1 Computación integral - ICGFM · Modelo de servicio en la nube . 6 . u. Software como servicio...
Transcript of 1 Computación integral - ICGFM · Modelo de servicio en la nube . 6 . u. Software como servicio...
1
Computación integral
¡TECNOLOGÍA INFORMÁTICA SIMPLE Y ACCESIBLE PARA USTED!
2
Agenda INTRODUCCIÓN INTRODUCCIÓN A LA COMPUTACIÓN EN LA NUBE RESPONSABILIDADES EN LA NUBE RIESGO DE SEGURIDAD EN LA NUBE CUMPLIMIENTO DEMOSTRACIÓN (PROTECCIÓN DE DATOS E IDENTIDADES)
Quién soy 3
Esteve Mede Carlton Harris
u El director ejecutivo y cofundador (Esteve Mede) es un ex Director Federal de Seguridad de la Información, con más de 17 años de entrega de resultados en el sector público y privado. Esteve es ejecutivo dinámico de Tecnología de la Información con una amplia experiencia en tecnología, seguridad informática, operaciones y negocios en diferentes tipos de organizaciones. Hábil en la dirección de equipos diversos, interfuncionales y multinacionales. Altamente capacitado para fusionar tecnologías y personal dispares en unidades de negocios centradas en equipos, lo que conduce a soluciones más eficientes y creativas. Hábil en la creación de planes de trabajo de tecnología, en la administración de finanzas y entrega de nuevas funcionalidades de manera rápida y eficaz. Talentoso desarrollador de equipos con habilidad para desarrollar una visión de largo alcance y traducirla en realidad.
u El vicepresidente y cofundador (Carlton Harris) tiene más de 12 años de experiencia en seguridad de la información y seguridad
informática en el ámbito del apoyo a un gran número de agencias gubernamentales, como por ejemplo; la Marina de los Estados Unidos,
la Agencia de Seguridad Nacional, el comando de Inteligencia del Ejército de los
Estados Unidos y el Departamento de Estado. Las competencias tecnológicas de Carlton
están son la implementación de SOC, respuesta ante incidentes y diseño de
seguridad en la nube.
Imagen de la CEE 4
Visión de empresa Quiénes somos Una pequeña empresa de Virginia
fundada en 2012. Actualmente ofrece una amplia gama de servicios y
soluciones en seguridad informática, desarrollo de software y análisis de
Big Data.
Ayudamos a nuestros clientes asociándonos con ellos para crear soluciones que cumplan sus necesidades exactas, luego aplicamos las tecnologías más eficientes y las mejores prácticas del sector para garantizar que cada cliente logre el éxito en sus negocios.
Lo que hacemos
Seguridad informática y garantía de la información, Análisis de Big Data, Gestión de proyectos, Operaciones de desarrollo
Qué es la computación en nube 5
En la forma más sencilla, la computación en la nube significa almacenar, procesar y acceder a datos y programas a través de internet en lugar del disco duro de su computadora y los centros de datos
Modelo de servicio en la nube 6
u Software como servicio (SaaS): capacidad para que los clientes utilicen las aplicaciones del proveedor que se ejecutan en una infraestructura de nube. Se puede acceder a las
aplicaciones desde varios dispositivos del cliente a través de una interfaz de cliente delgada, como un navegador web, o una interfaz de programa.
u Plataforma como servicio (PaaS): capacidad para que los clientes implementen sus aplicaciones (creadas o adquiridas) en la infraestructura de la nube, utilizando lenguajes de
programación, bibliotecas, servicios y herramientas admitidas por el proveedor. u Infraestructura como servicio (IaaS): capacidad para que los clientes utilicen el
procesamiento, almacenamiento, redes y otros recursos informáticos fundamentales del proveedor para implementar y ejecutar sistemas operativos, aplicaciones y otro software en
una infraestructura de la nube.
7 Beneficios de la nube
uEficiencia y reducción de costos
uEscalabilidad uMovilidad
uRecuperación de desastres uSeguridad
Quién es responsable 8
Matriz de control/responsabilidad
SaaS
PaaS
IaaS
CSP CLIENTE
Cambia al CSP la mayoría de la responsabilidad, pero proporciona un control limitado sobre la configuración de la aplicación
Cambia la mayor parte del hardware y la infraestructura de responsabilidad a CSP, pero el cliente mantiene el control sobre la configuración de la aplicación
El cliente mantiene el control sobre el sistema operativo, la red de almacenamiento de información.
9 Ejemplo de control/responsabilidad
Modelo de servicio Ejemplo de capa en la nube PaaS IaaS SaaS
Datos
CLI
ENT
E API, GUI
Aplicaciones
Lenguajes de programación
Sistema operativo
VM
Infraestructura de red
CSP
NIC y la infraestructura de comunicación
Instalaciones físicas
Cómo comenzar a proteger su entorno
u Organización Internacional de Estandarización (ISO) 27K u Marco de requisitos de seguridad de protección (PSR) de NZISM u Dirección Australiana de Señales (ASD) Esencial 8 u Objetivos de control de la información y tecnología relacionada (COBIT) u Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) u Estándares específicos de la industria (HIPAA, PCI DSS, GDPR, etc.)
10
Marco de seguridad informática de NIST
11
Este marco está formado por estándares, lineamientos y mejores prácticas para gestionar el riesgo relacionado con la seguridad informática. El enfoque priorizado, flexible y rentable del Marco de seguridad informática ayuda a promover la protección y flexibilidad de las infraestructuras críticas y otros sectores importantes para la economía y la seguridad nacional - NIST
12
Aplicación de la seguridad a la empresa moderna
13
Empresa segura 14
Identidad La seguridad basada en la identidad es un imperativo a medida que cambiamos el uso de identidades fuera del perímetro.
Aplicaciones y datos Identifique y proteja comunicaciones, datos y aplicaciones que se alinean con las prioridades del negocio.
Infraestructura Proteja las plataformas actuales y nuevas con seguridad basada en inteligencia para detectar y remediar vulnerabilidades y ataques
Dispositivos Asegúrese de que el acceso a los datos empresariales se realice desde dispositivos de confianza con garantías de seguridad de hardware.
Plan de acción de 30/90 días 15
30 90 Más allá Protecciones avanzadas: • Cuentas de
administración • Datos y cuentas de
usuario Visibilidad del cumplimiento, amenazas y necesidades de los usuarios Adaptar e implementar políticas y protecciones predeterminadas
Configuración rápida: • Protección básica de
la administración • Configuración de
registro y auditoría • Habilite protecciones
basadas en identidad
Configuración de inquilinos Preparar a los participantes
Ajustar y perfeccionar las políticas y controles clave Ampliar las protecciones a las dependencias locales Integrar con procesos de negocios y seguridad (legales, amenazas de violación de la información privilegiada, etc.)
Mejorar la postura de seguridad 16
17
Proteger su nube con una puntuación segura
Realidad del riesgo de la nube 18
10 principales nubes de OWASP
Realidad del riesgo de la nube (continuación)
19
Almacenar o procesar datos confidenciales en la nube (por ejemplo, registros financieros, planes de negocios, código fuente, algoritmos de negociación, etc.)
16 millones de registros expuestos por piratería informática
404 millones de registros expuestos por acceso no autorizado
22 millones de registros expuestos por exposición accidental
ha experimentado el robo de datos de su infraestructura de la nube
Realidad de las violaciones de datos 20
"Entre enero y agosto de 2018, las empresas financieras revelaron tres veces más infracciones que en el mismo período de 2016" -bitglass
Cumplimiento y mitigación de riesgos 21
Las reglamentaciones están diseñadas para asegurar que las organizaciones protejan la información financiera de sus clientes.
Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) Ley Sarbanes-Oxley (SOX)
Ley de Gramm-Leach-Bliley (GLBA)
Contienen diversos requisitos relacionados con el acceso a los datos, la respuesta a los ataques informáticos y mucho más. El incumplimiento resulta en diversas multas $100.000 por infracción según la Ley GLBA
Más de $5 millones según la Ley SOX
$500.000 por infracción según PCI DSS
22
Consecuencia sobre la reputación
Control de acceso con identificación 23
u A medida que las empresas pasan a la nube para respaldar la movilidad de los empleados y escalar fácilmente para cumplir las necesidades del negocio. Las identidades van más allá de sus límites y aumentan el riesgo
RIESGO
Control u Ataques basados en
contraseña u Fuerza bruta
u Pulverización de contraseña
u Cuentas con privilegios excesivos
u Múltiples identidades
u Falta de visibilidad
u Acceso con menos privilegios
u Protección de la identidad
u Alertas basadas en el riesgo
u Autenticación de factores múltiples
u Recopilación de registros
24
Endurecimiento y alertas de identidad
Responsabilidad y riesgo de los datos 25
A medida que encuentre más valor en los datos y se produzcan, procesen y almacenan cada vez más en la nube, sus datos también se convierten en un objetivo principal para los atacantes que buscan robar y revender datos.
Control
RIESGO u Información robada
u Reputación
u Pérdida de ingresos
u Sanciones incurridas
u Prevención de la pérdida de datos
u Cifrado seguro
u Respuesta a incidentes
u Frases de contraseña fuertes
u Cifrado realmente seguro
26
Protección de datos implementados en la nube
27
Computación integral Correo electrónico:
[email protected] Sitio web: www.eecomputing.com
Teléfono: 833.720.7770 @EndtoEndComp @end-to-end-computing-llc
Referencias
u https://www.eecomputing.com/blog/design-a-stunning-blog
u https://www.sans.org/reading-room/whitepapers/analyst/security-accountability-cloud-data-center-survey-37327
u https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2%80%90_10_Project
u https://www.skyhighnetworks.com/cloud-security-blog/5-key-findings-from-2019-cloud-adoption-and-risk-report/
u https://www.darkreading.com/attacks-breaches/exposed-consumer-data-skyrocketed-126--in-2018/d/d-id/1333790
u https://www.idtheftcenter.org/breachclarity/
u https://breachlevelindex.com/data-breach-risk-assessment-calculator
u https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails
u http://fortune.com/2018/02/20/tesla-hack-amazon-cloud-cryptocurrency-mining/
u https://www.darkreading.com/attacks-breaches/financial-sector-data-breaches-soar-despite-heavy-security-spending/d/d-id/1332958
28