• No se han encontrado resultados

CLOUD AUDIT

N/A
N/A
Info
Descargar
Protected

Academic year: 2023

Share "CLOUD AUDIT"

Copied!
174
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 174 página )

Texto completo

Este capítulo define las estrategias de ejecución y evolución de los procesos CA&CM. Entre las conclusiones destacan las reflexiones sobre la mejor integración de los recursos de la nube en la supervisión resultante de los procesos de CA&CM, así como el aumento de la eficiencia de la función de auditoría de TI como resultado de la integración de CA&CM con la ejecución de auditorías tradicionales. .

11CLOUD AUDIT & FORENSICS

Retos generales en la aplicación de CA&CM en la organización

La implementación de CA&CM requiere la ejecución de 3 procesos de supervisión: Aseguramiento Continuo de Datos (CDA), Monitoreo Continuo de Control (CCM) y Monitoreo y Evaluación Continuos de Riesgos (CRMA). El nivel de automatización de los procesos CA&CM debe ser suficiente para que su ejecución sea rentable.

Consideraciones mínimas para poder aplicar CA&CM

La información utilizada por los procesos CA&CM debe cumplir con requisitos mínimos de calidad y obtenerse de fuentes confiables. Se deben ejecutar procesos de normalización de la información para que, aunque se obtenga de fuentes heterogéneas, pueda integrarse a los procesos de AC&CM de manera eficiente.

13CLOUD AUDIT & FORENSICS

Beneficios esperados al aplicar CA&CM en Cloud

15CLOUD AUDIT & FORENSICS

PROCESOS CLAVE 3

Aseguramiento continuo de datos (CDA)

PROCESOS CLAVE

17CLOUD AUDIT & FORENSICS

Se deben identificar los puntos dentro de los procesos donde es necesario realizar CDA para asegurar la validez y eficiencia de la supervisión sin sobrecargar excesivamente la capacidad del entorno. CDA también debe integrarse con los sistemas locales de la organización y la información almacenada en ellos.

19CLOUD AUDIT & FORENSICS

Monitorización Continua de Controles (CCM)

Con una mayor regulación en materia de protección de datos, privacidad y ciberseguridad, aumenta el número de revisiones que deben realizarse de forma obligatoria. En la medida en que algunos controles se implementen de manera similar en diferentes sistemas, o al menos dejen huellas similares de su ejecución, la implementación del CCM supondrá una reducción en el costo de la supervisión, como resultado de la automatización y estandarización de las revisiones. .

21CLOUD AUDIT & FORENSICS

Un proceso CCM nunca podrá sustituir al resto de análisis realizados por la función de auditoría interna. Por lo tanto, un elemento importante en la definición del proceso CCM es utilizar un marco de control que se adapte al servicio en la nube.

23CLOUD AUDIT & FORENSICS

Monitorización y evaluación continua de riesgos (CRMA)

El uso de un servicio apoyado en una infraestructura que no está bajo el control directo de la organización y que en muchos casos se contrata sin proporcionar la visibilidad adecuada dentro de la organización (Shadow IT) dificulta la gestión del riesgo asociado al mismo. Dado que en ambos casos se produce una reducción de la capacidad de control, el uso de CRMA ayudará a mitigar este hecho con una supervisión más cercana y directa de los riesgos.

25CLOUD AUDIT & FORENSICS

Riesgos de baja probabilidad y alto impacto (cisnes negros) que podrían afectar el servicio en la nube o la organización. Es necesario establecer comunicación y cooperación entre las funciones de gestión de riesgos de la organización y la función de aseguramiento para la definición y gestión del proceso CRMA.

27CLOUD AUDIT & FORENSICS

El informe generado como resultado de este proceso debe comunicarse a los órganos de dirección y control de la organización, pero no al CSP, ya que estos deben proporcionar una visión global del riesgo para la organización e información relevante para el servicio en la nube. ser representado o agregado junto con otro tipo interno que no debe transferirse al CSP. En este caso se debe asegurar que los dos procesos estén integrados, y la información reportada como resultado de la ejecución del proceso esté integrada con las actividades de gestión y tratamiento de riesgos de la organización.

29CLOUD AUDIT & FORENSICS

ELEMENTOS CLAVE 4

Dependencias para la definición los elementos clave

ELEMENTOS CLAVE

31CLOUD AUDIT & FORENSICS

En la medida que un servicio en la nube, como cualquier otro recurso tecnológico, gestiona la información de la organización, afecta los procesos de gestión de la información. A diferencia del resto de elementos dependientes, el siguiente apartado implicará el desarrollo de un mapa de riesgos de la nube, ya que es un elemento crítico para definir los KRI y resulta complejo identificar las referencias de las que se puede derivar dicho mapa.

33CLOUD AUDIT & FORENSICS

Elementos clave

Además de para la ejecución de análisis estáticos, el análisis de datos es útil para el análisis de la evolución de la información, así como la trazabilidad de la ejecución de procesos sobre la misma. Además de analizar la calidad de la información de valor para la organización y organizar toda la información generada para su posterior análisis, el análisis de datos puede apoyar a los procesos CCM y CRMA para analizar rápidamente un gran volumen de información, lo cual es necesario para poder analizar de forma continua. controles, KPI y KRI.

35CLOUD AUDIT & FORENSICS

Incluirá la agregación de los datos obtenidos como resultado de la evaluación de los servicios en la nube contratados, así como aquellos que reflejen la situación de la arquitectura TI implementada en sitio. Además, también puede ser necesario incorporar en sus sistemas los datos necesarios para la evaluación de la arquitectura informática de los proveedores que gestionan los datos de la organización.

37CLOUD AUDIT & FORENSICS

Esta preparación implica cargar datos en el entorno donde se realizará el análisis, incluido el formato de los datos para adaptarlos a la herramienta de análisis utilizada y un análisis inicial ad hoc de la información cargada para que esté estructurada para respaldar su análisis. ; y permite validar si las pruebas de calidad definidas se pueden realizar en los datos capturados según lo diseñado. Esta preparación implica cargar datos en el entorno donde se realizará el análisis, incluido el formato de los datos para adaptarlos a la herramienta de análisis utilizada y un análisis inicial ad hoc de la información cargada para que esté estructurada para facilitarla.

39CLOUD AUDIT & FORENSICS

Inicialmente, puede haber reglas comerciales que se hayan ignorado y relaciones que no se hayan considerado. Es posible que luego de comparar con las partes interesadas se identifiquen pruebas mal configuradas o conclusiones erróneas, así como otras reglas relevantes que no fueron tomadas en cuenta.

41CLOUD AUDIT & FORENSICS

Identificación y análisis de patrones anormales en la información u operación de elementos de control. El análisis de datos es una técnica que debe integrarse en los procesos de AC&CM.

43CLOUD AUDIT & FORENSICS

Gestionable La información permite su uso en los procesos para los que fue recopilada y este uso se realiza de forma sencilla. Actualizada La información está suficientemente actualizada para que pueda ser utilizada por los procesos adecuados.

45CLOUD AUDIT & FORENSICS

Sin embargo, como mínimo, el CSP será responsable de proteger tanto la capa del hipervisor como las subyacentes. En segundo lugar, existen controles implementados por el propio cliente, que puede elegir y configurar sin verse limitado por el modelo de servicio, aunque tendrá que tener en cuenta los requisitos específicos de la infraestructura en la que se despliega y las capacidades de la organización. . para adquisición, configuración y análisis.

47CLOUD AUDIT & FORENSICS

La selección de un marco de control específico del cual derivar los controles se detallará en la siguiente sección, correspondiente a la definición de controles en la capa administrada por el cliente. Al firmar el contrato, PGJS se comprometerá a implementar o ya ha implementado los controles requeridos.

49CLOUD AUDIT & FORENSICS

Sin embargo, el marco de control utilizado para seleccionar los controles que el propio cliente implementará puede ser más general, ya que se implementarán en capas más homogéneas en las diferentes arquitecturas. Lo importante es que el marco de control comprenda el uso del servicio y las características de la organización, de modo que todas las actividades y funcionalidades desarrolladas estén adecuadamente protegidas.

51CLOUD AUDIT & FORENSICS

Si CA&CM solo se implementara en el servicio en la nube, se obtendría una visión parcial y distorsionada del desempeño de los controles. Además, es recomendable elaborar un mapa visual de los controles, basado en el mapa de arquitectura IS/IT, que proporcione una representación gráfica de los controles implementados sobre dicha arquitectura.

53CLOUD AUDIT & FORENSICS

El análisis de los controles dentro de CA&CM debe proporcionar información sobre su función y si cumplen con los objetivos de control asociados. Dado que no todas las pruebas podrán ser automatizadas, cuando se detecta que no es así se debe pasar por un proceso de evaluación e identificación de alternativas para intentar llegar a una conclusión sobre un mismo objetivo de control de forma automatizada.

55CLOUD AUDIT & FORENSICS

Actividades de Ciberseguridad

De acuerdo con las actividades centrales de la gestión de la ciberseguridad descritas en el marco publicado por el NIST para mejorar la ciberseguridad de las infraestructuras críticas, se deben definir KPI para cubrir grupos de actividades que se describirán con más detalle a continuación. Abarca el análisis del contexto interno y externo de la organización y los recursos asignados a la gestión de la ciberseguridad como punto de partida para priorizar los recursos disponibles de forma coherente con los requisitos y necesidades de la organización y de la organización. función.

57CLOUD AUDIT & FORENSICS

También se deben definir KPI que proporcionen mediciones de la capacidad de la organización para responder a los riesgos materializados que hayan sido detectados previamente, para evaluar en qué medida se gestionan los impactos asociados al riesgo materializado. Del mismo modo que ocurre con la capacidad de detección y los KPI relacionados cuando se utilizan servicios en la nube, la capacidad de respuesta también debe incluir tanto la dimensión del cliente como la del proveedor de servicios en la nube en términos de una respuesta efectiva a materializarse. riesgos.

59CLOUD AUDIT & FORENSICS

Monitorear y controlar los recursos desplegados en la nube y los eventos que en ellos ocurren, para asegurar la generación de informes operativos y de seguridad del servicio. Uso de protocolos, interfaces y sistemas estandarizados, que permiten una interacción sencilla y fluida con otros elementos de la arquitectura IS/IT que necesitan comunicarse con el servicio.

61CLOUD AUDIT & FORENSICS

Un cliente de servicio en la nube debe asegurarse de que el CSP haya implementado un nivel suficiente de abstracción entre la instancia utilizada por dicho cliente y los recursos físicos y lógicos que soportan dicha instancia para que no haya comunicación directa entre dichos recursos y la instancia. , ni entre instancias, aunque estas estén sustentadas en los mismos recursos tecnológicos. Además, el Cliente deberá asegurarse de que el CSP haya implementado controles de acceso suficientes para asegurar el acceso físico y lógico a los recursos tecnológicos que soportan el servicio ofrecido.

63CLOUD AUDIT & FORENSICS

Para ello se debe realizar una medición periódica con la frecuencia necesaria para captar valores que puedan confirmar la consecución de los objetivos marcados. Además de lo anterior, debido a las características de los entornos cloud y a la homogeneidad entre entornos tecnológicos presentes en las organizaciones actuales, se deben tener en cuenta otra serie de objetivos auxiliares:

65CLOUD AUDIT & FORENSICS

Favorecen el alineamiento entre el estado y evolución de un elemento, en este caso un control, y la consecución de los objetivos de negocio, proporcionando una visión en la que los controles se consideran desde una perspectiva de rentabilidad. Al reportar información sobre la situación actual y su evolución, permite medir con precisión el éxito de un control o corrección, facilitando la detección y corrección de desviaciones.

67CLOUD AUDIT & FORENSICS

En cuarto y último lugar, y considerando únicamente los KPI vinculados al servicio cloud, así como su impacto en la medición del resto, es importante diseñarlos teniendo en cuenta la información de la que dispone la organización usuaria del servicio. Para maximizar la utilidad de los KPI, deben diseñarse de forma que se abstraigan de la implementación particular de los controles y permitan ofrecer una visión homogénea del cumplimiento de los objetivos de control en toda la infraestructura.

69CLOUD AUDIT & FORENSICS

En segundo lugar, una vez analizados todos los recursos sobre los que se implementa un mismo control, se debe definir una fórmula de cálculo que permita proporcionar resultados consistentes entre todas las mediciones. Esta tarea será sencilla si el control permite una medición y resultado similar independientemente del recurso sobre el que se implemente, pero se volverá más compleja a medida que se deba gestionar la abstracción necesaria en la fórmula para que ante muchas implementaciones diferentes de mismo control, el resultado conserva su homogeneidad.

4.2.5. Mapa de riesgos
4.2.5. Mapa de riesgos

71CLOUD AUDIT & FORENSICS

Dado que el propósito de este proceso es identificar y en última instancia abordar los riesgos a los que está expuesta la organización, no es necesario alcanzar el máximo nivel de detalle y profundidad en la identificación. Una vez identificados todos los recursos tecnológicos utilizados por la organización, el siguiente paso es cuantificar la relevancia de ese recurso para la organización.

73CLOUD AUDIT & FORENSICS

Del mismo modo, dicha infracción puede tener lugar por parte de un usuario que ya tiene acceso al servicio y que hace uso de funciones no autorizadas o accede a información. Esta infracción será generalmente de carácter técnico y provocará la utilización de funciones para las que el servicio no fue diseñado originalmente.

75CLOUD AUDIT & FORENSICS

El compromiso de la identidad generalmente conduce al uso indebido de recursos legítimos por parte de un usuario no autorizado. En cualquier modelo de servicio en la nube, el almacenamiento y gestión de la información es responsabilidad de la organización usuaria de dicho servicio en la infraestructura de la nube.

77CLOUD AUDIT & FORENSICS

El cálculo de los valores de riesgo, que sirven de base para definir los KRI e iniciar el proceso CRMA, es el siguiente paso una vez identificados los recursos clave de la organización y las principales amenazas a las que están expuestos. Para definir formalmente los KRI, basta con conocer la relación entre recursos y amenazas.

79CLOUD AUDIT & FORENSICS

Objetividad: Las mediciones de KRI y los informes asociados deben tener en cuenta la cultura de riesgos de la organización y utilizar información suficiente para representar fielmente la situación de la organización y su contexto. Exhaustividad: El informe de KRIs debe incluir todos los ecosistemas tecnológicos de la organización, para proporcionar una visión global del riesgo tecnológico, incluyendo aquellos elementos externos a la organización que influyen en sus niveles de riesgo.

81CLOUD AUDIT & FORENSICS

La organización debe definir la frecuencia con la que medirá los KRI definidos y compararlos con los valores y límites objetivo. Una vez completado el informe, se debe analizar el proceso para garantizar que los KRI, los sistemas de evaluación y los valores objetivo y límite todavía estén alineados con las necesidades y requisitos de la organización.

83CLOUD AUDIT & FORENSICS

Estas mediciones pueden incluir KRI, si bien deben definirse a nivel contractual, y requieren toda la información de soporte necesaria que permita evaluar la idoneidad de las mediciones realizadas por el CSP, para asegurar que la información proporcionada sea de calidad. Todas estas responsabilidades, independientemente de si el KRI es evaluado por la organización o por el CSP, deben quedar contractualmente explícitas de manera precisa y detallada.

85CLOUD AUDIT & FORENSICS

Modelo de ejecución

ESTRATEGIA DE EJECUCIÓN Y

ESTRATEGIA DE EJECUCIÓN Y DESARROLLO

87CLOUD AUDIT & FORENSICS

La función de aseguramiento debe buscar apoyo y tener una comunicación fluida con el CSP y con las áreas de la organización, de manera que no se enfoque exclusivamente en la identificación y tratamiento del riesgo, sino en entenderlo desde la perspectiva de las partes interesadas. Es preferible centrarse en el contexto y las necesidades de la organización y saber adaptarse a ellos, que seguir un plan fijo que provoque un desalineamiento de la función de aseguramiento.

89CLOUD AUDIT & FORENSICS

Normalmente, el tiempo transcurrido desde que se identifica la necesidad de proporcionar seguridad sobre un proceso o recurso hasta que se identifican y evalúan los riesgos asociados al mismo es largo. Los principios de gestión ágil ayudan a obtener la implicación de las partes interesadas, aumentando su participación en los procesos realizados.

91CLOUD AUDIT & FORENSICS

No es necesario que todas las tareas de la lista tengan el mismo nivel de detalle. El tamaño mínimo de la lista de tareas pendientes debe ser suficiente para garantizar que haya suficientes tareas para realizar una iteración completa, aunque se deben incorporar todas las tareas identificadas como necesarias para la ejecución de CA&CM.

93CLOUD AUDIT & FORENSICS

Para controlar los elementos que se introducirán en el proceso de AC&CM en cada iteración, se utilizará la matriz de integración, que incluirá una priorización de los elementos de supervisión más importantes en AC&CM. La matriz, que se muestra gráficamente a continuación, contendrá una priorización de todos los elementos a monitorear.

95CLOUD AUDIT & FORENSICS

Los elementos incluidos en esta lista no podrán modificarse una vez iniciada la fase de ejecución de la iteración. La contribución del seguro, similar a los incrementos en Scrum, representa el resultado de la ejecución de todas las iteraciones ya completadas.

97CLOUD AUDIT & FORENSICS

Los interesados ​​serán los destinatarios del aporte de valor generado por los procesos de CA&CM, así como quienes participen en la implementación de los procesos antes mencionados. Esta primera fase del modelo se ejecutará una sola vez e incluirá la ejecución de todas aquellas actividades necesarias para iniciar la primera iteración de CA&CM.

99CLOUD AUDIT & FORENSICS

Esta subfase no sólo ayudará a identificar aspectos clave de los procesos de AC&CM, sino que también puede ser útil para seleccionar elementos clave para su implementación. En este punto, la participación de la persona de aseguramiento será esencial para garantizar que los objetivos y requisitos establecidos por las partes interesadas se traduzcan adecuadamente en los objetivos de la función de aseguramiento y en los procesos de CA&CM.

101CLOUD AUDIT & FORENSICS

El responsable de la seguridad, apoyado total o parcialmente por el responsable de auditoría, debe transmitir sus expectativas de replicación mediante el desarrollo de elementos de replicación. Exponer y aclarar elementos del backlog y la matriz de integración.

103CLOUD AUDIT & FORENSICS

La razón por la que esta tarea se realiza después del diseño de los elementos y no al revés es que, al tener la iteración un tiempo fijo, se debe alcanzar un nivel mínimo de detalle. En esta subfase existe una lista de tareas priorizadas con un alto nivel de detalle, así como una matriz de integración igualmente detallada.

105CLOUD AUDIT & FORENSICS

Los miembros del equipo de auditoría deberán reunirse diariamente, siendo opcional la presencia del responsable de aseguramiento, para analizar la evolución de la iteración. Aunque la ejecución de las tareas para una iteración se acuerda al comienzo de la misma, no existe una asignación directa de tareas a cada miembro del equipo de auditoría.

107CLOUD AUDIT & FORENSICS

Esta fase es responsable de presentar los resultados e informar a las partes interesadas en función de la contribución al aseguramiento alcanzado. En este caso, el informe no necesariamente se elaborará considerando únicamente la contribución al aseguramiento de la última iteración, sino que se deberá tener en cuenta la contribución completa y la visión más actualizada posible de los aspectos incluidos en cada informe. .

109CLOUD AUDIT & FORENSICS

Específicamente, la evolución en la ejecución de los procesos GR&CM debe ser presentada a los grupos de interés clave, incluyendo al menos al Comité de Auditoría o al Directorio, para que puedan ver el resultado de su ejecución y retroalimentar no sólo sobre este sino también sobre se obtienen los resultados. Una vez presentados los resultados a las partes interesadas, es recomendable obtener retroalimentación periódica de ellas sobre los resultados de la iteración (la contribución al aseguramiento) y sobre los procesos GR&CM.

111CLOUD AUDIT & FORENSICS

Una vez visibles todos los puntos que hay que trabajar, se definen objetivos de mejora que cumplan con las propiedades S.M.A.R.T. Se identificarán todos los elementos de mejora y todos estos elementos se incluirán en la lista de tareas en curso, ya que se desea trabajar en ellas.

113CLOUD AUDIT & FORENSICS

El gerente de aseguramiento o gerente de auditoría debe presentar al equipo de auditoría las tareas incluidas en la lista de tareas pendientes. Por su parte, el responsable de aseguramiento o el director de auditoría deberá desarrollar las tareas para dar respuesta a las dudas planteadas por el equipo auditor.

115CLOUD AUDIT & FORENSICS

Modelo incremental de madurez

Se recomienda centrarse en incluir elementos clave que cubran los riesgos más críticos para la organización. En este nivel, es deseable que los resultados de los procesos no sean comunicados a partes interesadas ajenas a la organización.

117CLOUD AUDIT & FORENSICS

Este nivel de madurez debe alcanzarse una vez que los procesos CA&CM cubran suficientes elementos de supervisión clave para que los resultados obtenidos puedan integrarse en otras fuentes de informes o procesos de seguridad. En este nivel, los resultados de la ejecución de MK&MK deben alimentar los procesos de auditoría y estos deben utilizarse como apoyo en las etapas de evaluación preliminar, preparación del programa de trabajo y de forma complementaria durante el desarrollo del trabajo de campo.

119CLOUD AUDIT & FORENSICS

Nivel de integración en la función de aseguramiento

Los procesos de CA&CM están diseñados para brindar a la organización certeza y visibilidad de los riesgos a los que está expuesta. Existen varios enfoques al considerar la integración de los procesos CA&CM con otros procesos responsables de supervisar los riesgos de la organización.

121CLOUD AUDIT & FORENSICS

  • Aporte de valor a la función de auditoría interna de TI
  • Viabilidad de la solución propuesta
  • Nivel de integración
  • Visión completa y consistente
  • Homogeneización de la supervisión de recursos cloud
  • Interacción con el CSP
  • Evolución del modelo de supervisión

Por ello, los informes generados como resultado de la implementación de los procesos de CA&CM deben ofrecer una visión integral de los riesgos, de manera que aporten el máximo valor a la organización. Un aspecto fundamental que logra el modelo de control propuesto es la capacidad de extender la función de aseguramiento más allá de los límites de la organización.

CONCLUSIONES

  • Requerimientos de adaptación
  • Mantener un enfoque consistente a lo largo del tiempo
  • Madurez frente a sencillez
  • Cumplimiento y supervisión
  • Gestión del riesgo

Si bien se deben evaluar todos los ecosistemas tecnológicos de la organización en la que se implementa CA&CM, se debe ofrecer una visión integral y consistente de los riesgos. Un aspecto clave de los procesos de AC&CM son los elementos clave de monitoreo que deben seleccionarse y evaluarse para obtener resultados relacionados con la calidad de los datos, la efectividad del control y los riesgos organizacionales.

127CLOUD AUDIT & FORENSICS

  • Privacidad
  • Gobierno y protección del dato
  • Continuidad
  • Gestión del cambio y mantenimiento de sistemas

OC.CON.1 – Los servicios en la nube se consideran al diseñar planes corporativos de continuidad y recuperación, en la medida en que estos servicios soporten los procesos críticos de la organización. OC.CON.2 – Asegurar que el acuerdo suscrito con el CSP tenga en cuenta aspectos de continuidad, en caso de que servicios en la nube estén involucrados como parte de la respuesta a una emergencia, o que el servicio prestado por ellos sea considerado crítico.

129CLOUD AUDIT & FORENSICS

  • Gestión operativa
  • Interoperabilidad y Portabilidad
  • Gobierno de ciberseguridad
  • Control de acceso

OC.GDC.1 – Asegurar que los riesgos, requisitos y características de los servicios en la nube adquiridos se tengan en cuenta durante el diseño del modelo de gobernanza de la ciberseguridad. OC.GDC.3 – Las políticas, estándares, procedimientos y demás documentación técnica utilizada en la organización para garantizar una adecuada gestión de la ciberseguridad tienen en cuenta y se adaptan a los servicios en la nube adquiridos para proporcionar niveles de protección comparables a los ofrecidos en la tecnología propiedad de la organización. .

131CLOUD AUDIT & FORENSICS

  • Protección de la infraestructura tecnológica
  • Monitorización y análisis de sistemas
  • Cifrado
  • Gestión de incidentes de seguridad

OC.MAS.02: la capacidad de monitoreo de eventos de seguridad de la organización se extiende a todos los recursos en uso, incluidos sus propios recursos tecnológicos y los servicios en la nube adquiridos. OC.GIS.01 – Garantizar que la preparación para responder a incidentes de seguridad tenga en cuenta las características y necesidades de todos los entornos tecnológicos utilizados por la organización, incluidos los servicios en la nube adquiridos.

133CLOUD AUDIT & FORENSICS

Gestión de la cadena de valor extendida

Cumplimiento y supervisión

Gestión del riesgo

Privacidad

135CLOUD AUDIT & FORENSICS

Gobierno y protección del dato

Continuidad

Gestión del cambio y mantenimiento de sistemas

Gestión operativa

Interoperabilidad y Portabilidad

Gobierno de ciberseguridad

Control de acceso

Protección de la infraestructura tecnológica

Monitorización y análisis de sistemas

Cifrado

Gestión de incidentes de seguridad

139CLOUD AUDIT & FORENSICS

Gestión de la cadena de valor extendida

Cumplimiento y supervisión

Gestión del riesgo

141CLOUD AUDIT & FORENSICS

Privacidad

Gobierno y protección del dato

Continuidad

143CLOUD AUDIT & FORENSICS

  • Gestión del cambio y mantenimiento de sistemas
  • Gestión operativa
  • Interoperabilidad y Portabilidad
  • Gobierno de ciberseguridad
  • Control de acceso

Lo que este conjunto de KPI medirá y analizará es el punto de contacto estratégico entre la organización y el seguimiento y gestión de riesgos de TI. Este dominio es uno de los más relevantes a la hora de asegurar información y recursos tecnológicos.

145CLOUD AUDIT & FORENSICS

  • Protección de la infraestructura tecnológica
  • Monitorización y análisis de sistemas
  • Cifrado
  • Gestión de incidentes de seguridad
  • Gestión de la cadena de valor extendida

La gestión de incidentes de seguridad requiere de una serie de elementos estratégicos, operativos y técnicos que deben trabajar de forma rápida y coordinada para garantizar una adecuada gestión de estos incidentes. Gestionar los incidentes de seguridad en coordinación con un proveedor añade una enorme complejidad al proceso.

147CLOUD AUDIT & FORENSICS

Amenazas cloud

Amenazas asociadas a controles CCM

149CLOUD AUDIT & FORENSICS

151CLOUD AUDIT & FORENSICS

153CLOUD AUDIT & FORENSICS

155CLOUD AUDIT & FORENSICS

Consolidación de amenazas asociadas a controles CCM

AAC-1 Falta de supervisión de los controles y datos almacenados en la nube Uso de datos incorrectos AAC-2 Ineficiencia en la gestión de riesgos por falta de seguimiento. GRM-05 Falta de recursos para la gestión de la ciberseguridad Inapropiado/mal uso del servicio GRM-04 Desalineación entre la gestión de la ciberseguridad y las expectativas.

157CLOUD AUDIT & FORENSICS

DCS-06 Ausencia de lineamientos sobre el uso seguro del servicio en la nube Pérdida/Fugas de información Dominio: Seguridad de datos y Gestión del ciclo de vida de la información. No se han definido requisitos para el etiquetado, protección y manipulación de los datos almacenados o gestionados por el servicio en la nube.

159CLOUD AUDIT & FORENSICS

Pérdida/fuga de información Uso inadecuado/incorrecto del servicio IPY-05 Uso de plataforma de virtualización incompatible con forma-. IVS-01 Protección inadecuada de los registros de auditoría Violaciones a las regulaciones Uso de datos incorrectos IVS-02 Falta de integridad de las imágenes de las máquinas virtuales o de sus.

161CLOUD AUDIT & FORENSICS

Mapeo entre amenazas generalistas y amenazas asociadas a controles

Fugas de información Deficiencias en los procesos de identificación y control de acceso Vulnerabilidades presentes en APIs en interfaces.

163CLOUD AUDIT & FORENSICS

165CLOUD AUDIT & FORENSICS

Figure

4.2.5. Mapa de riesgos
mapa de riesgos tecnológicos cloud

Referencias

Descargar ahora ( PDF - 174 página - 1.76 MB )

Outline

121CLOUD AUDIT & FORENSICS CONCLUSIONES 135CLOUD AUDIT & FORENSICS Mapeo entre amenazas generalistas y amenazas asociadas a controles

Documento similar