ARQUITECTURA CLOUD

IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN

Empresa Ceballos cuenta con los siguientes activos de información, los cuales son
los responsables del funcionamiento correcto de la empresa y del éxito de
alcanzar los objetivos que se han propuestos.

Software

 Servicios de AWS
 Data Watehouse
 Data mining
 Bases de datos
 Aplicaciones de comercio electrónico
 Middleware
 Servicios de hosting de sitios webs.

Hardware de TI
 Red Wlan
 Servidores
 Portátiles
 Ordenadores de mesa
 Virtual desktop
 Routers
 Impresora
 Switch

Activos de servicios de TI
 Cortafuegos o firewall
 Detección y prevención de intrusiones
 Servicios web
Datos digitales
 Copias de seguridad
 Correo electrónico
 Personales
 Financieros
 Legales
 Investigación y desarrollo
 Estratégicos
 Comerciales

Activos intangibles

 Internet
 Conocimiento
 Relaciones
 Secretos comerciales
 Licencias
 Patentes
 Experiencia
 Conocimientos técnicos
 Imagen corporativa
 Marca
 Reputación comercial
 Confianza de los clientes
 Ventaja competitiva
 Ética
 Productividad
Activos humanos
Empleados
 directivos
 Arquitectos de software y desarrolladores
 Administradores de sistemas
 Administradores de seguridad
 Operadores
 Auditores
 Usuarios con poder

EXTERNOS
 Proveedores
 Socios
 Inventario de activos
No. Activo Dpto. Descripción Propietario Responsable Físic Digital software hardwar servicios Nivel de
o e Clasificación
Distribuidora Ceballos
Servicios de tiene montada su red en Administradores Alta
001 AWS la nube utilizando los de sistemas y de x
TI servicios de AWS, seguridad.
cuidando la integridad,
confidencialidad y
disponibilidad de los
datos
Almacén electrónico
Data donde distribuidora Administradores
002 Watehouse TI Ceballos mantiene gran de sistemas y de x Alta
cantidad de información seguridad.
segura, fiable, fácil de
recuperar ante
cualquier evento y
practico en administrar.
Administradores
Data mining Distribuidora Ceballos de sistemas,
003 TI gestiona y administra administradore x Alta
sus datos con los de seguridad y
procesos técnicos y auditores de
automáticos que brinda sistemas
Data Mining

004 Bases de acceso desde cualquier Administradores

datos TI parte a las bases de de sistemas y de x alta
datos utilizando una API seguridad.
del proveedor (AWS)

005 Aplicaciones
de comercio TI Estos activos ayudan a Directivos x Media
electrónico la organización a
aumentar sus niveles
de ventas

006 Middleware TI Mejora la comunicación Administradores Alta

entre los distintos de sistemas y de x
sistemas y aplicaciones seguridad
que se usan en
distribuidora Ceballos
 Inventario de activos
No. Activo Dpto. Descripción Responsable Operado Físico Digital software hardware servicios Nivel de
r Clasificación

red inalámbrica que Administradores Alta

007 Red Wlan TI permite conectar de sistemas y de x
todos los hardware seguridad.
de la empresa para
poder operar
Distribuidora
Servidores Ceballos cuenta con Administradores
008 TI diferentes tipos de de sistemas y de Alta
servidores los cuales seguridad.
son: servidor de x
archivo, servidor de
dominio y servidor
web esto para el
buen funcionamiento
de su arquitectura en
la nube.

Portátiles y Operadores y
009 computadoras TI Equipo de cómputo Usuarios con x Media
de escritorio los procesos internos poder
de la empresa
Administradores
010 Cortafuegos o TI Bloquea el acceso no de sistemas y de Alta
firewall autorizado, seguridad x
permitiendo
comunicaciones
autorizadas
Instrumentos de red
011 Routers y que sirven para Operadores
switch TI conectar y distribuir x media
información entre los
dispositivos que se
encuentran
conectados en are
local

012 Copias de Almacenadas en la Administradores

seguridad TI nube para prevenir de sistemas y x alta
perdidas ante de seguridad
cualquier evento
que dañe la
información
 Inventario de activos
No. Activo Dpto. Descripción Responsable Operador Físico Digita software Hardware servicios Nivel de
l Clasificación

Correo Información Administradores X Baja

013 electrónico TI para la de sistemas y de
comunicación seguridad.
entre clientes
de distribuidora
Ceballos

Datos Ventas, Administradores

014 financieros TI compras, de sistemas y de x media
créditos, stock seguridad.
etc.

Datos Promociones, x
015 estratégicos TI descuentos, Usuarios con Media
y publicidad etc. poder
comerciales
Administradores
016 Licencias TI Todo programa de sistemas y de Alta
instalado en la seguridad x
empresa
Ceballos cuenta
con su licencia
debidamente
registrada.

017 Patentes Los patentes y Directivos x

TI otros datos alta
legales de la
empresa esta
guardada y
protegida

018 Personal El personal de Directivos

TI TI que cuenta x alta
con
conocimientos
de información
sensible
 AMENAZAS
INTERNAS EXTERNAS
 Permisos de acceso de datos  Violaciones de datos
 Mala configuración  Secuestro de claves
 Controles inadecuados de cambios  Ataques de ingeniería social
 Internet  Problemas derivados de uso de las
 Falta de arquitectura y estrategias en la nube tecnologías compartidas
 Identidad insuficiente  Programa maligno
 Interfaces y APIs inseguras  Suplantación de identidad
 Control débil  Ataques de hacking
 Fallos en la metaestructura y la estructura de
aplicaciones
 Visibilidad limitada del uso de la nube
 Abuso y mal uso de los servicios en la nube
 Desconocimiento del interno en la nube
 Mala configuraciones de políticas

IDENTIFICACION DE LAS AMENAZAS

 ANALISIS DE RIESGOS
Toda arquitectura de red tiene sus riesgos en distintas categorías, la
arquitectura en la nube de distribuidora Ceballos no es la excepción, todas las
empresas tienen temor por la propagación de riesgos potenciales que estas
arquitecturas muchas veces tienen, durante el análisis se llega a la conclusión de
que es necesaria la innovación de la seguridad informática en la empresa, se ha
realizado investigación especializada para dar a conocer los resultados como
recomendaciones a distribuidora Ceballos para poder ser utilizadas por los
involucrados por ejemplo los auditores de los servicios, proveedores,
administradores de red y seguridad etc.

Las inquietudes que se ponen de manifiesto en la seguridad en Cloud Computing

se centran en la privacidad, la confidencialidad e integridad de los datos, la
autenticación, la localización de los datos y otros puntos más que se detallarán a
continuación:

AMENAZA CONCEPTOS
Amenaza 1 Abuso y uso inadecuado del Cloud
Computing
Amenaza 2 Interfaces y APIs inseguras
Amenaza 3 Amenazas internas malintencionadas
Amenaza 4 Inconvenientes por la tecnología
compartida
Amenaza 5 Perdida o fuga de datos
Amenaza 6 Secuestro de sesión o de servicios
Amenaza 7 Riesgos por desconocimientos

AMENAZA 1: Abuso y uso inadecuado del Cloud Computing

Soluciones para mitigar la amenaza

1. Proceso de validación y de registro donde se confirme los datos del usuario

de forma rigurosa.
 2. Coordinación adecuada con el departamento de TI encargado de procesar
los datos para verificar la identificación y evitar problemas de fraude.
3. Monitoreo de listas negras de cada bloque de direcciones Ip del proveedor
de Cloud Computing (AWS).

AMENAZA 2: Interfaces y APIs inseguras

Soluciones para mitigar la amenaza

1. Analizar el modelo de seguridad de las interfaces del proveedor de Cloud

de distribuidora Ceballos.
2. Asegurarse que se este utilizando un método robusto de autenticación y
control de acceso tomando en cuenta principalmente que se haga cifrado
los datos de distribuidora Ceballos.

AMENAZA 3: Amenazas internas malintencionadas

Soluciones para mitigar la amenaza

1. El área de recursos humanos del proveedor de Cloud debe de establecer

clausulas legales y de confidencialidad en los contratos laborales.
2. Distribuidora Ceballos debe de exigir al proveedor transparencia en lo
referente a los procedimientos usados para el manejo y la seguridad de la
información, lo cual refleja el prestigio del proveedor y su calidad de
servicio.

AMENAZA 4: Inconvenientes por la tecnología compartida

Soluciones para mitigar la amenaza

 Implementar buenas practicas de seguridad para la instalación y la

configuración de servicios de distribuidora Ceballos
 Monitorear el entorno para detectar cambios en la actividad anormal de
distribuidora Ceballos.
AMENAZA 5: Perdida o fuga de datos

Soluciones para mitigar la amenaza

1. Implementar APIs robusta en la red de distribuidora Ceballos para el control

de acceso.
2. Protección y cifrado de los datos en tránsito.
3. Análisis de protección de los datos.
4. Especificar mediante contrato las políticas de respaldo y de conservación
de datos.

AMENAZA 6: Secuestro de sesión o de servicios

Soluciones para mitigar la amenaza

1. Prohibir la compartición de credenciales entre usuarios y los servicios.

2. Implementar en distribuidora Ceballos técnicas de autenticación de doble
factor, para garantizar que el proceso sea lo más seguro posible.

AMENAZA 7: Riesgos por desconocimientos

Soluciones para mitigar la amenaza

1. El personal correspondiente de TI de distribuidora Ceballos tenga acceso a

los logs respectivos de los sistemas.
2. Conocimientos de los factores técnicos de la infraestructura.
3. Monitoreo de alarmas cuando se realicen acciones no seguras.
 Evaluación del Riesgo Riesgo
Código Riesgo Descripción Probabilidad Impacto Nivel Respuesta Acciones Controles necesarios Residual
Analisis
R01 Congestión de la red, frecuentes
Gestión de red fallo en la conexión, 3 4 12 Reducir de malware, Monitorear y controlar 2
uso no óptimo capacitaciones Analizar
Capacitación al
Error o falta de experiencia del personal de TI,
cancelación de personal de TI de establecer contrato
los servicios en la distribuidora Ceballos 1 4 4 Reducir con el proveedor Monitoreo y seguimientos a 1
R02 nube o error de parte del de servicio de los usuarios
proveedor de servicio. Cloud
Aparece cuando un
empleado con
Acceso de privilegios de Acuerdo con el
usuarios con administrador accede proveedor para que
privilegios los usuarios que Monitoreo constante a
cuando no debería o
actúa de forma 2 5 10 Prevenir tengan privilegios los usuarios, cambios de 1
R03 maliciosa sean solo los que contraseñas etc.
deban tenerlo

incumplimiento Aparece cuando el condiciones en los

normativo proveedor no cumple, contratos para
o no nos permite auditar el entorno Auditorias
cumplir con nuestras 1 4 4 Reducir en la nube con los 1
R04 obligaciones. proveedores

Cuando no sabemos la conocer el marco

Localización de ubicación de donde se regulatorio al seguimientos de cambios
los datos encuentran nuestra 3 5 15 Reducir almacenamiento en de leyes del país 2
R05 información el país en que este.

El proveedor debe
gestionar que los
datos de las distintas Establecer
Falta Aislamiento compañías no se políticas de
R06 de los datos mezclen y que cada Prevenir privacidad con el 0
2 5 10 proveedor de Auditorias
una sólo tenga acceso
a los suyos. servicios
Tabla de impacto

Impacto Cualitativo

1 Muy Baja
2 Baja

3 Media

4 Alta

5 Muy Alta

Tabla de probabilidad

Probabilidad de un Evento Cualitativo

1 Muy Baja

2 Baja
3 Media
4 Alta

5 Muy Alta

Análisis del riesgo con su evaluación

Riesgo Cualitativo

1a2 Menor
5a8 Poco Significativo

9 a 12 Significativo
        Impacto    
  1 2 3 4 5
  5 5 10 15 20 25
  4 4 8 12 16 20
Probabilidad 3 3 6 9 12 15
  2 2 4 6 8 10
  1 1 2 3 4 5
             
Evaluación del Riesgo
 IDENTIFICACION DE LAS VULNERABILIDADES

Vulnerabilidades
 Errores humanos
 Aplicaciones
 Malas prácticas de seguridad
 APIs inseguras
 bugs explotables en los sistemas de Distribuidora Ceballos
 Robo de cuentas
 usuario malintencionado 
 empleados descontentos
 Pérdida de datos
 Abuso y uso malicioso de servicios cloud
 Ataques de denegación de servicio (DoS)
 Vulnerabilidades en la nube por tecnologías compartida
 Instalaciones de trabajo en mal estado
DESCRIPCIONES DE LAS VULNERABILIDADES Y ACTIVOS AFECTADOS
POR RIESGO
Riesgo: Mala Gestión de red en la nube
R001
Vulnerabilidades Activos afectados

1. Falta de conocimientos en  Datos personales

seguridad informática entre los  Datos comerciales
usuarios  Hardware
2. Mala administración de los  Software
recursos.

R002 Riesgo: Error o cancelación de los servicios en la nube

Vulnerabilidades Activos afectados

1. selección de proveedor insuficiente  Credibilidad de distribuidora

2. falta de integridad y transparencia Ceballos
en los términos.  Confianza de los clientes
 Prestación de los servicios

R003 Riesgo: Acceso de usuarios con privilegios

Vulnerabilidades Activos afectados

1. Empleados descontentos  Programas

2. Compartición de  Alteración de datos o
credenciales configuraciones

R004 Riesgo: falta de Aislamiento de los datos

o: Aislamiento de los datos
Vulnerabilidades Activos afectados

1. Ausencia de aislamiento de los  Confianza del cliente

recursos  Datos financieros, empresarial y
2. Falta de aislamiento de la personales sensibles
reputación  Prestaciones de servicios
R005 Riesgo: Recuperación

Vulnerabilidades Activos afectados

Datos digitales
 Malas instalaciones  Copias de seguridad
 Ubicada en lugares donde corre  Correo electrónico
riesgos las instalaciones de  Personales
fenómenos naturales  Financieros
 Legales
 Investigación y desarrollo
 Estratégicos
 Comerciales

R006 Riesgo: viabilidad a largo plazo

Vulnerabilidades Exposición
 Data Watehouse
 Data mining
 Incumplimiento por parte de  Bases de datos
 Aplicaciones de comercio
Proveedores electrónico
 Copias de seguridad
 Incumplimiento de los Socios
 Correo electrónico
 Personales
 Financieros
 Legales
 Investigación y desarrollo
 Estratégicos
 Comerciales

R007 Riesgo: Intercepción de datos en transito

Vulnerabilidades Activos afectados

 Errores humanos  Correo electrónico
 Personales
 Aplicaciones
 Financieros
 Malas prácticas de seguridad  Legales
 Investigación y desarrollo
 APIs inseguras
 Estratégicos
 bugs explotables en los sistemas  Comerciales
 Data Watehouse
de Distribuidora Ceballos
 Data mining
 Bases de datos
R008 Riesgo: Fuga de datos dentro de la carga o descarga dentro de la nube

Vulnerabilidades Activos afectados

 Abuso y uso malicioso de servicios
cloud  Bases de datos
 Ataques de denegación de servicio
 Copias de seguridad
(DoS)
 Vulnerabilidades en la nube por  Secretos comerciales
tecnologías compartida  Etc.
 Malas prácticas de seguridad
 APIs inseguras
 bugs explotables en los sistemas
de Distribuidora Ceballos

R009 Riesgo: Distribución de denegación de servicios

Vulnerabilidades Activos afectados

 APIs inseguras  Datos empresariales
 bugs explotables en los sistemas  Bases de datos
de Distribuidora Ceballos  Secretos comerciales
 mala configuración de políticas de  Etc.
privacidad
 sistemas desactualizados

R010 Riesgo: Perdidas de las claves de codificación

Riesgo: Perdidas de las claves de codificación

Vulnerabilidades Activos afectados

 Errores humanos  Datos empresariales
 Bases de datos
 Malas prácticas de seguridad
 Secretos comerciales
 Etc.

R011 Riesgo: Robo de equipos informáticos quipos informáticos

 Vulnerabilidades Activos afectados
 usuario malintencionado   Servidores
 empleados descontentos  Portátiles
 Ordenadores de mesa
 Pérdida de datos
 Routers
 Impresora
 Switch
 Datos de todo tipo

R012 Riesgo: Catástrofes naturales rales

Vulnerabilidades Activos afectados

Todo lo relacionado con hardware y

 Instalaciones de trabajo en mal
software
estado
 PLAN DE TRATAMIENTO DE RIESGOS
CONTROL DE RIESGOS FINANCIACION DE RIESGOS
RIESGO
EVITAR PREVENIR PROTEGER ACEPTAR RETENER TRANSFERIR
La empresa tiene
001 Capacitaciones, Inspecciones, auditorias el recurso
talleres, charlas y políticas de seguridad económico para
informativas etc. suplir los gastos
para tratar este
riesgo.

Copias de definir clausulas en

002
Charlas, contratar
003 personal responsable Políticas de seguridad,
de la seguridad
informática, solicitar
historial del personal.
seguridad, contar el contratarte de
con servidor local servicio que la
de la empresa empresa se
comprometa a
reparar los daños si
estos llegaran a
fallar.
La empresa tiene
contraseñas etc. el recurso
económico para
suplir los gastos
para tratar este
riesgo.

004 Informar al proveedor Se transfiere el

para que gestione Establecemos posible daño a la
que los datos no se condiciones en el empresa
mezclen con los de contrato del servicio proveedora del
otra empresa por servicio
 falta de aislamiento.

Se da
005 Replica de seguimiento y se
Copias de seguridad Servidor local para información en otras monitorea ya que
emergencias plataformas, la probabilidad
que esto pase es
baja.

006 Establecemos Se da
condiciones en el seguimiento y se
contrato del servicio monitorea ya que
donde la empresa la probabilidad
proveedora se que esto pase es
comprometa a tener los baja.
datos disponibles si
cambian de arquitectura
o ubicación etc.
Cifrado de datos,
007 Políticas de Inspecciones, pruebas Copias de
seguridad, y análisis etc. seguridad Pólizas de seguro,
Mantener actualizado condiciones en los
todo el sistema contratos del
proveedor de servicio
Cortafuego Pólizas de seguro,
actualizado, cifrado Pruebas o simulacros de Copias de condiciones en los
008 de datos, sistema penetración en la red, seguridad contratos del
actualizado, políticas análisis frecuentes etc. proveedor de servicio
de seguridad

Cortafuego Pruebas o simulacros de Pólizas de seguro,

009 actualizado, cifrado penetración en la red, Copias de condiciones en los
de datos, sistema análisis frecuentes etc. seguridad contratos del
 actualizado, políticas proveedor de servicio
de seguridad
Charlas,
capacitaciones al Copias de seguridad de Cambios de
010 personal de contraseñas contraseñas por
seguridad, contratar parte del
personal responsable administrador de
en TI TI

011 Cámaras de Ubicar los equipos

seguridad, GPS, informáticos en lugares
control físico en la seguros
entrada y salida
Póliza de seguros

012 Instalación de Reparación de las

alarmas contra instalaciones, ubicar las
incendio, instalaciones en lugares
Uso y mantenimiento donde no haya historial Póliza de seguros
de extintores y de fenómenos climáticos
Realizar simulacros críticos o volcanes
de forma periódica cercanos
Tabulación Gerencial de Resultados
POLÍTICAS DE ASEGURAMIENTO A NIVEL DE DOMINIO, EQUIPOS Y
USUARIOS
 POLITICAS A NIVEL DE USUARIO
POLITICA DE ETICA:

NOMBRE DE LA
Política de Ética POLÍTICA 2
POLITICA
NO.

ADMINISTRADOR Equipo de TI Distribuidora Ceballos

INFORMACIÓN
RESPONSABLE Tel. 50659878
DE CONTACTO

SE APLICA A: Personal de distribuidora Ceballos

PROPOSITO:
El propósito de esta política es establecer una cultura de confianza y enfatizar las
expectativas de los empleados. Esta política servirá para guiar el comportamiento
empresarial para garantizar una conducta ética. La ética efectiva es un esfuerzo de
equipo que involucra la participación y el apoyo de cada empleado de Distribuidora
Ceballos. Todos los empleados deben familiarizarse con las pautas éticas que siguen a
esta introducción y se rigen a esta política.
Diagrama Conceptual de un esquema que contemple Alta Disponibilidad
¿Cuáles estrategias implementaría para?
 Negocio
 Tecnología
 Acuerdos con Proveedores