SlideShare una empresa de Scribd logo

Una estrategia de seguridad en la nube alineada al NIST

Fundación YOD YOD
Fundación YOD YOD

Presentación: Una estrategia de seguridad en la nube alineada al NIST Por AWS

Ingeniería
1 de 19
© 2023, Amazon Web Services, Inc. or its affiliates. FUNDAMENTOS DE RESILIENCIA EN LA NUBE © 2023, Amazon Web Services, Inc. or its affiliates. Una estrategia de seguridad en la nube alineada al marco de ciberseguridad del NIST. INCAE, 8 de abril, 2024 Solutions Architect, AWS orojasf@amazon.com Ó S C A R L U I S R O J A S F E R N Á N D E Z
© 2023, Amazon Web Services, Inc. or its affiliates. FUNDAMENTOS DE RESILIENCIA EN LA NUBE Agenda 2 • ¿Qué es el NIST CF? • Alineando los servicios de nube con el NIST CF • Ejemplo
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ¿Qué es el marco de ciberseguridad del NIST? 3 • Un marco de uso voluntario, compuesto por mejores prácticas que busca ayudar a organizaciones de cualquier tamaño y en cualquier sector a mejorar la ciberseguridad, la gestión de riesgos y la resiliencia de sus sistemas. • Una taxonomía común para alinear los impulsores comerciales de la organización y las consideraciones de seguridad específicas del uso de la tecnología. • Utiliza estándares existentes para escalar, evolucionar conforme los avances tecnológicos y los requisitos comerciales, y proporcionar economías de escala. • Originalmente destinado a infraestructura crítica pero aplicable en todos los tipos de organizaciones
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ¿Qué es el marco de ciberseguridad del NIST? Orden Ejecutiva Orden ejecutiva presidencial 13636, “Improving Critical Infrastructure Cybersecurity,” encarga al NIST en Feb 2013 Legislación El Acto de Mejora de Ciberseguridad de 2014 reforzó la legitimidad y autoridad del CFA mediante su codificación y su adopción voluntaria como ley. En febrero de 2014, el Instituto Nacional de Estándares y Tecnología (NIST) publicó el “Marco para mejorar la ciberseguridad de las infraestructuras críticas” (o CSF), un marco voluntario para ayudar a organizaciones de cualquier tamaño y sector a mejorar la ciberseguridad, la gestión de riesgos y la resiliencia de sus sistemas. Originalmente destinado a infraestructura crítica, pero más aplicable en todos los tipos de organizaciones. Orden ejecutiva Orden ejecutiva presidencial 13800, “Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure” requiere el uso del CSF en TI a nivel Federal
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ¿Qué es el marco de ciberseguridad del NIST? Basado en riesgos y centrado en resultados • El núcleo (Core) representa un conjunto de prácticas, resultados y controles de seguridad técnicos, operativos y de gestión de ciberseguridad (denominados Referencias Informativas) que respaldan las cinco funciones de gestión de riesgos. Core • Los niveles caracterizan la aptitud de una organización para gestionar el riesgo de seguridad Niveles (tiers) • Los perfiles están destinados a contener la postura de riesgo "tal cual" y "deseada" de la organización. Perfiles Identificar Proteger Detectar Responder Recuperar Tier 4- Adaptado Tier 3- Repetible Tier 2- Riesgo informado Tier 1- Parcial Actual (“As is”) Deseada Estos tres elementos permiten a las organizaciones priorizar y abordar los riesgos de ciberseguridad de acuerdo con las necesidades de su negocio
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Identificar Proteger Detectar Responder Recuperar Gestión de activos Ambiente de negocios Gobernabilidad Evaluación de riesgos Estrategia de evaluación de riesgos Gestión de riesgos de cadena de suministros Control de acceso Entrenamiento y concientización Seguridad de los datos Protección de información Procesos y procedimientos Mantenimiento Tecnología de protección Anomalías y eventos Monitoreo contínuo de seguridad Procesos de detección Planeamiento de la respuesta Comunicaciones Análisis Mitigación Mejoras Planeamiento de la recuperación Mejoras Comunicaciones Subcategorías (108 actividades de seguridad basadas en resultados) NIST CSF | Core 23 Categorías
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Soluciones de seguridad de AWS 7 Amazon Macie AWS Key Management Service (KMS) AWS CloudHSM AWS Certificate Manager AWS Private CA AWS Secrets Manager AWS Payment Cryptography Server-Side Encryption Protección De datos AWS Firewall Manager AWS Network Firewall AWS Shield AWS WAF Amazon VPC AWS PrivateLink AWS Systems Manager AWS Verified Access Protección de Redes y apps AWS Security Hub Amazon GuardDuty Amazon Security Lake Amazon Inspector Amazon Macie Amazon Detective Amazon CloudWatch AWS Config AWS CloudTrail Detección y respuesta AWS Identity and Access Management (IAM) AWS IAM Identity Center AWS Organizations AWS Directory Service Amazon Cognito AWS Resource Access Manager Amazon Verified Permissions Gestión de identidades y acceso AWS Artifact AWS Audit Manager Cumplimiento Regulatorio
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Asset Management (ID.AM) Business Environment (ID.BE) Governance (ID.GV) Risk Assessment (ID.RA) Risk Management Strategy (ID.RM) Supply Chain Risk Management (ID.SC) NIST CSF: Identificar Inventory Lambda Function Event (event-based) Lambda Function Event (event-based) Enterprise Agreement
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. NIST CSF: Proteger Identity Management, Authentication and Access Control (PR.AC) Awareness and Training (PR.AT) Data Security (PR.DS) Information Protection Processes and Procedures (PR.IP) Maintenance (PR.MA) Protective Technology (PR.PT) AWS STS MFA token Role Permissions
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. NIST CSF: Detectar Anomalies and Events (DE.AE) Security Continuous Monitoring (DE.CM) Detection Processes (DE.DP) Flow logs Lambda Function Event (event-based)
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Response Planning (RS.RP) Communications (RS.CO) Analysis (RS.AN) Mitigation (RS.MI) Improvements (RS.IM) Organizational response activities are improved by incorporating lessons learned from current and previous detection/respons e activities. AWS service configurations and Security Automation are updated/improved . NIST CSF: Responder Filtering rule ACL Subnet Rule
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. NIST CSF: Recuperar Recovery Planning (RC.RP) Improvements (RC.IM) Communications (RC.CO) Organizational recover activities are improved by incorporating lessons learned from current and previous detection/respons e activities. AWS service configurations and Security Automation are updated/improved .
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. How AWS helps you design resilient workloads
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Ejemplo: AWS Security Hub.
© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Siguientes pasos. https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-ESP.pdf
© 2023, Amazon Web Services, Inc. or its affiliates. FUNDAMENTOS DE RESILIENCIA EN LA NUBE © 2022, Amazon Web Services, Inc. or its affiliates. ¡Gracias! Óscar Luis Rojas Fernández orojasf@amazon.com
© 2023, Amazon Web Services, Inc. or its affiliates. FUNDAMENTOS DE RESILIENCIA EN LA NUBE © 2022, Amazon Web Services, Inc. or its affiliates. Láminas de apoyo
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Shared responsibility model 18 AWS Security OF the Cloud AWS is responsible for protecting the infrastructure that runs all the services offered in the AWS Cloud. Security IN the Cloud Customer responsibility is determined by the AWS Cloud services a customer selects. Customers
© 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Knowledge Test • AWS Responsibility? or Customer Responsibility? Configuring the Security Group rules that determine which ports are open to an EC2 Linux instance Toggling on the Server-side encryption feature for S3 buckets Patching the operating system on EC2 with the latest security patches Defining permissions for different users, groups, and roles in AWS Shredding disk drives before they leave a datacenter Preventing packet sniffing at the hypervisor level Maintaining a SOC2 report for AWS datacenter control implementations

Recomendados

Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWSGUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWSAmazon Web Services LATAM
 
CZ Zero Trust recortada hasta la 20.pptx
CZ Zero Trust recortada hasta la 20.pptxCZ Zero Trust recortada hasta la 20.pptx
CZ Zero Trust recortada hasta la 20.pptxAlejandro Daricz
 
Multi-Customer Security Immersion Day December + Reinvent News (1).pdf
Multi-Customer Security Immersion Day December + Reinvent News (1).pdfMulti-Customer Security Immersion Day December + Reinvent News (1).pdf
Multi-Customer Security Immersion Day December + Reinvent News (1).pdfRicardoDanielGarcaGo
 
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWSRicardo González
 
Azure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaAzure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaPlain Concepts
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 

Recomendados

Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWSGUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWS
GUÍA DE REFERENCIA RÁPIDA DE SEGURIDAD Y CONFORMIDAD DE AWSAmazon Web Services LATAM
 
CZ Zero Trust recortada hasta la 20.pptx
CZ Zero Trust recortada hasta la 20.pptxCZ Zero Trust recortada hasta la 20.pptx
CZ Zero Trust recortada hasta la 20.pptxAlejandro Daricz
 
Multi-Customer Security Immersion Day December + Reinvent News (1).pdf
Multi-Customer Security Immersion Day December + Reinvent News (1).pdfMulti-Customer Security Immersion Day December + Reinvent News (1).pdf
Multi-Customer Security Immersion Day December + Reinvent News (1).pdfRicardoDanielGarcaGo
 
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWSRicardo González
 
Azure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaAzure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaPlain Concepts
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Empezando con AWS [Spanish}
Empezando con AWS [Spanish}Empezando con AWS [Spanish}
Empezando con AWS [Spanish}Amazon Web Services
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCSA Argentina
 
Csa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesCsa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesLuciano Moreira da Cruz
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadCore One Information Technology SA de CV
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nubeCade Soluciones
 
The Importance of Cloud Security [Spanish]
The Importance of Cloud Security [Spanish]The Importance of Cloud Security [Spanish]
The Importance of Cloud Security [Spanish]Amazon Web Services
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Adr 2018 certifcaciones
Adr 2018 certifcacionesAdr 2018 certifcaciones
Adr 2018 certifcacionesJulissafabianaTorres
 
Certificaciones existentes para la tecnología de medio físico
Certificaciones existentes para la tecnología de medio físicoCertificaciones existentes para la tecnología de medio físico
Certificaciones existentes para la tecnología de medio físicoKevin Casaverde Roncal
 
Certificaciones existenciales para la tecnologia de medio fisico
Certificaciones existenciales para la tecnologia de medio fisicoCertificaciones existenciales para la tecnologia de medio fisico
Certificaciones existenciales para la tecnologia de medio fisicoYERLE RIVEROS RIVERA
 
Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Juan Ignacio Oller Aznar
 
Microsoft Azure - La plataforma de Nube para su Transformación Digital
Microsoft Azure - La plataforma de Nube para su Transformación DigitalMicrosoft Azure - La plataforma de Nube para su Transformación Digital
Microsoft Azure - La plataforma de Nube para su Transformación DigitalJavier Gonzales
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSAmazon Web Services LATAM
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
El "Cloud Adoption Framework" de AWS - MXO210 - Mexico City Summit
El "Cloud Adoption Framework" de AWS - MXO210 - Mexico City SummitEl "Cloud Adoption Framework" de AWS - MXO210 - Mexico City Summit
El "Cloud Adoption Framework" de AWS - MXO210 - Mexico City SummitAmazon Web Services
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridadJhon Velez Arango
 
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptxRicardo González
 
AWS para organizaciones sin ánimo de lucro
AWS para organizaciones sin ánimo de lucroAWS para organizaciones sin ánimo de lucro
AWS para organizaciones sin ánimo de lucroAmazon Web Services
 
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...ReyesMagosLeon
 
Webinar Administracion de Servicios Nube Azure
Webinar Administracion de Servicios Nube AzureWebinar Administracion de Servicios Nube Azure
Webinar Administracion de Servicios Nube AzureIvan Martinez
 
Tipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplosTipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplosandersonsubero28
 
Arquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo LimacheArquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo LimacheJuan Luis Menares
 

Más contenido relacionado

Similar a Una estrategia de seguridad en la nube alineada al NIST

Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCSA Argentina
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nubeCade Soluciones
 
The Importance of Cloud Security [Spanish]
The Importance of Cloud Security [Spanish]The Importance of Cloud Security [Spanish]
The Importance of Cloud Security [Spanish]Amazon Web Services
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Certificaciones existentes para la tecnología de medio físico
Certificaciones existentes para la tecnología de medio físicoCertificaciones existentes para la tecnología de medio físico
Certificaciones existentes para la tecnología de medio físicoKevin Casaverde Roncal
 
Certificaciones existenciales para la tecnologia de medio fisico
Certificaciones existenciales para la tecnologia de medio fisicoCertificaciones existenciales para la tecnologia de medio fisico
Certificaciones existenciales para la tecnologia de medio fisicoYERLE RIVEROS RIVERA
 
Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Juan Ignacio Oller Aznar
 
Microsoft Azure - La plataforma de Nube para su Transformación Digital
Microsoft Azure - La plataforma de Nube para su Transformación DigitalMicrosoft Azure - La plataforma de Nube para su Transformación Digital
Microsoft Azure - La plataforma de Nube para su Transformación DigitalJavier Gonzales
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSAmazon Web Services LATAM
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
El "Cloud Adoption Framework" de AWS - MXO210 - Mexico City Summit
El "Cloud Adoption Framework" de AWS - MXO210 - Mexico City SummitEl "Cloud Adoption Framework" de AWS - MXO210 - Mexico City Summit
El "Cloud Adoption Framework" de AWS - MXO210 - Mexico City SummitAmazon Web Services
 
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptxRicardo González
 
AWS para organizaciones sin ánimo de lucro
AWS para organizaciones sin ánimo de lucroAWS para organizaciones sin ánimo de lucro
AWS para organizaciones sin ánimo de lucroAmazon Web Services
 
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...ReyesMagosLeon
 
Webinar Administracion de Servicios Nube Azure
Webinar Administracion de Servicios Nube AzureWebinar Administracion de Servicios Nube Azure
Webinar Administracion de Servicios Nube AzureIvan Martinez
 

Similar a Una estrategia de seguridad en la nube alineada al NIST (20)

Empezando con AWS [Spanish}
Empezando con AWS [Spanish}Empezando con AWS [Spanish}
Empezando con AWS [Spanish}
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummies
 
Csa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesCsa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummies
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
cinco procedimientos para la nube
cinco procedimientos para la nubecinco procedimientos para la nube
cinco procedimientos para la nube
 
The Importance of Cloud Security [Spanish]
The Importance of Cloud Security [Spanish]The Importance of Cloud Security [Spanish]
The Importance of Cloud Security [Spanish]
 
Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
 
Adr 2018 certifcaciones
Adr 2018 certifcacionesAdr 2018 certifcaciones
Adr 2018 certifcaciones
 
Certificaciones existentes para la tecnología de medio físico
Certificaciones existentes para la tecnología de medio físicoCertificaciones existentes para la tecnología de medio físico
Certificaciones existentes para la tecnología de medio físico
 
Certificaciones existenciales para la tecnologia de medio fisico
Certificaciones existenciales para la tecnologia de medio fisicoCertificaciones existenciales para la tecnologia de medio fisico
Certificaciones existenciales para la tecnologia de medio fisico
 
Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14
 
Microsoft Azure - La plataforma de Nube para su Transformación Digital
Microsoft Azure - La plataforma de Nube para su Transformación DigitalMicrosoft Azure - La plataforma de Nube para su Transformación Digital
Microsoft Azure - La plataforma de Nube para su Transformación Digital
 
Ransomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWSRansomware: cómo recuperar sus datos en la nube de AWS
Ransomware: cómo recuperar sus datos en la nube de AWS
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
El "Cloud Adoption Framework" de AWS - MXO210 - Mexico City Summit
El "Cloud Adoption Framework" de AWS - MXO210 - Mexico City SummitEl "Cloud Adoption Framework" de AWS - MXO210 - Mexico City Summit
El "Cloud Adoption Framework" de AWS - MXO210 - Mexico City Summit
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
 
AWS para organizaciones sin ánimo de lucro
AWS para organizaciones sin ánimo de lucroAWS para organizaciones sin ánimo de lucro
AWS para organizaciones sin ánimo de lucro
 
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
4-razones-por-las-que-su-empresa-debe-migrar-a-la-nube-y-avanzar-en-el-camino...
 
Webinar Administracion de Servicios Nube Azure
Webinar Administracion de Servicios Nube AzureWebinar Administracion de Servicios Nube Azure
Webinar Administracion de Servicios Nube Azure
 

Último

Tipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplosTipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplosandersonsubero28
 
Arquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo LimacheArquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo LimacheJuan Luis Menares
 
Tema ilustrado 9.2.docxbbbbbbbbbbbbbbbbbbb
Tema ilustrado 9.2.docxbbbbbbbbbbbbbbbbbbbTema ilustrado 9.2.docxbbbbbbbbbbbbbbbbbbb
Tema ilustrado 9.2.docxbbbbbbbbbbbbbbbbbbbantoniolfdez2006
 
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdfAportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdfElisaLen4
 
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEstadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEduardoBriones22
 
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJODIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJOJimyAMoran
 
Six Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo processSix Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo processbarom
 
27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.pptjacnuevarisaralda22
 
Auditoría de Sistemas de Gestión
Auditoría de Sistemas de GestiónAuditoría de Sistemas de Gestión
Auditoría de Sistemas de GestiónYanet Caldas
 
docsity-manzaneo-y-lotizacion para habilitacopm urbana
docsity-manzaneo-y-lotizacion para habilitacopm urbanadocsity-manzaneo-y-lotizacion para habilitacopm urbana
docsity-manzaneo-y-lotizacion para habilitacopm urbanaArnolVillalobos
 
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheAportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheElisaLen4
 
Clasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxClasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxwilliam801689
 
ARMADURAS METODO NODOS.pptx......................
ARMADURAS METODO NODOS.pptx......................ARMADURAS METODO NODOS.pptx......................
ARMADURAS METODO NODOS.pptx......................Juan293605
 
G4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptx
G4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptxG4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptx
G4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptxMaxPercyBorjaVillanu
 
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...GuillermoRodriguez239462
 
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdfTRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdfVladimirWashingtonOl
 
2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologicaJUDITHYEMELINHUARIPA
 
Análisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOAnálisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOFernando Bravo
 
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTAPORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTElisaLen4
 
Presentación Instrumentos de Medicion Electricos.pptx
Presentación Instrumentos de Medicion Electricos.pptxPresentación Instrumentos de Medicion Electricos.pptx
Presentación Instrumentos de Medicion Electricos.pptxwilliam801689
 

Último (20)

Tipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplosTipos de suelo y su clasificación y ejemplos
Tipos de suelo y su clasificación y ejemplos
 
Arquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo LimacheArquitecto cambio de uso de suelo Limache
Arquitecto cambio de uso de suelo Limache
 
Tema ilustrado 9.2.docxbbbbbbbbbbbbbbbbbbb
Tema ilustrado 9.2.docxbbbbbbbbbbbbbbbbbbbTema ilustrado 9.2.docxbbbbbbbbbbbbbbbbbbb
Tema ilustrado 9.2.docxbbbbbbbbbbbbbbbbbbb
 
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdfAportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
Aportes a la Arquitectura de Le Corbusier y Mies Van Der Rohe.pdf
 
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico EcuatorianoEstadística Anual y Multianual del Sector Eléctrico Ecuatoriano
Estadística Anual y Multianual del Sector Eléctrico Ecuatoriano
 
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJODIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
DIAPOSITIVAS DE SEGURIDAD Y SALUD EN EL TRABAJO
 
Six Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo processSix Sigma Process and the dmaic metodo process
Six Sigma Process and the dmaic metodo process
 
27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt27311861-Cuencas-sedimentarias-en-Colombia.ppt
27311861-Cuencas-sedimentarias-en-Colombia.ppt
 
Auditoría de Sistemas de Gestión
Auditoría de Sistemas de GestiónAuditoría de Sistemas de Gestión
Auditoría de Sistemas de Gestión
 
docsity-manzaneo-y-lotizacion para habilitacopm urbana
docsity-manzaneo-y-lotizacion para habilitacopm urbanadocsity-manzaneo-y-lotizacion para habilitacopm urbana
docsity-manzaneo-y-lotizacion para habilitacopm urbana
 
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der RoheAportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
Aportes a la Arquitectura de Le Corbusier y Mies Van der Rohe
 
Clasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docxClasificación de Equipos e Instrumentos en Electricidad.docx
Clasificación de Equipos e Instrumentos en Electricidad.docx
 
ARMADURAS METODO NODOS.pptx......................
ARMADURAS METODO NODOS.pptx......................ARMADURAS METODO NODOS.pptx......................
ARMADURAS METODO NODOS.pptx......................
 
G4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptx
G4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptxG4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptx
G4 - CASO DE ESTUDIO - VOLUMEN DE UN RESERVORIO (1).pptx
 
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
Resistencia-a-los-antimicrobianos--laboratorio-al-cuidado-del-paciente_Marcel...
 
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdfTRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
TRABAJO N°2 GERENCIA DE PROYECTOS (4).pdf
 
2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica2. Cristaloquimica. ingenieria geologica
2. Cristaloquimica. ingenieria geologica
 
Análisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECOAnálisis de Costos y Presupuestos CAPECO
Análisis de Costos y Presupuestos CAPECO
 
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHTAPORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
APORTES A LA ARQUITECTURA DE WALTER GROPIUS Y FRANK LLOYD WRIGHT
 
Presentación Instrumentos de Medicion Electricos.pptx
Presentación Instrumentos de Medicion Electricos.pptxPresentación Instrumentos de Medicion Electricos.pptx
Presentación Instrumentos de Medicion Electricos.pptx
 

Una estrategia de seguridad en la nube alineada al NIST

  • 1. © 2023, Amazon Web Services, Inc. or its affiliates. FUNDAMENTOS DE RESILIENCIA EN LA NUBE © 2023, Amazon Web Services, Inc. or its affiliates. Una estrategia de seguridad en la nube alineada al marco de ciberseguridad del NIST. INCAE, 8 de abril, 2024 Solutions Architect, AWS orojasf@amazon.com Ó S C A R L U I S R O J A S F E R N Á N D E Z
  • 2. © 2023, Amazon Web Services, Inc. or its affiliates. FUNDAMENTOS DE RESILIENCIA EN LA NUBE Agenda 2 • ¿Qué es el NIST CF? • Alineando los servicios de nube con el NIST CF • Ejemplo
  • 3. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ¿Qué es el marco de ciberseguridad del NIST? 3 • Un marco de uso voluntario, compuesto por mejores prácticas que busca ayudar a organizaciones de cualquier tamaño y en cualquier sector a mejorar la ciberseguridad, la gestión de riesgos y la resiliencia de sus sistemas. • Una taxonomía común para alinear los impulsores comerciales de la organización y las consideraciones de seguridad específicas del uso de la tecnología. • Utiliza estándares existentes para escalar, evolucionar conforme los avances tecnológicos y los requisitos comerciales, y proporcionar economías de escala. • Originalmente destinado a infraestructura crítica pero aplicable en todos los tipos de organizaciones
  • 4. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ¿Qué es el marco de ciberseguridad del NIST? Orden Ejecutiva Orden ejecutiva presidencial 13636, “Improving Critical Infrastructure Cybersecurity,” encarga al NIST en Feb 2013 Legislación El Acto de Mejora de Ciberseguridad de 2014 reforzó la legitimidad y autoridad del CFA mediante su codificación y su adopción voluntaria como ley. En febrero de 2014, el Instituto Nacional de Estándares y Tecnología (NIST) publicó el “Marco para mejorar la ciberseguridad de las infraestructuras críticas” (o CSF), un marco voluntario para ayudar a organizaciones de cualquier tamaño y sector a mejorar la ciberseguridad, la gestión de riesgos y la resiliencia de sus sistemas. Originalmente destinado a infraestructura crítica, pero más aplicable en todos los tipos de organizaciones. Orden ejecutiva Orden ejecutiva presidencial 13800, “Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure” requiere el uso del CSF en TI a nivel Federal
  • 5. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. ¿Qué es el marco de ciberseguridad del NIST? Basado en riesgos y centrado en resultados • El núcleo (Core) representa un conjunto de prácticas, resultados y controles de seguridad técnicos, operativos y de gestión de ciberseguridad (denominados Referencias Informativas) que respaldan las cinco funciones de gestión de riesgos. Core • Los niveles caracterizan la aptitud de una organización para gestionar el riesgo de seguridad Niveles (tiers) • Los perfiles están destinados a contener la postura de riesgo "tal cual" y "deseada" de la organización. Perfiles Identificar Proteger Detectar Responder Recuperar Tier 4- Adaptado Tier 3- Repetible Tier 2- Riesgo informado Tier 1- Parcial Actual (“As is”) Deseada Estos tres elementos permiten a las organizaciones priorizar y abordar los riesgos de ciberseguridad de acuerdo con las necesidades de su negocio
  • 6. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Identificar Proteger Detectar Responder Recuperar Gestión de activos Ambiente de negocios Gobernabilidad Evaluación de riesgos Estrategia de evaluación de riesgos Gestión de riesgos de cadena de suministros Control de acceso Entrenamiento y concientización Seguridad de los datos Protección de información Procesos y procedimientos Mantenimiento Tecnología de protección Anomalías y eventos Monitoreo contínuo de seguridad Procesos de detección Planeamiento de la respuesta Comunicaciones Análisis Mitigación Mejoras Planeamiento de la recuperación Mejoras Comunicaciones Subcategorías (108 actividades de seguridad basadas en resultados) NIST CSF | Core 23 Categorías
  • 7. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Soluciones de seguridad de AWS 7 Amazon Macie AWS Key Management Service (KMS) AWS CloudHSM AWS Certificate Manager AWS Private CA AWS Secrets Manager AWS Payment Cryptography Server-Side Encryption Protección De datos AWS Firewall Manager AWS Network Firewall AWS Shield AWS WAF Amazon VPC AWS PrivateLink AWS Systems Manager AWS Verified Access Protección de Redes y apps AWS Security Hub Amazon GuardDuty Amazon Security Lake Amazon Inspector Amazon Macie Amazon Detective Amazon CloudWatch AWS Config AWS CloudTrail Detección y respuesta AWS Identity and Access Management (IAM) AWS IAM Identity Center AWS Organizations AWS Directory Service Amazon Cognito AWS Resource Access Manager Amazon Verified Permissions Gestión de identidades y acceso AWS Artifact AWS Audit Manager Cumplimiento Regulatorio
  • 8. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Asset Management (ID.AM) Business Environment (ID.BE) Governance (ID.GV) Risk Assessment (ID.RA) Risk Management Strategy (ID.RM) Supply Chain Risk Management (ID.SC) NIST CSF: Identificar Inventory Lambda Function Event (event-based) Lambda Function Event (event-based) Enterprise Agreement
  • 9. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. NIST CSF: Proteger Identity Management, Authentication and Access Control (PR.AC) Awareness and Training (PR.AT) Data Security (PR.DS) Information Protection Processes and Procedures (PR.IP) Maintenance (PR.MA) Protective Technology (PR.PT) AWS STS MFA token Role Permissions
  • 10. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. NIST CSF: Detectar Anomalies and Events (DE.AE) Security Continuous Monitoring (DE.CM) Detection Processes (DE.DP) Flow logs Lambda Function Event (event-based)
  • 11. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Response Planning (RS.RP) Communications (RS.CO) Analysis (RS.AN) Mitigation (RS.MI) Improvements (RS.IM) Organizational response activities are improved by incorporating lessons learned from current and previous detection/respons e activities. AWS service configurations and Security Automation are updated/improved . NIST CSF: Responder Filtering rule ACL Subnet Rule
  • 12. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. NIST CSF: Recuperar Recovery Planning (RC.RP) Improvements (RC.IM) Communications (RC.CO) Organizational recover activities are improved by incorporating lessons learned from current and previous detection/respons e activities. AWS service configurations and Security Automation are updated/improved .
  • 13. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. How AWS helps you design resilient workloads
  • 14. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Ejemplo: AWS Security Hub.
  • 15. © 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Siguientes pasos. https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-ESP.pdf
  • 16. © 2023, Amazon Web Services, Inc. or its affiliates. FUNDAMENTOS DE RESILIENCIA EN LA NUBE © 2022, Amazon Web Services, Inc. or its affiliates. ¡Gracias! Óscar Luis Rojas Fernández orojasf@amazon.com
  • 17. © 2023, Amazon Web Services, Inc. or its affiliates. FUNDAMENTOS DE RESILIENCIA EN LA NUBE © 2022, Amazon Web Services, Inc. or its affiliates. Láminas de apoyo
  • 18. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Shared responsibility model 18 AWS Security OF the Cloud AWS is responsible for protecting the infrastructure that runs all the services offered in the AWS Cloud. Security IN the Cloud Customer responsibility is determined by the AWS Cloud services a customer selects. Customers
  • 19. © 2023, Amazon Web Services, Inc. or its affiliates. All rights reserved. Knowledge Test • AWS Responsibility? or Customer Responsibility? Configuring the Security Group rules that determine which ports are open to an EC2 Linux instance Toggling on the Server-side encryption feature for S3 buckets Patching the operating system on EC2 with the latest security patches Defining permissions for different users, groups, and roles in AWS Shredding disk drives before they leave a datacenter Preventing packet sniffing at the hypervisor level Maintaining a SOC2 report for AWS datacenter control implementations