Titulo del material

Seguridad en Cloud Computing

UPC-2023
Temario

1. Aspectos administrativos del curso

2. Recordando conocimientos previos de ACC

3. Conceptos generales de Seguridad de la Información

4. Inicio del viaje a la nube segura

- Conociendo el material para trabajar en el curso
• Guía de Seguridad de Áreas Críticas para la
Computación en la Nube de Cloud Security Alliance
(CSA).
• Cloud Control Matrix – CCM
• ISO’s relacionadas a la seguridad
- Desarrollo de Dominio 1 y Dominio 2
Tema 1: Aspectos administrativos del curso
Información relevante
Información administrativa
Introducción al curso
Información administrativa
Introducción al curso

*Elección del DELEGADO

Tema 2: Recordando conocimientos previos de ACC
Conceptos que deben tenerlos claros
Arquitectura de Cloud Computing
Normativas y “best practices”
Concepto y Características de Cloud Computing
Principales características

“Cloud Computing es un modelo para habilitar acceso conveniente por demanda a un conjunto
compartido de recursos computacionales configurables, por ejemplo, redes, servidores,
almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados
con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios. Este
modelo de nube promueve la disponibilidad y está compuesto por cinco características esenciales.”
*Según la NIST Definition of Cloud Computing

Características

1. Auto-servicio por demanda:

Un consumidor puede definir su forma de aprovisionamiento, sin necesidad de contacto con
el proveedor. Ejm. Windows Live Hotmail.

2. Acceso amplio desde la red:

Las capacidades del servicio están disponibles en la red, y se accede a ellas mediante
mecanismos estándar que promueven el uso de plataformas para cualquier dispositivo. Ejm.
Office Web Apps.
Características de Cloud Computing
Principales características

Características
3. Conjunto de recursos:
El proveedor debe tener recursos físicos y virtuales conjugados, con un esquema donde se
puedan asignar y reasignar según lo que vaya solicitando el consumidor mediante un modelo de
“multi-tenant”. Ejm. Windows Live Skype

4. Rápida elasticidad:
Dependiendo de la demanda de las capacidades tecnológicas se abastecen y se aprovisionan de
manera elástica, escalando hacia afuera o hacia adentro, pareciendo que son ilimitadas y
pudiendo ser obtenidas en cualquier momento de manera inmediata. Ejm. Bajar la tasa de
procesamiento en servidores Windows Azure si no se encuentran con demanda.

5.Servicio medido:
Los sistemas en la nube se controlan automáticamente y se optimizan el uso de sus recursos
mediante a indicadores que permiten realizar mediciones de las diferentes capacidades, los que
son visibles al consumidor.
Características de Cloud Computing
Principales características

Tomado de material CSA

Características de Cloud Computing
Principales características

Tomado de NIST SP 500-292

Tomado de material de NTT Data
Tomado de material de NTT Data
Tomado de material de NTT Data
Tomado de material de NTT Data
Tema 3: Conceptos generales de seguridad
Conceptos que deben tenerlos claros
Conceptos generales de seguridad
Seguridad de la Información

Seguridad de la Información
Finalidad la preservación de la
confidencialidad, integridad y
disponibilidad de la información
Ref: ISO 27000:2018. 3.28

Información
Es un activo de las empresas.
Relevante para el negocio de la
organización y debe ser protegido de
manera adecuada
Ref: ISO 27000:2018. 4.2.2
Conceptos generales de seguridad
Seguridad de la Información

Confidencialidad Integridad Disponibilidad

Prevenir la revelación y Modificación de la Capacidad de
divulgación Información requiere de utilizar información
Core de Negocio, Clientes, autorización
Secretos Industriales,
cuando se requiere
Base de Datos, Archivos
Información personal y de Infraestructura,
seguridad
Físicos
Ref: ISO 27000:2018, Archivos Físicos
Ref: ISO 27000:2018, 3.10
3.36

Principales Amenazas
Segregación de
DoS
Funciones
Phishing Catástrofes naturales
Control Interno
Ingeniería Social Plan de Recuperación
Insuficiente
Mínimo acceso (MOF) no probados/confiables
Conceptos generales de seguridad
Seguridad de la Información

Actividad (15 min):

1. Buscar en Internet casos reales de empresas
que han sufrido algún ataque informático y
comprometieron la Seguridad de la
Información.
2. Exponer el caso identificado (detallado
principalmente las causas que dio origen a
dicho compromiso y que medidas de
remediación se implementaron).
Tema 4: Inicio del viaje a la nube segura
Lineamientos iniciales
Security Guidance for Critical Areas of Focus
in Cloud Computing v4.0
El auge de la computación en
nube como tecnología en
constante evolución trae consigo
una serie de oportunidades y
desafíos. Con este documento, se
pretende ofrecer tanto
orientación como inspiración para
apoyar los objetivos empresariales
y, al mismo tiempo, gestionar y
mitigar los riesgos asociados a la
adopción de la tecnología de
computación en nube.
https://cloudsecurityalliance.org/research/guidance/
Dominios
Dominios
¿Qué es la Cloud Control Matrix?

Es un marco de control de
seguridad dedicado a la gestión
de riesgos en la nube.
Se desarrolló para hacer frente a
la falta de un marco de seguridad
y cumplimiento relevante para la
nube, ya que, en el momento de
su creación, la gestión de riesgos
se centraba únicamente en
abordar la infraestructura
informática tradicional.

https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4/
Versión 4 de la CCM y CAIQ
están ahora combinados

Se compone de 197 objetivos de

control que se estructuran en 17
dominios que cubren todos los
aspectos clave de la tecnología de
la nube. Puede utilizarse como
herramienta para la evaluación
sistemática de la implantación de
la nube y proporciona orientación
sobre qué controles de seguridad
debe aplicar cada agente de la
cadena de suministro de la nube.

https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4/
Cloud Governance
Conceptos de Gobernanza de la nube

• ¿Qué es Gobernanza de la nube?

• ¿Porqué es importante
para la seguridad?

• ¿Cómo complica la nube la gobernanza?

• El impacto de los modelos de servicios en nube

• Fundamentos de gobernanza de la nube

Confianza, transparencia y seguridad en la nube
• ¿Qué es la confianza en la nube?
• ¿Qué medios existen
para medirla?

• El impacto del modelo de

responsabilidad compartida
en la nube sobre la
confianza

• Relación entre
transparencia, seguridad y
responsabilidad
Identificar los marcos de trabajo y requisitos
de gobernanza de la nube

• El alcance del gobierno de

la nube
• Requisitos operativos y de
seguridad
• Requisitos legales y
reglamentarios
Gestión de riesgos en la nube
• ¿Por qué gestión de riesgos en la nube?

• Factores de riesgo inherentes

• Análisis de riesgos... y tratamiento
Consideraciones sobre el cumplimiento de la
normativa en la nube
• Desafíos de la nube y el cumplimiento
• Herencia del cumplimiento
Preguntas…
Si, luego del estudio de este material, tienes dudas sobre
alguno de los temas, ingresa al Aula Virtual y participa en el
foro de dudas académicas de la unidad.
 Continúa con las actividades
propuestas en la sesión.

Material producido para la Universidad Peruana de Ciencias Aplicadas

Autor: Ing. Aldo Díaz C.
COPYRIGHT ©UPC 2018 – Todos los derechos reservados