Políticas de seguridad de la información
Enviado por joruavhi • 21 de Septiembre de 2015 • Apuntes • 1.485 Palabras (6 Páginas) • 3.126 Visitas
Actividades[pic 1]
Trabajo: Políticas de seguridad de la información
El uso de servicios en la nube (cloud computing) y del software como servicio (Software-as-a-Service, SaaS) es una tendencia en el área de servicios de TI en las organizaciones. No obstante, junto a los nuevos modelos de costes y las posibilidades de externalización aparecen nuevos riesgos relacionados con la seguridad. Estos riesgos abarcan a una gran cantidad de empresas, dado que en mayor o menor medida, muchas de ellas utilizan almacenamiento u otros servicios en la nube.
En el contexto descrito, se pide:
- Identificar los riesgos más importantes en ese entorno. Existen compilaciones de estos riesgos en la web. Por ejemplo, se recomienda comenzar la búsqueda por las páginas del Open Web Application Security Project (OWASP). El resultado de esta identificación serán los cinco riesgos considerados más importantes y por qué se consideran más importantes. Extensión máxima: 1 página.
- Razonar si estos riesgos pueden formularse en una o varias políticas, teniendo en cuenta los responsables, la tipología del riesgo y el tipo de herramientas para implementarla.
- Diseñar una de esas políticas de acuerdo al esquema de la política analizada en los materiales.
I.Identificar los riesgos más importantes en el entorno planteado y definir porque son considerados los más importante.
1. Data Breaches and Data Loss (Violación y Pérdida de datos)
De las amenazas más graves relacionadas con la confidencialidad y disponibilidad de la información.
Si una base de datos de servicio en la nube no se encuentra diseñada y protegida correctamente permite que un atacante acceda fácilmente a los datos de cualquier cliente. Lo que hace que se pierda la confidencialidad de la información y pueda caer incluso en manos de sus competidores. Esto sucede ya que en un mismo servidor físico una empresa podría tener acceso a los datos de otra. Por esto es tan importante la utilización de la encriptación de datos.
Por otro lado los datos almacenados en la nube pueden llegar a perderse permanentemente debido diferentes factores: Atacantes maliciosos, Eliminación accidental por el proveedor de servicio en la nube, o una catástrofe física como un incendio o un terremoto. Esto puede evitarse por el proveedor realizando copias de seguridad
2. Account Hijacking (Secuestro de un servicio o cuenta)
Esto afecta la autenticidad, integridad, confidencialidad, y disponibilidad de los servicios.
Si un atacante obtiene acceso a las credenciales o Password, puede espiar actividades y transacciones, manipular datos, devolver información falsificada, y redirigir a sus clientes a sitios ilegítimos e incluso la suplantación de identidad. Con credenciales robadas, los atacantes a menudo pueden acceder a áreas críticas de servicios de cloud computing desplegados, lo que les permite comprometer la confidencialidad, integridad y disponibilidad de los servicios.
3. Insecure Interfaces and APIs (Interfaces y APIs Inseguras)
Esto afecta La autenticidad, integridad, confidencialidad y disponibilidad de los datos.
Los proveedores de cloud computing exponen un conjunto de interfaces de software o API (Application Programming Interface) que los clientes utilizan para administrar e interactuar con servicios en la nube.
Dado que (autenticación, acceso, cifrado de datos, etc.) se realiza a través de estas herramientas, se hace necesario que los interfaces estén diseñados de forma segura, evitando así los problemas de seguridad, tanto los que son intencionados como los que se producen de forma accidental.
4. Denial of Service (Negación de Servicio)
Esto afecta la Disponibilidad de los datos.
Este tipo de ataques de negación de servicio son los destinados a evitar que los usuarios de un servicio en la nube no tengan la posibilidad de acceder a sus datos o sus aplicaciones. Lo que afecta su negocio y / o actividad.
5. Malicious Insiders (Amenaza interna)
Esta es una de las amenazas más importantes ya que los propios usuarios tienen acceso de forma natural a los datos y aplicaciones de la empresa sin generar ningún tipo de sospecha. Exempleados, contratista, u otro socio comercial que tiene o ha tenido acceso a la red, del sistema o datos puede accidental o intencionalmente hacer un mal uso de la información afectando la confidencialidad, integridad o disponibilidad de la misma.
Esto se sale de control debido a que por lo general el proveedor del servicio es quien gestiona las altas y bajas de los usuarios, produciéndose brechas de seguridad cuando el consumidor del servicio no informa al proveedor de las bajas de personal en una empresa.
II. Razonar si estos riesgos pueden formularse en una o varias políticas, teniendo en cuenta los responsables, la tipología del riesgo y el tipo de herramientas para implementarla.
Dentro del entorno definido para el ejercicio la responsabilidad en cuanto a las políticas de Seguridad la gran mayoría recaen sobre el proveedor del servicio.
...