![Page 1: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/1.jpg)
N
o
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
Recomendaciones para la correcta gestión de la seguridad de la información en
Cloud Computing
24/01/2013
![Page 2: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/2.jpg)
Con la colaboración de ...
Datos de contacto de la empresa:
Génova 33 - 101, Col. Juárez, 06600
México, D.F.
Tel: (52) 55 5511 0193
www.globallynx.com
Twitter: @globallynx
Ponente
Héctor Adolfo Villagómez Jiménez
Fecha de Nacimiento: Agosto 24, 1981
Lugar de Nacimiento: México, D.F.
Escolaridad:
Ingeniero Mecánico (UNAM)
Certificaciones y conocimientos:
ISO/IEC 20000, ITIL, ISO 9001, ISO 19011, ISO/IEC 27000,
Cloud Computing
![Page 3: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/3.jpg)
Cloud Computing
Método de ejecutar software de aplicaciones y almacenar datos
relacionados en sistemas computacionales centrales y
proporcionar a los clientes u otros usuarios acceso a ellos a
través de internet.
![Page 4: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/4.jpg)
Cinco características de la Nube
• Autoservicio on-demand
• Almacenamiento de recursos (multi-arrendamiento)
• Rápida elasticidad (flexibilidad, escalamiento)
• Servicio medido (pagar-por-usar)
• Amplio acceso a la red (“en cualquier momento, en cualquier
lugar, desde cualquier dispositivo”)
![Page 5: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/5.jpg)
Ejemplos de cloud computing
• Para todos:
– Facebook, twitter (redes sociales)
– Wiki’s
– Juegos en línea
– Hotmail (webmail)
– Dropbox
• Para el negocio:
– CRM
– Servicios de respaldo
– ERP
– Finanzas
– Etc
![Page 6: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/6.jpg)
Cuatro modelos de despliegue
– Nube privada
– Nube comunitaria
– Nube pública
– Nube híbrida
![Page 7: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/7.jpg)
Nubes pública, privada, comunitaria e híbrida
Privada/
Interna
La nube
Interna/en las premisas Externa/fuera de las
premisas
Híbrida
Pública/
externa
![Page 8: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/8.jpg)
Modelos de servicio
– La Infraestructura como un Servicio (IaaS)
– La Plataforma como un Servicio (PaaS)
– El Software como un Servicio (SaaS)
![Page 9: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/9.jpg)
Beneficios de Cloud Computing
Costo reducido
Automatizado
Flexibilidad
Más movilidad
Recursos Compartidos
Agilidad y escalabilidad
De regreso al negocio central
![Page 10: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/10.jpg)
Principales limitaciones de Cloud computing
Acceso a internet
Seguridad
Privacidad
Acuerdos de nivel del servicio
![Page 11: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/11.jpg)
Información
‘La comunicación o recepción de conocimiento o
inteligencia’.
![Page 12: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/12.jpg)
Seguridad de la Información
• Protección de la información de un amplio número de
amenazas.
• Para:
Asegurar la continuidad del negocio
Minimizar los riesgos
Maximizar el retorno de la inversiones y las oportunidades
de negocio.
![Page 13: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/13.jpg)
Confiabilidad de la Información
La confiabilidad de la información se determina por tres aspectos
(conocidos como los requerimientos ‘CIA'):
Confidencialidad
Integridad
Disponibilidad
![Page 14: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/14.jpg)
Amenaza
Es una causa potencial de un incidente indeseable,
que puede causar daño a un Sistema o a una
Organización.
![Page 15: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/15.jpg)
Riesgo
Es la combinación de la probabilidad de que
suceda un Evento y también sus Consecuencias.
![Page 16: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/16.jpg)
Riesgos de seguridad en la Nube
Fuga/pérdida de datos
Vulnerabilidades de tecnología compartidas
Interfaces de aplicación insegura
Infiltrados maliciosos
Uso abusivo y malvado del Cloud computing
Perfil y contabilidad de riesgos desconocidos
Secuestro del tráfico, servicio y cuenta
![Page 17: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/17.jpg)
Tipos de Medidas de Seguridad
Preventivas
Detectivas
Represivas
Correctivas
Adquirir seguro
Aceptación
![Page 18: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/18.jpg)
Medidas para mitigar Riesgos de Seguridad
Riesgos Mitigación
Fuga/pérdida de datos Autenticación, auditoría, etc.
Vulnerabilidades de tecnología compartida Prácticas de seguridad operacionales,
procedimientos de operaciones, etc.
Interfaces de aplicación insegura Diseñados para la seguridad, etc.
Infiltrados maliciosos Investigación del personal, etc.
Uso abusivo y malvado del Cloud computing Validación de credenciales, monitoreo activo del
tráfico, etc.
Perfil y contabilidad de riesgos desconocidos Buenos SLAs y auditorías
Secuestro del tráfico, servicio y cuenta Fuerte autenticación, monitoreo activo, etc.
![Page 19: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/19.jpg)
● El proceso desde
● a
● a
Amenazas
Riesgos
Medidas de Seguridad
Gestión de Riesgos
![Page 20: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/20.jpg)
ISO/IEC 27001
Norma del Sistema de Gestión de la Seguridad de la
Información.
Requerimientos.
Certificable para empresas y auditable.
![Page 21: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/21.jpg)
ISO/IEC 27001 con Cloud Computing
Ingresar Cloud Computing en el alcance del SGSI.
Identificar controles y objetivos de controles aplicables a los
temas de Cloud Computing.
![Page 22: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/22.jpg)
Recomendaciones
Prevenir interferencia, daño y acceso físico no autorizado a
la información y a las instalaciones de la organización.
Plan de continuidad de negocio.
Plan de recuperación ante desastres.
Protección apropiada de los equipos.
![Page 23: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/23.jpg)
Recomendaciones
Identificar e implementar los controles apropiados para los
riesgos relacionados con las instalaciones de
procesamiento de información.
Los acuerdos con terceros que involucren acceder,
procesar, comunicar o gestionar la información de la
organización deben
![Page 24: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/24.jpg)
Recomendaciones
Toda información y todos los activos asociados con las
instalaciones de procesamiento de información deben ser
‘propiedad’ de una parte designada de la organización.
Identificar, documentar e implementar reglas para el uso
aceptable de la información y los activos asociados con las
instalaciones de procesamiento de información.
Asegurar que la información reciba un nivel apropiado de
protección.
![Page 25: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/25.jpg)
Recomendaciones
Clasificar la información en términos de su valor,
requerimientos legales, sensibilidad y criticidad para la
organización.
Definir y documentar los roles y responsabilidades de
seguridad.
Un proceso disciplinario formal para los empleados que
cometan una violación a la seguridad.
![Page 26: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/26.jpg)
Recomendaciones
Asegurarse que los terceros implementen, operen y
mantengan los controles de seguridad, definiciones de
servicio y niveles de entrega incluidos en el acuerdo de
entrega de servicio de terceros.
Monitorear y revisar regularmente los servicios, reportes y
registros proporcionados por terceros, y se deben llevar a
cabo auditorias regularmente.
Mantener la integridad y disponibilidad de la información y
las instalaciones de procesamiento de información.
![Page 27: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/27.jpg)
Recomendaciones
Asegurar la protección de la información en las redes y la
protección de la infraestructura de soporte.
Gestionar y controlar las redes de manera adecuada, para
ser protegidas de amenazas y para mantener la seguridad
para los sistemas.
Proteger la integridad de la información que está disponible
en un sistema público, para prevenir modificaciones no
autorizadas.
![Page 28: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/28.jpg)
Recomendaciones
Monitorear el uso de las instalaciones de procesamiento de
información para detectar actividades no autorizadas.
Asegurar el acceso de usuarios autorizados y prevenir el
acceso no autorizado a los sistemas de información.
Restringir y controlar la asignación y el uso de privilegios.
![Page 29: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/29.jpg)
Recomendaciones
Controlar la asignación de contraseñas a través de un
proceso de gestión formal.
La Dirección debe revisar los permisos de acceso de los
usuarios en intervalos regulares, utilizando un proceso
formal.
![Page 30: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/30.jpg)
¡Gracias por su atención!
Datos de contacto de la empresa:
Génova 33 - 101, Col. Juárez, 06600
México, D.F.
Tel: (52) 55 5511 0193
www.globallynx.com
Twitter: @globallynx
Ponente
Héctor Adolfo Villagómez Jiménez
Fecha de Nacimiento: Agosto 24, 1981
Lugar de Nacimiento: México, D.F.
Escolaridad:
Ingeniero Mecánico (UNAM)
Certificaciones y conocimientos:
ISO/IEC 20000, ITIL, ISO 9001, ISO 19011, ISO/IEC 27000,
Cloud Computing
Con la colaboración de ...
![Page 31: 7º Webinar EXIN en Castellano : Recomendaciones para la correcta gestión de la seguridad de la información en Cloud Computing](https://reader034.vdocumento.com/reader034/viewer/2022052218/55842811d8b42a86478b4cab/html5/thumbnails/31.jpg)
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
Obtén este y otros Webinars en nuestro canal Youtube Coporativo
http://www.youtube.com/user/ExinCorperate