3ª edición #EXINWebinarEnCastellano
Certificando a los profesionales de hoy… para las TI del futuro.
Adaptar la seguridad de la información
en la nube
Con la colaboración de ...Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 5 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.
Políticas de seguridad
• Alinear las políticas de seguridad con la ISO 27000
• Tomar en cuenta:
– Información en la nube que puede ser accedida y gestionada por el proveedor de Cloud
– Activos en la nube
– Procesos funcionando en la nube
– Usuarios de la nube
– Administradores con privilegios especiales
Políticas de seguridad
• Negociar los niveles de seguridad con el proveedor de Cloud
• Muchas veces esto no se podra realizer, el proveedor tendra unas medidas de seguridad y
niveles fijos
• En ese caso como clientes habrá que desarrollar medidas adicionales de seguridad
Organización de seguridad de la información
• Las responsibilidades de seguridad de cada parte (cliente y proveedor) deben estar claramente
definidas.
• Considerar las responsabilidades por cada servicio
• Identificar la localización de los datos en la nube para identificar las autoridades y jurisdicción
Organización de seguridad de la información
Seguridad de los Recursos Humanos
• En general aplicar las políticas de la ISO 27000 para: contratación, investigación, seguimiento y
definición de responsabilidades
• Añadir
• Considerar necesidades de formación, manuales, concienciación
Políticas para uso de
servicios Cloud
Estandares y
procedimientos para la
nube
Riesgos y su tratamiento
En la nube
Gestión de activos
• Como cliente tener un control de activos en la nube y exigir al proveedor que nos de funciones
para hacer el seguimiento de estos
• Considerar los tipos de activos en la nube
• Asegurarse de que el SLA o acuerdo pertinente nos permite la retirada o devolución de los
activos en el momento necesario
Información de negocio Equipos virtualizados
Almacenamiento virtualizado Software
Gestión de activos
• Como cliente tener un control de activos en la nube y exigir al proveedor que nos de funciones
para hacer el seguimiento de estos
• Considerar los tipos de activos en la nube
• Asegurarse de que el SLA o acuerdo pertinente nos permite la retirada o devolución de los
activos en el momento necesario
Información de negocio Equipos virtualizados
Almacenamiento virtualizado Software
Gestión de accesos
• Division de responsabilidades:
Cliente Proveedor
Control de acceso para cada servicio
en la nube
Control de los credenciales de
usuario para el acceso
Control de acceso previniendo o
denengando el acceso al nube en
lugares o instalaciones específicas
Control de las direcciones de acceso
(IP, URL, Puertos) a los servicios en
la nube
Gestión de accesos
• Sobre los passwords:
Cliente Proveedor
Encargarse de usar un procedimiento
formal de asignación
Procedimientos para emitir, cambiar o
reemitir claves
Usar las funciones provistas para la
creación y asignación de estos si las
tiene el proveedor
Procedimientos de autentificación y
autorización, incluyendo técnicas de
factor múltiple
Gestión de accesos
¿Que es factor multiple?
• La autenticación de factores múltiples se puede lograr usando una combinación de los
siguientes factores:
• Algo que usted conoce: contraseña o número de identificación personal (PIN)
• Algo que usted tiene: token o tarjeta inteligente (autenticación de dos factores)
• Algo que usted es: biometría, tal como una huella dactilar (autenticación de tres factores)
Gestión de accesos
• Restricciones de acceso:
• Procedimientos especiales deben considerarse para las herramientas de administración de la
nube con privilegios especiales
Cliente Proveedor
Restringir los accesos basándose en
la pólitica organizativa
Proveer funcionalidades para
restringir accesos
Entregar al proveedor con políticas de
restricción de acceso para mantener
la seguridad
Información sobre las restricciones de
acceso impuestas por el cliente para
mantener la información segura
Criptografía
• Gestión de Keys (Llaves)
– Tipos de Keys
– Procedimientos de Gestión
– Warning Imporante: No usar el proveedor para guardar las Keys que desencriptan la
información en la nube, es siempre major guardarlas y gestionarlas en servicio a parte
• Procedimientos especiales deben considerarse para las herramientas de administración de la
nube con privilegios especiales
Seguridad del Entorno Físico
• Perímetros de seguridad Físicos
– Aunque pueda no parecer crítica para servios en la nube, el cliente debe pedir información
sobre el perímetro de seguridad físico del proveedor.
• El proveedor debe ser cumpliendo todas las políticas y estandares seguridad físicos pertinentes
en sus premisas
Seguridad de Operaciones
Siempre pedir información y confirmer sobre la gerencia y funcionamiento de:
• Gestión de cambios
• Gestión de capacidad
• Malware
• Backups
• Registro de eventos
Seguridad de Operaciones
• Control de software operacional
• Control de vulnerabilidades técnicas
¡LA SEGURIDAD DE LAS OPERACIONES ES DE AMBOS, PROVEEDOR Y CLIENTE DEBEN
SIEMPRE COLABORAR!
El primero siempre debe evitar el no informar, el Segundo desentenderse
Comunicaciones
• Seguridad de los servicios de red
• Siempre exigir las carácterísticas de las redes
• Division en subredes, V-Lans, etc
– Motivos principales para esto: legalidad o tener un competidor teniendo servicio por el
mismo proveedor
Incidencias de seguridad
• El proveedor debe crear información sobre el marco de trabajo de gestión para incidencias de
seguridad y la gestión sobre incidencias graves. Los clientes siempre deben revisarlo, para
tener conocimiento y proponer cambios.
• Evidencias para la seguridad
Cliente Proveedor
Identificar información que sirva de
evidencia
Documentar la información que sirve
como evidencia
Establecer procedimientos para
recolectar información
Establecer procedimientos de
retención
Proteger la información Establecer procedimientos para que
el cliente pueda acceder a esa
información
Otros temas
• Siempre firmar y revisar los contratos formales (SLAs) con nuestros proveedores
• Tener claro el marco legal que se tiene que cumplir y si los proveedores lo cumplen
• Pedir poder acceder y hacer seguimiento de las comprobaciones de conformidad técnica de
nuestros proveedores
Preguntas
Con la colaboración de ...Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 5 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.
Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano
¿Qué competencias se adquieren con la formación oficial?
¿Importan las certificaciones?
Promoción Alhambra-Eidos
http://www.formaciontic.com/exin-secure-cloud-services.html
Promoción válida en todas las convocatorias de los
cursos de certificación asociadas a EXIN Certified
Secure Cloud Services, cursos individuales o para el
track completo.
15% de descuento en los cursos
impartidos en Alhambra-Eidos