Administra la

Seguridaden la
nube en GCP
La empresa SystelCom & CIA está migrando sus aplicaciones
y datos a Google Cloud Platform (GCP) y busca comprender
el modelo de seguridad compartida de la nube. Se le solicita
que realice una investigación y documente cómo GCP y el
cliente comparten responsabilidades en cuanto a la
seguridad.
Identificando que Google es el responsable de la seguridad
de la infraestructura subyacente, incluyendo la protección
física de los centros de datos y la seguridad de la red.
Mientras tanto, el cliente es responsable de asegurar sus
datos y aplicaciones en la nube, incluyendo la
configuración adecuada de los controles de acceso y la
gestión de identidades y accesos.
La empresa busca comprender el modelo de seguridad compartida de
la nube. Por lo que se deberá de investigar y documentar cómo GCP y
el cliente comparten responsabilidades en cuanto a la seguridad.
Identificara que Google es responsable de la seguridad de la
infraestructura subyacente, incluyendo la protección física de los
centros de datos y la seguridad de la red. Mientras tanto, el cliente es
responsable de asegurar sus datos y aplicaciones en la nube,
incluyendo la configuración adecuada de los controles de acceso y la
gestión de identidades y de accesos.
RESPONSABILIDAD DE GOOGLE

RESPONSABILIDAD DEL USUARIO

CAPACIDADES DE SEGURIDAD
DE GOOGLE CLOUD PLATAFORM
RESPONSABILIDAD DE GOOGLE

Seguridad de la infraestructura
Google se encarga de proteger la infraestructura física, redes y servicios
fundamentales que alimentan GCP. Esto incluye la seguridad de los centros de
datos, las redes globales y las plataformas de virtualización.

Cumplimiento normativo

Google gestiona las certificaciones de seguridad y los estándares que cumplen

sus servicios en la nube, como el cumplimiento de regulaciones como ISO 27001,
SOC 2, SOC 3, GDPR, entre otros.
RESPONSABILIDAD DE GOOGLE

Protección contra amenazas globales

Google aplica seguridad proactiva para detectar, prevenir y mitigar
amenazas cibernéticas a nivel global, como ataques DDoS, malware, etc.
RESPONSABILIDAD DEL USUARIO

Seguridad de los datos

El cliente es responsable de la seguridad de los datos que sube a la plataforma,

incluida la encriptación, la gestión de las claves de cifrado y el control de acceso.

Configuración y administración de recursos:

El usuario debe gestionar la configuración de sus propios recursos

(como máquinas virtuales, redes y almacenamiento), incluyendo la
implementación de políticas de acceso y la protección de estos servicios.
RESPONSABILIDAD DEL USUARIO

Control de acceso y gestión de identidades:

Es responsabilidad del usuario gestionar las identidades y accesos de los
usuarios dentro de GCP. Esto se hace a través de herramientas como Identity
and Access Management (IAM) para definir qué usuarios tienen acceso a qué
recursos.

Aplicaciones y datos
Los usuarios deben proteger sus aplicaciones y datos, así como implementar
medidas para detectar y responder a incidentes de seguridad. Esto incluye el
uso de servicios como Google Cloud Security Command Center y
herramientas de monitoreo.
 CAPACIDADES DE SEGURIDAD

Encriptación de datos:
GCP cifra los datos en reposo y en tránsito de manera predeterminada. Sin
embargo, los usuarios pueden optar por gestionar sus propias claves de
cifrado.

IAM (Identity and Access Management)

Permite a los usuarios definir roles y permisos específicos para controlar

quién puede acceder a qué recursos en la nube.
 CAPACIDADES DE SEGURIDAD

Google Cloud Security Command Center

Ofrece visibilidad y gestión de la seguridad dentro de GCP, ayudando a
identificar riesgos y vulnerabilidades.

IAM (Identity and Access Management)

Ayuda a proteger las cuentas mediante un segundo factor de autenticación.

Firewall y redes privadas

Los usuarios pueden configurar reglas de firewall y segmentar sus redes para
proteger sus recursos.
OPERACIÓN 02: Analiza la seguridad de Google frente al cliente.
El análisis de la seguridad de Google frente al cliente se puede abordar desde diferentes perspectivas clave, destacando las
medidas de protección, las posibles amenazas y las implicaciones para el usuario.

Que objetivo tiene ?

La seguridad de Google hacia el cliente tiene como objetivo proteger los datos personales de los usuarios y garantizar que
puedan interactuar de manera segura con los servicios de la empresa. Entre las principales medidas de seguridad se incluyen:
a. Cifrado de datos: Protege la información personal tanto en tránsito como en reposo.
b. Autenticación de dos factores (2FA): Añade una capa extra de seguridad para evitar accesos no autorizados.
c. Protección contra amenazas: Google protege a los usuarios de malware, phishing y otros ataques cibernéticos.
d. Control de privacidad: Los usuarios tienen la posibilidad de gestionar la recopilación y el uso de sus datos.
e. Educación y prevención: Google informa a los usuarios sobre cómo proteger sus cuentas y detectar amenazas.
f. Seguridad en la nube: Protege archivos y documentos almacenados en servicios como Google Drive.

Porque es importante ?
Es importante porque protege la información personal y sensible de los usuarios frente a amenazas cibernéticas, como el
robo de datos o el acceso no autorizado. Dado que Google maneja una gran cantidad de datos privados, como correos
electrónicos, fotos, documentos y registros de actividad, garantizar la protección de estos datos es esencial para preservar
la privacidad y confianza de los usuarios. Además, las medidas de seguridad ayudan a prevenir fraudes, ataques de
malware y phishing, asegurando una experiencia más segura en la web. En resumen, la seguridad es clave para mantener la
integridad de los datos y la confianza de los usuarios en los servicios de Google.
1. Autenticación y Gestión de Identidad
Consulta: ¿Cómo protege Google la identidad de los usuarios frente a accesos no autorizados?
Ejemplo:
Autenticación en dos pasos (2FA): Supongamos que un usuario intenta iniciar sesión en su cuenta de Google desde un dispositivo
nuevo. Si la autenticación en dos pasos está habilitada, Google enviará un código de verificación al teléfono móvil del usuario o le pedirá
confirmar el inicio de sesión en un dispositivo conocido. Esto ayuda a prevenir accesos no autorizados, incluso si alguien consigue la
contraseña del usuario.
Consulta: ¿Qué ocurre si un atacante intenta ingresar a mi cuenta utilizando mi contraseña?
Ejemplo:
Bloqueo por actividad sospechosa: Si Google detecta que un inicio de sesión se está realizando desde una ubicación o dispositivo
desconocido, puede bloquear el acceso e incluso pedir al usuario que valide su identidad usando una verificación adicional, como
responder a preguntas de seguridad o enviar un código a su correo electrónico.

2. Cifrado de Datos
Consulta: ¿Qué tipos de cifrado utiliza Google para proteger mis datos?
Ejemplo:
Cifrado en tránsito: Cuando envías un correo a través de Gmail, Google cifra la información en tránsito entre tu dispositivo y los servidores
de Google para evitar que otras personas puedan interceptar el mensaje.
Cifrado en reposo: Los datos de los usuarios, como correos electrónicos o documentos almacenados en Google Drive, están cifrados en los
servidores de Google. Esto significa que incluso si un atacante tuviera acceso físico a los servidores, no podría leer los datos sin las claves
adecuadas.
3. Protección contra Malware y Phishing
Consulta: ¿Cómo Google protege mi cuenta contra correos electrónicos fraudulentos?
Ejemplo:
Filtros de Phishing: Si recibes un correo de phishing en tu bandeja de entrada de Gmail que intenta robar tu información personal,
Google utiliza algoritmos de IA para detectar patrones sospechosos en el correo (como enlaces a sitios web falsificados) y te
advertirá sobre el riesgo potencial antes de que abras el correo.
Consulta: ¿Qué pasa si un correo contiene malware?
Ejemplo:
Detección de malware en archivos adjuntos: Si alguien te envía un archivo adjunto que contiene malware, Google Drive o Gmail
escanearán automáticamente el archivo antes de permitir que lo descargues. Si el archivo es detectado como peligroso, se
bloquea y se te informa del riesgo.

4. Control de Privacidad
Consulta: ¿Cómo puedo gestionar los datos que Google recopila sobre mí?
Ejemplo:
Configuración de privacidad: Puedes acceder a la configuración de privacidad en tu cuenta de Google y revisar qué datos están
siendo recopilados, como el historial de búsquedas, las ubicaciones o la actividad en YouTube. Desde allí, puedes eliminar datos
específicos o desactivar la recopilación de ciertos tipos de información.
Google Dashboard: Este servicio permite a los usuarios ver un resumen completo de los datos que Google tiene sobre ellos,
como el historial de ubicaciones o los registros de búsqueda. También permite borrar estos datos si lo deseas.
2.¿Cuáles son los principales mecanismos y herramientas de seguridad que ofrece Google Cloud para proteger datos, redes y aplicaciones?
Google Cloud ofrece diversas herramientas y mecanismos de seguridad para proteger datos, redes y aplicaciones. Aquí un resumen de los más
importantes:
1. Seguridad de Datos:
Cifrado de datos en reposo y tránsito.
Gestión de claves con Cloud KMS.
Cloud DLP para proteger datos sensibles.
2. Seguridad de Redes:
VPC para redes privadas, con firewalls y control de acceso.
Cloud Armor para protección contra ataques DDoS.
Network Intelligence Center para monitorear la red.
3. Seguridad de Aplicaciones:
Security Command Center para supervisar riesgos.
Identity-Aware Proxy (IAP) para controlar el acceso a aplicaciones.
Cloud Security Scanner para detectar vulnerabilidades en aplicaciones web.
4. Autenticación y Control de Acceso:
IAM para gestionar permisos y accesos.
Autenticación multifactor (MFA) y SSO para mayor seguridad.
5. Cumplimiento y Auditoría:
Cloud Audit Logs para registrar y auditar acciones.
Cumple con normativas como GDPR, HIPAA, y SOC 2.
6. Gestión de Amenazas:
Cloud Threat Intelligence para identificar y mitigar amenazas.
Google Chronicle para análisis avanzados de seguridad.
7. Resiliencia y Respuesta ante Incidentes:
Backup y DR para recuperación ante desastres.
Herramientas de incident response para investigar y mitigar riesgos.
3.¿Qué es el cifrado en Google Cloud, cómo funciona y en qué escenarios se recomienda su implementación?

El cifrado en Google Cloud es un proceso de seguridad que convierte los datos en un formato ilegible para protegerlos de accesos no autorizados,
asegurando la confidencialidad y la integridad de la información. Google Cloud implementa cifrado de manera automática y ofrece varias opciones
de gestión de claves, adaptándose a diferentes necesidades de seguridad.
¿Cómo funciona?
1. Cifrado en reposo:
Los datos almacenados en Google Cloud (por ejemplo, en discos, bases de datos, almacenamiento de objetos) se cifran automáticamente
utilizando algoritmos estándar como AES-256.
Google Cloud gestiona las claves de cifrado por defecto, pero también permite a los usuarios administrar sus propias claves de cifrado a
través de Cloud Key Management (KMS) si necesitan un control más granular.
2. Cifrado en tránsito:
Los datos que se transmiten entre los usuarios y los servicios de Google Cloud, o entre servicios dentro de la infraestructura, están cifrados
utilizando TLS (Transport Layer Security), asegurando que la información esté protegida durante su transmisión.
Escenarios recomendados para su implementación:
1. Protección de datos sensibles:
Se recomienda su implementación cuando se manejan datos sensibles o personales, como información financiera, médica, o cualquier otro
dato confidencial, para garantizar su privacidad.
2. Cumplimiento normativo:
Empresas en sectores regulados (como salud, finanzas, y educación) deben cifrar los datos para cumplir con normativas y regulaciones de
seguridad, como HIPAA, PCI DSS, GDPR, entre otras.
3. Entornos con múltiples usuarios:
En entornos donde varios usuarios tienen acceso a la infraestructura de la nube, el cifrado ayuda a asegurar que solo los usuarios
autorizados puedan acceder a los datos, incluso si hay un acceso no autorizado a la red o a los servidores.
4. Aplicaciones de alta seguridad:
En aplicaciones que manejan información crítica o estratégica, como datos gubernamentales o de defensa, se debe implementar cifrado
para prevenir accesos maliciosos o espionaje.
Explora las ociones de cifrado proporcionadas por GCP para proteger los datos del cliente. Revisa servicios
como Google Cloud Key Management Service (KMS) y Google Cloud Storage Encryption para cifrar datos
en reposo, así como Google Cloud Identity-Aware Proxy (IAP) para controlar el acceso a las aplicaciones en
la nube. Evaluando las mejores prácticas de implementación y realizando pruebas de cifrado para garantizar la
integridad y confidencialidad de los datos almacenados en GCP.
 Google Cloud
Key Management Service (KMS)

Google Cloud KMS es un servicio de administración de claves que te permite

crear, usar, rotar y gestionar claves de cifrado para proteger tus datos. Es un
servicio completamente gestionado que te ayuda a implementar una
criptografía sólida sin tener que preocuparte por la infraestructura
subyacente.
 ¿Cómo se usa para
cifrar datos en reposo?

Google Cloud cifra automáticamente los datos en reposo, pero KMS te da control
adicional sobre las claves utilizadas para cifrar esos datos. Puedes usar claves
de KMS para cifrar datos de tus servicios de Google Cloud, como Google Cloud
Storage, Google Compute Engine y otros.
 Crear claves de cifrado

Utilizamos KMS para crear un Asociar claves a recursos

conjunto de claves, llamadas
Luego, asocias estas claves a los
claves maestras de cifrado (KMS
recursos que deseas cifrar, como
keys).
los discos de Compute Engine o
Rotación de claves
los objetos en Google Cloud
Storage. KMS permite automatizar la
rotación de claves, lo que ayuda
a mantener la seguridad a largo
plazo.
Un llavero de clave es una agrupación de claves que pertenece a un
proyecto de Google Cloud y reside en un lugar específico.
Agrupar claves con permisos relacionados en un llavero de claves te
permite otorgar, revocar o modificar permisos para esas claves. Sin
mover alguna tecla individualmente.
Cifrado Simétrico
Se utiliza la misma clave tanto para
cifrar como para descifrar los datos.

Cifrado Asimétrico
Se utilizan dos claves diferentes: una clave
pública para cifrar los datos y una clave
privada para descifrarlos. La clave pública se
puede compartir abiertamente, pero la clave
privada debe mantenerse secreta.
Cargamos datos en un Bucket:
Cargamos datos en un Bucket:
Cargamos datos en un Bucket:
Cargamos datos en un Bucket:
Cargamos datos en un Bucket:
Cargamos datos en un Bucket:
Google Cloud Identity-Aware Proxy
(IAP)

Es un servicio de control de acceso que permite que solo los usuarios

autorizados accedan a aplicaciones y recursos específicos en Google
Cloud, basándose en la identidad y el contexto del usuario.
Google Cloud Identity-Aware Proxy
(IAP)
Google Cloud Identity-Aware Proxy
(IAP)
Google Cloud Identity-Aware Proxy
(IAP)
Google Cloud Identity-Aware Proxy
(IAP)
Google Cloud Identity-Aware Proxy
(IAP)
La migración de SystelCom & CIA a
Google ofrece diversas herramientas
Google Cloud Platform (GCP) destaca la
para mejorar la seguridad, como
importancia de aplicar un modelo de
detección de amenazas, autenticación
seguridad compartida. En este modelo,
Google se encarga de proteger la multifactor (MFA) y auditorías de acceso.
infraestructura subyacente, como Además, su infraestructura está
centros de datos, redes y hardware, diseñada para resistir ataques y
mientras que la empresa debe gestionar garantizar una alta disponibilidad de los
el acceso a sus datos y configurar servicios.
correctamente sus recursos en la nube.
En cuanto al cifrado, GCP protege los Implementar buenas prácticas en la
datos tanto en tránsito como en reposo gestión de accesos y permisos mediante
de manera predeterminada. Sin IAM.
embargo, las empresas pueden reforzar Habilitar la autenticación multifactor (MFA)
esta seguridad utilizando claves de para evitar accesos no autorizados.
cifrado personalizadas a través de Cloud
Aplicar cifrado personalizado para
Key Management Service (KMS)
proteger datos sensibles.
Monitorear continuamente la seguridad con
Para que la migración a la nube sea
herramientas como Security Command
exitosa y segura, SystelCom & CIA debe:
Center.
Al seguir estas estrategias, la empresa podrá
minimizar riesgos, garantizar el cumplimiento
normativo y aprovechar al máximo las ventajas de
la nube con total confianza. GCP no solo
proporciona tecnología avanzada, sino que
también permite a las organizaciones fortalecer su
postura de seguridad y proteger su información
crítica.

Seguridad bien gestionada, nube más confiable.