Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

UDLA - Seguridad y control en la nube

Conferencia Jornadas FICA 2013 - Universidad de las Américas
by

Raul Sanjines

on 6 October 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of UDLA - Seguridad y control en la nube

Volar a la nube o perderse en la niebla
Un enfoque integral de seguridad y control para Cloud computing
Ing. Raúl Sanjinés Velarde
CISA, CGEIT, ISO 27001 Lead Auditor
sanjines.raul@gmail.com
Contenido
Contexto y definiciones
Problemas conocidos
Prácticas recomendadas
UDLA 2013
Jornadas de Ingeniería

“Modelo que permite obtener, desde cualquier lugar y bajo demanda, un cómodo acceso a través de una red a un conjunto compartido (pool) de recursos informáticos configurables, el cual se puede conformar y suministrar rápidamente con un esfuerzo de gestión mínimo o con una interacción mínima con el proveedor de los servicios”
NIST 2011
Tipos de servicios en la nube
Modelos de operación en la nube
Definición de Cloud computing:
Esta fase comprende las actividades de definición de la
visión y estrategia
, la delimitación del
alcance
de la nube en el portafolio de aplicaciones y procesos de la organización, el análisis de
modelos de negocio
y
oportunidades de innovación
de negocios que ofrece la nube, y el establecimiento de la
estructura de gobierno
a cargo de la organización y seguimiento de la implementación.
Posicionamiento de la nube.
1
La fase de adquisición implica tareas como la
investigación de proveedores
potenciales, la definición de
marcos contractuales
y estrategias de adopción y terminación del servicio contratado, el establecimiento de estrictos
acuerdos de nivel de servicio
, la aprobación del
caso de negocio
del contrato y del nuevo modelo de negocio, y la revisión detallada de
aspectos legales, regulatorios y hasta impositivos
que afectarán la implementación de esta tecnología al estar basada usualmente en un país diferente.
Adquisición de la nube
2
En esta fase la nube ya está contratada y se deben considerar actividades como la
gestión del cambio
para la adopción del modelo, la
integración
de la nube con tecnología existente, la proyección en el corto, mediano y largo plazo del impacto de la nube en la
arquitectura empresarial
, la definición y ejecución de la
estrategia de lanzamiento
, y el
esquema de desarrollo
de nuevas funcionalidades de negocio y requerimientos de gobierno (internos y externos) sobre la nube implementada.
Explotación de la nube.
3
Esta fase comprende el
seguimiento y monitoreo
de todo el ciclo de vida de la nube, comprendiendo tareas como el aseguramiento del
cumplimiento con regulaciones y normas legales
, la revisión de aspectos de
seguridad y privacidad de la información
, el seguimiento de los indicadores y componentes que aseguren la
continuidad y disponibilidad
del servicio, y en general el seguimiento del
modelo de gestión de riesgos
de la nube establecido por la organización.
Aseguramiento de la nube.
4
A. Principio de Habilitación estratégica
B. Principio de Costo-Beneficio
C. Principio de Riesgo empresarial
D. Principio de Capacidad
E. Principio de Responsabilización (accountability)
F. Principio de Confianza
PRINCIPIOS DE GOBIERNO DE LA NUBE
Esta fase comprende el
seguimiento y monitoreo
de todo el ciclo de vida de la nube, comprendiendo tareas como el aseguramiento del
cumplimiento con regulaciones y normas legales
, la revisión de aspectos de
seguridad y privacidad
de la información, el seguimiento de los indicadores y componentes que aseguren la
continuidad y disponibilidad
del servicio, y en general el seguimiento del
modelo de gestión de riesgos
de la nube establecido por la organización.
Aseguramiento de la nube.
4
1
FASE
FASE
FASE
FASE
Discusión abierta
¿Preguntas?
¿Casos para análisis?
Fases de implementación de la nube
Fuente: "Ready for takeoff: Preparing for your journey into the cloud", Ernst & Young (2012).
Fuente: "Principios rectores para la adopción y el uso de la computación en la nube"
ISACA (2012)
Full transcript