2. SOBRE LA CSA
La Cloud Security Alliance (CSA) Es una organización sin fines de lucro
con la misión de promover el uso de las mejores prácticas para
ofrecer garantías de seguridad en “Cloud Computing” y proporcionar
educación sobre los usos de la computación en la nube, a fin de que
las empresas puedan adoptar el concepto en sus organizaciones.
Cloud Security Alliance (CSA) está dirigida por una amplia coalición de
corporaciones, asociaciones y profesionales de la industria.
Historia
Desde el año 2008, el “Cloud Computing” ha ganado la atención de la
comunidad de seguridad de la información. El concepto de la Cloud
Security Alliance nació tras la presentación de las nuevas tendencias
de Jim Reavis, que incluyó un llamado a la acción para asegurar la
computación en la nube.
Jim Reavis y Puhlmann Nils elaboraron la primera misión y estrategia
de la CSA; una serie de reuniones organizadas con líderes de la
industria a principios de diciembre 2008 dio inicio a la creación de la
CSA con la misión de tener un acercamiento con la comunidad de
seguridad de la información, de tal suerte que para la Conferencia
RSA
3. Agenda
8:30 RECEPCIÓN Y ACREDITACIÓN
8:45
"INAGURACIÓN Y BIENVENIDA CSA LATAM FORUM 2018"
Leonardo Rosso y Luciano Moreira Da Cruz - Cloud Security Alliance Argentina"
9:00 a
9:45
"Riesgos a evitar en la adopción de servicios en la nube: SaaS, IaaS, PaaS" Sean Cordero - Head Of Cloud
Strategy At Netskope
9:45 a
10:30
SALA BIG "AVANT GARDE" SALA BROTHER "GALERIA"
"Prevención Efectiva en la Nube" Darío Opezzo;
Regional Sales Manager at Palo Alto Networks
"Hardening de usuarios en Cloud Computing"
Fabián Calvete / SmartFense
10:30 COFFEE BREAK & NETWORKING
11:00 a
11:40
"Seguridad para Accesos Privilegiados" Enzo
Gaggero; Senior Solutions Consultant at CyberArk
"Protegiendo tu Nube (Responsabilidades compartidas
para Cloud Computing)" Leonardo Granda; Sr. Sales
Engineer Manager, LATAM at Sophos
11:40 a
12:20
"Seguridad de red para la generación de la Nube"
Lucas Lavié; Territory Sales Engineer - SOLA at
Symantec
"DevSecOps Mas Rapidos Mas Furioso" (Christian Ibiri y
Leonardo Devia, Cloud egion)
12:20 a
13:00
“Disipando La Tormenta Para Investigar La Nube“
Panel Sobre Cloud En El Sector Ffss, Fiscalías.
Feliz Cumpleaños "A" 6354
Panel Sobre Cloud En El Sector Financiero Y Bancario -
A Un Año De La Circular Del Bcra Que Cambio?
13:00 ALMUERZO LIBRE
14:10 a
14:40
"Se Lo Que Whatsappeaste El Verano Pasado"
Marcelo Romero
14:40 a
15:10
"De Los Mismos Creadores De “Cloud”, Llega “Edge
Y Fog”"panel Sobre "Edge/Fog Computing" Del
Cloud Hacia La Computación En Los Dispositivos
"Security as code. Continuous everything powered by
pipelines and unicorns." Alejandro Casas;
15:10 a
15:40
"Automated Analysis of Massive AWS Clouds"
Andres Riancho
CSA research
15:40 a
16:10
“Cloud Computing & Open Data Vs. Data Privacy &
Infosecurity: Conciliando diadas contrapuestas en
la Justicia” Juez Pablo Casas y Johanna Faleiro
"Ethical Hacking en entornos Cloud"
Federico Pacheco, Equipo de Cybersecurity Latam, Jp
Morgan Chase
16:10 COFFEE BREAK & NETWORKING
16:40 a
17:10
“10 Años De Cloud Security Alliance” Panel Sobre El Estudio Del Arte De La Seguridad En La Nube
17:10 a
17:15
“Grooming Argentina”
17:15 a
17:45
“Big Brother Is Watching You” Panel Sobre La Transparencia, Privacidad Y Datos Personales En Cloud "Gdpr
Vs Leyes Locales
17:45 a
18:15
“Titanes En La Nube"
Presentamos los ganadores del desafio CCSK
18:15 CLAUSURA, CONCLUSIONES Y SORTEOS
6. El registro de evaluación, confianza y
seguridad CSA STAR (Security, Trust &
Assurance Registry) de la organización CSA es
un mecanismo de evaluación de la seguridad
de los proveedores de servicios en la nube,
aunando principios de transparencia, rigor en
la auditoría, armonización de estándares y
monitorización continua. Está dirigido a
proveedores de servicios cloud, a sus usuarios,
a auditores y entidades de certificación y a
empresas de seguridad y consultores.
Para la evaluación ofrece una matriz de
controles cloud (Cloud Controls Matrix (CCM))
con correspondencias con distintos
estándares, mejores prácticas y normativas
(COBIT, HIPPA, ISO27001, NIST SP800-53, Fed
RAMP, PCI DSS, BITS, GAPP,…). También
proporciona un cuestionario de preguntas que
sirven al usuario o al auditor para verificar el
cumplimento del proveedor de servicios cloud.
Criterios
La matriz de controles cloud cubre las áreas de
cumplimiento, gobernanza de datos, seguridad
de las instalaciones, recursos humanos,
seguridad de la información, legal, gestión de
operaciones, gestión de riesgos, gestión de
versiones, resiliencia y arquitectura de
seguridad.
Los proveedores que envían el cuestionario o
se certifican se mostrarán en un registro
público (complimentary registry) en el que se
pueden consultar los datos de certificación y
cumplimiento con los controles de cada uno.
Qué han de cumplir las empresas para obtener
su sello
Dependiendo del nivel de evaluación:
Nivel 1 Self- assesment o auto-evaluación de
la conformidad. Los proveedores de servicios
en la nube deben bien rellenar el cuestionario
o documentar el cumplimiento de la matriz de
controles. Esta información será publicada en
el registro para promover la transparencia y la
visibilidad de sus prácticas de seguridad. Este
servicio es gratuito.
Nivel 2 o evaluación independiente por
terceros con tres modalidades dependiendo
de las normas complementarias utilizadas:
• CSA Star Attestation (SOC2 de AICPA) con
auditores con licencia CPA
• CSA Star Certification (ISO/IEC 27001:2005
o 2013) con auditores certificados
• CSA C-Star Assesment (con los estándares
del mercado chino)
Nivel 3 o CSA STAR Continuous monitoring
basado en la auditoría continua. Incluirá un
protocolo de confianza y permitirá la
automatización de las prácticas de seguridad
de los proveedores cloud.
Certificación CSA STAR
Por Luciano Moreira
7. Pasos para su obtención
Para darse de alta en el registro (nivel 1) el
proveedor de servicios cloud tiene que enviar
los documentos de auto-evaluación a través
de la plataforma y estar de acuerdo con los
términos y condiciones del servicio. CSA
comprueba la autenticidad de los documentos
y los publica en el registro. El proveedor debe
revisarlos en un plazo no superior a un año, en
caso contrario se despublicarán. Esta
publicación no indica que CSA verifique el
cumplimiento de los controles de cada
proveedor. Una vez aceptada por CSA, el
proveedor puede mencionarlo en su página
web con un enlace a CSA.
Si se opta por la CSA Star Certification (nivel 2
en asociación con la ISO/IEC 27001/2013) el
auditor certificado independiente dará una
puntuación de madurez a cada uno de los
controles, asignando un nivel de
reconocimiento (No, Bronze, Silver o Gold) y
enviando al proveedor un informe interno
sobre la madurez de sus procesos y las áreas
de mejora para alcanzar un nivel óptimo de
madurez.
Renovación
La entrada en el registro se despublicará si
transcurre más de un año sin que sea revisada
por el proveedor. Si esto ocurriera, el
proveedor debe eliminar de su página web
cualquier referencia.
CSA también despublicará cualquier entrada
en el registro si considera que se violan los
términos y condiciones del servicio.
Si el proveedor opta por el nivel 2 (evaluación
independiente) se ha de pagar una cuota para
la emisión del certificado de CSA que tiene
una validez de 3 años. Si la certificación de la
empresa auditora fuera de un plazo inferior se
prorratearía al siguiente mes completo.
Web: www.cloudsecurityalliance.org
Ámbito geográfico: Internacional.
Promovido por: CSA
Descripción: Certificado de seguridad para
proveedores de servicios cloud y registro de
proveedores.
Certificación CSA STAR
8.
9. Seguridad en AWS
Por Christian Ibiri
Aquí hay algunos puntos a tener en cuenta:
1. Nunca permitir simplemente "todo"
entrante o saliente porque es fácil; ¡Utiliza
siempre los puertos efímeros para el
tráfico de retorno!
2. Utiliza grupos de seguridad para la
Seguridad basada en instancias. Si es un
Servidor Web, configura una regla para
permitir que los puertos 80/443 ingresen a
tu servidor web.
3. Usa NACLs para la seguridad de subred
completa. Este es el mejor lugar para que
una lista de bloqueo universal bloquee el
tráfico malicioso.
5. Recorda que para que tu servidor se
comunique con Internet, no solo necesita
los puertos 80/443. También puede
necesitar el puerto DNS 53 también. SSH
requiere el puerto 22. Y todos estos
requerirán los puertos efímeros 1024 -
65535 para el tráfico de retorno.
6. Podes limitar los puertos efímeros de tu
servidor para aceptar un rango inferior,
pero los servicios de AWS como NAT y
Elastic Loadbalancers requieren los puertos
1024 - 65535
Tenes una nueva VPC y una aplicación
configurada en tus instancias EC2, lista para
funcionar. A esta aplicación solo se puede
acceder desde tu computadora, lo cual es
excelente para la Seguridad, pero eso no la va a
hacer funcionar; ¡Necesitas que tus usuarios
puedan acceder! Entonces, ¿cuál es la forma
más fácil de hacer esto?
Stateless vs. Stateful
Una VPC tiene dos componentes de seguridad
principales: Grupos de seguridad y Listas de
control de acceso a la red, o NACL. Antes de
sumergirnos en las reglas requeridas para un
entorno seguro, primero debemos analizar dos
conceptos muy importantes, sin estado y con
estado.
Un firewall con estado es uno que mantiene el
"estado" de una conexión. Esto significa que si
tiene todo el tráfico permitido en una dirección,
pero no se permite el tráfico en la otra, el
firewall seguirá permitiendo la entrada de
retorno de una conexión establecida.
Un firewall sin estado es uno que no mantiene
el estado de conexión. Si se permite el tráfico en
una dirección pero no en la otra, se bloqueará el
tráfico de retorno. ¡Esto puede ser muy
agravante para alguien que intenta proteger su
entorno!
10.
11. Seguridad en Azure
Por Christian Ibiri
Microsoft está constantemente trabajando
en los aspectos de Seguridad de su
plataforma de nube pública, Azure. En ella
se protegen la privacidad de los datos y los
clientes mantienen, en todo momento, la
propiedad y el control de los mismos,
asegurando que sólo son usados de una
manera consistente con las expectativas de
sus clientes. Azure es el proveedor de nube
publica con más certificaciones disponibles
en el mercado.
A continuación, les acercamos unos
pequeños tips de recursos que se pueden
utilizar para mantener la Seguridad de tu
información en la nube publica de
Microsoft:
Activity Log:
Azure cuenta con un log de actividades
para registrar qué operaciones se realizan
sobre que recursos, quién realiza las
operaciones, cuando se realizan, el estado
de las mismas y las propiedades y valores
de los cambios realizados, de los últimos
90 días.
Control de Accesos basados en roles:
Con RBAC se puede asignar únicamente los
permisos necesarios para que los usuarios
puedan realizar su trabajo. Por ejemplo, es
posible dar permisos a un usuario para
visualizar los valores de una máquina
virtual pero que no tenga permisos para
hacer modificaciones.
Encriptación:
Microsoft Azure ofrece diversos
mecanismos para mantener información
sensible:
Microsoft Azure Storage Service
Encryption: cifrado de la información
almacenada en los Blob Storage.
Azure Key Vault: servicio que ofrece la
capacidad de administrar las claves de
encriptación y/o de almacenar de forma
segura y encriptar los valores de
configuración de las aplicaciones.
12.
13. EL CLO U D PE NTE S T E S U NA M E TO DO LO
G ÍA P A R A E X A M INA R A C TIV A M E NTE
E L S IS TE M A
CLO U D S IM U LA NDO A LG Ú N AT A Q U E .
Cloud, es escenario donde reside la
responsabilidad compartida del Proveedor y del
Cliente Cloud, que obtienen el servicio. Debido al
impacto de la infraestructura, las acciones de
Pentest, no están permitidas en entornos SaaS;
aunque lo son en PaaS e IaaS; siempre que se
planifique y coordine el Pentest. Los análisis de
seguridad, deben efectuarse con regularidad
para la pronta detección de vulnerabilidades. El
contrato de SLA indicará el tipo de Pentest
permitido.
CONSIDÉRESE:
Verificar el contrato SLA y validar de que se haya
cubierto la política adecuada entre el proveedor
de servicios de Cloud (CSP) y el Cliente;
Para mantener el Governance, verificar la
responsabilidad debida, entre el CSP y el
suscriptor;
Revisar el acuerdo de nivel de servicio,
documentar y realizar el seguimiento del registro
de CSP para determinar los roles y las
responsabilidades de mantener los recursos de la
nube;
Revisar puertos no utilizados, asegurarse de que
los servicios estén bloqueados;
Validar que los datos almacenados on Cloud, se
encuentren cifrados por defecto;
Comprobar el Doble Factor de Autenticación
utilizado; validar la OTP (One-time Password)
para garantizar la seguridad de la red;
Verificar los certificados SSL para servicios en la
nube en la URL, y asegurarse de que los mismos
hayan sido comprados a una Autoridad de
Certificación (COMODO, Symantec, etc.);
Revisar las políticas para divulgar los datos a
terceros; Investigar si el CSP ofrece clonación y
máquinas virtuales, de ser necesario;
Considerar la validación de entrada adecuada
para las aplicaciones de la nube, para evitar web
apps attacks.
ATAQUES!
• Session Riding
• Side Channel
• Signature Wrapping
OTROS ATAQUES:
• Service Hijacking Utilizando Network
Sniffing;
• Session Hijacking Usando Xss;
• Dns Attacks;
• Sql Injection;
• Ataque De Criptoanálisis;
• Dos, Ddos
El pentest en la nube
Por Leonardo Devia
14.
15. CCSK vs CCSP
Por Leonardo Rosso
CCSK vs CCSP: normalmente me hacen dos preguntas cada vez
que alguien descubre que soy instructor de los cursos CCSK de
Cloud Security Alliance CCS y (ISC)2 CCSP:
1 - "¿Cuál es la diferencia entre las dos certificaciones?"
2 - "¿Qué tan difícil es el examen CCSK?"
En este articulo identificaré las diferencias entre dos de las
certificaciones de seguridad en la nube más reconocidas de la
industria, CCSK y CCSP.
CCSK | Certificado de Conocimiento de Seguridad en la Nube
El (CCSK) de la Cloud Security Alliance, se considera que es el
abuelo de las certificaciones de seguridad en la nube. ¿Por qué?
Principalmente porque el CCSK fue, literalmente, el primer
examen de la industria cuando se lanzó en 2011. El desglose del
curso se divide entre la discusión (técnica) y estratégica
(orientada al negocio) de la seguridad en la nube. Es agnóstico
en su enfoque.
Actualización para CCSK versión 4
La mejor manera de describir las actualizaciones de CCSK V4 es
que, desde una vista estratégica, es más de lo mismo. La
gobernanza, los contratos, la gestión de riesgos, los aspectos
legales están cubiertos en su mayor parte en el mismo grado,
pero lo expandieron para que sea de naturaleza más global.
Sin embargo, desde de un punto de vista más táctica la versión
actualizada es muy diferente. Ejemplo: aprovechar la
computación sin servidor y el almacenamiento de objetos para
eliminar las rutas de ataque de red al centro de datos no es
exactamente un elemento de gobierno; pero desde un enfoque
más táctico, realmente muestra los diferentes patrones de
arquitectura que puede aprovechar en la nube que son
básicamente imposibles en la computación tradicional.
También incluyen discusiones que no existían antes, como
contenedores, herramientas de CI / CD, DevOps, ingeniería de
caos y discusiones ampliadas sobre conceptos de seguridad de
redes definidas por software.
Detalles del curso CCSK
El curso CCSK en sí, se entrega en dos formatos diferentes:
• Fundamentos de CCSK (curso de 1 o 2 días)
• CCSK PLUS (curso de 2 o 3 días)
¿Cuál es la principal diferencia entre los dos formatos
diferentes, aparte de la duración del curso? Se trata de
experiencias prácticas y ejercicios de curso.
• El formato de Fundamentos de CCSK se puede entregar en
un día, lo que significa que tiene tiempo para revisar la
teoría, pero no lo suficiente para una discusión en
profundidad en la clase o ejercicios prácticos.
• El CCSK PLUS tiene todo lo presentado en el formato de
Fundamentos de CCSK, pero con más tiempo para
realmente llevar a casa los principales temas y objetivos de
aprendizaje con los ejercicios / actividades del curso.
Literalmente, se aplica la siguiente fórmula:
Desglose del examen de CCSK
Las personas son tipos tácticos o tipos de gobierno estratégico.
Los tipos tácticos disfrutan de los bits y bytes de la computación
y eso es totalmente genial. Entonces, tienes los tipos de
gobierno. Estos son los gerentes, directores y otros en los que
la mentalidad es cómo la adopción de la nube puede afectar al
negocio en su conjunto. Una persona que tiene un pie en
ambas áreas es bastante rara, y eso es lo que hace que el
examen CCSK sea tan difícil.
Una cosa a tener en es un examen de libro abierto que no se
supervisa, sino que se toma en línea desde cualquier ubicación
Parece que estos rasgos llevan a algunos a pensar que es mas
fácil que el examen cerrado y supervisado. Todavía sostengo
que los exámenes a libro abierto correctamente escritos son
difíciles. Creo que sería imposible responder 60 preguntas en
90 minutos si se tiene que investigar todas las preguntas.
Créditos de Educación Profesional Continua (CPE)
El curso de CCSK es CPE elegible. Tenga en cuenta que las
pautas de CPE para los cursos son que debe tener en cuenta el
almuerzo y las pausas. Nota- CCSK no requiere mantenimiento
CPE
Reflexiones finales sobre CCSK
Con el contenido actualizado de v4, CCSK sigue siendo muy
relevante para los profesionales de seguridad que buscan un
curso que ofrezca una comprensión táctica y estratégica
general de los desafíos y ventajas de la nube.
16. CCSK vs CCSP
CCSP | Certified Cloud Security Professional (versión 2017)
(ISC)2 es la organización que obtiene el crédito por el CCSP. Sin
embargo, (ISC)2 y Cloud Security Alliance (la organización que
fundó CCSK) colaboraron para crear el curso CCSP y el examen
de certificación.
El CCSP es, en mi humilde opinión, más adecuado para los
titulares de CISSP. El CCSP abordará muchos temas que son
conocimiento supuesto en el CCSK. Por ejemplo, el modelo de
referencia OSI está cubierto en el CCSP, mientras que el CCSK
asume que ya tiene este conocimiento al hablar sobre la
encapsulación de paquetes en una red SDN.
Detalles del curso
La principal diferencia entre CCSP y CCSK se puede encontrar en
tres áreas: discusión de gobierno ampliado, seguridad del
centro de datos y privacidad. Se espera que un CISSP
comprenda una amplia gama de dominios de seguridad, e ISC2
quiere asegurarse de que los profesionales certificados por
CCSP sean plenamente conscientes de los problemas de
gobernanza y seguridad que acompañan a la nube, el centro de
datos y la privacidad de los consumidores que utilizan los
servicios en la nube. Entonces, cuando el polvo se asienta, la
siguiente fórmula resume bastante bien el nuevo CCSP:
CCSP = CCSK + Elementos de gobierno ampliado + Seguridad
tradicional + Privacidad
El curso CCSP normalmente se imparte en un período de 5 días.
Hay algo de repetición en el material y puede terminarlo en los
5 días asignados. Yo tampoco diría que se puede hacer en 4
días.
Formato del curso
El curso de CCSP es casi un 100% de conferencia. No hay
laboratorios en absoluto. En su lugar, tiene una serie de
preguntas y respuestas y tipos de escenarios de grupos de
trabajo que se reparten a lo largo del curso. Esto convierte al
CCSP en un curso que podría considerarse de naturaleza más
estratégica casi lo inverso del CCSK.
Actualización para la versión 2017
(ISC)2 actualizó el Libro Común del Conocimiento (CBK) de CCSP
y el curso en 2017. Esta actualización amplía los conceptos,
introduce nuevos temas (como la economía de nube, requisitos
empresariales, etc.) y nuevas tecnologías (por ejemplo, DevOps,
Contenedores, etc.), aunque en menor grado técnico que el
CCSK.
Desglose del examen CCSP
En cuanto al examen en sí, estoy bajo un NDA, por lo que,
naturalmente, no puedo entrar en los tipos de preguntas que
presentan. Sin embargo, creo que sería una declaración justa
decir que el candidato promedio para el examen CCSP es un
titular de CISSP y se evaluará en cuanto al conocimiento de la
nube y los conceptos tradicionales de seguridad de centros de
datos.
Créditos de Educación Profesional Continua (CPE)
CCSP aparece como un curso de 40 horas, por lo que debe
llevarse a casa aproximadamente 35 CPE.
Reflexiones finales sobre CCSP
Si bien la última versión del CCSP amplía la discusión sobre
temas estratégicos, no se adentra en la misma discusión táctica
que se encuentra en el CCSK. El curso está escrito en la misma
línea que el CISSP, por lo que la cobertura incluye todo lo que
un profesional de seguridad de la información debe saber para
proteger un entorno, desde el diseño físico de un centro de
datos hasta la seguridad de la aplicación en la nube.
CCSK vs. CCSP | Pensamientos finales
Como dije antes, no tengo un sesgo aquí. He establecido lo que
considero que son los puntos fuertes de ambas ofertas. Esta
tabla básicamente resume algunos aspectos destacados:
¿Cuál prefiero?
Aprecio la cobertura del CCSP, pero si tuviera que hacer solo
uno, haría el CSSK porque está 100% centrado en la seguridad
de la nube y los patrones arquitectónicos, así como las
tecnologías específicas de la nube se tratan con mayor
profundidad (incluso más después de la actualización v4).
Si tiene el tiempo y los recursos para hacer ambas mejor. En ese
caso, haría el CCSK primero, luego el CCSP.
De cualquier manera, la única manera de equivocarse es no
hacer ninguna de las dos.
17.
18. La importancia de la ISO
27001
Por Julio Balderrama
• La norma internacional ISO/IEC 27017,
relativa a la seguridad de los servicios
cloud, es un código de conducta coherente
con la norma ISO 27002 (1). Sirve de
complemento a esta última norma y
establece buenas prácticas de seguridad en
el marco de los servicios cloud. Para cada
artículo, se especifican las posibles
consideraciones relativas a estos servicios
en la nube. Aunque los expertos en
seguridad y calidad podrán adoptar la
norma rápidamente, su lectura puede
resultar más difícil para el resto.
• La norma ISO 27017 no solo se centra en
los proveedores de servicios cloud, sino
también en la seguridad del conjunto de
estos servicios; de hecho, también se tiene
en cuenta el punto de vista del cliente.
Estas exigencias adicionales permiten
estandarizar las relaciones entre el cliente y
el proveedor de servicios cloud.
• Otras normas como la ISO 27018
proporcionan orientación destinada a las
empresas que se encargan del tratamiento
de datos de carácter personal. Al igual que
la norma ISO 27017, esta norma también
complementa las medidas de seguridad
establecidas por la norma ISO 27002 (1),
pero en el marco del tratamiento de
información de carácter personal. Las
medidas de seguridad de la norma ISO
27018 son relevantes en el contexto de los
servicios de aplicaciones (SaaS) que
procesan información personal y tienen
una aplicación limitada en el caso de
nuestros servicios de infraestructura.
• A pesar de su importancia, no existe una
certificación como tal de esta norma. Se
trata de un compendio de buenas prácticas
en el que se incluyen recomendaciones
para mejorar la seguridad del servicio, y no
de un sistema de referencia de
conformidad. Estas recomendaciones se
pueden integrar fácilmente en un sistema
de gestión certificado ISO 27001. Los
auditores de certificación si pueden incluir
en las próximas auditorias de seguimiento
una inspección del cumplimiento de estas
buenas prácticas. De este modo,
contaremos con una evaluación
independiente de la implementación de
estos estándares de seguridad en nuestros
procedimientos.
19. • Esta norma ayuda a que todos los datos
que el cliente necesite para estar seguro de
su protección frente a posibles riesgos. En
el caso de proveedores de servicios cloud,
estos deben proporcionar información a los
clientes sobre la arquitectura, la tecnología
utilizada, las medidas de seguridad
adoptadas y las funcionalidades
disponibles, así como sobre el contexto de
uso (por ejemplo, la tecnología de cifrado
utilizada o la localización geográfica de los
centros de datos).
• El proveedor también debe establecer el
lugar que ocupa el cliente en estos
procedimientos operativos y en la gestión
de modificaciones, actualizaciones o
incidentes. De manera general, la norma
incide en la importancia de definir
claramente el papel y las responsabilidades
del cliente y del proveedor en materia de
seguridad.
• En el caso de los clientes de las empresas
de cloud, la lectura de la norma les permite
identificar los puntos más relevantes y le
guía a la hora de elegir a sus partners. Los
CIO (Chief Information Officer) quieren
mayor flexibilidad y poder recurrir al
proveedor más adecuado según el caso. Así
pues, el suministro de los servicios
informáticos evoluciona de forma natural
desde un modelo en cadena hacia un
modelo en red. La multiplicación de las
relaciones comerciales y técnicas lleva
aparejada una nueva complejidad que
tenemos que aprender a gestionar.
• La norma ISO 27017 permite estandarizar
las relaciones entre los clientes y los
proveedores de servicios cloud mediante
un modelo de análisis e intercambio
común, facilitando así la gestión. Las
empresas que se ajustan a la norma ISO
27017, permiten que los usuarios de sus
servicios disfruten de unas mejores
garantías de seguridad.
• (1) La norma ISO/IEC 27002 engloba un
conjunto de 113 medidas o best
practices para todas aquellas personas
responsables de la implantación o el
mantenimiento de un sistema de gestión
de la seguridad de la información (SGSI).
Según esta norma, la seguridad de la
información se define como la
«preservación de la confidencialidad,
integridad y disponibilidad de la
información».
La importancia de la ISO
27001
20.
21. Seguridad en IOT
Por Carina Birarda
PANORAMA DE LA AMENAZA CIBERNÉTICA: INFORME SOBRE LOS ATAQUES DIRIGIDOS A
SISTEMAS ICS
Los sistemas de gestión industrial (ICS / SCADA) son ahora el objetivo principal de los ciberatacantes,
que buscan comprometer la base de producción y los servicios públicos.
CSA lanzó un informe, en el cual se registra un aumento de ataques, a esta clase de equipamiento.
En comparación al período anterior, los ataques han incrementado un 41% sobre los objetivos de
ICS. Estas tecnologías fueron atacadas con más interés, desde el 2017.
Las principales fuentes de infección para estos equipos en la infraestructura de red industrial de las
organizaciones son Internet, medios extraíbles y correo electrónico.
En el primer semestre de 2018, las soluciones de seguridad en sistemas de automatización industrial
detectaron más de 19.4 mil modificaciones de malware de 2.8 mil malware diferentes.
Los altos porcentajes de computadoras ICS atacadas en países en desarrollo podrían tener que ver
con que estos países hayan tenido sectores industriales solo por un tiempo relativamente corto.
Según esto, en casi todos los países donde al menos la mitad de todas las computadoras de ICS
fueron atacadas durante los seis meses.
Top de los veinte países con el porcentaje de sistemas ICS atacados;
Vietnam 75,1%, Algeria 71,6%, Morocco 64,8%, Tunissia 64,6%, Indonesia 64,0%, China 57,4%,
India 55,2%, Iran 55,2%, Egypt 55,1%, Saudi Arabia 55,0%, Ecuador 53,8%, Peru 52,7%, Kazakhstan
52,4%, Mexico 52,4%, Philippines 51,4%, Chile 50,4%, Malaysia 49,9%, Taiwan 46,9%, Russian
Federation 44,7% , United Arab Emirates 42,3%
Según el reporte, parte de la infraestructura industrial de las organizaciones, aproximadamente el
42% de todas las máquinas tenían conexiones a Internet regulares o de tiempo completo.
Los hackers creativos de hoy en día, son financiados por países hostiles, organizaciones delictivas o
entidades comerciales, que están interesadas en causar daños en las máquinas e interrumpir la vida
pacífica de las personas.
Los operadores de infraestructura crítica deben ser conscientes del daño potencial causado por los
ataques cibernéticos dirigidos a generar una seria amenaza para la operación comercial.
22.
23. En esta época de digitalización, tecnologías
cloud y la masificación de los dispositivos
electrónicos personales, el uso de Big Data es
una necesidad en auge, pero además se
convierte en un protagonista en común entre
las diferentes organizaciones. Todo profesional
habrá podido escuchar que una organización
desea aplicar Big Data, pero a algunos
profesionales les ha surgido la misma gran duda
¿Estarán preparados para involucrarse con Big
Data los diferentes grupos de trabajo?
Esta clase de dudas me han llevado a analizar el
estado del conocimiento existente sobre la
implementación de dichos sistemas. He notado
que, si bien no es escasa, la información que
respecta a la seguridad en estos sistemas es,
proporcionalmente, mucha menos que la
orientada a explicar implementaciones sin el
énfasis en seguridad que realmente debería
tener.
Un punto destacable es la falsa creencia de que
un solo profesional en el tema de Big Data que
posea conocimientos generales de seguridad es
suficiente para llevar adelante un proyecto.
Creo que el mejor resultado es el producto de
integrar un equipo multifuncional, el cual reúna
conocimientos de diferentes áreas
(administración, seguridad, redes,
infraestructura, etc.) y no que se encuentre
nucleado en una única área; además si sus
integrantes tienen conocimientos de Big Data,
es muy útil, pero, un integrante por sí solo no
podría llevar adelante un proyecto de Big Data
con resultados óptimos.
Gracias a la investigación que he realizado y
titulado “Análisis de Seguridad en Big Data”,
puedo concluir que el conocimiento técnico
disponible es abundante, pero sin embargo, hay
una inmensa cantidad de relatos que finalizan
en fracaso debido a la desinformación. La
necesidad de poseer profesionales capacitados
y con una amplia visión de la variedad de
vulnerabilidades y situaciones desfavorables, es
fundamental para iniciar cualquier acción de
mejora. Una vez conocidos los problemas y
presentadas alternativas de mejora, es cuando
se comienza el camino para alcanzar una
seguridad sólida.
En mi opinión, Big Data se convertirá en un
tema corriente y dejará de ser análisis de Big
Data para ser simplemente análisis de datos.
Por esta razón, destaco la importancia de
generar una conciencia de seguridad desde los
cimientos y así, cuando se dispongan estos
sistemas en toda organización, nos
encontraremos preparados para ofrecer la
seguridad que se requiere.
Seguridad y Big Data
Por Victor Cohen
24. # 1 EN SEGURIDAD DE
CUENTAS
PRIVILEGIADAS
• Protege las credenciales privilegiadas
en las plataformas locales y
ambientes de nube
• Detecta y evita los ataques que se
concretan usando cuentas
privilegiadas
• Implementa la protección de
credenciales y de secretos mas
flexible para usuarios, aplicaciones,
herramientas DevOps y endpoints