SlideShare una empresa de Scribd logo

CSAAR#1-Seguridad en la nube con CSA

Luciano Moreira da Cruz
Luciano Moreira da Cruz

Revista del evento CSA LATAM FORUM 2018

Tecnología
1 de 28
Descargar para leer sin conexión
CSAAR#1 “BIG BROTHER IS WATCHING YOU”
SOBRE LA CSA La Cloud Security Alliance (CSA) Es una organización sin fines de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en “Cloud Computing” y proporcionar educación sobre los usos de la computación en la nube, a fin de que las empresas puedan adoptar el concepto en sus organizaciones. Cloud Security Alliance (CSA) está dirigida por una amplia coalición de corporaciones, asociaciones y profesionales de la industria. Historia Desde el año 2008, el “Cloud Computing” ha ganado la atención de la comunidad de seguridad de la información. El concepto de la Cloud Security Alliance nació tras la presentación de las nuevas tendencias de Jim Reavis, que incluyó un llamado a la acción para asegurar la computación en la nube. Jim Reavis y Puhlmann Nils elaboraron la primera misión y estrategia de la CSA; una serie de reuniones organizadas con líderes de la industria a principios de diciembre 2008 dio inicio a la creación de la CSA con la misión de tener un acercamiento con la comunidad de seguridad de la información, de tal suerte que para la Conferencia RSA
Agenda 8:30 RECEPCIÓN Y ACREDITACIÓN 8:45 "INAGURACIÓN Y BIENVENIDA CSA LATAM FORUM 2018" Leonardo Rosso y Luciano Moreira Da Cruz - Cloud Security Alliance Argentina" 9:00 a 9:45 "Riesgos a evitar en la adopción de servicios en la nube: SaaS, IaaS, PaaS" Sean Cordero - Head Of Cloud Strategy At Netskope 9:45 a 10:30 SALA BIG "AVANT GARDE" SALA BROTHER "GALERIA" "Prevención Efectiva en la Nube" Darío Opezzo; Regional Sales Manager at Palo Alto Networks "Hardening de usuarios en Cloud Computing" Fabián Calvete / SmartFense 10:30 COFFEE BREAK & NETWORKING 11:00 a 11:40 "Seguridad para Accesos Privilegiados" Enzo Gaggero; Senior Solutions Consultant at CyberArk "Protegiendo tu Nube (Responsabilidades compartidas para Cloud Computing)" Leonardo Granda; Sr. Sales Engineer Manager, LATAM at Sophos 11:40 a 12:20 "Seguridad de red para la generación de la Nube" Lucas Lavié; Territory Sales Engineer - SOLA at Symantec "DevSecOps Mas Rapidos Mas Furioso" (Christian Ibiri y Leonardo Devia, Cloud egion) 12:20 a 13:00 “Disipando La Tormenta Para Investigar La Nube“ Panel Sobre Cloud En El Sector Ffss, Fiscalías. Feliz Cumpleaños "A" 6354 Panel Sobre Cloud En El Sector Financiero Y Bancario - A Un Año De La Circular Del Bcra Que Cambio? 13:00 ALMUERZO LIBRE 14:10 a 14:40 "Se Lo Que Whatsappeaste El Verano Pasado" Marcelo Romero 14:40 a 15:10 "De Los Mismos Creadores De “Cloud”, Llega “Edge Y Fog”"panel Sobre "Edge/Fog Computing" Del Cloud Hacia La Computación En Los Dispositivos "Security as code. Continuous everything powered by pipelines and unicorns." Alejandro Casas; 15:10 a 15:40 "Automated Analysis of Massive AWS Clouds" Andres Riancho CSA research 15:40 a 16:10 “Cloud Computing & Open Data Vs. Data Privacy & Infosecurity: Conciliando diadas contrapuestas en la Justicia” Juez Pablo Casas y Johanna Faleiro "Ethical Hacking en entornos Cloud" Federico Pacheco, Equipo de Cybersecurity Latam, Jp Morgan Chase 16:10 COFFEE BREAK & NETWORKING 16:40 a 17:10 “10 Años De Cloud Security Alliance” Panel Sobre El Estudio Del Arte De La Seguridad En La Nube 17:10 a 17:15 “Grooming Argentina” 17:15 a 17:45 “Big Brother Is Watching You” Panel Sobre La Transparencia, Privacidad Y Datos Personales En Cloud "Gdpr Vs Leyes Locales 17:45 a 18:15 “Titanes En La Nube" Presentamos los ganadores del desafio CCSK 18:15 CLAUSURA, CONCLUSIONES Y SORTEOS
STANDS
El registro de evaluación, confianza y seguridad CSA STAR (Security, Trust & Assurance Registry) de la organización CSA es un mecanismo de evaluación de la seguridad de los proveedores de servicios en la nube, aunando principios de transparencia, rigor en la auditoría, armonización de estándares y monitorización continua. Está dirigido a proveedores de servicios cloud, a sus usuarios, a auditores y entidades de certificación y a empresas de seguridad y consultores. Para la evaluación ofrece una matriz de controles cloud (Cloud Controls Matrix (CCM)) con correspondencias con distintos estándares, mejores prácticas y normativas (COBIT, HIPPA, ISO27001, NIST SP800-53, Fed RAMP, PCI DSS, BITS, GAPP,…). También proporciona un cuestionario de preguntas que sirven al usuario o al auditor para verificar el cumplimento del proveedor de servicios cloud. Criterios La matriz de controles cloud cubre las áreas de cumplimiento, gobernanza de datos, seguridad de las instalaciones, recursos humanos, seguridad de la información, legal, gestión de operaciones, gestión de riesgos, gestión de versiones, resiliencia y arquitectura de seguridad. Los proveedores que envían el cuestionario o se certifican se mostrarán en un registro público (complimentary registry) en el que se pueden consultar los datos de certificación y cumplimiento con los controles de cada uno. Qué han de cumplir las empresas para obtener su sello Dependiendo del nivel de evaluación: Nivel 1 Self- assesment o auto-evaluación de la conformidad. Los proveedores de servicios en la nube deben bien rellenar el cuestionario o documentar el cumplimiento de la matriz de controles. Esta información será publicada en el registro para promover la transparencia y la visibilidad de sus prácticas de seguridad. Este servicio es gratuito. Nivel 2 o evaluación independiente por terceros con tres modalidades dependiendo de las normas complementarias utilizadas: • CSA Star Attestation (SOC2 de AICPA) con auditores con licencia CPA • CSA Star Certification (ISO/IEC 27001:2005 o 2013) con auditores certificados • CSA C-Star Assesment (con los estándares del mercado chino) Nivel 3 o CSA STAR Continuous monitoring basado en la auditoría continua. Incluirá un protocolo de confianza y permitirá la automatización de las prácticas de seguridad de los proveedores cloud. Certificación CSA STAR Por Luciano Moreira
Pasos para su obtención Para darse de alta en el registro (nivel 1) el proveedor de servicios cloud tiene que enviar los documentos de auto-evaluación a través de la plataforma y estar de acuerdo con los términos y condiciones del servicio. CSA comprueba la autenticidad de los documentos y los publica en el registro. El proveedor debe revisarlos en un plazo no superior a un año, en caso contrario se despublicarán. Esta publicación no indica que CSA verifique el cumplimiento de los controles de cada proveedor. Una vez aceptada por CSA, el proveedor puede mencionarlo en su página web con un enlace a CSA. Si se opta por la CSA Star Certification (nivel 2 en asociación con la ISO/IEC 27001/2013) el auditor certificado independiente dará una puntuación de madurez a cada uno de los controles, asignando un nivel de reconocimiento (No, Bronze, Silver o Gold) y enviando al proveedor un informe interno sobre la madurez de sus procesos y las áreas de mejora para alcanzar un nivel óptimo de madurez. Renovación La entrada en el registro se despublicará si transcurre más de un año sin que sea revisada por el proveedor. Si esto ocurriera, el proveedor debe eliminar de su página web cualquier referencia. CSA también despublicará cualquier entrada en el registro si considera que se violan los términos y condiciones del servicio. Si el proveedor opta por el nivel 2 (evaluación independiente) se ha de pagar una cuota para la emisión del certificado de CSA que tiene una validez de 3 años. Si la certificación de la empresa auditora fuera de un plazo inferior se prorratearía al siguiente mes completo. Web: www.cloudsecurityalliance.org Ámbito geográfico: Internacional. Promovido por: CSA Descripción: Certificado de seguridad para proveedores de servicios cloud y registro de proveedores. Certificación CSA STAR
Seguridad en AWS Por Christian Ibiri Aquí hay algunos puntos a tener en cuenta: 1. Nunca permitir simplemente "todo" entrante o saliente porque es fácil; ¡Utiliza siempre los puertos efímeros para el tráfico de retorno! 2. Utiliza grupos de seguridad para la Seguridad basada en instancias. Si es un Servidor Web, configura una regla para permitir que los puertos 80/443 ingresen a tu servidor web. 3. Usa NACLs para la seguridad de subred completa. Este es el mejor lugar para que una lista de bloqueo universal bloquee el tráfico malicioso. 5. Recorda que para que tu servidor se comunique con Internet, no solo necesita los puertos 80/443. También puede necesitar el puerto DNS 53 también. SSH requiere el puerto 22. Y todos estos requerirán los puertos efímeros 1024 - 65535 para el tráfico de retorno. 6. Podes limitar los puertos efímeros de tu servidor para aceptar un rango inferior, pero los servicios de AWS como NAT y Elastic Loadbalancers requieren los puertos 1024 - 65535 Tenes una nueva VPC y una aplicación configurada en tus instancias EC2, lista para funcionar. A esta aplicación solo se puede acceder desde tu computadora, lo cual es excelente para la Seguridad, pero eso no la va a hacer funcionar; ¡Necesitas que tus usuarios puedan acceder! Entonces, ¿cuál es la forma más fácil de hacer esto? Stateless vs. Stateful Una VPC tiene dos componentes de seguridad principales: Grupos de seguridad y Listas de control de acceso a la red, o NACL. Antes de sumergirnos en las reglas requeridas para un entorno seguro, primero debemos analizar dos conceptos muy importantes, sin estado y con estado. Un firewall con estado es uno que mantiene el "estado" de una conexión. Esto significa que si tiene todo el tráfico permitido en una dirección, pero no se permite el tráfico en la otra, el firewall seguirá permitiendo la entrada de retorno de una conexión establecida. Un firewall sin estado es uno que no mantiene el estado de conexión. Si se permite el tráfico en una dirección pero no en la otra, se bloqueará el tráfico de retorno. ¡Esto puede ser muy agravante para alguien que intenta proteger su entorno!
Seguridad en Azure Por Christian Ibiri Microsoft está constantemente trabajando en los aspectos de Seguridad de su plataforma de nube pública, Azure. En ella se protegen la privacidad de los datos y los clientes mantienen, en todo momento, la propiedad y el control de los mismos, asegurando que sólo son usados de una manera consistente con las expectativas de sus clientes. Azure es el proveedor de nube publica con más certificaciones disponibles en el mercado. A continuación, les acercamos unos pequeños tips de recursos que se pueden utilizar para mantener la Seguridad de tu información en la nube publica de Microsoft: Activity Log: Azure cuenta con un log de actividades para registrar qué operaciones se realizan sobre que recursos, quién realiza las operaciones, cuando se realizan, el estado de las mismas y las propiedades y valores de los cambios realizados, de los últimos 90 días. Control de Accesos basados en roles: Con RBAC se puede asignar únicamente los permisos necesarios para que los usuarios puedan realizar su trabajo. Por ejemplo, es posible dar permisos a un usuario para visualizar los valores de una máquina virtual pero que no tenga permisos para hacer modificaciones. Encriptación: Microsoft Azure ofrece diversos mecanismos para mantener información sensible: Microsoft Azure Storage Service Encryption: cifrado de la información almacenada en los Blob Storage. Azure Key Vault: servicio que ofrece la capacidad de administrar las claves de encriptación y/o de almacenar de forma segura y encriptar los valores de configuración de las aplicaciones.
EL CLO U D PE NTE S T E S U NA M E TO DO LO G ÍA P A R A E X A M INA R A C TIV A M E NTE E L S IS TE M A CLO U D S IM U LA NDO A LG Ú N AT A Q U E . Cloud, es escenario donde reside la responsabilidad compartida del Proveedor y del Cliente Cloud, que obtienen el servicio. Debido al impacto de la infraestructura, las acciones de Pentest, no están permitidas en entornos SaaS; aunque lo son en PaaS e IaaS; siempre que se planifique y coordine el Pentest. Los análisis de seguridad, deben efectuarse con regularidad para la pronta detección de vulnerabilidades. El contrato de SLA indicará el tipo de Pentest permitido. CONSIDÉRESE: Verificar el contrato SLA y validar de que se haya cubierto la política adecuada entre el proveedor de servicios de Cloud (CSP) y el Cliente; Para mantener el Governance, verificar la responsabilidad debida, entre el CSP y el suscriptor; Revisar el acuerdo de nivel de servicio, documentar y realizar el seguimiento del registro de CSP para determinar los roles y las responsabilidades de mantener los recursos de la nube; Revisar puertos no utilizados, asegurarse de que los servicios estén bloqueados; Validar que los datos almacenados on Cloud, se encuentren cifrados por defecto; Comprobar el Doble Factor de Autenticación utilizado; validar la OTP (One-time Password) para garantizar la seguridad de la red; Verificar los certificados SSL para servicios en la nube en la URL, y asegurarse de que los mismos hayan sido comprados a una Autoridad de Certificación (COMODO, Symantec, etc.); Revisar las políticas para divulgar los datos a terceros; Investigar si el CSP ofrece clonación y máquinas virtuales, de ser necesario; Considerar la validación de entrada adecuada para las aplicaciones de la nube, para evitar web apps attacks. ATAQUES! • Session Riding • Side Channel • Signature Wrapping OTROS ATAQUES: • Service Hijacking Utilizando Network Sniffing; • Session Hijacking Usando Xss; • Dns Attacks; • Sql Injection; • Ataque De Criptoanálisis; • Dos, Ddos El pentest en la nube Por Leonardo Devia
CCSK vs CCSP Por Leonardo Rosso CCSK vs CCSP: normalmente me hacen dos preguntas cada vez que alguien descubre que soy instructor de los cursos CCSK de Cloud Security Alliance CCS y (ISC)2 CCSP: 1 - "¿Cuál es la diferencia entre las dos certificaciones?" 2 - "¿Qué tan difícil es el examen CCSK?" En este articulo identificaré las diferencias entre dos de las certificaciones de seguridad en la nube más reconocidas de la industria, CCSK y CCSP. CCSK | Certificado de Conocimiento de Seguridad en la Nube El (CCSK) de la Cloud Security Alliance, se considera que es el abuelo de las certificaciones de seguridad en la nube. ¿Por qué? Principalmente porque el CCSK fue, literalmente, el primer examen de la industria cuando se lanzó en 2011. El desglose del curso se divide entre la discusión (técnica) y estratégica (orientada al negocio) de la seguridad en la nube. Es agnóstico en su enfoque. Actualización para CCSK versión 4 La mejor manera de describir las actualizaciones de CCSK V4 es que, desde una vista estratégica, es más de lo mismo. La gobernanza, los contratos, la gestión de riesgos, los aspectos legales están cubiertos en su mayor parte en el mismo grado, pero lo expandieron para que sea de naturaleza más global. Sin embargo, desde de un punto de vista más táctica la versión actualizada es muy diferente. Ejemplo: aprovechar la computación sin servidor y el almacenamiento de objetos para eliminar las rutas de ataque de red al centro de datos no es exactamente un elemento de gobierno; pero desde un enfoque más táctico, realmente muestra los diferentes patrones de arquitectura que puede aprovechar en la nube que son básicamente imposibles en la computación tradicional. También incluyen discusiones que no existían antes, como contenedores, herramientas de CI / CD, DevOps, ingeniería de caos y discusiones ampliadas sobre conceptos de seguridad de redes definidas por software. Detalles del curso CCSK El curso CCSK en sí, se entrega en dos formatos diferentes: • Fundamentos de CCSK (curso de 1 o 2 días) • CCSK PLUS (curso de 2 o 3 días) ¿Cuál es la principal diferencia entre los dos formatos diferentes, aparte de la duración del curso? Se trata de experiencias prácticas y ejercicios de curso. • El formato de Fundamentos de CCSK se puede entregar en un día, lo que significa que tiene tiempo para revisar la teoría, pero no lo suficiente para una discusión en profundidad en la clase o ejercicios prácticos. • El CCSK PLUS tiene todo lo presentado en el formato de Fundamentos de CCSK, pero con más tiempo para realmente llevar a casa los principales temas y objetivos de aprendizaje con los ejercicios / actividades del curso. Literalmente, se aplica la siguiente fórmula: Desglose del examen de CCSK Las personas son tipos tácticos o tipos de gobierno estratégico. Los tipos tácticos disfrutan de los bits y bytes de la computación y eso es totalmente genial. Entonces, tienes los tipos de gobierno. Estos son los gerentes, directores y otros en los que la mentalidad es cómo la adopción de la nube puede afectar al negocio en su conjunto. Una persona que tiene un pie en ambas áreas es bastante rara, y eso es lo que hace que el examen CCSK sea tan difícil. Una cosa a tener en es un examen de libro abierto que no se supervisa, sino que se toma en línea desde cualquier ubicación Parece que estos rasgos llevan a algunos a pensar que es mas fácil que el examen cerrado y supervisado. Todavía sostengo que los exámenes a libro abierto correctamente escritos son difíciles. Creo que sería imposible responder 60 preguntas en 90 minutos si se tiene que investigar todas las preguntas. Créditos de Educación Profesional Continua (CPE) El curso de CCSK es CPE elegible. Tenga en cuenta que las pautas de CPE para los cursos son que debe tener en cuenta el almuerzo y las pausas. Nota- CCSK no requiere mantenimiento CPE Reflexiones finales sobre CCSK Con el contenido actualizado de v4, CCSK sigue siendo muy relevante para los profesionales de seguridad que buscan un curso que ofrezca una comprensión táctica y estratégica general de los desafíos y ventajas de la nube.
CCSK vs CCSP CCSP | Certified Cloud Security Professional (versión 2017) (ISC)2 es la organización que obtiene el crédito por el CCSP. Sin embargo, (ISC)2 y Cloud Security Alliance (la organización que fundó CCSK) colaboraron para crear el curso CCSP y el examen de certificación. El CCSP es, en mi humilde opinión, más adecuado para los titulares de CISSP. El CCSP abordará muchos temas que son conocimiento supuesto en el CCSK. Por ejemplo, el modelo de referencia OSI está cubierto en el CCSP, mientras que el CCSK asume que ya tiene este conocimiento al hablar sobre la encapsulación de paquetes en una red SDN. Detalles del curso La principal diferencia entre CCSP y CCSK se puede encontrar en tres áreas: discusión de gobierno ampliado, seguridad del centro de datos y privacidad. Se espera que un CISSP comprenda una amplia gama de dominios de seguridad, e ISC2 quiere asegurarse de que los profesionales certificados por CCSP sean plenamente conscientes de los problemas de gobernanza y seguridad que acompañan a la nube, el centro de datos y la privacidad de los consumidores que utilizan los servicios en la nube. Entonces, cuando el polvo se asienta, la siguiente fórmula resume bastante bien el nuevo CCSP: CCSP = CCSK + Elementos de gobierno ampliado + Seguridad tradicional + Privacidad El curso CCSP normalmente se imparte en un período de 5 días. Hay algo de repetición en el material y puede terminarlo en los 5 días asignados. Yo tampoco diría que se puede hacer en 4 días. Formato del curso El curso de CCSP es casi un 100% de conferencia. No hay laboratorios en absoluto. En su lugar, tiene una serie de preguntas y respuestas y tipos de escenarios de grupos de trabajo que se reparten a lo largo del curso. Esto convierte al CCSP en un curso que podría considerarse de naturaleza más estratégica casi lo inverso del CCSK. Actualización para la versión 2017 (ISC)2 actualizó el Libro Común del Conocimiento (CBK) de CCSP y el curso en 2017. Esta actualización amplía los conceptos, introduce nuevos temas (como la economía de nube, requisitos empresariales, etc.) y nuevas tecnologías (por ejemplo, DevOps, Contenedores, etc.), aunque en menor grado técnico que el CCSK. Desglose del examen CCSP En cuanto al examen en sí, estoy bajo un NDA, por lo que, naturalmente, no puedo entrar en los tipos de preguntas que presentan. Sin embargo, creo que sería una declaración justa decir que el candidato promedio para el examen CCSP es un titular de CISSP y se evaluará en cuanto al conocimiento de la nube y los conceptos tradicionales de seguridad de centros de datos. Créditos de Educación Profesional Continua (CPE) CCSP aparece como un curso de 40 horas, por lo que debe llevarse a casa aproximadamente 35 CPE. Reflexiones finales sobre CCSP Si bien la última versión del CCSP amplía la discusión sobre temas estratégicos, no se adentra en la misma discusión táctica que se encuentra en el CCSK. El curso está escrito en la misma línea que el CISSP, por lo que la cobertura incluye todo lo que un profesional de seguridad de la información debe saber para proteger un entorno, desde el diseño físico de un centro de datos hasta la seguridad de la aplicación en la nube. CCSK vs. CCSP | Pensamientos finales Como dije antes, no tengo un sesgo aquí. He establecido lo que considero que son los puntos fuertes de ambas ofertas. Esta tabla básicamente resume algunos aspectos destacados: ¿Cuál prefiero? Aprecio la cobertura del CCSP, pero si tuviera que hacer solo uno, haría el CSSK porque está 100% centrado en la seguridad de la nube y los patrones arquitectónicos, así como las tecnologías específicas de la nube se tratan con mayor profundidad (incluso más después de la actualización v4). Si tiene el tiempo y los recursos para hacer ambas mejor. En ese caso, haría el CCSK primero, luego el CCSP. De cualquier manera, la única manera de equivocarse es no hacer ninguna de las dos.
La importancia de la ISO 27001 Por Julio Balderrama • La norma internacional ISO/IEC 27017, relativa a la seguridad de los servicios cloud, es un código de conducta coherente con la norma ISO 27002 (1). Sirve de complemento a esta última norma y establece buenas prácticas de seguridad en el marco de los servicios cloud. Para cada artículo, se especifican las posibles consideraciones relativas a estos servicios en la nube. Aunque los expertos en seguridad y calidad podrán adoptar la norma rápidamente, su lectura puede resultar más difícil para el resto. • La norma ISO 27017 no solo se centra en los proveedores de servicios cloud, sino también en la seguridad del conjunto de estos servicios; de hecho, también se tiene en cuenta el punto de vista del cliente. Estas exigencias adicionales permiten estandarizar las relaciones entre el cliente y el proveedor de servicios cloud. • Otras normas como la ISO 27018 proporcionan orientación destinada a las empresas que se encargan del tratamiento de datos de carácter personal. Al igual que la norma ISO 27017, esta norma también complementa las medidas de seguridad establecidas por la norma ISO 27002 (1), pero en el marco del tratamiento de información de carácter personal. Las medidas de seguridad de la norma ISO 27018 son relevantes en el contexto de los servicios de aplicaciones (SaaS) que procesan información personal y tienen una aplicación limitada en el caso de nuestros servicios de infraestructura. • A pesar de su importancia, no existe una certificación como tal de esta norma. Se trata de un compendio de buenas prácticas en el que se incluyen recomendaciones para mejorar la seguridad del servicio, y no de un sistema de referencia de conformidad. Estas recomendaciones se pueden integrar fácilmente en un sistema de gestión certificado ISO 27001. Los auditores de certificación si pueden incluir en las próximas auditorias de seguimiento una inspección del cumplimiento de estas buenas prácticas. De este modo, contaremos con una evaluación independiente de la implementación de estos estándares de seguridad en nuestros procedimientos.
• Esta norma ayuda a que todos los datos que el cliente necesite para estar seguro de su protección frente a posibles riesgos. En el caso de proveedores de servicios cloud, estos deben proporcionar información a los clientes sobre la arquitectura, la tecnología utilizada, las medidas de seguridad adoptadas y las funcionalidades disponibles, así como sobre el contexto de uso (por ejemplo, la tecnología de cifrado utilizada o la localización geográfica de los centros de datos). • El proveedor también debe establecer el lugar que ocupa el cliente en estos procedimientos operativos y en la gestión de modificaciones, actualizaciones o incidentes. De manera general, la norma incide en la importancia de definir claramente el papel y las responsabilidades del cliente y del proveedor en materia de seguridad. • En el caso de los clientes de las empresas de cloud, la lectura de la norma les permite identificar los puntos más relevantes y le guía a la hora de elegir a sus partners. Los CIO (Chief Information Officer) quieren mayor flexibilidad y poder recurrir al proveedor más adecuado según el caso. Así pues, el suministro de los servicios informáticos evoluciona de forma natural desde un modelo en cadena hacia un modelo en red. La multiplicación de las relaciones comerciales y técnicas lleva aparejada una nueva complejidad que tenemos que aprender a gestionar. • La norma ISO 27017 permite estandarizar las relaciones entre los clientes y los proveedores de servicios cloud mediante un modelo de análisis e intercambio común, facilitando así la gestión. Las empresas que se ajustan a la norma ISO 27017, permiten que los usuarios de sus servicios disfruten de unas mejores garantías de seguridad. • (1) La norma ISO/IEC 27002 engloba un conjunto de 113 medidas o best practices para todas aquellas personas responsables de la implantación o el mantenimiento de un sistema de gestión de la seguridad de la información (SGSI). Según esta norma, la seguridad de la información se define como la «preservación de la confidencialidad, integridad y disponibilidad de la información». La importancia de la ISO 27001
Seguridad en IOT Por Carina Birarda PANORAMA DE LA AMENAZA CIBERNÉTICA: INFORME SOBRE LOS ATAQUES DIRIGIDOS A SISTEMAS ICS Los sistemas de gestión industrial (ICS / SCADA) son ahora el objetivo principal de los ciberatacantes, que buscan comprometer la base de producción y los servicios públicos. CSA lanzó un informe, en el cual se registra un aumento de ataques, a esta clase de equipamiento. En comparación al período anterior, los ataques han incrementado un 41% sobre los objetivos de ICS. Estas tecnologías fueron atacadas con más interés, desde el 2017. Las principales fuentes de infección para estos equipos en la infraestructura de red industrial de las organizaciones son Internet, medios extraíbles y correo electrónico. En el primer semestre de 2018, las soluciones de seguridad en sistemas de automatización industrial detectaron más de 19.4 mil modificaciones de malware de 2.8 mil malware diferentes. Los altos porcentajes de computadoras ICS atacadas en países en desarrollo podrían tener que ver con que estos países hayan tenido sectores industriales solo por un tiempo relativamente corto. Según esto, en casi todos los países donde al menos la mitad de todas las computadoras de ICS fueron atacadas durante los seis meses. Top de los veinte países con el porcentaje de sistemas ICS atacados; Vietnam 75,1%, Algeria 71,6%, Morocco 64,8%, Tunissia 64,6%, Indonesia 64,0%, China 57,4%, India 55,2%, Iran 55,2%, Egypt 55,1%, Saudi Arabia 55,0%, Ecuador 53,8%, Peru 52,7%, Kazakhstan 52,4%, Mexico 52,4%, Philippines 51,4%, Chile 50,4%, Malaysia 49,9%, Taiwan 46,9%, Russian Federation 44,7% , United Arab Emirates 42,3% Según el reporte, parte de la infraestructura industrial de las organizaciones, aproximadamente el 42% de todas las máquinas tenían conexiones a Internet regulares o de tiempo completo. Los hackers creativos de hoy en día, son financiados por países hostiles, organizaciones delictivas o entidades comerciales, que están interesadas en causar daños en las máquinas e interrumpir la vida pacífica de las personas. Los operadores de infraestructura crítica deben ser conscientes del daño potencial causado por los ataques cibernéticos dirigidos a generar una seria amenaza para la operación comercial.
En esta época de digitalización, tecnologías cloud y la masificación de los dispositivos electrónicos personales, el uso de Big Data es una necesidad en auge, pero además se convierte en un protagonista en común entre las diferentes organizaciones. Todo profesional habrá podido escuchar que una organización desea aplicar Big Data, pero a algunos profesionales les ha surgido la misma gran duda ¿Estarán preparados para involucrarse con Big Data los diferentes grupos de trabajo? Esta clase de dudas me han llevado a analizar el estado del conocimiento existente sobre la implementación de dichos sistemas. He notado que, si bien no es escasa, la información que respecta a la seguridad en estos sistemas es, proporcionalmente, mucha menos que la orientada a explicar implementaciones sin el énfasis en seguridad que realmente debería tener. Un punto destacable es la falsa creencia de que un solo profesional en el tema de Big Data que posea conocimientos generales de seguridad es suficiente para llevar adelante un proyecto. Creo que el mejor resultado es el producto de integrar un equipo multifuncional, el cual reúna conocimientos de diferentes áreas (administración, seguridad, redes, infraestructura, etc.) y no que se encuentre nucleado en una única área; además si sus integrantes tienen conocimientos de Big Data, es muy útil, pero, un integrante por sí solo no podría llevar adelante un proyecto de Big Data con resultados óptimos. Gracias a la investigación que he realizado y titulado “Análisis de Seguridad en Big Data”, puedo concluir que el conocimiento técnico disponible es abundante, pero sin embargo, hay una inmensa cantidad de relatos que finalizan en fracaso debido a la desinformación. La necesidad de poseer profesionales capacitados y con una amplia visión de la variedad de vulnerabilidades y situaciones desfavorables, es fundamental para iniciar cualquier acción de mejora. Una vez conocidos los problemas y presentadas alternativas de mejora, es cuando se comienza el camino para alcanzar una seguridad sólida. En mi opinión, Big Data se convertirá en un tema corriente y dejará de ser análisis de Big Data para ser simplemente análisis de datos. Por esta razón, destaco la importancia de generar una conciencia de seguridad desde los cimientos y así, cuando se dispongan estos sistemas en toda organización, nos encontraremos preparados para ofrecer la seguridad que se requiere. Seguridad y Big Data Por Victor Cohen
# 1 EN SEGURIDAD DE CUENTAS PRIVILEGIADAS • Protege las credenciales privilegiadas en las plataformas locales y ambientes de nube • Detecta y evita los ataques que se concretan usando cuentas privilegiadas • Implementa la protección de credenciales y de secretos mas flexible para usuarios, aplicaciones, herramientas DevOps y endpoints
https://cloudsecurityalliance.org/artifacts/security-guidance-v4-spanish-translation/
GRACIASPOR LACONFIANZA

Recomendados

Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCSA Argentina
 
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresascloudsa_arg
 
Capítulo 8 Seguridad de la nube
Capítulo 8 Seguridad de la nubeCapítulo 8 Seguridad de la nube
Capítulo 8 Seguridad de la nubeEdwin Ruiz
 
Seguridad y computación en la nube
Seguridad y computación en la nubeSeguridad y computación en la nube
Seguridad y computación en la nubeCarlos Rubén Jacobs
 
Mejores prácticas y las difíciles lecciones aprendidas con las aplicaciones S...
Mejores prácticas y las difíciles lecciones aprendidas con las aplicaciones S...Mejores prácticas y las difíciles lecciones aprendidas con las aplicaciones S...
Mejores prácticas y las difíciles lecciones aprendidas con las aplicaciones S...Amazon Web Services LATAM
 
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYSLA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYSCristian Garcia G.
 
Csa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesCsa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesLuciano Moreira da Cruz
 
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud CSA Argentina
 

Recomendados

Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCSA Argentina
 
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresascloudsa_arg
 
Capítulo 8 Seguridad de la nube
Capítulo 8 Seguridad de la nubeCapítulo 8 Seguridad de la nube
Capítulo 8 Seguridad de la nubeEdwin Ruiz
 
Seguridad y computación en la nube
Seguridad y computación en la nubeSeguridad y computación en la nube
Seguridad y computación en la nubeCarlos Rubén Jacobs
 
Mejores prácticas y las difíciles lecciones aprendidas con las aplicaciones S...
Mejores prácticas y las difíciles lecciones aprendidas con las aplicaciones S...Mejores prácticas y las difíciles lecciones aprendidas con las aplicaciones S...
Mejores prácticas y las difíciles lecciones aprendidas con las aplicaciones S...Amazon Web Services LATAM
 
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYSLA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYSCristian Garcia G.
 
Csa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesCsa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesLuciano Moreira da Cruz
 
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
Csa summit el circulo de la confianza entre el cliente y el proveedor cloud CSA Argentina
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Seguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoSeguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoCristian Borghello
 
4.4 Métricas y Calidad de Servicios Cloud (I).
4.4 Métricas y Calidad de Servicios Cloud (I).4.4 Métricas y Calidad de Servicios Cloud (I).
4.4 Métricas y Calidad de Servicios Cloud (I).Brox Technology
 
Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...
Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...
Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...Steven San Martin
 
Abigail vasquez ...
Abigail vasquez ...Abigail vasquez ...
Abigail vasquez ...Abigail Maldonado
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
Auditoria en La Nube
Auditoria en La NubeAuditoria en La Nube
Auditoria en La Nubejavno
 
Tendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la NubeTendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la NubeDiana Cullen
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Azure intro
Azure introAzure intro
Azure introDiana Carolina Torres Viasus
 
Camino hacia la nube para la Industria Bancaria Argentina
Camino hacia la nube para la Industria Bancaria ArgentinaCamino hacia la nube para la Industria Bancaria Argentina
Camino hacia la nube para la Industria Bancaria ArgentinaIBM
 
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptxRicardo González
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
Jesús Luna
Jesús LunaJesús Luna
Jesús LunaJSe
 
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...Steven San Martin
 
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWSGUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWSAmazon Web Services LATAM
 
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nubeRicardo González
 
Ensayo seguridad en la nube
Ensayo seguridad en la nubeEnsayo seguridad en la nube
Ensayo seguridad en la nubeoerazo6808
 
Miscloudfiguration
MiscloudfigurationMiscloudfiguration
MiscloudfigurationLuciano Moreira da Cruz
 
Legionarios de la Ciberseguridad - Cloud Legion
Legionarios de la Ciberseguridad - Cloud LegionLegionarios de la Ciberseguridad - Cloud Legion
Legionarios de la Ciberseguridad - Cloud LegionLuciano Moreira da Cruz
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Luciano Moreira da Cruz
 

Más contenido relacionado

Similar a CSAAR#1-Seguridad en la nube con CSA

Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Seguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoSeguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoCristian Borghello
 
4.4 Métricas y Calidad de Servicios Cloud (I).
4.4 Métricas y Calidad de Servicios Cloud (I).4.4 Métricas y Calidad de Servicios Cloud (I).
4.4 Métricas y Calidad de Servicios Cloud (I).Brox Technology
 
Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...
Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...
Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...Steven San Martin
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
Auditoria en La Nube
Auditoria en La NubeAuditoria en La Nube
Auditoria en La Nubejavno
 
Tendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la NubeTendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la NubeDiana Cullen
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Camino hacia la nube para la Industria Bancaria Argentina
Camino hacia la nube para la Industria Bancaria ArgentinaCamino hacia la nube para la Industria Bancaria Argentina
Camino hacia la nube para la Industria Bancaria ArgentinaIBM
 
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptxRicardo González
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
Jesús Luna
Jesús LunaJesús Luna
Jesús LunaJSe
 
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...Steven San Martin
 
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWSGUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWSAmazon Web Services LATAM
 
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nubeRicardo González
 
Ensayo seguridad en la nube
Ensayo seguridad en la nubeEnsayo seguridad en la nube
Ensayo seguridad en la nubeoerazo6808
 

Similar a CSAAR#1-Seguridad en la nube con CSA (20)

Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Seguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoSeguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-Info
 
4.4 Métricas y Calidad de Servicios Cloud (I).
4.4 Métricas y Calidad de Servicios Cloud (I).4.4 Métricas y Calidad de Servicios Cloud (I).
4.4 Métricas y Calidad de Servicios Cloud (I).
 
Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...
Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...
Proyecto - Comparativa de proveedores de servicio Cloud Computing para empren...
 
Abigail vasquez ...
Abigail vasquez ...Abigail vasquez ...
Abigail vasquez ...
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
 
Auditoria en La Nube
Auditoria en La NubeAuditoria en La Nube
Auditoria en La Nube
 
Tendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la NubeTendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la Nube
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
 
Azure intro
Azure introAzure intro
Azure intro
 
Camino hacia la nube para la Industria Bancaria Argentina
Camino hacia la nube para la Industria Bancaria ArgentinaCamino hacia la nube para la Industria Bancaria Argentina
Camino hacia la nube para la Industria Bancaria Argentina
 
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 
Jesús Luna
Jesús LunaJesús Luna
Jesús Luna
 
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
 
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWSGUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
 
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube
 
Ensayo seguridad en la nube
Ensayo seguridad en la nubeEnsayo seguridad en la nube
Ensayo seguridad en la nube
 
Miscloudfiguration
MiscloudfigurationMiscloudfiguration
Miscloudfiguration
 

Más de Luciano Moreira da Cruz

Legionarios de la Ciberseguridad - Cloud Legion
Legionarios de la Ciberseguridad - Cloud LegionLegionarios de la Ciberseguridad - Cloud Legion
Legionarios de la Ciberseguridad - Cloud LegionLuciano Moreira da Cruz
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Luciano Moreira da Cruz
 
Trilogía The Lord of Cloud Native P2: Dos de cuatro torre
Trilogía The Lord of Cloud Native P2: Dos de cuatro torreTrilogía The Lord of Cloud Native P2: Dos de cuatro torre
Trilogía The Lord of Cloud Native P2: Dos de cuatro torreLuciano Moreira da Cruz
 
The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...
The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...
The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...Luciano Moreira da Cruz
 
CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...
CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...
CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...Luciano Moreira da Cruz
 
DevSec Oops, los casos de no éxito de DevSecOps
DevSec Oops, los casos de no éxito de DevSecOpsDevSec Oops, los casos de no éxito de DevSecOps
DevSec Oops, los casos de no éxito de DevSecOpsLuciano Moreira da Cruz
 
Devsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOpsDevsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOpsLuciano Moreira da Cruz
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoLuciano Moreira da Cruz
 
Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Luciano Moreira da Cruz
 
Workshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaWorkshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaLuciano Moreira da Cruz
 
Infraestructuras agiles el corazón de dev ops en it ops
Infraestructuras agiles el corazón de dev ops en it opsInfraestructuras agiles el corazón de dev ops en it ops
Infraestructuras agiles el corazón de dev ops en it opsLuciano Moreira da Cruz
 
Ciber 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
Ciber 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTECiber 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
Ciber 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTELuciano Moreira da Cruz
 
EducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasEducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasLuciano Moreira da Cruz
 
E gisart 2015 cloud security y en donde esta el piloto..
E gisart 2015 cloud security y en donde esta el piloto..E gisart 2015 cloud security y en donde esta el piloto..
E gisart 2015 cloud security y en donde esta el piloto..Luciano Moreira da Cruz
 

Más de Luciano Moreira da Cruz (17)

Legionarios de la Ciberseguridad - Cloud Legion
Legionarios de la Ciberseguridad - Cloud LegionLegionarios de la Ciberseguridad - Cloud Legion
Legionarios de la Ciberseguridad - Cloud Legion
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
 
Trilogía The Lord of Cloud Native P2: Dos de cuatro torre
Trilogía The Lord of Cloud Native P2: Dos de cuatro torreTrilogía The Lord of Cloud Native P2: Dos de cuatro torre
Trilogía The Lord of Cloud Native P2: Dos de cuatro torre
 
The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...
The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...
The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...
 
CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...
CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...
CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...
 
DevSec Oops, los casos de no éxito de DevSecOps
DevSec Oops, los casos de no éxito de DevSecOpsDevSec Oops, los casos de no éxito de DevSecOps
DevSec Oops, los casos de no éxito de DevSecOps
 
Devsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOpsDevsecooops Los Caso de no éxito en DevSecOps
Devsecooops Los Caso de no éxito en DevSecOps
 
Keep CALMS and DevSecOps
Keep CALMS and DevSecOps Keep CALMS and DevSecOps
Keep CALMS and DevSecOps
 
¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?¿DEVSECOPS puede desaparecer?
¿DEVSECOPS puede desaparecer?
 
Devsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivoDevsecops superstar un movimiento masivo
Devsecops superstar un movimiento masivo
 
Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019Devsecops con azure devops en global azure bootcamp 2019
Devsecops con azure devops en global azure bootcamp 2019
 
Workshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft ArgentinaWorkshop azure devsecops Microsoft Argentina
Workshop azure devsecops Microsoft Argentina
 
Infraestructuras agiles el corazón de dev ops en it ops
Infraestructuras agiles el corazón de dev ops en it opsInfraestructuras agiles el corazón de dev ops en it ops
Infraestructuras agiles el corazón de dev ops en it ops
 
Introduccion a devops y devsecops
Introduccion a devops y devsecopsIntroduccion a devops y devsecops
Introduccion a devops y devsecops
 
Ciber 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
Ciber 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTECiber 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
Ciber 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
 
EducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazasEducacionIT - El brazo tonto de la inteligencia de amenazas
EducacionIT - El brazo tonto de la inteligencia de amenazas
 
E gisart 2015 cloud security y en donde esta el piloto..
E gisart 2015 cloud security y en donde esta el piloto..E gisart 2015 cloud security y en donde esta el piloto..
E gisart 2015 cloud security y en donde esta el piloto..
 

Último

Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 

Último (20)

Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 

CSAAR#1-Seguridad en la nube con CSA

  • 1. CSAAR#1 “BIG BROTHER IS WATCHING YOU”
  • 2. SOBRE LA CSA La Cloud Security Alliance (CSA) Es una organización sin fines de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad en “Cloud Computing” y proporcionar educación sobre los usos de la computación en la nube, a fin de que las empresas puedan adoptar el concepto en sus organizaciones. Cloud Security Alliance (CSA) está dirigida por una amplia coalición de corporaciones, asociaciones y profesionales de la industria. Historia Desde el año 2008, el “Cloud Computing” ha ganado la atención de la comunidad de seguridad de la información. El concepto de la Cloud Security Alliance nació tras la presentación de las nuevas tendencias de Jim Reavis, que incluyó un llamado a la acción para asegurar la computación en la nube. Jim Reavis y Puhlmann Nils elaboraron la primera misión y estrategia de la CSA; una serie de reuniones organizadas con líderes de la industria a principios de diciembre 2008 dio inicio a la creación de la CSA con la misión de tener un acercamiento con la comunidad de seguridad de la información, de tal suerte que para la Conferencia RSA
  • 3. Agenda 8:30 RECEPCIÓN Y ACREDITACIÓN 8:45 "INAGURACIÓN Y BIENVENIDA CSA LATAM FORUM 2018" Leonardo Rosso y Luciano Moreira Da Cruz - Cloud Security Alliance Argentina" 9:00 a 9:45 "Riesgos a evitar en la adopción de servicios en la nube: SaaS, IaaS, PaaS" Sean Cordero - Head Of Cloud Strategy At Netskope 9:45 a 10:30 SALA BIG "AVANT GARDE" SALA BROTHER "GALERIA" "Prevención Efectiva en la Nube" Darío Opezzo; Regional Sales Manager at Palo Alto Networks "Hardening de usuarios en Cloud Computing" Fabián Calvete / SmartFense 10:30 COFFEE BREAK & NETWORKING 11:00 a 11:40 "Seguridad para Accesos Privilegiados" Enzo Gaggero; Senior Solutions Consultant at CyberArk "Protegiendo tu Nube (Responsabilidades compartidas para Cloud Computing)" Leonardo Granda; Sr. Sales Engineer Manager, LATAM at Sophos 11:40 a 12:20 "Seguridad de red para la generación de la Nube" Lucas Lavié; Territory Sales Engineer - SOLA at Symantec "DevSecOps Mas Rapidos Mas Furioso" (Christian Ibiri y Leonardo Devia, Cloud egion) 12:20 a 13:00 “Disipando La Tormenta Para Investigar La Nube“ Panel Sobre Cloud En El Sector Ffss, Fiscalías. Feliz Cumpleaños "A" 6354 Panel Sobre Cloud En El Sector Financiero Y Bancario - A Un Año De La Circular Del Bcra Que Cambio? 13:00 ALMUERZO LIBRE 14:10 a 14:40 "Se Lo Que Whatsappeaste El Verano Pasado" Marcelo Romero 14:40 a 15:10 "De Los Mismos Creadores De “Cloud”, Llega “Edge Y Fog”"panel Sobre "Edge/Fog Computing" Del Cloud Hacia La Computación En Los Dispositivos "Security as code. Continuous everything powered by pipelines and unicorns." Alejandro Casas; 15:10 a 15:40 "Automated Analysis of Massive AWS Clouds" Andres Riancho CSA research 15:40 a 16:10 “Cloud Computing & Open Data Vs. Data Privacy & Infosecurity: Conciliando diadas contrapuestas en la Justicia” Juez Pablo Casas y Johanna Faleiro "Ethical Hacking en entornos Cloud" Federico Pacheco, Equipo de Cybersecurity Latam, Jp Morgan Chase 16:10 COFFEE BREAK & NETWORKING 16:40 a 17:10 “10 Años De Cloud Security Alliance” Panel Sobre El Estudio Del Arte De La Seguridad En La Nube 17:10 a 17:15 “Grooming Argentina” 17:15 a 17:45 “Big Brother Is Watching You” Panel Sobre La Transparencia, Privacidad Y Datos Personales En Cloud "Gdpr Vs Leyes Locales 17:45 a 18:15 “Titanes En La Nube" Presentamos los ganadores del desafio CCSK 18:15 CLAUSURA, CONCLUSIONES Y SORTEOS
  • 5.
  • 6. El registro de evaluación, confianza y seguridad CSA STAR (Security, Trust & Assurance Registry) de la organización CSA es un mecanismo de evaluación de la seguridad de los proveedores de servicios en la nube, aunando principios de transparencia, rigor en la auditoría, armonización de estándares y monitorización continua. Está dirigido a proveedores de servicios cloud, a sus usuarios, a auditores y entidades de certificación y a empresas de seguridad y consultores. Para la evaluación ofrece una matriz de controles cloud (Cloud Controls Matrix (CCM)) con correspondencias con distintos estándares, mejores prácticas y normativas (COBIT, HIPPA, ISO27001, NIST SP800-53, Fed RAMP, PCI DSS, BITS, GAPP,…). También proporciona un cuestionario de preguntas que sirven al usuario o al auditor para verificar el cumplimento del proveedor de servicios cloud. Criterios La matriz de controles cloud cubre las áreas de cumplimiento, gobernanza de datos, seguridad de las instalaciones, recursos humanos, seguridad de la información, legal, gestión de operaciones, gestión de riesgos, gestión de versiones, resiliencia y arquitectura de seguridad. Los proveedores que envían el cuestionario o se certifican se mostrarán en un registro público (complimentary registry) en el que se pueden consultar los datos de certificación y cumplimiento con los controles de cada uno. Qué han de cumplir las empresas para obtener su sello Dependiendo del nivel de evaluación: Nivel 1 Self- assesment o auto-evaluación de la conformidad. Los proveedores de servicios en la nube deben bien rellenar el cuestionario o documentar el cumplimiento de la matriz de controles. Esta información será publicada en el registro para promover la transparencia y la visibilidad de sus prácticas de seguridad. Este servicio es gratuito. Nivel 2 o evaluación independiente por terceros con tres modalidades dependiendo de las normas complementarias utilizadas: • CSA Star Attestation (SOC2 de AICPA) con auditores con licencia CPA • CSA Star Certification (ISO/IEC 27001:2005 o 2013) con auditores certificados • CSA C-Star Assesment (con los estándares del mercado chino) Nivel 3 o CSA STAR Continuous monitoring basado en la auditoría continua. Incluirá un protocolo de confianza y permitirá la automatización de las prácticas de seguridad de los proveedores cloud. Certificación CSA STAR Por Luciano Moreira
  • 7. Pasos para su obtención Para darse de alta en el registro (nivel 1) el proveedor de servicios cloud tiene que enviar los documentos de auto-evaluación a través de la plataforma y estar de acuerdo con los términos y condiciones del servicio. CSA comprueba la autenticidad de los documentos y los publica en el registro. El proveedor debe revisarlos en un plazo no superior a un año, en caso contrario se despublicarán. Esta publicación no indica que CSA verifique el cumplimiento de los controles de cada proveedor. Una vez aceptada por CSA, el proveedor puede mencionarlo en su página web con un enlace a CSA. Si se opta por la CSA Star Certification (nivel 2 en asociación con la ISO/IEC 27001/2013) el auditor certificado independiente dará una puntuación de madurez a cada uno de los controles, asignando un nivel de reconocimiento (No, Bronze, Silver o Gold) y enviando al proveedor un informe interno sobre la madurez de sus procesos y las áreas de mejora para alcanzar un nivel óptimo de madurez. Renovación La entrada en el registro se despublicará si transcurre más de un año sin que sea revisada por el proveedor. Si esto ocurriera, el proveedor debe eliminar de su página web cualquier referencia. CSA también despublicará cualquier entrada en el registro si considera que se violan los términos y condiciones del servicio. Si el proveedor opta por el nivel 2 (evaluación independiente) se ha de pagar una cuota para la emisión del certificado de CSA que tiene una validez de 3 años. Si la certificación de la empresa auditora fuera de un plazo inferior se prorratearía al siguiente mes completo. Web: www.cloudsecurityalliance.org Ámbito geográfico: Internacional. Promovido por: CSA Descripción: Certificado de seguridad para proveedores de servicios cloud y registro de proveedores. Certificación CSA STAR
  • 8.
  • 9. Seguridad en AWS Por Christian Ibiri Aquí hay algunos puntos a tener en cuenta: 1. Nunca permitir simplemente "todo" entrante o saliente porque es fácil; ¡Utiliza siempre los puertos efímeros para el tráfico de retorno! 2. Utiliza grupos de seguridad para la Seguridad basada en instancias. Si es un Servidor Web, configura una regla para permitir que los puertos 80/443 ingresen a tu servidor web. 3. Usa NACLs para la seguridad de subred completa. Este es el mejor lugar para que una lista de bloqueo universal bloquee el tráfico malicioso. 5. Recorda que para que tu servidor se comunique con Internet, no solo necesita los puertos 80/443. También puede necesitar el puerto DNS 53 también. SSH requiere el puerto 22. Y todos estos requerirán los puertos efímeros 1024 - 65535 para el tráfico de retorno. 6. Podes limitar los puertos efímeros de tu servidor para aceptar un rango inferior, pero los servicios de AWS como NAT y Elastic Loadbalancers requieren los puertos 1024 - 65535 Tenes una nueva VPC y una aplicación configurada en tus instancias EC2, lista para funcionar. A esta aplicación solo se puede acceder desde tu computadora, lo cual es excelente para la Seguridad, pero eso no la va a hacer funcionar; ¡Necesitas que tus usuarios puedan acceder! Entonces, ¿cuál es la forma más fácil de hacer esto? Stateless vs. Stateful Una VPC tiene dos componentes de seguridad principales: Grupos de seguridad y Listas de control de acceso a la red, o NACL. Antes de sumergirnos en las reglas requeridas para un entorno seguro, primero debemos analizar dos conceptos muy importantes, sin estado y con estado. Un firewall con estado es uno que mantiene el "estado" de una conexión. Esto significa que si tiene todo el tráfico permitido en una dirección, pero no se permite el tráfico en la otra, el firewall seguirá permitiendo la entrada de retorno de una conexión establecida. Un firewall sin estado es uno que no mantiene el estado de conexión. Si se permite el tráfico en una dirección pero no en la otra, se bloqueará el tráfico de retorno. ¡Esto puede ser muy agravante para alguien que intenta proteger su entorno!
  • 10.
  • 11. Seguridad en Azure Por Christian Ibiri Microsoft está constantemente trabajando en los aspectos de Seguridad de su plataforma de nube pública, Azure. En ella se protegen la privacidad de los datos y los clientes mantienen, en todo momento, la propiedad y el control de los mismos, asegurando que sólo son usados de una manera consistente con las expectativas de sus clientes. Azure es el proveedor de nube publica con más certificaciones disponibles en el mercado. A continuación, les acercamos unos pequeños tips de recursos que se pueden utilizar para mantener la Seguridad de tu información en la nube publica de Microsoft: Activity Log: Azure cuenta con un log de actividades para registrar qué operaciones se realizan sobre que recursos, quién realiza las operaciones, cuando se realizan, el estado de las mismas y las propiedades y valores de los cambios realizados, de los últimos 90 días. Control de Accesos basados en roles: Con RBAC se puede asignar únicamente los permisos necesarios para que los usuarios puedan realizar su trabajo. Por ejemplo, es posible dar permisos a un usuario para visualizar los valores de una máquina virtual pero que no tenga permisos para hacer modificaciones. Encriptación: Microsoft Azure ofrece diversos mecanismos para mantener información sensible: Microsoft Azure Storage Service Encryption: cifrado de la información almacenada en los Blob Storage. Azure Key Vault: servicio que ofrece la capacidad de administrar las claves de encriptación y/o de almacenar de forma segura y encriptar los valores de configuración de las aplicaciones.
  • 12.
  • 13. EL CLO U D PE NTE S T E S U NA M E TO DO LO G ÍA P A R A E X A M INA R A C TIV A M E NTE E L S IS TE M A CLO U D S IM U LA NDO A LG Ú N AT A Q U E . Cloud, es escenario donde reside la responsabilidad compartida del Proveedor y del Cliente Cloud, que obtienen el servicio. Debido al impacto de la infraestructura, las acciones de Pentest, no están permitidas en entornos SaaS; aunque lo son en PaaS e IaaS; siempre que se planifique y coordine el Pentest. Los análisis de seguridad, deben efectuarse con regularidad para la pronta detección de vulnerabilidades. El contrato de SLA indicará el tipo de Pentest permitido. CONSIDÉRESE: Verificar el contrato SLA y validar de que se haya cubierto la política adecuada entre el proveedor de servicios de Cloud (CSP) y el Cliente; Para mantener el Governance, verificar la responsabilidad debida, entre el CSP y el suscriptor; Revisar el acuerdo de nivel de servicio, documentar y realizar el seguimiento del registro de CSP para determinar los roles y las responsabilidades de mantener los recursos de la nube; Revisar puertos no utilizados, asegurarse de que los servicios estén bloqueados; Validar que los datos almacenados on Cloud, se encuentren cifrados por defecto; Comprobar el Doble Factor de Autenticación utilizado; validar la OTP (One-time Password) para garantizar la seguridad de la red; Verificar los certificados SSL para servicios en la nube en la URL, y asegurarse de que los mismos hayan sido comprados a una Autoridad de Certificación (COMODO, Symantec, etc.); Revisar las políticas para divulgar los datos a terceros; Investigar si el CSP ofrece clonación y máquinas virtuales, de ser necesario; Considerar la validación de entrada adecuada para las aplicaciones de la nube, para evitar web apps attacks. ATAQUES! • Session Riding • Side Channel • Signature Wrapping OTROS ATAQUES: • Service Hijacking Utilizando Network Sniffing; • Session Hijacking Usando Xss; • Dns Attacks; • Sql Injection; • Ataque De Criptoanálisis; • Dos, Ddos El pentest en la nube Por Leonardo Devia
  • 14.
  • 15. CCSK vs CCSP Por Leonardo Rosso CCSK vs CCSP: normalmente me hacen dos preguntas cada vez que alguien descubre que soy instructor de los cursos CCSK de Cloud Security Alliance CCS y (ISC)2 CCSP: 1 - "¿Cuál es la diferencia entre las dos certificaciones?" 2 - "¿Qué tan difícil es el examen CCSK?" En este articulo identificaré las diferencias entre dos de las certificaciones de seguridad en la nube más reconocidas de la industria, CCSK y CCSP. CCSK | Certificado de Conocimiento de Seguridad en la Nube El (CCSK) de la Cloud Security Alliance, se considera que es el abuelo de las certificaciones de seguridad en la nube. ¿Por qué? Principalmente porque el CCSK fue, literalmente, el primer examen de la industria cuando se lanzó en 2011. El desglose del curso se divide entre la discusión (técnica) y estratégica (orientada al negocio) de la seguridad en la nube. Es agnóstico en su enfoque. Actualización para CCSK versión 4 La mejor manera de describir las actualizaciones de CCSK V4 es que, desde una vista estratégica, es más de lo mismo. La gobernanza, los contratos, la gestión de riesgos, los aspectos legales están cubiertos en su mayor parte en el mismo grado, pero lo expandieron para que sea de naturaleza más global. Sin embargo, desde de un punto de vista más táctica la versión actualizada es muy diferente. Ejemplo: aprovechar la computación sin servidor y el almacenamiento de objetos para eliminar las rutas de ataque de red al centro de datos no es exactamente un elemento de gobierno; pero desde un enfoque más táctico, realmente muestra los diferentes patrones de arquitectura que puede aprovechar en la nube que son básicamente imposibles en la computación tradicional. También incluyen discusiones que no existían antes, como contenedores, herramientas de CI / CD, DevOps, ingeniería de caos y discusiones ampliadas sobre conceptos de seguridad de redes definidas por software. Detalles del curso CCSK El curso CCSK en sí, se entrega en dos formatos diferentes: • Fundamentos de CCSK (curso de 1 o 2 días) • CCSK PLUS (curso de 2 o 3 días) ¿Cuál es la principal diferencia entre los dos formatos diferentes, aparte de la duración del curso? Se trata de experiencias prácticas y ejercicios de curso. • El formato de Fundamentos de CCSK se puede entregar en un día, lo que significa que tiene tiempo para revisar la teoría, pero no lo suficiente para una discusión en profundidad en la clase o ejercicios prácticos. • El CCSK PLUS tiene todo lo presentado en el formato de Fundamentos de CCSK, pero con más tiempo para realmente llevar a casa los principales temas y objetivos de aprendizaje con los ejercicios / actividades del curso. Literalmente, se aplica la siguiente fórmula: Desglose del examen de CCSK Las personas son tipos tácticos o tipos de gobierno estratégico. Los tipos tácticos disfrutan de los bits y bytes de la computación y eso es totalmente genial. Entonces, tienes los tipos de gobierno. Estos son los gerentes, directores y otros en los que la mentalidad es cómo la adopción de la nube puede afectar al negocio en su conjunto. Una persona que tiene un pie en ambas áreas es bastante rara, y eso es lo que hace que el examen CCSK sea tan difícil. Una cosa a tener en es un examen de libro abierto que no se supervisa, sino que se toma en línea desde cualquier ubicación Parece que estos rasgos llevan a algunos a pensar que es mas fácil que el examen cerrado y supervisado. Todavía sostengo que los exámenes a libro abierto correctamente escritos son difíciles. Creo que sería imposible responder 60 preguntas en 90 minutos si se tiene que investigar todas las preguntas. Créditos de Educación Profesional Continua (CPE) El curso de CCSK es CPE elegible. Tenga en cuenta que las pautas de CPE para los cursos son que debe tener en cuenta el almuerzo y las pausas. Nota- CCSK no requiere mantenimiento CPE Reflexiones finales sobre CCSK Con el contenido actualizado de v4, CCSK sigue siendo muy relevante para los profesionales de seguridad que buscan un curso que ofrezca una comprensión táctica y estratégica general de los desafíos y ventajas de la nube.
  • 16. CCSK vs CCSP CCSP | Certified Cloud Security Professional (versión 2017) (ISC)2 es la organización que obtiene el crédito por el CCSP. Sin embargo, (ISC)2 y Cloud Security Alliance (la organización que fundó CCSK) colaboraron para crear el curso CCSP y el examen de certificación. El CCSP es, en mi humilde opinión, más adecuado para los titulares de CISSP. El CCSP abordará muchos temas que son conocimiento supuesto en el CCSK. Por ejemplo, el modelo de referencia OSI está cubierto en el CCSP, mientras que el CCSK asume que ya tiene este conocimiento al hablar sobre la encapsulación de paquetes en una red SDN. Detalles del curso La principal diferencia entre CCSP y CCSK se puede encontrar en tres áreas: discusión de gobierno ampliado, seguridad del centro de datos y privacidad. Se espera que un CISSP comprenda una amplia gama de dominios de seguridad, e ISC2 quiere asegurarse de que los profesionales certificados por CCSP sean plenamente conscientes de los problemas de gobernanza y seguridad que acompañan a la nube, el centro de datos y la privacidad de los consumidores que utilizan los servicios en la nube. Entonces, cuando el polvo se asienta, la siguiente fórmula resume bastante bien el nuevo CCSP: CCSP = CCSK + Elementos de gobierno ampliado + Seguridad tradicional + Privacidad El curso CCSP normalmente se imparte en un período de 5 días. Hay algo de repetición en el material y puede terminarlo en los 5 días asignados. Yo tampoco diría que se puede hacer en 4 días. Formato del curso El curso de CCSP es casi un 100% de conferencia. No hay laboratorios en absoluto. En su lugar, tiene una serie de preguntas y respuestas y tipos de escenarios de grupos de trabajo que se reparten a lo largo del curso. Esto convierte al CCSP en un curso que podría considerarse de naturaleza más estratégica casi lo inverso del CCSK. Actualización para la versión 2017 (ISC)2 actualizó el Libro Común del Conocimiento (CBK) de CCSP y el curso en 2017. Esta actualización amplía los conceptos, introduce nuevos temas (como la economía de nube, requisitos empresariales, etc.) y nuevas tecnologías (por ejemplo, DevOps, Contenedores, etc.), aunque en menor grado técnico que el CCSK. Desglose del examen CCSP En cuanto al examen en sí, estoy bajo un NDA, por lo que, naturalmente, no puedo entrar en los tipos de preguntas que presentan. Sin embargo, creo que sería una declaración justa decir que el candidato promedio para el examen CCSP es un titular de CISSP y se evaluará en cuanto al conocimiento de la nube y los conceptos tradicionales de seguridad de centros de datos. Créditos de Educación Profesional Continua (CPE) CCSP aparece como un curso de 40 horas, por lo que debe llevarse a casa aproximadamente 35 CPE. Reflexiones finales sobre CCSP Si bien la última versión del CCSP amplía la discusión sobre temas estratégicos, no se adentra en la misma discusión táctica que se encuentra en el CCSK. El curso está escrito en la misma línea que el CISSP, por lo que la cobertura incluye todo lo que un profesional de seguridad de la información debe saber para proteger un entorno, desde el diseño físico de un centro de datos hasta la seguridad de la aplicación en la nube. CCSK vs. CCSP | Pensamientos finales Como dije antes, no tengo un sesgo aquí. He establecido lo que considero que son los puntos fuertes de ambas ofertas. Esta tabla básicamente resume algunos aspectos destacados: ¿Cuál prefiero? Aprecio la cobertura del CCSP, pero si tuviera que hacer solo uno, haría el CSSK porque está 100% centrado en la seguridad de la nube y los patrones arquitectónicos, así como las tecnologías específicas de la nube se tratan con mayor profundidad (incluso más después de la actualización v4). Si tiene el tiempo y los recursos para hacer ambas mejor. En ese caso, haría el CCSK primero, luego el CCSP. De cualquier manera, la única manera de equivocarse es no hacer ninguna de las dos.
  • 17.
  • 18. La importancia de la ISO 27001 Por Julio Balderrama • La norma internacional ISO/IEC 27017, relativa a la seguridad de los servicios cloud, es un código de conducta coherente con la norma ISO 27002 (1). Sirve de complemento a esta última norma y establece buenas prácticas de seguridad en el marco de los servicios cloud. Para cada artículo, se especifican las posibles consideraciones relativas a estos servicios en la nube. Aunque los expertos en seguridad y calidad podrán adoptar la norma rápidamente, su lectura puede resultar más difícil para el resto. • La norma ISO 27017 no solo se centra en los proveedores de servicios cloud, sino también en la seguridad del conjunto de estos servicios; de hecho, también se tiene en cuenta el punto de vista del cliente. Estas exigencias adicionales permiten estandarizar las relaciones entre el cliente y el proveedor de servicios cloud. • Otras normas como la ISO 27018 proporcionan orientación destinada a las empresas que se encargan del tratamiento de datos de carácter personal. Al igual que la norma ISO 27017, esta norma también complementa las medidas de seguridad establecidas por la norma ISO 27002 (1), pero en el marco del tratamiento de información de carácter personal. Las medidas de seguridad de la norma ISO 27018 son relevantes en el contexto de los servicios de aplicaciones (SaaS) que procesan información personal y tienen una aplicación limitada en el caso de nuestros servicios de infraestructura. • A pesar de su importancia, no existe una certificación como tal de esta norma. Se trata de un compendio de buenas prácticas en el que se incluyen recomendaciones para mejorar la seguridad del servicio, y no de un sistema de referencia de conformidad. Estas recomendaciones se pueden integrar fácilmente en un sistema de gestión certificado ISO 27001. Los auditores de certificación si pueden incluir en las próximas auditorias de seguimiento una inspección del cumplimiento de estas buenas prácticas. De este modo, contaremos con una evaluación independiente de la implementación de estos estándares de seguridad en nuestros procedimientos.
  • 19. • Esta norma ayuda a que todos los datos que el cliente necesite para estar seguro de su protección frente a posibles riesgos. En el caso de proveedores de servicios cloud, estos deben proporcionar información a los clientes sobre la arquitectura, la tecnología utilizada, las medidas de seguridad adoptadas y las funcionalidades disponibles, así como sobre el contexto de uso (por ejemplo, la tecnología de cifrado utilizada o la localización geográfica de los centros de datos). • El proveedor también debe establecer el lugar que ocupa el cliente en estos procedimientos operativos y en la gestión de modificaciones, actualizaciones o incidentes. De manera general, la norma incide en la importancia de definir claramente el papel y las responsabilidades del cliente y del proveedor en materia de seguridad. • En el caso de los clientes de las empresas de cloud, la lectura de la norma les permite identificar los puntos más relevantes y le guía a la hora de elegir a sus partners. Los CIO (Chief Information Officer) quieren mayor flexibilidad y poder recurrir al proveedor más adecuado según el caso. Así pues, el suministro de los servicios informáticos evoluciona de forma natural desde un modelo en cadena hacia un modelo en red. La multiplicación de las relaciones comerciales y técnicas lleva aparejada una nueva complejidad que tenemos que aprender a gestionar. • La norma ISO 27017 permite estandarizar las relaciones entre los clientes y los proveedores de servicios cloud mediante un modelo de análisis e intercambio común, facilitando así la gestión. Las empresas que se ajustan a la norma ISO 27017, permiten que los usuarios de sus servicios disfruten de unas mejores garantías de seguridad. • (1) La norma ISO/IEC 27002 engloba un conjunto de 113 medidas o best practices para todas aquellas personas responsables de la implantación o el mantenimiento de un sistema de gestión de la seguridad de la información (SGSI). Según esta norma, la seguridad de la información se define como la «preservación de la confidencialidad, integridad y disponibilidad de la información». La importancia de la ISO 27001
  • 20.
  • 21. Seguridad en IOT Por Carina Birarda PANORAMA DE LA AMENAZA CIBERNÉTICA: INFORME SOBRE LOS ATAQUES DIRIGIDOS A SISTEMAS ICS Los sistemas de gestión industrial (ICS / SCADA) son ahora el objetivo principal de los ciberatacantes, que buscan comprometer la base de producción y los servicios públicos. CSA lanzó un informe, en el cual se registra un aumento de ataques, a esta clase de equipamiento. En comparación al período anterior, los ataques han incrementado un 41% sobre los objetivos de ICS. Estas tecnologías fueron atacadas con más interés, desde el 2017. Las principales fuentes de infección para estos equipos en la infraestructura de red industrial de las organizaciones son Internet, medios extraíbles y correo electrónico. En el primer semestre de 2018, las soluciones de seguridad en sistemas de automatización industrial detectaron más de 19.4 mil modificaciones de malware de 2.8 mil malware diferentes. Los altos porcentajes de computadoras ICS atacadas en países en desarrollo podrían tener que ver con que estos países hayan tenido sectores industriales solo por un tiempo relativamente corto. Según esto, en casi todos los países donde al menos la mitad de todas las computadoras de ICS fueron atacadas durante los seis meses. Top de los veinte países con el porcentaje de sistemas ICS atacados; Vietnam 75,1%, Algeria 71,6%, Morocco 64,8%, Tunissia 64,6%, Indonesia 64,0%, China 57,4%, India 55,2%, Iran 55,2%, Egypt 55,1%, Saudi Arabia 55,0%, Ecuador 53,8%, Peru 52,7%, Kazakhstan 52,4%, Mexico 52,4%, Philippines 51,4%, Chile 50,4%, Malaysia 49,9%, Taiwan 46,9%, Russian Federation 44,7% , United Arab Emirates 42,3% Según el reporte, parte de la infraestructura industrial de las organizaciones, aproximadamente el 42% de todas las máquinas tenían conexiones a Internet regulares o de tiempo completo. Los hackers creativos de hoy en día, son financiados por países hostiles, organizaciones delictivas o entidades comerciales, que están interesadas en causar daños en las máquinas e interrumpir la vida pacífica de las personas. Los operadores de infraestructura crítica deben ser conscientes del daño potencial causado por los ataques cibernéticos dirigidos a generar una seria amenaza para la operación comercial.
  • 22.
  • 23. En esta época de digitalización, tecnologías cloud y la masificación de los dispositivos electrónicos personales, el uso de Big Data es una necesidad en auge, pero además se convierte en un protagonista en común entre las diferentes organizaciones. Todo profesional habrá podido escuchar que una organización desea aplicar Big Data, pero a algunos profesionales les ha surgido la misma gran duda ¿Estarán preparados para involucrarse con Big Data los diferentes grupos de trabajo? Esta clase de dudas me han llevado a analizar el estado del conocimiento existente sobre la implementación de dichos sistemas. He notado que, si bien no es escasa, la información que respecta a la seguridad en estos sistemas es, proporcionalmente, mucha menos que la orientada a explicar implementaciones sin el énfasis en seguridad que realmente debería tener. Un punto destacable es la falsa creencia de que un solo profesional en el tema de Big Data que posea conocimientos generales de seguridad es suficiente para llevar adelante un proyecto. Creo que el mejor resultado es el producto de integrar un equipo multifuncional, el cual reúna conocimientos de diferentes áreas (administración, seguridad, redes, infraestructura, etc.) y no que se encuentre nucleado en una única área; además si sus integrantes tienen conocimientos de Big Data, es muy útil, pero, un integrante por sí solo no podría llevar adelante un proyecto de Big Data con resultados óptimos. Gracias a la investigación que he realizado y titulado “Análisis de Seguridad en Big Data”, puedo concluir que el conocimiento técnico disponible es abundante, pero sin embargo, hay una inmensa cantidad de relatos que finalizan en fracaso debido a la desinformación. La necesidad de poseer profesionales capacitados y con una amplia visión de la variedad de vulnerabilidades y situaciones desfavorables, es fundamental para iniciar cualquier acción de mejora. Una vez conocidos los problemas y presentadas alternativas de mejora, es cuando se comienza el camino para alcanzar una seguridad sólida. En mi opinión, Big Data se convertirá en un tema corriente y dejará de ser análisis de Big Data para ser simplemente análisis de datos. Por esta razón, destaco la importancia de generar una conciencia de seguridad desde los cimientos y así, cuando se dispongan estos sistemas en toda organización, nos encontraremos preparados para ofrecer la seguridad que se requiere. Seguridad y Big Data Por Victor Cohen
  • 24. # 1 EN SEGURIDAD DE CUENTAS PRIVILEGIADAS • Protege las credenciales privilegiadas en las plataformas locales y ambientes de nube • Detecta y evita los ataques que se concretan usando cuentas privilegiadas • Implementa la protección de credenciales y de secretos mas flexible para usuarios, aplicaciones, herramientas DevOps y endpoints
  • 26.
  • 27.