3º webinar - 3ª ed. exin en castellano: adaptando la seguridad de la información en la nube
TRANSCRIPT
![Page 1: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/1.jpg)
3ª edición #EXINWebinarEnCastellano
Certificando a los profesionales de hoy… para las TI del futuro.
![Page 2: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/2.jpg)
Adaptar la seguridad de la información
en la nube
![Page 3: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/3.jpg)
Con la colaboración de ...Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 5 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.
![Page 4: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/4.jpg)
Políticas de seguridad
• Alinear las políticas de seguridad con la ISO 27000
• Tomar en cuenta:
– Información en la nube que puede ser accedida y gestionada por el proveedor de Cloud
– Activos en la nube
– Procesos funcionando en la nube
– Usuarios de la nube
– Administradores con privilegios especiales
![Page 5: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/5.jpg)
Políticas de seguridad
• Negociar los niveles de seguridad con el proveedor de Cloud
• Muchas veces esto no se podra realizer, el proveedor tendra unas medidas de seguridad y
niveles fijos
• En ese caso como clientes habrá que desarrollar medidas adicionales de seguridad
![Page 6: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/6.jpg)
Organización de seguridad de la información
• Las responsibilidades de seguridad de cada parte (cliente y proveedor) deben estar claramente
definidas.
• Considerar las responsabilidades por cada servicio
• Identificar la localización de los datos en la nube para identificar las autoridades y jurisdicción
![Page 7: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/7.jpg)
Organización de seguridad de la información
![Page 8: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/8.jpg)
Seguridad de los Recursos Humanos
• En general aplicar las políticas de la ISO 27000 para: contratación, investigación, seguimiento y
definición de responsabilidades
• Añadir
• Considerar necesidades de formación, manuales, concienciación
Políticas para uso de
servicios Cloud
Estandares y
procedimientos para la
nube
Riesgos y su tratamiento
En la nube
![Page 9: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/9.jpg)
Gestión de activos
• Como cliente tener un control de activos en la nube y exigir al proveedor que nos de funciones
para hacer el seguimiento de estos
• Considerar los tipos de activos en la nube
• Asegurarse de que el SLA o acuerdo pertinente nos permite la retirada o devolución de los
activos en el momento necesario
Información de negocio Equipos virtualizados
Almacenamiento virtualizado Software
![Page 10: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/10.jpg)
Gestión de activos
• Como cliente tener un control de activos en la nube y exigir al proveedor que nos de funciones
para hacer el seguimiento de estos
• Considerar los tipos de activos en la nube
• Asegurarse de que el SLA o acuerdo pertinente nos permite la retirada o devolución de los
activos en el momento necesario
Información de negocio Equipos virtualizados
Almacenamiento virtualizado Software
![Page 11: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/11.jpg)
Gestión de accesos
• Division de responsabilidades:
Cliente Proveedor
Control de acceso para cada servicio
en la nube
Control de los credenciales de
usuario para el acceso
Control de acceso previniendo o
denengando el acceso al nube en
lugares o instalaciones específicas
Control de las direcciones de acceso
(IP, URL, Puertos) a los servicios en
la nube
![Page 12: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/12.jpg)
Gestión de accesos
• Sobre los passwords:
Cliente Proveedor
Encargarse de usar un procedimiento
formal de asignación
Procedimientos para emitir, cambiar o
reemitir claves
Usar las funciones provistas para la
creación y asignación de estos si las
tiene el proveedor
Procedimientos de autentificación y
autorización, incluyendo técnicas de
factor múltiple
![Page 13: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/13.jpg)
Gestión de accesos
¿Que es factor multiple?
• La autenticación de factores múltiples se puede lograr usando una combinación de los
siguientes factores:
• Algo que usted conoce: contraseña o número de identificación personal (PIN)
• Algo que usted tiene: token o tarjeta inteligente (autenticación de dos factores)
• Algo que usted es: biometría, tal como una huella dactilar (autenticación de tres factores)
![Page 14: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/14.jpg)
Gestión de accesos
• Restricciones de acceso:
• Procedimientos especiales deben considerarse para las herramientas de administración de la
nube con privilegios especiales
Cliente Proveedor
Restringir los accesos basándose en
la pólitica organizativa
Proveer funcionalidades para
restringir accesos
Entregar al proveedor con políticas de
restricción de acceso para mantener
la seguridad
Información sobre las restricciones de
acceso impuestas por el cliente para
mantener la información segura
![Page 15: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/15.jpg)
Criptografía
• Gestión de Keys (Llaves)
– Tipos de Keys
– Procedimientos de Gestión
– Warning Imporante: No usar el proveedor para guardar las Keys que desencriptan la
información en la nube, es siempre major guardarlas y gestionarlas en servicio a parte
• Procedimientos especiales deben considerarse para las herramientas de administración de la
nube con privilegios especiales
![Page 16: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/16.jpg)
Seguridad del Entorno Físico
• Perímetros de seguridad Físicos
– Aunque pueda no parecer crítica para servios en la nube, el cliente debe pedir información
sobre el perímetro de seguridad físico del proveedor.
• El proveedor debe ser cumpliendo todas las políticas y estandares seguridad físicos pertinentes
en sus premisas
![Page 17: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/17.jpg)
Seguridad de Operaciones
Siempre pedir información y confirmer sobre la gerencia y funcionamiento de:
• Gestión de cambios
• Gestión de capacidad
• Malware
• Backups
• Registro de eventos
![Page 18: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/18.jpg)
Seguridad de Operaciones
• Control de software operacional
• Control de vulnerabilidades técnicas
¡LA SEGURIDAD DE LAS OPERACIONES ES DE AMBOS, PROVEEDOR Y CLIENTE DEBEN
SIEMPRE COLABORAR!
El primero siempre debe evitar el no informar, el Segundo desentenderse
![Page 19: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/19.jpg)
Comunicaciones
• Seguridad de los servicios de red
• Siempre exigir las carácterísticas de las redes
• Division en subredes, V-Lans, etc
– Motivos principales para esto: legalidad o tener un competidor teniendo servicio por el
mismo proveedor
![Page 20: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/20.jpg)
Incidencias de seguridad
• El proveedor debe crear información sobre el marco de trabajo de gestión para incidencias de
seguridad y la gestión sobre incidencias graves. Los clientes siempre deben revisarlo, para
tener conocimiento y proponer cambios.
• Evidencias para la seguridad
Cliente Proveedor
Identificar información que sirva de
evidencia
Documentar la información que sirve
como evidencia
Establecer procedimientos para
recolectar información
Establecer procedimientos de
retención
Proteger la información Establecer procedimientos para que
el cliente pueda acceder a esa
información
![Page 21: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/21.jpg)
Otros temas
• Siempre firmar y revisar los contratos formales (SLAs) con nuestros proveedores
• Tener claro el marco legal que se tiene que cumplir y si los proveedores lo cumplen
• Pedir poder acceder y hacer seguimiento de las comprobaciones de conformidad técnica de
nuestros proveedores
![Page 22: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/22.jpg)
Preguntas
![Page 23: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/23.jpg)
Con la colaboración de ...Alhambra Eidos:
C/Albasanz 16, Madrid (España)
+34917872300
www.formaciontic.com
@formacionTIC
Guillermo Hernández
Experto en gestión de servicios de TI y desarrollo.
Ha trabajado y conoce la gestión y organización
de distintas instituciones y empresas, y tiene
conocimiento de distintas herramientas de gestión
como Service Desk o Remedy. Formador desde
hace 5 años, su principal objetivo es el énfasis en
la utilidad real de los pequeños detalles de la
gestión de servicios.
![Page 24: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/24.jpg)
Con la colaboración de:
@exin_es
¡GRACIAS!
youtube/exinexams
facebook.com/EXINEnCastellano
slideshare.net/EXINEnCastellano
![Page 25: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/25.jpg)
¿Qué competencias se adquieren con la formación oficial?
![Page 26: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/26.jpg)
¿Importan las certificaciones?
![Page 27: 3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la información en la nube](https://reader031.vdocuments.mx/reader031/viewer/2022022001/58ad85721a28ab662a8b4d29/html5/thumbnails/27.jpg)
Promoción Alhambra-Eidos
http://www.formaciontic.com/exin-secure-cloud-services.html
Promoción válida en todas las convocatorias de los
cursos de certificación asociadas a EXIN Certified
Secure Cloud Services, cursos individuales o para el
track completo.
15% de descuento en los cursos
impartidos en Alhambra-Eidos