UNIVERSIDAD DE HUÁNUCO

FACULTAD DE INGENIERÍA PROGRAMA ACADÉMICO DE INGENIERÍA

DE SISTEMAS E INFORMATICA

Auditoría y seguridad en la nube

Antes vs Actualidad
CURSO: AUDITORÍA DE SISTEMAS E INFORMATICA
DOCENTE: MG. CARLOS ENRIQUE SUAREZ PAUCAR
INTEGRANTES:
REYES CAPCHA LUZMILA
ROBLES DOROTEO MONICA
 Introducció n
La auditoría nació con la necesidad que tenía el Estado de mantener
controladas y vigiladas a las entidades, A finales de los años 90,
concretamente en 1999, se produjo un gran hito en el cloud computing, ya
que se inauguró Salesforce. Se trataba de un nuevo concepto, con el que se
pretendía ofrecer aplicaciones empresariales a través de una página web
simple, A partir de ese momento, las grandes empresas de informática
comenzaron a interesarse por los servicios de Cloud Computing y comenzó la
innovación y desarrollo de los diferentes tipos de nubes.
 ‍Prá cticas de auditoría de seguridad en la nube
Antes vs
● Enfoque en la infraestructura física y
de red.
● Evaluación de los controles de
seguridad física de los centros de
datos.
● Verificación de la implementación
de firewalls y sistemas de seguridad
perimetral.
● Análisis de la configuración de red y
la segregación de redes.
● Mayor énfasis en la protección de la
infraestructura subyacente.
Actual
● Enfoque más amplio que abarca diferentes
aspectos de seguridad en la nube.
● Consideración de la seguridad de los datos
almacenados y procesados en la nube.
● Evaluación de mecanismos de encriptación.
● Revisión de la gestión de identidad y acceso,
incluyendo autenticación y control de privilegios.
● Cumplimiento normativo de regulaciones y
estándares de seguridad y privacidad de datos.
● Énfasis en la detección temprana de problemas
de seguridad y respuesta rápida a incidentes.
● Uso de auditorías continuas en lugar de
auditorías puntuales.
● Mayor atención a la protección contra amenazas
cibernéticas y ataques sofisticados.
Tipo comparativo Auditoría y seguridad
en la nube
 Enfoque en la infraestructura
Antes
La auditoría de seguridad en la nube
se centraba en la evaluación de la
infraestructura física de los centros
de datos, como la seguridad física
del lugar y la implementación de
firewalls y otros mecanismos de
seguridad en la red.
Actualidad
Además de la infraestructura física,
se consideran otros aspectos, como
la seguridad de los datos, la gestión
de identidad y acceso, la protección
contra amenazas internas y
externas, entre otros. La auditoría se
enfoca en evaluar una amplia gama
de aspectos de seguridad en la
nube, más allá de la infraestructura
física y de red.
Cambio de enfoque de la auditoría puntual a la auditoría
continua
Antes
Las auditorías de seguridad en la
nube solían ser eventos puntuales
que se realizaban de forma
periódica, generalmente una o dos
veces al año.
Actualidad
El enfoque ha cambiado hacia una
auditoría continua, donde se
monitorean constantemente los
sistemas y se realizan evaluaciones
de riesgos de manera continua. Esto
permite una detección más
temprana de posibles problemas de
seguridad y una respuesta más
rápida ante incidentes.
Mayor é nfasis en la seguridad de los datos
Antes
El enfoque estaba principalmente
orientado a la seguridad de la
infraestructura subyacente y las
capas de red.
Actualidad
La seguridad de los datos se ha
convertido en un aspecto crítico. Se
evalúa la encriptación de datos, el
cumplimiento de normativas de
protección de datos, la gestión de
claves y la protección de datos en
tránsito y en reposo. Se consideran
aspectos como la clasificación y
gestión de datos sensibles.
Consideració n de la gestió n de identidad y acceso
Antes
La gestión de identidad y acceso no
recibía tanta atención en las
auditorías de seguridad en la nube.
Actualidad
Se evalúan los mecanismos de
autenticación, los controles de
acceso y los privilegios asignados a
los usuarios. Se analizan los procesos
de gestión de usuarios, como la
incorporación y baja de empleados,
para garantizar prácticas adecuadas
de seguridad en la gestión de
identidades.
Enfoque en la resiliencia y continuidad del negocio
Antes
No se prestaba mucha atención a los
planes de recuperación ante
desastres y la continuidad del
negocio.
Actualidad
Se evalúan los planes de
recuperación ante desastres, las
pruebas de continuidad del negocio
y los procedimientos de respaldo y
restauración de datos. Se busca
garantizar que los datos y servicios
sean accesibles y estén protegidos
incluso en caso de incidentes o
interrupciones.
 Beneficios de las auditorías de seguridad Cloud

● Detección de malas prácticas relacionadas con la configuración e implementación sobre

los servicios de cloud.
● Detección de problemas derivados del uso de APIs de autenticación y tokens de servicios
de terceros.
● Identificación de vulnerabilidades de autorización relacionadas con una incorrecta
gestión de roles, permisos y privilegios (IAM).
● Vulnerabilidades relacionadas con APIs inseguras.
● Evaluación de la seguridad de contenedores de almacenamiento en la nube.
● Detección de vulnerabilidades mediante la explotación de funciones lambda y procesos
stateless.
● Identificación de servicios expuestos y sus posibles configuraciones inseguras en
entornos serverless.
GRACIAS!