nuestro canal Youtube Coporativo
http://www.youtube.com/user/ExinCorperate