Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Rocket clouds
NIST SP 800-144 por Mind Map: NIST SP 800-144

1. Gobernance

1.1. La organización debe de tener una completa visión y control sobre las políticas, procedimientos y estándares que se estén aplicando en los servicios adquiridos

1.2. Se debe de llegar a un "acuerdo" con el centro de servicios del "Public Cloud" para determinar los Roles y responsabilidades entre ambas organizaciones

1.3. Así mismo se deberán de establecer los mecanismos de control adecuados para su correcta monitorización y seguimiento, por ejemplo, mediante auditorías periódicas

1.4. Las auditorías deberán, al menos, ser orientadas a verificar cómo los datos son almacenados, protegidos y usados

2. Compliance

2.1. Localización de los Datos

2.1.1. Establecer un mapa del flujo real de los datos, para comprobar que "leyes" aplican en el seguimiento de los datos, "recogida", "transferencia", "almacenamiento", todo con objeto de valorar los riesgos o beneficios diferentes en cada situación.

2.2. Proceso electrónico

2.2.1. Este proceso contempla la identificación, proceso de captura, análisis y tratamiento por el software de almacenamiento de la información (ESI). Esto debe tenerse en consideración sobre todo en cuento a la eliminación de la información, prestando especial interés la localización y borrado seguro

3. Trust

3.1. Acceso desde dentro

3.1.1. Dado que la información esta realmente almacenada fuera de los limite físicos de la organización, las medidas de seguridad establecida por está quedan fuera del alcance en la gestión del riesgo. Aparecen nuevos riesgos, y amenazas a incluir, es decir el "Insiders" son el propio personal administrativo del centro/proveedor de los servicios, operadores de mantenimiento o incluso terceras empresas con acceso a las instalaciones del "Public Cloud".

3.2. Dueño de los Datos

3.2.1. Debe de quedar claro y explicito en el contrato del servicio, quién es el dueño de los datos

3.3. Visibilidad

3.3.1. Disponer de completa visibilidad, revisar si el public cloud dispone de sistemas de monitorización de los servicios, auditorías de seguridad y análisis de vulnerabilidades

3.4. Gestión del Riesgo

3.4.1. la gestión de riesgo en entornos de public cloud, deberán ser considerados implementando los controles de transparencia y visibilidad, de modo que se puedan llevar a cabo adecuados análisis de riesgos.

4. Architecture

4.1. Superficie de ataque

4.1.1. Las políticas de seguridad y los procedimientos de la organización deberán poner énfasis en la protección y configuración de forma segura los entorno virtualizados

4.2. Protección de las redes virtualizadas

4.2.1. La utilización de entornos virtualizados, lleva a utilizar elementos típicos de red en el espacio virtual "router" y "switches", de este modo se deben de tomar la precauciones necesarias para asegurar las redes, en los entornos virtuales

4.3. Imagenes virtuales

4.3.1. Se debe de prestar especial atención a las copias de seguridad de las imagenes virtuales, ya que contienen información relevante sobre la configuración, del servicios, así como datos de explotación

4.4. Protección en el cliente

4.4.1. Las organizaciones deben de revisar las medidas de seguridad entorno al software con el que se explota y accede al servicio en la nube.

5. Identify and Access Management

5.1. Los mecanismos necesarios para conocer en todo momento quién (identificación y autenticación) y cómo (controles de acceso, permisos, roles) accede a la información (los datos).

6. Software Insolation

6.1. Para gestionar adecuadamente el riesgo se debe de conocer en profundidad la arquitectura utilizada por el "proveedor" de la nube. Esto es necesario con objeto de dimensionar adecuadamente los múltiples "vectores de ataque" que se presentan en los entornos virtualizados, y conocer los controles que el propio centro de servicios utiliza para ello. "Esto implica disponer de un acuerdo de servicio y claususlas contractuales que te respalden".

7. Data Protecction

7.1. Aislamiento de los Datos

7.1.1. Puesto que los datos pueden estar presente en múltiples formas, se deben de utilizar mecanismos que permitan aislar unos de otros

7.2. Sanitización de los datos

7.2.1. La eliminación de los datos, debe asegurarse que se toman las medidas apropiadas para eliminar por completo la información almacenada. Se deberá de establecer los controles necesarios (procedimientos, auditorías) para asegurar que lo datos son borrados de manera segura.

8. Availabity

8.1. La disponibilidad de los datos, puede ocasionar medidas adicionales para controlar la ubicación de los datos, en ocasiones, estas medidas de protección frente a los ataques de denegación de servicio, implican la utilización de centros "contratados con terceros"

9. Incident Response

9.1. La gestión de incidentes debe ser "manejada" como en cualquier otro sistema de información debe tratarse de identificar la causa, aislar el problema, aplicar las medidas de contención, eliminación y reparación