VC de repaso

1) Cuando vayamos a implementar algún movimiento hacia la nube, también hay que
tener en cuenta que estén cumpliendo los requisitos legales de mi país, x que x ej. si
tengo que llevar datos de bancos, no podría llevarlos hacia el exterior, tengo que
conocer todo lo que es el cumplimiento legal que puede afectar a mi implementación
tanto en el país que estoy o en el país que vaya a estar, por eso uno tiene que saber
que el proveedor también tiene que cumplir las normas legales que están hechas por
las organizaciones internacionales para que pueda darnos esa prioridad de poder
implementar todos nuestros equipos en su nube.
2) Otras de las cosas fundamentales que tenemos que saber es cuando vayamos a
implementar es: si voy a implementar algo hacia la nube, lo primero que tengo que ver
es que no tenga puertos abiertos x un tema de seguridad, la mejor manera de
implementar algo así es prevenir, mapear y ver que vulnerabilidades tiene mi equipo,
haciendo un escaneo puede ser con el nmap, aunque hay otras herramientas que
podemos utilizar con el escaneo. Primero tengo que saber cuáles son los puertos que
necesito para operar bien, x lo tanto no voy a dejar todos los puertos abiertos si no
que voy a dejar puertos exclusivos que tengan la interconexión con mi red, a su vez
tengo que saber hasta dónde va a llegar mi responsabilidad legal y mi responsabilidad
de tener actualizado todo mi sistema, dependiendo de lo que yo vaya a contratar es la
responsabilidad que yo vaya a tener.
3) ¿Por ejemplo, si yo contrato lo que es IAAS, hasta donde va a llegar mi
responsabilidad? Llega hasta la infra entonces es ahí donde mi responsabilidad es que
este toso al máximo. X ej. si instalo una BD tengo que saber que esa BD tiene que
cumplir con todas las normas legales y tener corregidas todas las vulnerabilidades que
se hayan conocido del sistema que yo este usando y si estoy instalando un SO tengo
que saber que vulnerabilidades están afectando esos SO.
4) Hoy en día hay una lista que se utiliza para ir, y chequear que vulnerabilidades hay ,se
llama lista MITRE .

CVE es la lista donde se describen la vulnerabilidades.

5) ¿Hay algún factor que yo tenga dentro de los proveedores que pueda chequear las
normas, hay alguien que me pueda asegurar que todos están cumpliendo las normas?

Son las auditorias (imparcial) y tienen que chequear ambas tanto de clientes como de
proveedores porque los 2 tienen que cumplir. No sería útil que el proveedor cumpla a raja
tabla y el cliente no lo haga (que no cumpla con las reglas, que no cumpla con la seguridad,
que me ponga una maquina RDP en la nube, no cambie los puerto, no cambie las
contraseñas) entonces es una falla continua que puede llegar a tener, entonces cuando yo
voy a contratar a un auditor para que chequee si realmente están cumpliendo los
estándares, el va a tener que ser imparcial, si yo tengo algún error me lo va a tener que
decir, xque para eso lo contrato. Y ahí entra lo del etical haking, ahí va a tener un contrato
llamado NDA (Non disclosure agreement), ese contrato me va a asegurar (al etical haking)
de que este cumpliendo los estándares y que a su vez, llegue hasta un determinado lugar,
hasta donde voy a tener responsabilidad yo de chequear o evaluar toda mi infraestructura
o toda la seguridad de esta. Lo mismo va a pasar con el SLA que es la responsabilidad de mi
proveedor y el auditor también va a tener un etical haking que va a decir hasta donde voy
 a poder llegar hasta donde voy a ver que responsabilidad tiene mi cliente y hasta donde
voy a chequear todas las vulnerabilidades que tenga mi empresa, entonces ahí es donde
puede llegar a tener errores. Cuando nosotros tenemos que hacer un modelo de
seguridad, tenemos que tener algo compartido, siempre tenemos que tener la seguridad
del proveedor y la seguridad del cte. Entonces las responsabilidades van a ser
dependiendo del nivel que haya contratado, es el nivel de responsabilidad que voy a tener.

6) Que es el GDRP? Es un reglamento de protección de datos…

Las empresas pueden llegar a informar de algún hecho al GDRP O NO? O solo lo que
hace el GDRP es decir las reglamentaciones, la protección de datos, me va a decir.. no
hubo nada nuevo, estas son las reglamentaciones que están dispuestas para la CLOUD
o las empresas tienen que decirle.. mirá encontré una nueva falla de seguridad, fíjate a
ver si no podemos hacer una reglamentación? No hay que avisarle cuando hay fallas
de seguridad para eso están los( …ir) Hay que decirle al gobierno que ellos después
informan. Son los gobierno que tienen su organización tipo AGESIC, igualmente hoy en
día no está automatizado lo de informar todas las fallas de seguridad que tienen las
empresas. X eso hoy en día en Uruguay han sufrido varios ataques y no están
informados y no le han informado a nadie se han quedado con ese ataque interno, y
eso es una falla de seguridad, porque a nivel de organización capaz no pierde prestigio,
pero a nivel uruguayo puede ser que haya una falla de seguridad en un sistema y por
no informarlo no puedan solucionar a otras empresas. En otros países como en Chile si
no lo informas te meten terrible multa. El Certuy es el organismo que va a agarrar
todo, es el que va a ver todas las fallas de seguridad que hay en las empresas, AGESIC
es el que organiza pero CERTUY es donde se informa los problemas de seguridad que
hubisen en la empresa. X lo gral las empresas no informan para no perder el valor que
tienen en el mercado. Por eso al GPDR no hay que informarle, si existiría algo genérico
si lo informarina pero no a nivel de país.
7) Cuando hablamos de los controles que puedan llegar a tener la protección de datos .
Hay alguna forma de modificar estos datos o en la base de datos para ocultar todo?
Si, la forma es la enmascaramiento, es mejor que encriptar o cifar por el volumen de
datos xque consume muchos recursos, por eso no es tan conveniente hacerlo en la BD,
x un tema de costos y demora, recordar que la BD que está en la nube tiene consultas
constantes x lo tanto me va a enlentecer mi pag web.
Ej de enmascaramiento: el numero de tarjeta de credito. no se imprimen o muestran todos los digitos
del numero de tarjeta, se muestran los del principio y final, en el medio *

Otro ejemplo, para hacer un backup en un servidor encriptado, para hacerlo todos los días no
lo podes hacer x el tiempo que demora en encriptar y hacer el backup, aveces puede pasar
también que no queden correctamente. X lo tanto el encriptado es especifico para algunas
cosas como ser la contraseña o las VPN xque lo haces una vez y no continuamente. Lo mejor
para hacer una protección de datos es enmascarar.

8) Normas. Como empezaban las ISO? Depende de la norma pero emiepzan con 2700, ej:
27002 27017, etc se usan para basarse al momento de hacer cualquier migración hacia
la nube. Están los estándares de seguridad que se puedan necesitar.