Aprovechar las ventajas del Cloud de forma segura es una tarea no tan sencilla si no estamos preparados para proteger la seguridad de nuestros datos y procesos de negocio con una gestión y política especializadas, en la que no podemos confiar tanto en la presencia y comprobación física. En este Webinar hablaremos de los riesgos de seguridad especiales que afectan a nuestros activos en la nube y cómo podemos adaptar nuestras prácticas de Gestión de seguridad de la información basadas en la Gestión de Servicios de TI y la ISO / IEC 27000.

1. 3ª edición #EXINWebinarEnCastellano
Certificando a los profesionales de hoy… para las TI del futuro.

2. Adaptar la seguridad de la información
en la nube

3. Con la colaboración de ...
Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
formaciontic@a-e.es
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 5 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.

4. Políticas de seguridad
• Alinear las políticas de seguridad con la ISO 27000
• Tomar en cuenta:
– Información en la nube que puede ser accedida y gestionada por el proveedor de Cloud
– Activos en la nube
– Procesos funcionando en la nube
– Usuarios de la nube
– Administradores con privilegios especiales

5. Políticas de seguridad
• Negociar los niveles de seguridad con el proveedor de Cloud
• Muchas veces esto no se podra realizer, el proveedor tendra unas medidas de seguridad y
niveles fijos
• En ese caso como clientes habrá que desarrollar medidas adicionales de seguridad

6. Organización de seguridad de la información
• Las responsibilidades de seguridad de cada parte (cliente y proveedor) deben estar claramente
definidas.
• Considerar las responsabilidades por cada servicio
• Identificar la localización de los datos en la nube para identificar las autoridades y jurisdicción

7. Organización de seguridad de la información

8. Seguridad de los Recursos Humanos
• En general aplicar las políticas de la ISO 27000 para: contratación, investigación, seguimiento y
definición de responsabilidades
• Añadir
• Considerar necesidades de formación, manuales, concienciación
Políticas para uso de
servicios Cloud
Estandares y
procedimientos para la
nube
Riesgos y su tratamiento
En la nube

9. Gestión de activos
• Como cliente tener un control de activos en la nube y exigir al proveedor que nos de funciones
para hacer el seguimiento de estos
• Considerar los tipos de activos en la nube
• Asegurarse de que el SLA o acuerdo pertinente nos permite la retirada o devolución de los
activos en el momento necesario
Información de negocio Equipos virtualizados
Almacenamiento virtualizado Software

10. Gestión de activos
• Como cliente tener un control de activos en la nube y exigir al proveedor que nos de funciones
para hacer el seguimiento de estos
• Considerar los tipos de activos en la nube
• Asegurarse de que el SLA o acuerdo pertinente nos permite la retirada o devolución de los
activos en el momento necesario
Información de negocio Equipos virtualizados
Almacenamiento virtualizado Software

11. Gestión de accesos
• Division de responsabilidades:
Cliente Proveedor
Control de acceso para cada servicio
en la nube
Control de los credenciales de
usuario para el acceso
Control de acceso previniendo o
denengando el acceso al nube en
lugares o instalaciones específicas
Control de las direcciones de acceso
(IP, URL, Puertos) a los servicios en
la nube

12. Gestión de accesos
• Sobre los passwords:
Cliente Proveedor
Encargarse de usar un procedimiento
formal de asignación
Procedimientos para emitir, cambiar o
reemitir claves
Usar las funciones provistas para la
creación y asignación de estos si las
tiene el proveedor
Procedimientos de autentificación y
autorización, incluyendo técnicas de
factor múltiple

13. Gestión de accesos
¿Que es factor multiple?
• La autenticación de factores múltiples se puede lograr usando una combinación de los
siguientes factores:
• Algo que usted conoce: contraseña o número de identificación personal (PIN)
• Algo que usted tiene: token o tarjeta inteligente (autenticación de dos factores)
• Algo que usted es: biometría, tal como una huella dactilar (autenticación de tres factores)

14. Gestión de accesos
• Restricciones de acceso:
• Procedimientos especiales deben considerarse para las herramientas de administración de la
nube con privilegios especiales
Cliente Proveedor
Restringir los accesos basándose en
la pólitica organizativa
Proveer funcionalidades para
restringir accesos
Entregar al proveedor con políticas de
restricción de acceso para mantener
la seguridad
Información sobre las restricciones de
acceso impuestas por el cliente para
mantener la información segura

15. Criptografía
• Gestión de Keys (Llaves)
– Tipos de Keys
– Procedimientos de Gestión
– Warning Imporante: No usar el proveedor para guardar las Keys que desencriptan la
información en la nube, es siempre major guardarlas y gestionarlas en servicio a parte
• Procedimientos especiales deben considerarse para las herramientas de administración de la
nube con privilegios especiales

16. Seguridad del Entorno Físico
• Perímetros de seguridad Físicos
– Aunque pueda no parecer crítica para servios en la nube, el cliente debe pedir información
sobre el perímetro de seguridad físico del proveedor.
• El proveedor debe ser cumpliendo todas las políticas y estandares seguridad físicos pertinentes
en sus premisas

17. Seguridad de Operaciones
Siempre pedir información y confirmer sobre la gerencia y funcionamiento de:
• Gestión de cambios
• Gestión de capacidad
• Malware
• Backups
• Registro de eventos

18. Seguridad de Operaciones
• Control de software operacional
• Control de vulnerabilidades técnicas
¡LA SEGURIDAD DE LAS OPERACIONES ES DE AMBOS, PROVEEDOR Y CLIENTE DEBEN
SIEMPRE COLABORAR!
El primero siempre debe evitar el no informar, el Segundo desentenderse

19. Comunicaciones
• Seguridad de los servicios de red
• Siempre exigir las carácterísticas de las redes
• Division en subredes, V-Lans, etc
– Motivos principales para esto: legalidad o tener un competidor teniendo servicio por el
mismo proveedor

20. Incidencias de seguridad
• El proveedor debe crear información sobre el marco de trabajo de gestión para incidencias de
seguridad y la gestión sobre incidencias graves. Los clientes siempre deben revisarlo, para
tener conocimiento y proponer cambios.
• Evidencias para la seguridad
Cliente Proveedor
Identificar información que sirva de
evidencia
Documentar la información que sirve
como evidencia
Establecer procedimientos para
recolectar información
Establecer procedimientos de
retención
Proteger la información Establecer procedimientos para que
el cliente pueda acceder a esa
información

21. Otros temas
• Siempre firmar y revisar los contratos formales (SLAs) con nuestros proveedores
• Tener claro el marco legal que se tiene que cumplir y si los proveedores lo cumplen
• Pedir poder acceder y hacer seguimiento de las comprobaciones de conformidad técnica de
nuestros proveedores

22. Preguntas

23. Con la colaboración de ...
Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
formaciontic@a-e.es
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 5 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.

24. Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano

25. ¿Qué competencias se adquieren con la formación oficial?

26. ¿Importan las certificaciones?

27. Promoción Alhambra-Eidos
http://www.formaciontic.com/exin-secure-cloud-services.html
Promoción válida en todas las convocatorias de los
cursos de certificación asociadas a EXIN Certified
Secure Cloud Services, cursos individuales o para el
track completo.
15% de descuento en los cursos
impartidos en Alhambra-Eidos