Titulo del material

Seguridad en Cloud Computing

Temario

1. Elementos de un Sistema de Gestión de Seguridad de la Información (SGSI)

2. CSA – Guía de Seguridad de Áreas Críticas para la CC.

- Desarrollo de Dominio 4: Cumplimiento y Gestión de Auditoría

3. Desarrollo de actividad

4. CSA – Guía de Seguridad de Áreas Críticas para la CC.

- Desarrollo de Dominio 5: Gobierno de la Información
Tema 1: Elementos de un Sistema de Gestión de Seguridad de la
Información (SGSI)
Desarrollo de los puntos mas relevantes
Seguridad de la Información
Elementos clave de un SGSI

Garantizar la disponibilidad, confidencialidad e integridad de los

recursos de información.

¿Qué debemos documentar?

Políticas Estándares Líneas base Procedimientos

• Se desarrolla • Definición de • Parámetros • Guías de los

las Directrices herramientas (descripción que se deben
generales requeridas sobre la realizar
(Qué debe (especificar en configuración (Descripción
hacerse) un modo de elementos detallada)
uniforme) de seguridad)
Seguridad de la Información
Elementos clave de un SGSI

Tomado de la Universidad Internacional de la Rioja

Seguridad de la Información
Sistema de Gestión de Seguridad de la Información (SGSI)

Gestión de Riesgos

Riesgos

Asumir Mitigar Transferir Evitar

Decisión
económica
Seguridad de la Información
Nuevos entornos

Retos en la SI

¿Cuestionamiento?
• El control de la información
• Validación del cumplimiento
La nube de estándares, lineamientos,
normas, etc
¿Dónde esta la • Grados de exposición
información? • Vulnerabilidades
• Fallas en infraestructura

¿Qué hacer?
• Auditorías, validar controles
• Conocer el cumplimiento de contar con políticas y
estándares
• Conocer el alcance de la legislación que aplican
• Definir SLA’s
• Evaluar tecnología
Seguridad de la Información
Nuevos entornos

Retos en la SI
¿Cuestionamiento?
• Riesgos en la seguridad y
protección de los dispositivos
• Complejidad en la gestión de
Movilidad administración
• Tecnología multimarca
• Incremento de amenazas
(mejora tecnológica)

¿Qué hacer?
• Uso de software licenciado y de seguridad
• Autenticación robusta
• Implementación de cifrado en las comunicaciones e
información
• Bloqueo y borrado remoto
Tema 2: CSA – Guía de Seguridad de Áreas Críticas para la CC
Desarrollo del Dominio 4
 Guía de Seguridad de Áreas Críticas para la CC
Cumplimiento y Gestión de Auditoría

Las organizaciones se enfrentan a nuevos desafíos a

medida que migran de los CPD tradicionales a la nube.
Entregar, medir y comunicar el cumplimiento de las
regulaciones en múltiples jurisdicciones se encuentran
entre los más grandes desafíos. Tanto los clientes como los
proveedores deben entender y apreciar las diferencias
jurisdiccionales y sus implicaciones en los estándares,
procesos y prácticas existentes de cumplimiento y
auditoría. La naturaleza distribuida y virtualizada de la
computación en la nube requiere un ajuste significativo de
los enfoques basados en instancias definidas y físicas de
información y procesos.
Cumplimiento, Cumplimiento en la nube,
Gestión de Auditoría, Auditoría en la nube
Tomado de Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v4.0
 Guía de Seguridad de Áreas Críticas para la CC
Cumplimiento y Gestión de Auditoría

Los proveedores, auditores y clientes, deben considerar y

comprender lo siguiente:

• Implicaciones regulatorias para usar un servicio o proveedor

de servicios en la nube teniendo particular atención a
cualquier problema transfronterizo o multi jurisdiccional
cuando corresponda.
• Asignación de responsabilidades de cumplimiento entre el
proveedor y cliente, incluyendo proveedores indirectos.
• Capacidades del proveedor para demostrar el cumplimiento,
incluido en la generación de documentos, la producción de
evidencias y cumplimiento legal del proceso de manera
oportuna.

Tomado de Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v4.0
 Guía de Seguridad de Áreas Críticas para la CC
Cumplimiento y Gestión de Auditoría

Temas adicionales específicos a los se debe prestar especial

atención:
• El rol de las auditorías y certificaciones del proveedor y
cómo afectan el alcance de auditoría (o evaluación) del
cliente.
• Comprender qué características y servicios de un
proveedor de servicios en la nube están dentro del alcance
de que auditorías y evaluaciones.
• Gestionar el cumplimiento y las auditorías a lo largo del
tiempo.
• Trabajar con reguladores y auditores que pueden carecer
de experiencia con la tecnología de computación en la
nube.
• Trabajar con proveedores que pueden carecer de
experiencia en auditoría y cumplimiento normativo.
Tomado de Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v4.0
 Guía de Seguridad de Áreas Críticas para la CC
Cumplimiento y Gestión de Auditoría

Visión General
Lograr y mantener el cumplimiento de las normas y
estándares modernos es una actividad central para la
mayoría de los equipos de seguridad de la información y una
herramienta fundamental de gobernanza y gestión de
riesgos. GRC: gobernanza, riesgo y cumplimiento.

Propósitos
• El cumplimiento valida la conciencia y la adherencia a las
obligaciones corporativas (ejm: responsabilidad social, ética, leyes
aplicables, regulaciones, contratos, estrategias y políticas).
• Las auditorías son una herramienta clave para probar (o refutar) el
cumplimiento. También utilizamos auditorías y evaluaciones para
respaldar las decisiones de riesgo de incumplimiento.

Tomado de Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v4.0
 Guía de Seguridad de Áreas Críticas para la CC
Cumplimiento y Gestión de Auditoría

Como el cumplimiento cambia en la nube

Al igual que con la seguridad, el cumplimiento en la nube es
un modelo de responsabilidad compartida. Tanto el proveedor
de servicios en la nube como el cliente tienen
responsabilidades, pero el cliente siempre es el responsable
final de su propio cumplimiento. Estas responsabilidades se
definen a través de contratos, auditorías / evaluaciones y
detalles de los requisitos de cumplimiento.
Las auditorías financieras de las empresas públicas, se relacionan con una
empresa externa para realizar auditorías y emitir certificaciones. En la
nube, el cliente no suele definir el alcance o realizar la auditoría por sí
mismo. En su lugar, deberán confiar en estos informes y certificaciones
para determinar si el servicio cumple con sus obligaciones de
cumplimiento.

Tomado de Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v4.0
 Guía de Seguridad de Áreas Críticas para la CC
Cumplimiento y Gestión de Auditoría

Como el cumplimiento cambia en la nube

La mayoría de proveedores de servicios en la nube están
certificados para diversas regulaciones y requisitos de la
industria, como PCI DSS, SOC1, SOC2, HIPAA, mejores
prácticas / marcos de referencia como CSA CCM, y
regulaciones globales / regionales como la GDPR de la EU.
Las “auditorias de paso” son una forma de herencia de cumplimiento. Toda la
infraestructura y servicios del proveedor se someten a una auditoría de cumplimiento
estándar. El alcance y limitaciones son:
• Certifican que el proveedor cumple con los requisitos.
• Sigue siendo la responsabilidad del cliente crear aplicaciones y servicios que
cumplan con la regulación aplicable.
• Significa que el proveedor infraestructura/servicio no se encuentra dentro del
alcance al cliente de la auditoría/evaluación.
• El cliente sigue siendo responsable del cumplimiento, lo que construye y
administra.
Tomado de Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v4.0
 Guía de Seguridad de Áreas Críticas para la CC
Cumplimiento y Gestión de Auditoría

Tomado de Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v4.0
 Guía de Seguridad de Áreas Críticas para la CC
Cumplimiento y Gestión de Auditoría

Gestión de auditoría
Un gobierno corporativo adecuado incluye auditoria y
seguridad. Las auditorías deben llevarse a cabo de manera
independiente y deben diseñarse sólidamente para reflejar las
mejores prácticas, los recursos apropiados, protocolos y
estándares probados. Antes de ahondar en las implicaciones
de la nube, debemos definir el alcance de la gestión de
auditoría relacionada con la seguridad de la información.
Las auditorías y evaluaciones son mecanismos para documentar el cumplimiento con
requerimientos internos o externos. Los informes deben incluir la determinación del
cumplimiento, así como, un relación de problemas identificados, riesgos y
recomendaciones de remediación.
Todas las auditorías tienen un alcance variable y una declaración de aplicabilidad.

Tomado de Cloud Security Alliance: Security Guidance for Critical Areas of Focus in Cloud Computing v4.0
Tema 3: Desarrollo de actividad
Seguridad de la Información
Sistema de Gestión de Seguridad de la Información (SGSI)

ACTIVIDAD (20min)
Identificar un informe de auditoría de
TI realizado a cualquier empresa.
Se debe considerar identificar lo
siguiente:
- La metodología que utilizó
- Las normas/ISO/mejores prácticas
que se baso
- Matriz de hallazgos
Tema 4: CSA – Guía de Seguridad de Áreas Críticas para la CC
Desarrollo del Dominio 5
Los datos es el nuevo oro

A lo largo de los años, he visto

cómo la seguridad de TI se
transforma de un enfoque en la
seguridad física, a la seguridad del
sistema operativo a finales de los
90, y luego a la seguridad de la red
a mediados de los 2000. Ahora, con
un nuevo nombre—la seguridad
cibernética—gran parte del enfoque
es (finalmente) volverse hacia las
aplicaciones y los datos procesados
y almacenados por estos sistemas.
Esta es, por así decirlo, la próxima
frontera en seguridad de TI.
Mark Cuban
¿Qué es el gobierno de datos?

CSA define el gobierno de datos/información como

garantizar que el uso de datos e información cumpla
con las políticas, estándares y estrategias de la
organización, incluidos los objetivos reglamentarios,
contractuales y comerciales.

NIST define el gobierno de datos como un conjunto

de procesos que garantiza que los activos de datos
se gestionen formalmente en toda la empresa. Un
modelo de gobierno de datos establece la autoridad
y los parámetros de gestión y toma de decisiones
relacionados con los datos producidos o gestionados
por la empresa.
Dominios de Gobernanza de la
información en la nube

❑ Propiedad y custodia
❑ Clasificación de la información
❑ Políticas de gestión de la información
❑ Políticas de ubicación y jurisdicción
❑ Autorizaciones
❑ Controles contractuales
❑ Controles de seguridad
Categorización FIPS 199
Impacto potencial
Objetivo de seguridad
Bajo Moderado Alto
Confidencialidad Se podría esperar que la Se podría esperar que la Se podría esperar que la
Preservar las restricciones divulgación no autorizada divulgación no autorizada divulgación no autorizada
autorizadas sobre el acceso de información tenga un de información tenga un de información tenga un
y la divulgación de la efecto adverso limitado efecto adverso grave en las efecto adverso grave o
información, incluidos los sobre las operaciones de la operaciones de la catastrófico en las
medios para proteger la organización, los activos de organización, los activos de operaciones de la
privacidad personal y la la organización o las la organización o las organización, los activos de
información de propiedad. personas. personas. la organización o las
[44 USC SEC. 3542] personas.
Integridad La modificación o Se podría esperar que la Se podría esperar que la
Proteger contra la destrucción no autorizada modificación o destrucción modificación o destrucción
modificación o destrucción de información podría no autorizada de la no autorizada de la
indebida de la información, esperarse que tuviera un información tenga un efecto información tenga un efecto
e incluye garantizar el no efecto adverso limitado en adverso grave en las adverso grave o catastrófico
repudio y la autenticidad de las operaciones de la operaciones de la en las operaciones de la
la información. organización, los activos de organización, los activos de organización, los activos de la
[44 USC, SEC, 3542] la organización o las la organización o las organización o las personas.
personas. personas.
Disponibilidad Se podría esperar que la Se podría esperar que la Se podría esperar que la
Asegurar el acceso y uso interrupción del acceso o interrupción del acceso o interrupción del acceso o
oportuno y confiable de la uso de la información o un uso de la información o un uso de la información o un
información. sistema de información sistema de información sistema de información
[44 USC. SEC. 3542] tenga un efecto adverso tenga un efecto adverso tenga un efecto adverso
limitado en las operaciones grave en las operaciones de grave o catastrófico en las
de la organización, los la organización, los activos operaciones de la
activos de la organización o de la organización o las organización, los activos de
las personas. personas. la organización o las
personas.

Fuente: FIPS 199. Estándares para la Categorización de Seguridad de la Información Federal y de

los Sistemas de Información.
Declaración de sensibilidad

❑ ¿Los datos contienen información de identificación personal?

❑ ¿Los datos contienen información de registros de salud?
❑ ¿Los datos contienen información que, si se vulnerara, pondría
en peligro la seguridad de una persona?
❑ ¿Los datos contienen información que, si se vulnerara,
avergonzaría a una persona?
❑ ¿Los datos contienen secretos comerciales o propiedad
intelectual de la empresa?
❑ ¿Los datos contienen información que está, o se espera que esté,
disponible públicamente?
Gestión de la Información

❑ Evite recopilar información duplicada.

❑ Compartir y reutilizar información con respecto a las
restricciones legales y reglamentarias.
❑ Asegúrese de que la información sea completa, precisa,
relevante y comprensible.
❑ Proteger la información contra el acceso ilegal, la pérdida y
el daño.
❑ Conservar la información de acuerdo con su valor
operativo, legal, financiero e histórico.
Ciclo de vida de la Gestión de la información
Ciclo de vida de Seguridad de los datos

Fase Controles potenciales

Crear Etiquetas de clasificación
Derechos
Almacenar Cifrado en reposo
Controles de acceso
Gestión de derechos
Descubrimiento de contenido
Usar Listas de control de acceso
Seguridad de aplicaciones
Monitoreo de actividades
Controles lógicos
Compartir Cifrado en tránsito
Prevención de pérdida de datos
Controles lógicos
Seguridad de aplicaciones
Archivo Cifrado
Gestión de activos
Destruir Descubrimiento de contenido
Trituración criptográfica

Ciclo de vida de la Gestión de la Información y potenciales controles

Ubicaciones y Derechos

Las ubicaciones, en el contexto del ciclo de vida de la

seguridad de los datos, pueden ser complicadas. Al
considerar las ubicaciones, debemos pensar no solo en
dónde residen los datos (en la nube o en un centro de
datos tradicional), sino también dónde se encuentra el
dispositivo de acceso (local o remoto).

Respecto a Derechos, debemos considerar dos cosas

con respecto a estos, ¿Quién accede a los datos y
cómo accede a ellos? Si no desea que alguien o algo
(un actor) haga algo (una función) con los datos,
debe aplicar un control para evitar que suceda.
Funciones y fases del ciclo de vida de la
información

Crear Almacenar Usar Compartir Archivar Destruir

Acceder X X X X X X

Procesar X X

Almacenar X X

Funciones y fases del ciclo de vida de la información

Ejemplo de derechos de fase del ciclo de
vida – On Premises

Hay tres actores principales involucrados en el seguimiento, cumplimiento y entrega de pedidos en este
escenario: Matías (propietario de la empresa), Catalina (gerente de inventario) y Javier (jefe de tienda). Como
propietario, Matías quiere el control total de todos los datos que posee su empresa. Catalina no necesita
tantos derechos a los datos porque su trabajo es crear nuevas órdenes de trabajo y compartir estas órdenes
de trabajo con Javier, quien luego actualizará el sistema para indicar que el trabajo está completo y listo para
enviarse. Veamos qué derechos se pueden implementar para otorgar privilegios mínimos a estos actores
involucrados:

Crear Almacenar Usar Compartir Archivar Destruir

Matías Permitido Permitido Permitido Permitido Permitido Permitido

Control Control
Catalina Permitido Permitido Permitido Permitido
requerido requerido
Control Control Control
Javier Permitido Permitido Permitido
requerido requerido requerido
Ejemplo de derechos de fase del ciclo de vida – On Premises
Ejemplo de derechos en la fase del ciclo de
vida - Alojado en la nube
Ahora supongamos que el plan de continuidad comercial que incluye ejecutar una réplica del sistema de
inventario en la nube. Se ha determinado que el sistema de respaldo debe ser de solo lectura, con datos
copiados en él desde el sistema de inventario local todas las noches. El sistema de réplica en la nube se usa
solo en el caso de una interrupción del sistema de inventario maestro que está en las instalaciones y nunca
debe usarse para crear nuevos registros. En ese caso, los derechos cambiarán drásticamente según la
ubicación de los datos.

Crear Almacenar Usar Compartir Archivar Destruir

Control Control Control Control Control
Matías Permitido
requerido requerido requerido requerido requerido
Control Control Control Control Control
Catalina Permitido
requerido requerido requerido requerido requerido
Control Control Control Control Control
Javier Permitido
requerido requerido requerido requerido requerido
Ejemplo de derechos en la fase del ciclo de vida - Alojado en la nube
¿Qué nos llevamos?
❑ Abordamos la necesidad de la gobernanza de la información y los
procesos involucrados. Luego revisamos el ciclo de vida de la seguridad de
los datos que se puede usar para identificar dónde se requieren controles
para respaldar el gobierno de la información para diferentes actividades y
diferentes ubicaciones, desde donde se guardan los datos (tradicional on
premises o en la nube) hasta el acceso al dispositivo (acceso interno o
externo).
❑ Comprendimos los requisitos de gobierno de la información (legales,
reglamentarios, etc.) como parte de la planificación para trasladar los
datos a la nube.
❑ Tomamos en cuenta que extender el gobierno de la información para
incluir servicios en la nube requiere controles tanto contractuales como
de seguridad.
❑ Usar el ciclo de vida de seguridad de datos para identificar controles para
limitar las funciones que pueden realizar los actores. Dado que diferentes
ubicaciones pueden requerir diferentes controles, tendrá varios ciclos de
vida de seguridad de datos.
❑ Migrar a la nube puede ser una excelente oportunidad para identificar y
abordar los problemas actuales de gobierno de la información.
Preguntas…
Si, luego del estudio de este material, tienes dudas sobre
alguno de los temas, ingresa al Aula Virtual y participa en el
foro de dudas académicas de la unidad.