1

Computación integral

¡TECNOLOGÍA INFORMÁTICA SIMPLE Y ACCESIBLE PARA USTED!

2

Agenda INTRODUCCIÓN INTRODUCCIÓN A LA COMPUTACIÓN EN LA NUBE RESPONSABILIDADES EN LA NUBE RIESGO DE SEGURIDAD EN LA NUBE CUMPLIMIENTO DEMOSTRACIÓN (PROTECCIÓN DE DATOS E IDENTIDADES)

Quién soy 3

Esteve Mede Carlton Harris

u El director ejecutivo y cofundador (Esteve Mede) es un ex Director Federal de Seguridad de la Información, con más de 17 años de entrega de resultados en el sector público y privado. Esteve es ejecutivo dinámico de Tecnología de la Información con una amplia experiencia en tecnología, seguridad informática, operaciones y negocios en diferentes tipos de organizaciones. Hábil en la dirección de equipos diversos, interfuncionales y multinacionales. Altamente capacitado para fusionar tecnologías y personal dispares en unidades de negocios centradas en equipos, lo que conduce a soluciones más eficientes y creativas. Hábil en la creación de planes de trabajo de tecnología, en la administración de finanzas y entrega de nuevas funcionalidades de manera rápida y eficaz. Talentoso desarrollador de equipos con habilidad para desarrollar una visión de largo alcance y traducirla en realidad.

u El vicepresidente y cofundador (Carlton Harris) tiene más de 12 años de experiencia en seguridad de la información y seguridad

informática en el ámbito del apoyo a un gran número de agencias gubernamentales, como por ejemplo; la Marina de los Estados Unidos,

la Agencia de Seguridad Nacional, el comando de Inteligencia del Ejército de los

Estados Unidos y el Departamento de Estado. Las competencias tecnológicas de Carlton

están son la implementación de SOC, respuesta ante incidentes y diseño de

seguridad en la nube.

Imagen de la CEE 4

Visión de empresa Quiénes somos Una pequeña empresa de Virginia

fundada en 2012. Actualmente ofrece una amplia gama de servicios y

soluciones en seguridad informática, desarrollo de software y análisis de

Big Data.

Ayudamos a nuestros clientes asociándonos con ellos para crear soluciones que cumplan sus necesidades exactas, luego aplicamos las tecnologías más eficientes y las mejores prácticas del sector para garantizar que cada cliente logre el éxito en sus negocios.

Lo que hacemos

Seguridad informática y garantía de la información, Análisis de Big Data, Gestión de proyectos, Operaciones de desarrollo

Qué es la computación en nube 5

En la forma más sencilla, la computación en la nube significa almacenar, procesar y acceder a datos y programas a través de internet en lugar del disco duro de su computadora y los centros de datos

Modelo de servicio en la nube 6

u Software como servicio (SaaS): capacidad para que los clientes utilicen las aplicaciones del proveedor que se ejecutan en una infraestructura de nube. Se puede acceder a las

aplicaciones desde varios dispositivos del cliente a través de una interfaz de cliente delgada, como un navegador web, o una interfaz de programa.

u Plataforma como servicio (PaaS): capacidad para que los clientes implementen sus aplicaciones (creadas o adquiridas) en la infraestructura de la nube, utilizando lenguajes de

programación, bibliotecas, servicios y herramientas admitidas por el proveedor. u Infraestructura como servicio (IaaS): capacidad para que los clientes utilicen el

procesamiento, almacenamiento, redes y otros recursos informáticos fundamentales del proveedor para implementar y ejecutar sistemas operativos, aplicaciones y otro software en

una infraestructura de la nube.

7 Beneficios de la nube

uEficiencia y reducción de costos

uEscalabilidad uMovilidad

uRecuperación de desastres uSeguridad

Quién es responsable 8

Matriz de control/responsabilidad

SaaS

PaaS

IaaS

CSP CLIENTE

Cambia al CSP la mayoría de la responsabilidad, pero proporciona un control limitado sobre la configuración de la aplicación

Cambia la mayor parte del hardware y la infraestructura de responsabilidad a CSP, pero el cliente mantiene el control sobre la configuración de la aplicación

El cliente mantiene el control sobre el sistema operativo, la red de almacenamiento de información.

9 Ejemplo de control/responsabilidad

Modelo de servicio Ejemplo de capa en la nube PaaS IaaS SaaS

Datos

CLI

ENT

E API, GUI

Aplicaciones

Lenguajes de programación

Sistema operativo

VM

Infraestructura de red

CSP

NIC y la infraestructura de comunicación

Instalaciones físicas

Cómo comenzar a proteger su entorno

u Organización Internacional de Estandarización (ISO) 27K u Marco de requisitos de seguridad de protección (PSR) de NZISM u Dirección Australiana de Señales (ASD) Esencial 8 u Objetivos de control de la información y tecnología relacionada (COBIT) u Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) u Estándares específicos de la industria (HIPAA, PCI DSS, GDPR, etc.)

10

Marco de seguridad informática de NIST

11

Este marco está formado por estándares, lineamientos y mejores prácticas para gestionar el riesgo relacionado con la seguridad informática. El enfoque priorizado, flexible y rentable del Marco de seguridad informática ayuda a promover la protección y flexibilidad de las infraestructuras críticas y otros sectores importantes para la economía y la seguridad nacional - NIST

12

Aplicación de la seguridad a la empresa moderna

13

Empresa segura 14

Identidad La seguridad basada en la identidad es un imperativo a medida que cambiamos el uso de identidades fuera del perímetro.

Aplicaciones y datos Identifique y proteja comunicaciones, datos y aplicaciones que se alinean con las prioridades del negocio.

Infraestructura Proteja las plataformas actuales y nuevas con seguridad basada en inteligencia para detectar y remediar vulnerabilidades y ataques

Dispositivos Asegúrese de que el acceso a los datos empresariales se realice desde dispositivos de confianza con garantías de seguridad de hardware.

Plan de acción de 30/90 días 15

30 90 Más allá Protecciones avanzadas: • Cuentas de

administración • Datos y cuentas de

usuario Visibilidad del cumplimiento, amenazas y necesidades de los usuarios Adaptar e implementar políticas y protecciones predeterminadas

Configuración rápida: • Protección básica de

la administración • Configuración de

registro y auditoría • Habilite protecciones

basadas en identidad

Configuración de inquilinos Preparar a los participantes

Ajustar y perfeccionar las políticas y controles clave Ampliar las protecciones a las dependencias locales Integrar con procesos de negocios y seguridad (legales, amenazas de violación de la información privilegiada, etc.)

Mejorar la postura de seguridad 16

17

Proteger su nube con una puntuación segura

Realidad del riesgo de la nube 18

10 principales nubes de OWASP

Realidad del riesgo de la nube (continuación)

19

Almacenar o procesar datos confidenciales en la nube (por ejemplo, registros financieros, planes de negocios, código fuente, algoritmos de negociación, etc.)

16 millones de registros expuestos por piratería informática

404 millones de registros expuestos por acceso no autorizado

22 millones de registros expuestos por exposición accidental

ha experimentado el robo de datos de su infraestructura de la nube

Realidad de las violaciones de datos 20

"Entre enero y agosto de 2018, las empresas financieras revelaron tres veces más infracciones que en el mismo período de 2016" -bitglass

Cumplimiento y mitigación de riesgos 21

Las reglamentaciones están diseñadas para asegurar que las organizaciones protejan la información financiera de sus clientes.

Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) Ley Sarbanes-Oxley (SOX)

Ley de Gramm-Leach-Bliley (GLBA)

Contienen diversos requisitos relacionados con el acceso a los datos, la respuesta a los ataques informáticos y mucho más. El incumplimiento resulta en diversas multas $100.000 por infracción según la Ley GLBA

Más de $5 millones según la Ley SOX

$500.000 por infracción según PCI DSS

22

Consecuencia sobre la reputación

Control de acceso con identificación 23

u A medida que las empresas pasan a la nube para respaldar la movilidad de los empleados y escalar fácilmente para cumplir las necesidades del negocio. Las identidades van más allá de sus límites y aumentan el riesgo

RIESGO

Control u Ataques basados en

contraseña u Fuerza bruta

u Pulverización de contraseña

u Cuentas con privilegios excesivos

u Múltiples identidades

u Falta de visibilidad

u Acceso con menos privilegios

u Protección de la identidad

u Alertas basadas en el riesgo

u Autenticación de factores múltiples

u Recopilación de registros

24

Endurecimiento y alertas de identidad

Responsabilidad y riesgo de los datos 25

A medida que encuentre más valor en los datos y se produzcan, procesen y almacenan cada vez más en la nube, sus datos también se convierten en un objetivo principal para los atacantes que buscan robar y revender datos.

Control

RIESGO u Información robada

u Reputación

u Pérdida de ingresos

u Sanciones incurridas

u Prevención de la pérdida de datos

u Cifrado seguro

u Respuesta a incidentes

u Frases de contraseña fuertes

u Cifrado realmente seguro

26

Protección de datos implementados en la nube

27

Computación integral Correo electrónico:

INFO@EECOMPUTING.COM Sitio web: www.eecomputing.com

Teléfono: 833.720.7770 @EndtoEndComp @end-to-end-computing-llc

Referencias

u https://www.eecomputing.com/blog/design-a-stunning-blog

u https://www.sans.org/reading-room/whitepapers/analyst/security-accountability-cloud-data-center-survey-37327

u https://www.owasp.org/index.php/Category:OWASP_Cloud_%E2%80%90_10_Project

u https://www.skyhighnetworks.com/cloud-security-blog/5-key-findings-from-2019-cloud-adoption-and-risk-report/

u https://www.darkreading.com/attacks-breaches/exposed-consumer-data-skyrocketed-126--in-2018/d/d-id/1333790

u https://www.idtheftcenter.org/breachclarity/

u https://breachlevelindex.com/data-breach-risk-assessment-calculator

u https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealing-clients-secret-emails

u http://fortune.com/2018/02/20/tesla-hack-amazon-cloud-cryptocurrency-mining/

u https://www.darkreading.com/attacks-breaches/financial-sector-data-breaches-soar-despite-heavy-security-spending/d/d-id/1332958

28