3ª edición #EXINWebinarEnCastellano

Certificando a los profesionales de hoy… para las TI del futuro.

Adaptar la seguridad de la información

en la nube

Con la colaboración de ...Alhambra Eidos:

C/Albasanz 16, Madrid (España)

+34917872300

www.formaciontic.com

formaciontic@a-e.es

@formacionTIC

Guillermo Hernández

Experto en gestión de servicios de TI y desarrollo.

Ha trabajado y conoce la gestión y organización

de distintas instituciones y empresas, y tiene

conocimiento de distintas herramientas de gestión

como Service Desk o Remedy. Formador desde

hace 5 años, su principal objetivo es el énfasis en

la utilidad real de los pequeños detalles de la

gestión de servicios.

Políticas de seguridad

• Alinear las políticas de seguridad con la ISO 27000

• Tomar en cuenta:

– Información en la nube que puede ser accedida y gestionada por el proveedor de Cloud

– Activos en la nube

– Procesos funcionando en la nube

– Usuarios de la nube

– Administradores con privilegios especiales

Políticas de seguridad

• Negociar los niveles de seguridad con el proveedor de Cloud

• Muchas veces esto no se podra realizer, el proveedor tendra unas medidas de seguridad y

niveles fijos

• En ese caso como clientes habrá que desarrollar medidas adicionales de seguridad

Organización de seguridad de la información

• Las responsibilidades de seguridad de cada parte (cliente y proveedor) deben estar claramente

definidas.

• Considerar las responsabilidades por cada servicio

• Identificar la localización de los datos en la nube para identificar las autoridades y jurisdicción

Organización de seguridad de la información

Seguridad de los Recursos Humanos

• En general aplicar las políticas de la ISO 27000 para: contratación, investigación, seguimiento y

definición de responsabilidades

• Añadir

• Considerar necesidades de formación, manuales, concienciación

Políticas para uso de

servicios Cloud

Estandares y

procedimientos para la

nube

Riesgos y su tratamiento

En la nube

Gestión de activos

• Como cliente tener un control de activos en la nube y exigir al proveedor que nos de funciones

para hacer el seguimiento de estos

• Considerar los tipos de activos en la nube

• Asegurarse de que el SLA o acuerdo pertinente nos permite la retirada o devolución de los

activos en el momento necesario

Información de negocio Equipos virtualizados

Almacenamiento virtualizado Software

Gestión de activos

• Como cliente tener un control de activos en la nube y exigir al proveedor que nos de funciones

para hacer el seguimiento de estos

• Considerar los tipos de activos en la nube

• Asegurarse de que el SLA o acuerdo pertinente nos permite la retirada o devolución de los

activos en el momento necesario

Información de negocio Equipos virtualizados

Almacenamiento virtualizado Software

Gestión de accesos

• Division de responsabilidades:

Cliente Proveedor

Control de acceso para cada servicio

en la nube

Control de los credenciales de

usuario para el acceso

Control de acceso previniendo o

denengando el acceso al nube en

lugares o instalaciones específicas

Control de las direcciones de acceso

(IP, URL, Puertos) a los servicios en

la nube

Gestión de accesos

• Sobre los passwords:

Cliente Proveedor

Encargarse de usar un procedimiento

formal de asignación

Procedimientos para emitir, cambiar o

reemitir claves

Usar las funciones provistas para la

creación y asignación de estos si las

tiene el proveedor

Procedimientos de autentificación y

autorización, incluyendo técnicas de

factor múltiple

Gestión de accesos

¿Que es factor multiple?

• La autenticación de factores múltiples se puede lograr usando una combinación de los

siguientes factores:

• Algo que usted conoce: contraseña o número de identificación personal (PIN)

• Algo que usted tiene: token o tarjeta inteligente (autenticación de dos factores)

• Algo que usted es: biometría, tal como una huella dactilar (autenticación de tres factores)

Gestión de accesos

• Restricciones de acceso:

• Procedimientos especiales deben considerarse para las herramientas de administración de la

nube con privilegios especiales

Cliente Proveedor

Restringir los accesos basándose en

la pólitica organizativa

Proveer funcionalidades para

restringir accesos

Entregar al proveedor con políticas de

restricción de acceso para mantener

la seguridad

Información sobre las restricciones de

acceso impuestas por el cliente para

mantener la información segura

Criptografía

• Gestión de Keys (Llaves)

– Tipos de Keys

– Procedimientos de Gestión

– Warning Imporante: No usar el proveedor para guardar las Keys que desencriptan la

información en la nube, es siempre major guardarlas y gestionarlas en servicio a parte

• Procedimientos especiales deben considerarse para las herramientas de administración de la

nube con privilegios especiales

Seguridad del Entorno Físico

• Perímetros de seguridad Físicos

– Aunque pueda no parecer crítica para servios en la nube, el cliente debe pedir información

sobre el perímetro de seguridad físico del proveedor.

• El proveedor debe ser cumpliendo todas las políticas y estandares seguridad físicos pertinentes

en sus premisas

Seguridad de Operaciones

Siempre pedir información y confirmer sobre la gerencia y funcionamiento de:

• Gestión de cambios

• Gestión de capacidad

• Malware

• Backups

• Registro de eventos

Seguridad de Operaciones

• Control de software operacional

• Control de vulnerabilidades técnicas

¡LA SEGURIDAD DE LAS OPERACIONES ES DE AMBOS, PROVEEDOR Y CLIENTE DEBEN

SIEMPRE COLABORAR!

El primero siempre debe evitar el no informar, el Segundo desentenderse

Comunicaciones

• Seguridad de los servicios de red

• Siempre exigir las carácterísticas de las redes

• Division en subredes, V-Lans, etc

– Motivos principales para esto: legalidad o tener un competidor teniendo servicio por el

mismo proveedor

Incidencias de seguridad

• El proveedor debe crear información sobre el marco de trabajo de gestión para incidencias de

seguridad y la gestión sobre incidencias graves. Los clientes siempre deben revisarlo, para

tener conocimiento y proponer cambios.

• Evidencias para la seguridad

Cliente Proveedor

Identificar información que sirva de

evidencia

Documentar la información que sirve

como evidencia

Establecer procedimientos para

recolectar información

Establecer procedimientos de

retención

Proteger la información Establecer procedimientos para que

el cliente pueda acceder a esa

información

Otros temas

• Siempre firmar y revisar los contratos formales (SLAs) con nuestros proveedores

• Tener claro el marco legal que se tiene que cumplir y si los proveedores lo cumplen

• Pedir poder acceder y hacer seguimiento de las comprobaciones de conformidad técnica de

nuestros proveedores

Preguntas

Con la colaboración de ...Alhambra Eidos:

C/Albasanz 16, Madrid (España)

+34917872300

www.formaciontic.com

formaciontic@a-e.es

@formacionTIC

Guillermo Hernández

Experto en gestión de servicios de TI y desarrollo.

Ha trabajado y conoce la gestión y organización

de distintas instituciones y empresas, y tiene

conocimiento de distintas herramientas de gestión

como Service Desk o Remedy. Formador desde

hace 5 años, su principal objetivo es el énfasis en

la utilidad real de los pequeños detalles de la

gestión de servicios.

Con la colaboración de:

@exin_es

¡GRACIAS!

youtube/exinexams

facebook.com/EXINEnCastellano

slideshare.net/EXINEnCastellano

¿Qué competencias se adquieren con la formación oficial?

¿Importan las certificaciones?

Promoción Alhambra-Eidos

http://www.formaciontic.com/exin-secure-cloud-services.html

Promoción válida en todas las convocatorias de los

cursos de certificación asociadas a EXIN Certified

Secure Cloud Services, cursos individuales o para el

track completo.

15% de descuento en los cursos

impartidos en Alhambra-Eidos