SlideShare una empresa de Scribd logo

Tgs wp-seguridad enlanube-esp-v4

Itconic
Itconic

Ciberseguridad en la PYME 2014

Tecnología
1 de 8
Descargar para leer sin conexión
Ciberseguridad en la PYME 2014 Superficies de ataque en el Data Center privado y en Cloud Por Enrique Martín Garcia Telvent Global Services C/ Valgrande, 6 28018 Alcobendas Madrid – Spain enrique.martingarcia@telvent.com
Superficies de ataque en el Data Center privado y en Cloud Febrero de 2015 2 Contenidos Resumen ............................................................ 2 Introducción....................................................... 2 Fundamentos de Ciberseguridad......................... 3 Gestión de riesgos ............................................ ..3 Motivación............................................................. 3 Visibilidad.............................................................. 4 Capacidad de explotación ..................................... 4 Recursos y preparación de las organizaciones ..... 4 Medida de la Ciberseguridad ........................... ..5 Superficie de ataque............................................... 5 Cálculo de los indicadores sintéticos..................... 5 Resultados obtenidos ......................................... 5 Resultados cualitativos..................................... ..5 Resultados cuantitativos................................... ..6 Madurez................................................................. 6 Superficie de ataque............................................... 6 Resultados en la nube (The Global Cloud) ...... ..7 Conclusiones ...................................................... 8 Referencias......................................................... 8 Resumen Históricamente una de las grandes barreras en las empresas para la adopción de soluciones basadas en la nube (Cloud) fue la seguridad de la información. Los incidentes conocidos durante 2014 [1] y que afectaron a distintos proveedores de servicios Cloud a nivel mundial, parecían reafirmar esta barrera unánimemente aceptada. Sin embargo, durante 2014 realizamos una serie de análisis de seguridad a distintas empresas tipo PYME, encuadradas en distintos sectores y que nos proporcionaron una visión bastante clara acerca del estado de madurez de su seguridad IT. En este estudio vamos a ofrecer una comparativa entre los valores de las superficies de ataque de los servicios explotados de manera autónoma por las empresas en sus Data Centers propios y con su personal interno, frente a los obtenidos sobre servicios desplegados en nuestra nube (The Global Cloud). Introducción La ciberseguridad de las organizaciones ha empezado a preocupar a sus directivos a raíz del incremento de visibilidad que los incidentes de este tipo han tenido en los medios de comunicación. Una prueba de esto es la actividad desarrollada por Telvent Global Services en 2014 para analizar el estado de la Ciberseguridad de distintas empresas. En este análisis se realizó una identificación de los niveles de madurez para distintos aspectos que componen el gobierno de la seguridad de la información en las organizaciones. Los niveles de madurez utilizados para evaluar cada uno de los aspectos analizados fueron los siguientes: 1. Inicial. Las acciones se realizan informalmente, o de manera reactiva, sin dejar evidencia, ni estar procedimentado.
Superficies de ataque en el Data Center privado y en Cloud 3 2. Repetible. La forma de actuar está procedimentada, pero no existen mecanismos de registro y control de las acciones realizadas. 3. Definido. Los procedimientos, generan traza de su actuación, pero esta no es analizada. 4. Gestionado. La gestión de la organización está basada en el seguimiento de KPIs. 5. Optimizado. Existe una vocación por la mejora continua. La madurez se calculó sobre distintas áreas que gestionan el nivel de seguridad de una organización:  Gobierno de la seguridad (Política y procedimientos)  Gestión de la continuidad (Disponibilidad e integridad de la información)  Seguridad perimetral (Gestión de canales y protocolos de entrada y salida)  Seguridad interna (Gestión de sistemas, aplicaciones y datos)  Seguridad física (Controles y salvaguardas de acceso físico) En función de la evaluación realizada sobre distintos aspectos de cada una de las áreas, se generó un indicador sintético numérico que ofrecía un valor entre 1 y 5 de las mismas. Las empresas analizadas pertenecen a distintos sectores, algunos de ellos clasificados como críticos por el Centro Nacional de Protección de Infraestructuras Críticas:  Alimentación  Químico  Administración Pública  Otros sectores no críticos: o Fabricación o Servicios generales o Logísitica o Venta On Line o Servicios Legales El tamaño de las empresas analizadas se corresponde con el Pequeña y Mediana Empresa (PYME), llegando hasta los 250 trabajadores y facturaciones comprendidas entre 2 y 10 millones de Euros. En este documento presentaremos el cálculo de un parámetro concreto que estimamos fundamental a la hora de determinar el grado de seguridad de una organización (Superficie de Ataque) para todas ellas, y lo compararemos con el obtenido al calcularlo sobre nuestra nube (The Global Cloud). Para el cálculo del valor de este indicador sintético, se utilizará una media de los valores obtenidos en las áreas de seguridad evaluadas y que se explica en puntos posteriores de este estudio. Fundamentos de Ciberseguridad Gestión de riesgos La seguridad de los activos de información de una organización concreta podría parecer asociada a la no existencia de riesgos sobre dichos activos. Esta situación es imposible, por lo que debemos enfocar nuestra actividad a intentar minimizar los riesgos a los que están sometidos nuestros activos de información en cada momento. Si entendemos el riesgo como la probabilidad de que algo dañe nuestros activos de información causando pérdidas a nuestra organización (Impacto), llegaremos a la siguiente ecuación: Riesgo = Probabilidad x Impacto Es difícil actuar sobre el impacto sin alterar el valor de los activos de la organización, por lo que nos concentraremos en minimizar la probabilidad de que algo (Amenazas) dañe nuestros activos. Pero, ¿qué factores afectan a esta probabilidad? Motivación De acuerdo a una de las fuentes de información más seguidas en el sector de la Seguridad (Hackmageddon[2] ), este es el reparto de las motivaciones tras los ataques a los activos de información:
Superficies de ataque en el Data Center privado y en Cloud 4 No se puede conocer a ciencia cierta el tamaño de negocio del Ciber Crimen a nivel mundial, pero se sospecha que es muy superior al de grandes multinacionales e incluso al Producto Interior Bruto de algunos pequeños países. (McAfee [3] ). Esta motivación sigue su tendencia de crecimiento de manera continua. Visibilidad La alta conectividad de los sistemas de negocio a Internet, hace que sea más cómoda y económica su explotación, pero también hace posible el acceso de terceros no autorizados a los servicios y aplicaciones publicadas. En esta figura se aprecian los sistemas con puertos IP accesibles desde Internet. Como veremos más adelante, el número de canales y protocolos abiertos es un factor que incrementa directamente la probabilidad de ser atacado y sufrir algún impacto. Capacidad de explotación Nuestros activos de información tendrán una mayor probabilidad de ser atacados si presentan debilidades en su implementación y si estas debilidades son fácilmente rebasadas y de una manera repetitiva. En este caso se dice que nuestros sistemas son vulnerables. La vulnerabilidad de los sistemas y servicios es algo que incrementa el riesgo y que, por tanto, disminuye la seguridad de nuestros activos de información. Es de destacar que en los últimos años, el mercado de empresas que comercian con este tipo de debilidades se ha incrementado de manera significativa, pudiéndose encontrar incluso en el espacio Web habitual. Recursos y preparación de las organizaciones Los tres pilares básicos sobre los que debe descansar la estrategia de seguridad de cualquier organización son, por este orden, las personas, los procedimientos definidos y la tecnología implantada. Un personal concienciado, la existencia de procedimientos de gestión de controles e incidentes y la implantación de soluciones tecnológicas acordes al entorno a proteger, son medidas apropiadas para disminuir el riesgo que deben soportar nuestros activos de información.
Superficies de ataque en el Data Center privado y en Cloud 5 Medida de la Ciberseguridad Superficie de ataque Si aceptamos que la disminución del riesgo incrementa nuestra seguridad, parece necesario definir un parámetro que aglutine los conceptos anteriormente revisados y permita seguir su evolución temporal dentro de la organización. Este parámetro o indicador a definir seria aquel que permitiera cuantificar la disminución del riesgo de los activos mediante la minimización de la probabilidad de impacto. En este caso hemos seleccionado la Superficie de Ataque. (SA) La superficie de ataque se define de la siguiente manera: Es claro que la SA aumenta con los procesos y datos accesibles (PD) y los Canales y protocolos (CP) abiertos, y disminuye en función de los controles de acceso que implantemos sobre ellos. Este indicador es fundamental para poder diseñar una estrategia de defensa en profundidad de los activos y ofrece un valor objetivo para realizar un seguimiento periódico de la evolución del estado de seguridad de una organización. Cálculo de los indicadores sintéticos Para poder determinar el valor de la superficie de ataque, debemos calcular el valor de los siguientes indicadores sintéticos:  PD: Accesibilidad a los procesos y datos de la organización.  CP: Canales y protocolos de la organización accesibles.  CA: Conjunto de medidas que regulan el derecho de acceso a los dos recursos anteriores. En el caso del primer indicador, se ha utilizado el valor del Gap detectado entre el grado de madurez actual de la organización y el valor máximo en la escala de madurez utilizada. El grado de madurez para el indicador PD es la media aritmética de los siguientes valores asignados a cada organización:  PD1: Gestión del bastionado de sistemas  PD2: Gestión de parches De igual manera se ha realizado el cálculo de CP, pero en este caso la media aritmética se ha realizado sobre los siguientes valores de madurez:  CP1: Gestión de servicios accesibles desde Internet  CP2: Gestión de servicios accesibles desde la Intranet  CP3: Análisis de visibilidad y vulnerabilidades periódico En el caso del cálculo de CA, se ha asignado directamente la media aritmética de los valores obtenidos para la madurez en las siguientes Áreas:  CA1: Controles técnicos de seguridad perimetral  CA2: Gestión de usuarios  CA3: Política de seguridad y procedimientos  CA4: Controles de seguridad física Con esta metodología se ha realizado el cálculo de las superficies de ataque que mostraremos en el siguiente punto. Resultados obtenidos Resultados cualitativos Los resultados cualitativos más importantes en todas las organizaciones estudiadas son los siguientes: 1. Amplio margen de mejora en la definición, implantación y supervisión periódica de políticas y procedimientos de seguridad 2. Escasa inversión en la formación de concienciación periódica (al menos anual) de los usuarios 3. Equipos de seguridad poco dotados o inexistentes, siendo una tarea
Superficies de ataque en el Data Center privado y en Cloud 6 complementaria de los equipos de Sistemas y Comunicaciones de la organización. Esta circunstancia compromete seriamente la aplicación sistemática de los POS (Procedimientos Operativos de Seguridad) y no permite la disminución y gestión de la superficie de ataque de la organización. 4. Falta de visibilidad sobre los servicios publicados en Internet, no habiéndose realizado jamás un estudio, al menos, de visibilidad y vulnerabilidades de caja negra. 5. Escasa externalización de los Servicios gestionados de seguridad tipo SOC, dándose el caso de organizaciones con plataformas de recolección de logs y eventos de seguridad que, sin embargo, no tiene los recursos necesarios para su operación y gestión. 6. Bajo nivel de preparación en la respuesta ante incidentes de seguridad (Incluyendo la disponibilidad y continuidad de servicios) Resultados cuantitativos La aplicación de la métrica de cálculo descrita anteriormente sobre las organizaciones estudiadas ofrece los siguientes valores: Madurez El grado de madurez de la gestión de la seguridad, una vez evaluadas las distintas áreas descritas anteriormente, ofrece los siguientes resultados por sectores: Sector Madurez Fabricación 1,93 Servicios 2,19 Químico 2,25 Logística 2,64 Venta On Line 2,77 Legal 2,78 Administración Pública 2,88 Alimentación 3,07 Mínimo: 0 – Máximo: 5 Como podemos observar, las empresas relacionadas con la Fabricación, los Servicios generales, el sector Químico y la Logística obtienen el grado de madurez más bajo. Las organizaciones del sector Alimentación, Administración Pública y Legal son las que han ofrecido mayor nivel de madurez en este estudio. Superficie de ataque Según lo expuesto anteriormente, las organizaciones más maduras en su gestión de la seguridad, deberían presentar una superficie de ataque menor. Los valores obtenidos para la superficie de ataque en las organizaciones estudiadas y divididos por sectores, son los siguientes: Sector Sup.de Ataque Fabricación 6,88 Químico 6,21 Servicios 4,78 Logística 2,53 Legal 2,36 Administración Pública 2,01 Venta On Line 1,79 Alimentación 1,72 Mínimo: 0 – Máximo 8 Gráficamente podemos ver los valores de la superficie de ataque calculados por sector y oredenados de mayor a menor: 1,93 2,19 2,25 2,64 2,77 2,78 2,88 3,07 0,00 0,50 1,00 1,50 2,00 2,50 3,00 3,50
Superficies de ataque en el Data Center privado y en Cloud 7 Los resultados obtenidos confirman la relación inversa entre la madurez en la gestión de la seguridad y su efecto en la disminución de la superficie de ataque. Resultados en la nube (The Global Cloud) A pesar de la existencia de estudios que afirman que la superficie de ataque de los servicios prestados desde la cloud aumenta sobre los servicios prestados desde la propia organización, creo estar en condiciones de afirmar que dichos estudios son antiguos, y olvidan algunos aspectos fundamentales en el gobierno de la seguridad. El estudio más importante [4] y que ha servido como referencia para muchos de los posteriores, data de 2010. La evolución en la implantación de la tecnología de virtualización desde ese año a la actualidad ha igualado las superficies de ataque en los dos ámbitos y simplemente ha trasladado dos de las superficies de ataque a otro dominio de confianza. (La red interna de la organización). Este hecho es aún más preocupante si tenemos en cuenta que los usuarios internos suelen ser la fuente de los incidentes de seguridad más dañinos. El otro aspecto que obvia este estudio es el gobierno de la seguridad. Como podemos ver en la siguiente tabla, el grado de madurez de los aspectos básicos de gobierno de la seguridad son superiores en un proveedor de servicios debidamente cualificado (certificado ISO 27001 – CSA STAR e ISO 22301) que en la media de las organizaciones estudiadas en este periodo: Personas Procedimientos Tecnología Data Center Privado 2,3 1,5 2,8 The Global Cloud 4 4,2 4,1 En el apartado de la preparación de las personas, cualquier organización certificada ISO 27001 debe contar con un plan de formación (revisable anualmente) y unos objetivos de mejora auditables. Este mismo razonamiento aplica a la gestión y supervisión de los procedimientos de seguridad, con especial atención a los procedimientos operativos de bastionado y parcheado de sistemas y servicios. Respecto a la tecnología, las medidas implantadas en este tipo de proveedores de servicios Cloud, supera a las de cualquier organización del tamaño de las citadas. (Defensa ante DDOS, Security Operation Center, tecnologías redundantes y de distintos fabricantes en todas las capas de protección perimetral, estudio periódico de visibilidad y vulnerabilidades, interlocución ante los CERTs - Computer Emergency Response Team - nacionales e internacionales, etc.) El resultado cuantitativo para la superficie de ataque de nuestra Cloud, calculada por el mismo método que el descrito anteriormente ofrece una valor de 0,68, lo que le sitúa muy por debajo de los valores obtenidos para las compañías mejor valoradas en este estudio. 6,88 6,21 4,78 2,53 2,36 2,01 1,79 1,72 0 1 2 3 4 5 6 7 8
Superficies de ataque en el Data Center privado y en Cloud 8 Conclusiones Parece claro que el cambio en el nivel de riesgo que afrontan las organizaciones en la actualidad, motivada fundamentalmente por la actividad Cibercriminal, obliga a replantear la explotación segura de sus servicios al más alto nivel. Las diferencias encontradas entre los niveles de madurez de la seguridad entre organizaciones se explica fácilmente teniendo en consideración la importancia que las Directivas de dichas organizaciones han asignado a la protección de sus activos de información. La existencia de responsables de seguridad nombrados oficialmente, políticas y procedimientos publicados y revisados y equipos de seguridad dedicados en exclusiva, hacen la diferencia. Evidentemente es una decisión de inversión y en los momentos actuales esto puede suponer una barrera para las organizaciones. Sin embargo, la no acción puede poner en riesgo la continuidad de la actividad de negocio, por lo que se deben estudiar otras soluciones basadas en servicios que ayuden a mantener una superficie de ataque menor a la actual y que, por tanto, minimicen el riesgo en las cantidades que cada organización pueda permitirse. A la vista de los resultados comparativos entre el mantenimiento de la superficie de ataque en el Centro de datos corporativo y en un proveedor de servicios Cloud debidamente certificado, la migración selectiva y progresiva de ciertos servicios críticos puede ser una opción válida para aumentar el nivel de seguridad de la organización. La posesión de certificaciones tipo ISO 27001 y CSA-STAR de seguridad de la información, e ISO 22301 de continuidad de negocio debe ser algo a exigir a los proveedores de servicios Cloud que podrían ayudarnos en el mantenimiento a mínimos de nuestras superficies de ataque y niveles de riesgo. Referencias [1] Panda Labs. “THE MOST INFAMOUS ATTACKS OF 2014”. http://mediacenter.pandasecurity.com/media center/wp- content/uploads/2014/07/pandalabs- forecast-2015.pdf [2] Hackmageddon. “December 2014 Cyber Attacks Statistics”. http://hackmageddon.com/2015/01/09/dece mber-2014-cyber-attacks-statistics/ [3] McAfee Center for Strategic and International Studies. June 2014. “Net Losses: Estimating the Global Cost of Cybercrime”. http://www.mcafee.com/mx/resources/repor ts/rp-economic-impact-cybercrime2.pdf [4] Nils Gruschka, Meiko Jensen. “Attack Surfaces: A Taxonomy for Attacks on Cloud Services”. 2010 IEEE 3rd International Conference on Cloud Computing.

Recomendados

LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSALA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSACristian Garcia G.
 
Cicyt
CicytCicyt
CicytRoberto Valdes
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 

Recomendados

LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSALA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSACristian Garcia G.
 
Cicyt
CicytCicyt
CicytRoberto Valdes
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Panda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda security Presentación Adaptive Defense
Panda security Presentación Adaptive DefensePanda Security
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridadOsiel Alvarez Villarreal
 
Criptografía básica principiantes
Criptografía básica principiantesCriptografía básica principiantes
Criptografía básica principiantesBiron Piña
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Roger Reverter
 
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021Guido Luciani
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-AuditoríaLuis Fernando Aguas Bucheli
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONHOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONCristian Garcia G.
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática Luis Fernando Aguas Bucheli
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Jack Daniel Cáceres Meza
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaMaestros Online
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridadEdmundo Diego Bonini ஃ
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Marcos Harasimowicz
 
Cism qae-spanish-correction-sample-exam
Cism qae-spanish-correction-sample-examCism qae-spanish-correction-sample-exam
Cism qae-spanish-correction-sample-examEdison Rosero
 
RiskVolution Aranjuez Julio de 2011 - Victor Chapela
RiskVolution Aranjuez Julio de 2011 - Victor ChapelaRiskVolution Aranjuez Julio de 2011 - Victor Chapela
RiskVolution Aranjuez Julio de 2011 - Victor ChapelaVictor Chapela
 
Preparándonos para futuros ataques.
Preparándonos para futuros ataques. Preparándonos para futuros ataques.
Preparándonos para futuros ataques. Symantec
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaMarcelo Herrera
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfLuis Contreras Velásquez
 

Más contenido relacionado

La actualidad más candente

MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
Criptografía básica principiantes
Criptografía básica principiantesCriptografía básica principiantes
Criptografía básica principiantesBiron Piña
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Roger Reverter
 
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021Guido Luciani
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONHOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONCristian Garcia G.
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Jack Daniel Cáceres Meza
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaMaestros Online
 
Cism qae-spanish-correction-sample-exam
Cism qae-spanish-correction-sample-examCism qae-spanish-correction-sample-exam
Cism qae-spanish-correction-sample-examEdison Rosero
 
RiskVolution Aranjuez Julio de 2011 - Victor Chapela
RiskVolution Aranjuez Julio de 2011 - Victor ChapelaRiskVolution Aranjuez Julio de 2011 - Victor Chapela
RiskVolution Aranjuez Julio de 2011 - Victor ChapelaVictor Chapela
 
Preparándonos para futuros ataques.
Preparándonos para futuros ataques. Preparándonos para futuros ataques.
Preparándonos para futuros ataques. Symantec
 

La actualidad más candente (20)

MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad
 
Criptografía básica principiantes
Criptografía básica principiantesCriptografía básica principiantes
Criptografía básica principiantes
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridad
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin
 
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informatica
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informática
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cni
 
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONHOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informatica
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridad
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Cism qae-spanish-correction-sample-exam
Cism qae-spanish-correction-sample-examCism qae-spanish-correction-sample-exam
Cism qae-spanish-correction-sample-exam
 
RiskVolution Aranjuez Julio de 2011 - Victor Chapela
RiskVolution Aranjuez Julio de 2011 - Victor ChapelaRiskVolution Aranjuez Julio de 2011 - Victor Chapela
RiskVolution Aranjuez Julio de 2011 - Victor Chapela
 
Preparándonos para futuros ataques.
Preparándonos para futuros ataques. Preparándonos para futuros ataques.
Preparándonos para futuros ataques.
 

Similar a Tgs wp-seguridad enlanube-esp-v4

SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfLuis Contreras Velásquez
 
Cisco 2016 asr_012816_es-xl
Cisco 2016 asr_012816_es-xlCisco 2016 asr_012816_es-xl
Cisco 2016 asr_012816_es-xljoselito delgado
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Offering de Armaximus
Offering de ArmaximusOffering de Armaximus
Offering de Armaximusguestc87a58d
 
Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020bogotasur
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)Santiago Cavanna
 
OFFERING DE ARMAXIMUS
OFFERING DE ARMAXIMUSOFFERING DE ARMAXIMUS
OFFERING DE ARMAXIMUSguestc87a58d
 
Offering de armaximus 26112009
Offering de armaximus 26112009Offering de armaximus 26112009
Offering de armaximus 26112009guestc87a58d
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaMaestros en Linea MX
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinAlfredo Carrascal
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
Offering de armaximus
Offering de armaximusOffering de armaximus
Offering de armaximusallanvargas89
 

Similar a Tgs wp-seguridad enlanube-esp-v4 (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
 
Cisco 2016 asr_012816_es-xl
Cisco 2016 asr_012816_es-xlCisco 2016 asr_012816_es-xl
Cisco 2016 asr_012816_es-xl
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020ActivosTI presentación empresarial 2020
ActivosTI presentación empresarial 2020
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
Offering de Armaximus
Offering de ArmaximusOffering de Armaximus
Offering de Armaximus
 
Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
OFFERING DE ARMAXIMUS
OFFERING DE ARMAXIMUSOFFERING DE ARMAXIMUS
OFFERING DE ARMAXIMUS
 
Offering de armaximus 26112009
Offering de armaximus 26112009Offering de armaximus 26112009
Offering de armaximus 26112009
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informatica
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarin
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
Foro kodak
Foro kodakForo kodak
Foro kodak
 
Offering de armaximus
Offering de armaximusOffering de armaximus
Offering de armaximus
 

Más de Itconic

Tgs wp-simplify cloudcomplexityr02-150615103851-lva1-app6891
Tgs wp-simplify cloudcomplexityr02-150615103851-lva1-app6891Tgs wp-simplify cloudcomplexityr02-150615103851-lva1-app6891
Tgs wp-simplify cloudcomplexityr02-150615103851-lva1-app6891Itconic
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxItconic
 
TGS-BP-BusinessPresentation-en-r00
TGS-BP-BusinessPresentation-en-r00TGS-BP-BusinessPresentation-en-r00
TGS-BP-BusinessPresentation-en-r00Itconic
 
Entrevista a Javier de la Cuerda. 20 Aniversario Computing
Entrevista a Javier de la Cuerda. 20 Aniversario ComputingEntrevista a Javier de la Cuerda. 20 Aniversario Computing
Entrevista a Javier de la Cuerda. 20 Aniversario ComputingItconic
 
Tgs wp-data centercip rv01
Tgs wp-data centercip rv01Tgs wp-data centercip rv01
Tgs wp-data centercip rv01Itconic
 
Tgs wp-simplify cloudcomplexity r02
Tgs wp-simplify cloudcomplexity r02Tgs wp-simplify cloudcomplexity r02
Tgs wp-simplify cloudcomplexity r02Itconic
 
TGS-HP-Network&Security-ES-r01
TGS-HP-Network&Security-ES-r01TGS-HP-Network&Security-ES-r01
TGS-HP-Network&Security-ES-r01Itconic
 
TGS-HP-GSOC-ES-r01.
TGS-HP-GSOC-ES-r01.TGS-HP-GSOC-ES-r01.
TGS-HP-GSOC-ES-r01.Itconic
 
TGS-HP-EndUsersGlobalSupport-ES-r01
TGS-HP-EndUsersGlobalSupport-ES-r01TGS-HP-EndUsersGlobalSupport-ES-r01
TGS-HP-EndUsersGlobalSupport-ES-r01Itconic
 
TGS-HP-BusinessContinuity-ES-r01
TGS-HP-BusinessContinuity-ES-r01TGS-HP-BusinessContinuity-ES-r01
TGS-HP-BusinessContinuity-ES-r01Itconic
 
TGS-HP-BigData-ES-r01
TGS-HP-BigData-ES-r01TGS-HP-BigData-ES-r01
TGS-HP-BigData-ES-r01Itconic
 
TGS-HP-Backupondemand-ES-r01
TGS-HP-Backupondemand-ES-r01TGS-HP-Backupondemand-ES-r01
TGS-HP-Backupondemand-ES-r01Itconic
 
TGS- HP-StorageonDemand-ES-r01
TGS- HP-StorageonDemand-ES-r01TGS- HP-StorageonDemand-ES-r01
TGS- HP-StorageonDemand-ES-r01Itconic
 
TGS-HP-AnalíticadeDatos-ES-r01
TGS-HP-AnalíticadeDatos-ES-r01TGS-HP-AnalíticadeDatos-ES-r01
TGS-HP-AnalíticadeDatos-ES-r01Itconic
 
Tgs ss-backup-r01
Tgs ss-backup-r01Tgs ss-backup-r01
Tgs ss-backup-r01Itconic
 
Tgs ss-acceso internet-r01
Tgs ss-acceso internet-r01Tgs ss-acceso internet-r01
Tgs ss-acceso internet-r01Itconic
 
Tgs ss-data center-r01
Tgs ss-data center-r01Tgs ss-data center-r01
Tgs ss-data center-r01Itconic
 
Tgs ss-cybersecurity-r01
Tgs ss-cybersecurity-r01Tgs ss-cybersecurity-r01
Tgs ss-cybersecurity-r01Itconic
 
Tgs ss-the globalcloud-r01
Tgs ss-the globalcloud-r01Tgs ss-the globalcloud-r01
Tgs ss-the globalcloud-r01Itconic
 
Campaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de EnergíaCampaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de EnergíaItconic
 

Más de Itconic (20)

Tgs wp-simplify cloudcomplexityr02-150615103851-lva1-app6891
Tgs wp-simplify cloudcomplexityr02-150615103851-lva1-app6891Tgs wp-simplify cloudcomplexityr02-150615103851-lva1-app6891
Tgs wp-simplify cloudcomplexityr02-150615103851-lva1-app6891
 
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptxIndustrial cyber security_tgs_barcelona_jun_2015_v1.pptx
Industrial cyber security_tgs_barcelona_jun_2015_v1.pptx
 
TGS-BP-BusinessPresentation-en-r00
TGS-BP-BusinessPresentation-en-r00TGS-BP-BusinessPresentation-en-r00
TGS-BP-BusinessPresentation-en-r00
 
Entrevista a Javier de la Cuerda. 20 Aniversario Computing
Entrevista a Javier de la Cuerda. 20 Aniversario ComputingEntrevista a Javier de la Cuerda. 20 Aniversario Computing
Entrevista a Javier de la Cuerda. 20 Aniversario Computing
 
Tgs wp-data centercip rv01
Tgs wp-data centercip rv01Tgs wp-data centercip rv01
Tgs wp-data centercip rv01
 
Tgs wp-simplify cloudcomplexity r02
Tgs wp-simplify cloudcomplexity r02Tgs wp-simplify cloudcomplexity r02
Tgs wp-simplify cloudcomplexity r02
 
TGS-HP-Network&Security-ES-r01
TGS-HP-Network&Security-ES-r01TGS-HP-Network&Security-ES-r01
TGS-HP-Network&Security-ES-r01
 
TGS-HP-GSOC-ES-r01.
TGS-HP-GSOC-ES-r01.TGS-HP-GSOC-ES-r01.
TGS-HP-GSOC-ES-r01.
 
TGS-HP-EndUsersGlobalSupport-ES-r01
TGS-HP-EndUsersGlobalSupport-ES-r01TGS-HP-EndUsersGlobalSupport-ES-r01
TGS-HP-EndUsersGlobalSupport-ES-r01
 
TGS-HP-BusinessContinuity-ES-r01
TGS-HP-BusinessContinuity-ES-r01TGS-HP-BusinessContinuity-ES-r01
TGS-HP-BusinessContinuity-ES-r01
 
TGS-HP-BigData-ES-r01
TGS-HP-BigData-ES-r01TGS-HP-BigData-ES-r01
TGS-HP-BigData-ES-r01
 
TGS-HP-Backupondemand-ES-r01
TGS-HP-Backupondemand-ES-r01TGS-HP-Backupondemand-ES-r01
TGS-HP-Backupondemand-ES-r01
 
TGS- HP-StorageonDemand-ES-r01
TGS- HP-StorageonDemand-ES-r01TGS- HP-StorageonDemand-ES-r01
TGS- HP-StorageonDemand-ES-r01
 
TGS-HP-AnalíticadeDatos-ES-r01
TGS-HP-AnalíticadeDatos-ES-r01TGS-HP-AnalíticadeDatos-ES-r01
TGS-HP-AnalíticadeDatos-ES-r01
 
Tgs ss-backup-r01
Tgs ss-backup-r01Tgs ss-backup-r01
Tgs ss-backup-r01
 
Tgs ss-acceso internet-r01
Tgs ss-acceso internet-r01Tgs ss-acceso internet-r01
Tgs ss-acceso internet-r01
 
Tgs ss-data center-r01
Tgs ss-data center-r01Tgs ss-data center-r01
Tgs ss-data center-r01
 
Tgs ss-cybersecurity-r01
Tgs ss-cybersecurity-r01Tgs ss-cybersecurity-r01
Tgs ss-cybersecurity-r01
 
Tgs ss-the globalcloud-r01
Tgs ss-the globalcloud-r01Tgs ss-the globalcloud-r01
Tgs ss-the globalcloud-r01
 
Campaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de EnergíaCampaña de Ciberespionaje a las empresas de Energía
Campaña de Ciberespionaje a las empresas de Energía
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8antoniopalmieriluna
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxdulcemonterroza
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionEmanuelMuoz11
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...axelv9257
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxgustavovasquezv56
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfaxelv9257
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendidaLuis Francisco Reyes Aceves
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfYanitza28
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfYanitza28
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASMarc Liust
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 

Último (18)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
10°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-810°8 - Avances tecnologicos del siglo XXI 10-8
10°8 - Avances tecnologicos del siglo XXI 10-8
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptxAVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
AVANCES TECNOLOGICOS DEL SIGLO XXI. 10-08..pptx
 
Función del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacionFunción del analizador léxico.pdf presentacion
Función del analizador léxico.pdf presentacion
 
presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...presentación del desensamble y ensamble del equipo de computo en base a las n...
presentación del desensamble y ensamble del equipo de computo en base a las n...
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptxinfor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
infor expo AVANCES TECNOLOGICOS DEL SIGLO 21.pptx
 
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdfpresentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
presentacion_desamblado_de_una_computadora_base_a_las_normas_de_seguridad.pdf
 
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
2023 07 Casos prácticos para Realidad aumentada, metaverso y realidad extendida
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Editorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdfEditorial. Grupo de 12B de La Salle Margarita.pdf
Editorial. Grupo de 12B de La Salle Margarita.pdf
 
Editorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdfEditorial. Grupo de 12B. La Salle Margarita.pdf
Editorial. Grupo de 12B. La Salle Margarita.pdf
 
QUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORASQUINTA SEXTA GENERACION de COMPUTADORAS
QUINTA SEXTA GENERACION de COMPUTADORAS
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Tgs wp-seguridad enlanube-esp-v4

  • 1. Ciberseguridad en la PYME 2014 Superficies de ataque en el Data Center privado y en Cloud Por Enrique Martín Garcia Telvent Global Services C/ Valgrande, 6 28018 Alcobendas Madrid – Spain enrique.martingarcia@telvent.com
  • 2. Superficies de ataque en el Data Center privado y en Cloud Febrero de 2015 2 Contenidos Resumen ............................................................ 2 Introducción....................................................... 2 Fundamentos de Ciberseguridad......................... 3 Gestión de riesgos ............................................ ..3 Motivación............................................................. 3 Visibilidad.............................................................. 4 Capacidad de explotación ..................................... 4 Recursos y preparación de las organizaciones ..... 4 Medida de la Ciberseguridad ........................... ..5 Superficie de ataque............................................... 5 Cálculo de los indicadores sintéticos..................... 5 Resultados obtenidos ......................................... 5 Resultados cualitativos..................................... ..5 Resultados cuantitativos................................... ..6 Madurez................................................................. 6 Superficie de ataque............................................... 6 Resultados en la nube (The Global Cloud) ...... ..7 Conclusiones ...................................................... 8 Referencias......................................................... 8 Resumen Históricamente una de las grandes barreras en las empresas para la adopción de soluciones basadas en la nube (Cloud) fue la seguridad de la información. Los incidentes conocidos durante 2014 [1] y que afectaron a distintos proveedores de servicios Cloud a nivel mundial, parecían reafirmar esta barrera unánimemente aceptada. Sin embargo, durante 2014 realizamos una serie de análisis de seguridad a distintas empresas tipo PYME, encuadradas en distintos sectores y que nos proporcionaron una visión bastante clara acerca del estado de madurez de su seguridad IT. En este estudio vamos a ofrecer una comparativa entre los valores de las superficies de ataque de los servicios explotados de manera autónoma por las empresas en sus Data Centers propios y con su personal interno, frente a los obtenidos sobre servicios desplegados en nuestra nube (The Global Cloud). Introducción La ciberseguridad de las organizaciones ha empezado a preocupar a sus directivos a raíz del incremento de visibilidad que los incidentes de este tipo han tenido en los medios de comunicación. Una prueba de esto es la actividad desarrollada por Telvent Global Services en 2014 para analizar el estado de la Ciberseguridad de distintas empresas. En este análisis se realizó una identificación de los niveles de madurez para distintos aspectos que componen el gobierno de la seguridad de la información en las organizaciones. Los niveles de madurez utilizados para evaluar cada uno de los aspectos analizados fueron los siguientes: 1. Inicial. Las acciones se realizan informalmente, o de manera reactiva, sin dejar evidencia, ni estar procedimentado.
  • 3. Superficies de ataque en el Data Center privado y en Cloud 3 2. Repetible. La forma de actuar está procedimentada, pero no existen mecanismos de registro y control de las acciones realizadas. 3. Definido. Los procedimientos, generan traza de su actuación, pero esta no es analizada. 4. Gestionado. La gestión de la organización está basada en el seguimiento de KPIs. 5. Optimizado. Existe una vocación por la mejora continua. La madurez se calculó sobre distintas áreas que gestionan el nivel de seguridad de una organización:  Gobierno de la seguridad (Política y procedimientos)  Gestión de la continuidad (Disponibilidad e integridad de la información)  Seguridad perimetral (Gestión de canales y protocolos de entrada y salida)  Seguridad interna (Gestión de sistemas, aplicaciones y datos)  Seguridad física (Controles y salvaguardas de acceso físico) En función de la evaluación realizada sobre distintos aspectos de cada una de las áreas, se generó un indicador sintético numérico que ofrecía un valor entre 1 y 5 de las mismas. Las empresas analizadas pertenecen a distintos sectores, algunos de ellos clasificados como críticos por el Centro Nacional de Protección de Infraestructuras Críticas:  Alimentación  Químico  Administración Pública  Otros sectores no críticos: o Fabricación o Servicios generales o Logísitica o Venta On Line o Servicios Legales El tamaño de las empresas analizadas se corresponde con el Pequeña y Mediana Empresa (PYME), llegando hasta los 250 trabajadores y facturaciones comprendidas entre 2 y 10 millones de Euros. En este documento presentaremos el cálculo de un parámetro concreto que estimamos fundamental a la hora de determinar el grado de seguridad de una organización (Superficie de Ataque) para todas ellas, y lo compararemos con el obtenido al calcularlo sobre nuestra nube (The Global Cloud). Para el cálculo del valor de este indicador sintético, se utilizará una media de los valores obtenidos en las áreas de seguridad evaluadas y que se explica en puntos posteriores de este estudio. Fundamentos de Ciberseguridad Gestión de riesgos La seguridad de los activos de información de una organización concreta podría parecer asociada a la no existencia de riesgos sobre dichos activos. Esta situación es imposible, por lo que debemos enfocar nuestra actividad a intentar minimizar los riesgos a los que están sometidos nuestros activos de información en cada momento. Si entendemos el riesgo como la probabilidad de que algo dañe nuestros activos de información causando pérdidas a nuestra organización (Impacto), llegaremos a la siguiente ecuación: Riesgo = Probabilidad x Impacto Es difícil actuar sobre el impacto sin alterar el valor de los activos de la organización, por lo que nos concentraremos en minimizar la probabilidad de que algo (Amenazas) dañe nuestros activos. Pero, ¿qué factores afectan a esta probabilidad? Motivación De acuerdo a una de las fuentes de información más seguidas en el sector de la Seguridad (Hackmageddon[2] ), este es el reparto de las motivaciones tras los ataques a los activos de información:
  • 4. Superficies de ataque en el Data Center privado y en Cloud 4 No se puede conocer a ciencia cierta el tamaño de negocio del Ciber Crimen a nivel mundial, pero se sospecha que es muy superior al de grandes multinacionales e incluso al Producto Interior Bruto de algunos pequeños países. (McAfee [3] ). Esta motivación sigue su tendencia de crecimiento de manera continua. Visibilidad La alta conectividad de los sistemas de negocio a Internet, hace que sea más cómoda y económica su explotación, pero también hace posible el acceso de terceros no autorizados a los servicios y aplicaciones publicadas. En esta figura se aprecian los sistemas con puertos IP accesibles desde Internet. Como veremos más adelante, el número de canales y protocolos abiertos es un factor que incrementa directamente la probabilidad de ser atacado y sufrir algún impacto. Capacidad de explotación Nuestros activos de información tendrán una mayor probabilidad de ser atacados si presentan debilidades en su implementación y si estas debilidades son fácilmente rebasadas y de una manera repetitiva. En este caso se dice que nuestros sistemas son vulnerables. La vulnerabilidad de los sistemas y servicios es algo que incrementa el riesgo y que, por tanto, disminuye la seguridad de nuestros activos de información. Es de destacar que en los últimos años, el mercado de empresas que comercian con este tipo de debilidades se ha incrementado de manera significativa, pudiéndose encontrar incluso en el espacio Web habitual. Recursos y preparación de las organizaciones Los tres pilares básicos sobre los que debe descansar la estrategia de seguridad de cualquier organización son, por este orden, las personas, los procedimientos definidos y la tecnología implantada. Un personal concienciado, la existencia de procedimientos de gestión de controles e incidentes y la implantación de soluciones tecnológicas acordes al entorno a proteger, son medidas apropiadas para disminuir el riesgo que deben soportar nuestros activos de información.
  • 5. Superficies de ataque en el Data Center privado y en Cloud 5 Medida de la Ciberseguridad Superficie de ataque Si aceptamos que la disminución del riesgo incrementa nuestra seguridad, parece necesario definir un parámetro que aglutine los conceptos anteriormente revisados y permita seguir su evolución temporal dentro de la organización. Este parámetro o indicador a definir seria aquel que permitiera cuantificar la disminución del riesgo de los activos mediante la minimización de la probabilidad de impacto. En este caso hemos seleccionado la Superficie de Ataque. (SA) La superficie de ataque se define de la siguiente manera: Es claro que la SA aumenta con los procesos y datos accesibles (PD) y los Canales y protocolos (CP) abiertos, y disminuye en función de los controles de acceso que implantemos sobre ellos. Este indicador es fundamental para poder diseñar una estrategia de defensa en profundidad de los activos y ofrece un valor objetivo para realizar un seguimiento periódico de la evolución del estado de seguridad de una organización. Cálculo de los indicadores sintéticos Para poder determinar el valor de la superficie de ataque, debemos calcular el valor de los siguientes indicadores sintéticos:  PD: Accesibilidad a los procesos y datos de la organización.  CP: Canales y protocolos de la organización accesibles.  CA: Conjunto de medidas que regulan el derecho de acceso a los dos recursos anteriores. En el caso del primer indicador, se ha utilizado el valor del Gap detectado entre el grado de madurez actual de la organización y el valor máximo en la escala de madurez utilizada. El grado de madurez para el indicador PD es la media aritmética de los siguientes valores asignados a cada organización:  PD1: Gestión del bastionado de sistemas  PD2: Gestión de parches De igual manera se ha realizado el cálculo de CP, pero en este caso la media aritmética se ha realizado sobre los siguientes valores de madurez:  CP1: Gestión de servicios accesibles desde Internet  CP2: Gestión de servicios accesibles desde la Intranet  CP3: Análisis de visibilidad y vulnerabilidades periódico En el caso del cálculo de CA, se ha asignado directamente la media aritmética de los valores obtenidos para la madurez en las siguientes Áreas:  CA1: Controles técnicos de seguridad perimetral  CA2: Gestión de usuarios  CA3: Política de seguridad y procedimientos  CA4: Controles de seguridad física Con esta metodología se ha realizado el cálculo de las superficies de ataque que mostraremos en el siguiente punto. Resultados obtenidos Resultados cualitativos Los resultados cualitativos más importantes en todas las organizaciones estudiadas son los siguientes: 1. Amplio margen de mejora en la definición, implantación y supervisión periódica de políticas y procedimientos de seguridad 2. Escasa inversión en la formación de concienciación periódica (al menos anual) de los usuarios 3. Equipos de seguridad poco dotados o inexistentes, siendo una tarea
  • 6. Superficies de ataque en el Data Center privado y en Cloud 6 complementaria de los equipos de Sistemas y Comunicaciones de la organización. Esta circunstancia compromete seriamente la aplicación sistemática de los POS (Procedimientos Operativos de Seguridad) y no permite la disminución y gestión de la superficie de ataque de la organización. 4. Falta de visibilidad sobre los servicios publicados en Internet, no habiéndose realizado jamás un estudio, al menos, de visibilidad y vulnerabilidades de caja negra. 5. Escasa externalización de los Servicios gestionados de seguridad tipo SOC, dándose el caso de organizaciones con plataformas de recolección de logs y eventos de seguridad que, sin embargo, no tiene los recursos necesarios para su operación y gestión. 6. Bajo nivel de preparación en la respuesta ante incidentes de seguridad (Incluyendo la disponibilidad y continuidad de servicios) Resultados cuantitativos La aplicación de la métrica de cálculo descrita anteriormente sobre las organizaciones estudiadas ofrece los siguientes valores: Madurez El grado de madurez de la gestión de la seguridad, una vez evaluadas las distintas áreas descritas anteriormente, ofrece los siguientes resultados por sectores: Sector Madurez Fabricación 1,93 Servicios 2,19 Químico 2,25 Logística 2,64 Venta On Line 2,77 Legal 2,78 Administración Pública 2,88 Alimentación 3,07 Mínimo: 0 – Máximo: 5 Como podemos observar, las empresas relacionadas con la Fabricación, los Servicios generales, el sector Químico y la Logística obtienen el grado de madurez más bajo. Las organizaciones del sector Alimentación, Administración Pública y Legal son las que han ofrecido mayor nivel de madurez en este estudio. Superficie de ataque Según lo expuesto anteriormente, las organizaciones más maduras en su gestión de la seguridad, deberían presentar una superficie de ataque menor. Los valores obtenidos para la superficie de ataque en las organizaciones estudiadas y divididos por sectores, son los siguientes: Sector Sup.de Ataque Fabricación 6,88 Químico 6,21 Servicios 4,78 Logística 2,53 Legal 2,36 Administración Pública 2,01 Venta On Line 1,79 Alimentación 1,72 Mínimo: 0 – Máximo 8 Gráficamente podemos ver los valores de la superficie de ataque calculados por sector y oredenados de mayor a menor: 1,93 2,19 2,25 2,64 2,77 2,78 2,88 3,07 0,00 0,50 1,00 1,50 2,00 2,50 3,00 3,50
  • 7. Superficies de ataque en el Data Center privado y en Cloud 7 Los resultados obtenidos confirman la relación inversa entre la madurez en la gestión de la seguridad y su efecto en la disminución de la superficie de ataque. Resultados en la nube (The Global Cloud) A pesar de la existencia de estudios que afirman que la superficie de ataque de los servicios prestados desde la cloud aumenta sobre los servicios prestados desde la propia organización, creo estar en condiciones de afirmar que dichos estudios son antiguos, y olvidan algunos aspectos fundamentales en el gobierno de la seguridad. El estudio más importante [4] y que ha servido como referencia para muchos de los posteriores, data de 2010. La evolución en la implantación de la tecnología de virtualización desde ese año a la actualidad ha igualado las superficies de ataque en los dos ámbitos y simplemente ha trasladado dos de las superficies de ataque a otro dominio de confianza. (La red interna de la organización). Este hecho es aún más preocupante si tenemos en cuenta que los usuarios internos suelen ser la fuente de los incidentes de seguridad más dañinos. El otro aspecto que obvia este estudio es el gobierno de la seguridad. Como podemos ver en la siguiente tabla, el grado de madurez de los aspectos básicos de gobierno de la seguridad son superiores en un proveedor de servicios debidamente cualificado (certificado ISO 27001 – CSA STAR e ISO 22301) que en la media de las organizaciones estudiadas en este periodo: Personas Procedimientos Tecnología Data Center Privado 2,3 1,5 2,8 The Global Cloud 4 4,2 4,1 En el apartado de la preparación de las personas, cualquier organización certificada ISO 27001 debe contar con un plan de formación (revisable anualmente) y unos objetivos de mejora auditables. Este mismo razonamiento aplica a la gestión y supervisión de los procedimientos de seguridad, con especial atención a los procedimientos operativos de bastionado y parcheado de sistemas y servicios. Respecto a la tecnología, las medidas implantadas en este tipo de proveedores de servicios Cloud, supera a las de cualquier organización del tamaño de las citadas. (Defensa ante DDOS, Security Operation Center, tecnologías redundantes y de distintos fabricantes en todas las capas de protección perimetral, estudio periódico de visibilidad y vulnerabilidades, interlocución ante los CERTs - Computer Emergency Response Team - nacionales e internacionales, etc.) El resultado cuantitativo para la superficie de ataque de nuestra Cloud, calculada por el mismo método que el descrito anteriormente ofrece una valor de 0,68, lo que le sitúa muy por debajo de los valores obtenidos para las compañías mejor valoradas en este estudio. 6,88 6,21 4,78 2,53 2,36 2,01 1,79 1,72 0 1 2 3 4 5 6 7 8
  • 8. Superficies de ataque en el Data Center privado y en Cloud 8 Conclusiones Parece claro que el cambio en el nivel de riesgo que afrontan las organizaciones en la actualidad, motivada fundamentalmente por la actividad Cibercriminal, obliga a replantear la explotación segura de sus servicios al más alto nivel. Las diferencias encontradas entre los niveles de madurez de la seguridad entre organizaciones se explica fácilmente teniendo en consideración la importancia que las Directivas de dichas organizaciones han asignado a la protección de sus activos de información. La existencia de responsables de seguridad nombrados oficialmente, políticas y procedimientos publicados y revisados y equipos de seguridad dedicados en exclusiva, hacen la diferencia. Evidentemente es una decisión de inversión y en los momentos actuales esto puede suponer una barrera para las organizaciones. Sin embargo, la no acción puede poner en riesgo la continuidad de la actividad de negocio, por lo que se deben estudiar otras soluciones basadas en servicios que ayuden a mantener una superficie de ataque menor a la actual y que, por tanto, minimicen el riesgo en las cantidades que cada organización pueda permitirse. A la vista de los resultados comparativos entre el mantenimiento de la superficie de ataque en el Centro de datos corporativo y en un proveedor de servicios Cloud debidamente certificado, la migración selectiva y progresiva de ciertos servicios críticos puede ser una opción válida para aumentar el nivel de seguridad de la organización. La posesión de certificaciones tipo ISO 27001 y CSA-STAR de seguridad de la información, e ISO 22301 de continuidad de negocio debe ser algo a exigir a los proveedores de servicios Cloud que podrían ayudarnos en el mantenimiento a mínimos de nuestras superficies de ataque y niveles de riesgo. Referencias [1] Panda Labs. “THE MOST INFAMOUS ATTACKS OF 2014”. http://mediacenter.pandasecurity.com/media center/wp- content/uploads/2014/07/pandalabs- forecast-2015.pdf [2] Hackmageddon. “December 2014 Cyber Attacks Statistics”. http://hackmageddon.com/2015/01/09/dece mber-2014-cyber-attacks-statistics/ [3] McAfee Center for Strategic and International Studies. June 2014. “Net Losses: Estimating the Global Cost of Cybercrime”. http://www.mcafee.com/mx/resources/repor ts/rp-economic-impact-cybercrime2.pdf [4] Nils Gruschka, Meiko Jensen. “Attack Surfaces: A Taxonomy for Attacks on Cloud Services”. 2010 IEEE 3rd International Conference on Cloud Computing.