SlideShare uma empresa Scribd logo

Riesgos actuales en entornos virtualizados

Fabián Descalzo
Fabián Descalzo

Desde hace cuatro años se reúnen en este congreso especialistas e interesados en los temas de riesgos bancarios, públicos y empresariales (profesionales en gerencias, riesgos, auditorías, control interno y negocios), con el objetivo de simplificar la búsqueda de las mejores prácticas. En este marco en el que se visualiza la evolución de las mejores prácticas expuestas por los congresistas y el intercambio de ideas entre colegas, presentamos una disertación sobre la seguridad en nuevas tecnologías tomando como ejemplo los entornos virtuales y como los aspectos de gestión pueden afectar a la práctica técnica.

Apresentações e oratória
1 de 38
Baixar para ler offline
Riesgos actuales en entornos virtualizados
Riesgos actuales en entornos virtualizados • Evolución de la virtualización • Gobierno y gestión en entornos virtuales • Riesgos actuales en entornos virtuales • Seguridad en virtualización de servidores y red • Recomendaciones y conclusiones
Riesgos actuales en entornos virtualizados Seleccionar plataforma y estándar de evaluaciónSeleccionar plataforma y estándar de evaluación Identificar los riesgos y requerimientos de control Identificar los riesgos y requerimientos de control Conocer las necesidades de aplicación para el Negocio Conocer las necesidades de aplicación para el Negocio
Riesgos actuales en entornos virtualizados MAINFRAME - OS 360 Permite crear máquinas virtuales dentro de la unidad central Creación a través de software de una versión virtual de algún recurso tecnológico, como puede ser una plataforma de hardware, un sistema operativo, un dispositivo de almacenamiento u otros recursos de red La tecnología de virtualización tiene su origen en los sistemas de ordenadores centrales
Riesgos actuales en entornos virtualizados Capa de abstracción entre el hardware de la máquina física (host) y el sistema operativo de la máquina virtual (virtual machine, guest), dividiéndose el recurso en uno o más entornos de ejecución Los cuatro recursos principales de una computadora CPU, Memoria, Dispositivos Periféricos y Conexiones de Red HIPERVISOR HOST GUEST
Riesgos actuales en entornos virtualizados Uso actual a nivel de Servidores y Desktops Cuidado con el uso local !!! La máquina virtual simula una plataforma de hardware autónoma incluyendo un sistema operativo completo que se ejecuta como si estuviera instalado. Se puede virtualizar el hardware de servidor, el software de servidor, virtualizar sesiones de usuario, virtualizar aplicaciones y también crear máquinas virtuales en una computadora de escritorio
Riesgos actuales en entornos virtualizados • Reducción de costos y mejora de los niveles de servicio • Gestión y administración simplificada de infraestructura • Facilidad de disponer de entornos de desarrollo/testing • Resuelve problemas de falta de capacidad o rendimiento de aplicación • Permite a las empresas facilidad de escalabilidad • Facilita las soluciones orientadas a la implementación de continuidad operativa (DRP/BCP)
Riesgos actuales en entornos virtualizados • Perfil de seguridad aprobado y de acuerdo con las directivas establecidas • Control de versión adecuada de SO y sus actualizaciones correctas a la hora de implementar nuevas VM • Análisis de capacidad para verificar si hay recursos apropiados disponibles para las nuevas VM • Afectación de una nueva VM al rendimiento y a la seguridad de otras VM en la misma máquina anfitriona • Análisis regular de VMs inactivas en busca de vulnerabilidades conocidas y se instalan y actualizan las revisiones de seguridad • Verificación de bajas de la infraestructura virtual de las VM retiradas • Las vulnerabilidades de los entornos físicos son también aplicables a los entornos virtuales. • Los hipervisors crean una nueva superficie susceptible de ataque. • Los entornos virtuales presentan una mayor complejidad.
Riesgos actuales en entornos virtualizados • Riesgos de cumplimiento en la exposición negativa a datos previamente asociados a una VM retirada • La virtualización acaba con el modelo de implementación según el cual cada servidor físico cumple una sola función. • Coexisten en el mismo anfitrión físico varias máquinas virtuales (VM) con distintos niveles de confianza (por ejemplo, las aplicaciones orientadas al interior y al exterior y las distintas directivas de seguridad). • No hay separación de tareas entre los administradores del sistema, pues todos necesitan tener acceso a los entornos virtuales. • Falta de revisiones y actualizaciones para las VM inactivas. • Registro y seguimiento insuficientes en el entorno virtual. • Filtración de información entre los segmentos y los componentes de las redes virtuales.
Riesgos actuales en entornos virtualizados 1. Nuevas vulnerabilidades • 259 vulnerabilidades en software de virtualización. • Nuevos tipos de ataques (HyperJacking, Hypervisor Escape, Ataques a VM) 2. Mayor superficie de ataque • Los Hypervisors tienen los mismos riesgos que el resto de los equipos. • Las herramientas de gestión de virtualización generan nuevos vectores de ataques. • El Hypervisor pasa a ser un nuevo vector de ataque. 3. Mayor flexibilidad incrementa los riesgos de seguridad • La virtualización crea una nueva capa de infraestructura que es necesario planificar, asegurar y controlar. • Los entornos virtuales son dinámicos por diseño. • La facilidad de crear y clonar VM genera riesgos de crear nuevos equipos inseguros y sin control. • Intrusos internos pueden generar un daño masivo rapidamente.
Riesgos actuales en entornos virtualizados GobiernoGobierno Gestión de Riesgo Gestión de Riesgo EducaciónEducación CumplimientoCumplimiento Reinvertir en controles AHORRO 4. Incremento de riesgos • Pérdida de la gobernabilidad • Riesgos de cumplimiento y conformidad legal • Filtración de información entre los segmentos y los componentes de las redes virtuales, información confidencial contenida en imágenes de las VM. • Algunos componentes virtuales no tienen el mismo nivel de control de acceso , registro y seguimiento que sus contrapartes físicas. • Falta de restricciones en los límites perimetrales entre diferentes entornos
Riesgos actuales en entornos virtualizados Gobierno y Gestión de Riesgo • Invertir parte del ahorro en controles • Implementar un Programa de Seguridad de la Información para entornos virtuales • Evaluar los procesos de gestión de IT • Métricas de cumplimiento • Exigir evaluaciones de vulnerabilidad y pentest • Estrategia de gestión de riesgos • Establecer revisiones y auditorias periódicas Gobierno y Gestión de Riesgo • Invertir parte del ahorro en controles • Implementar un Programa de Seguridad de la Información para entornos virtuales • Evaluar los procesos de gestión de IT • Métricas de cumplimiento • Exigir evaluaciones de vulnerabilidad y pentest • Estrategia de gestión de riesgos • Establecer revisiones y auditorias periódicas Educación y Cumplimiento • Verificar la capacitación continua del personal que administra entornos virtuales • Asegurar la participación de personal debidamente certificado • Verificar la capacitación en la plataforma ante cambio o ingreso de personal • Establecer un cronograma anual de capacitación • Verificar periódicamente la gestión de entornos virtuales • Auditar políticas, procesos y procedimientos de continuidad • Verificar el Marco Normativo y su cumplimiento en la gestión del servicio Educación y Cumplimiento • Verificar la capacitación continua del personal que administra entornos virtuales • Asegurar la participación de personal debidamente certificado • Verificar la capacitación en la plataforma ante cambio o ingreso de personal • Establecer un cronograma anual de capacitación • Verificar periódicamente la gestión de entornos virtuales • Auditar políticas, procesos y procedimientos de continuidad • Verificar el Marco Normativo y su cumplimiento en la gestión del servicio
Riesgos actuales en entornos virtualizados
Riesgos actuales en entornos virtualizados Y si tengo muchas zonas de seguridad. ¿Cómo aprovecho la tecnología de virtualización?
Riesgos actuales en entornos virtualizados DMZ1 MV0 MV1 DMZ2 MV2 MV3 Proveedores MV0 MV1 Entidades Externas MV2 MV3 LAN
Riesgos actuales en entornos virtualizados
Riesgos actuales en entornos virtualizados Problemáticas de seguridad conocidas. Riesgos inherentes a la tecnología de virtualización
Riesgos actuales en entornos virtualizados
Riesgos actuales en entornos virtualizados Datacenter (Externalizar) • ¿Cómo garantizar que se aplican las directivas de seguridad adecuadas al trasladar VM individuales de un anfitrión físico o centro de datos a otro? • ¿Qué sucede cuando una VM es trasladada a una máquina anfitriona física con un nivel distinto de protección de seguridad? • ¿Cómo se protege una VM al migrarla de un anfitrión físico a otro?
Riesgos actuales en entornos virtualizados “Aprender” la seguridad de una nueva tecnología Seguridad del Server HOST o del Storage a través de la aplicación de permisos de acceso a las maquinas virtuales Cada máquina virtual (VM) y aplicación hacen pasar su tráfico de red a través del hipervisor de camino a otros sistemas virtuales o físicos o a dispositivos Cada máquina virtual (VM) y aplicación hacen pasar su tráfico de red a través del hipervisor de camino a otros sistemas virtuales o físicos o a dispositivos Los sistemas de protección habituales no visualizan el tráfico entre máquinas virtuales Los sistemas de protección habituales no visualizan el tráfico entre máquinas virtuales VM inactivas y las migraciones de VM VM inactivas y las migraciones de VM
Riesgos actuales en entornos virtualizados Switch virtual (vSwitch) Switch virtual (vSwitch) vSwitch Host (Hypervisor) Grupo de puertos Grupo de puertos MV 0 MV1 MV2 MV3 Máquina virtual (MV) Máquina virtual (MV) NIC virtual (vnic) NIC virtual (vnic) Consola de servidor (puerto de gestión) Consola de servidor (puerto de gestión) Vmkernel (puerto para IP Storage y VMotion) Vmkernel (puerto para IP Storage y VMotion) NIC física (vmnic o pnic) NIC física (vmnic o pnic) Switch físicoSwitch físico LAN ADM vmkernel Permitirle a una VM conectarse a Internet o abarcar diferentes segmentos de red. Los firewalls e IDS/IPS tradicionales están instalados en segmentos de redes físicas, y por ello no pueden proteger las VM de manera adecuada Los firewalls e IDS/IPS tradicionales están instalados en segmentos de redes físicas, y por ello no pueden proteger las VM de manera adecuada
Riesgos actuales en entornos virtualizados HIPERVISOR Internet LAN Interna DMZ DC/Win FS Mail/Win
Riesgos actuales en entornos virtualizados HIPERVISOR Internet DMZ Mail/Win HIPERVISOR LAN Interna DC/Win FS FW Físico
Riesgos actuales en entornos virtualizados HIPERVISOR Actualizaciones Agentes Datos sobre amenazas Actualizaciones Agentes Datos sobre amenazas Para supervisar y proteger el tráfico entre las VM, se necesitan soluciones de seguridad diseñadas para funcionar en un entorno virtual Para supervisar y proteger el tráfico entre las VM, se necesitan soluciones de seguridad diseñadas para funcionar en un entorno virtual
Riesgos actuales en entornos virtualizados DMZ 1 MV0 MV1 MV2 MV3 MV2 MV3 MV2 MV3 DMZ 2 Proveedores Ent. Externas Internet LAN LAN ADM ADM Firewalls virtuales • Utilización de roles para segregar las tareas de administración • Documentar adecuadamente. Monitoreo de logs del Hypervisor Centralización de logs del hypervisor y monitoreo de los mismos para detección de anomalías. Administración, backup, centralización de LOGS.
Riesgos actuales en entornos virtualizados • El acceso se debe realizar a través de la red de management. • En lo posible el Hypervisor no debe tener una IP propia asignada en el segmento LAN. • Si posee una dirección IP, debe estar filtrada solo a los usuarios autorizados. LAN DC/W2k AS/Linux Management
Riesgos actuales en entornos virtualizados Gestión de roles de administración Se deben definir los roles de administración del Hypervisor incluyendo creación, apagado, encendido, clonación, movimiento, etc. de las máquinas virtuales existentes. Admin (sobre) Admin full (no puede admin roles) Admin Hypervisor Admin VM Auditoría Admin red virtual Seguridad Informática Documentación normativa y de soporte Deben crearse documentos normativos y de gestión/administración específico del entorno y sus particularidades, incluyendo estándares de configuración
Riesgos actuales en entornos virtualizados • Seguridad del Hypervisor o Sistema Operativo Host • Vulnerabilidades del Hypervisor • Aplicación de patches de seguridad a nivel de Hypervisor.
Riesgos actuales en entornos virtualizados Reingeniería de riesgosReingeniería de riesgos Actividades y controles específicos para la plataforma y su administración Actividades y controles específicos para la plataforma y su administración Tecnología y Operaciones Proyectos y procesos funcionales Tecnología y Operaciones Proyectos y procesos funcionales
Riesgos actuales en entornos virtualizados PLATAFORMAS Proyecto Clonación Plantilla de software de base Puede no mantener nombre de máquina Clonación completa Mantiene nombre de máquina Instalación nueva + Copia de entorno App No mantiene nombre de máquina Operaciones Nuevas Aplicaciones Arquitectura (SO + BD) Tecnología Renovación tecnológica Arquitectura (SO + BD) Tecnología SEGURIDAD - COMPLIANCE OPERACIONES
Riesgos actuales en entornos virtualizados Proyecto 1 Clonación Plantilla de software de base (GUEST) Puede no mantener nombre de máquina Clonación completa Mantiene nombre de máquina Instalación nueva + Copia de entorno App Se trabaja sobre una plantilla de software de base (SO + BD). Esta plantilla no está validada con los nuevos estándares Se efectúa copia fiel del servidor y se pasa con todos los parámetros configurados. Si el servidor está remediado, el cambio es transparente ya que tampoco cambia el nombre Proyecto 2Proyecto 2 SUCEDE EXCEPCIONALMENTE Instalación nueva o plantilla de software de base (SO + BD). No está validada contra los nuevos estándares Equipo de proyecto NOTA: Las máquinas con nuevos nombres salen bajo la nueva nomenclatura alfanumérica SRV5003sv [código alfanumérico] NOTA: Las máquinas con nuevos nombres salen bajo la nueva nomenclatura alfanumérica SRV5003sv [código alfanumérico] SEGURIDAD - COMPLIANCE TECNOLOGÍA
Riesgos actuales en entornos virtualizados El entorno virtual y los controles Identificando lo tangible para tomar medidas Conocer las necesidades de aplicación para el Negocio Conocer las necesidades de aplicación para el Negocio Seleccionar estándar de evaluación en base a la plataforma Seleccionar estándar de evaluación en base a la plataforma Identificar los riesgos y requerimientos de control Identificar los riesgos y requerimientos de control
Riesgos actuales en entornos virtualizados • Firewalls físicos y segmentación de red a nivel de infraestructura física • Los firewalls virtuales en el hipervisor y a nivel de máquinas virtuales • Etiquetado VLAN o zonificación, además de firewalls • Los sistemas de prevención de intrusiones en el hipervisor y/o a nivel de máquina virtual para detectar y bloquear el tráfico no deseado • Herramientas de prevención de pérdidas de datos en el hipervisor y/o nivel de máquina virtual • Controles para evitar que las comunicaciones se propaguen hacia la infraestructura subyacente • La separación de funciones y la supervisión administrativa
Riesgos actuales en entornos virtualizados El proceso y diseño de virtualización se debe llevar a cabo teniendo en cuenta como gobernar y administrar la seguridad y cumplimiento en el uso de la nueva tecnología. Los riesgos existentes son elevados, ya que se puede poner en riesgo la continuidad de la operación y el acceso no autorizado a información confidencial. Se debe trabajar en conjunto con el área de IT y Auditoría para coordinar la gestión y el monitoreo de cada uno de los componentes de la plataforma. Se deben incluir aspectos adicionales en la Gestión de identidades y de acceso en función de la evolución de la plataforma en relación a la seguridad en virtualización, incluyendo acceso alHypervisor y componentes internos, interfaces y APIs, seguridad de sistemas Cliente y control de ambientes compartidos
Riesgos actuales en entornos virtualizados
Riesgos actuales en entornos virtualizados
Riesgos actuales en entornos virtualizados http://web.nvd.nist.gov/view/vuln/search-results?query=vmware&search_type=all&cves=on http://www.cve.mitre.org/cgi-bin/cvekey.cgi?keyword=vmware http://search.iss.net/Search.do?keyword=vmware&searchType=keywd&x=0&y=0
Riesgos actuales en entornos virtualizados Copyright FABIÁN DESCALZO © – 2016 Fabián Descalzo Gerente de Gobierno, Riesgo y Cumplimiento E-mail: fdescalzo@cybsec.com Web: http://www.cybsec.com

Recomendados

Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidos
John Anthony Peraza
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Supra Networks
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
Jean Carlos Leon Vega
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
seguridadelinux
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
JOHN BONILLA
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
CARLOS martin
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
g_quero
 

Recomendados

Sistemas distribuidos
Sistemas distribuidosSistemas distribuidos
Sistemas distribuidos
John Anthony Peraza
 
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Ataques cibernéticos: ¿Qué es el eavesdropping y cómo se previene?
Supra Networks
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
Jean Carlos Leon Vega
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
seguridadelinux
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
JOHN BONILLA
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
CARLOS martin
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecución
g_quero
 
Tema 4: Procesamiento paralelo.
Tema 4: Procesamiento paralelo.Tema 4: Procesamiento paralelo.
Tema 4: Procesamiento paralelo.
Manuel Fernandez Barcell
 
Creación de un centro de Computo
Creación de un centro de ComputoCreación de un centro de Computo
Creación de un centro de Computo
Jorwin Cumare
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
Tensor
 
Organización Del Centro De Cómputo
Organización Del Centro De CómputoOrganización Del Centro De Cómputo
Organización Del Centro De Cómputo
djelektro
 
Estructura de almacenamiento
Estructura de almacenamientoEstructura de almacenamiento
Estructura de almacenamiento
Andrea Mendez
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
VladimirMC
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redes
Carloz Kaztro
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
Hector Chajón
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
Fredy EC
 
Centro de computo 2
Centro de computo 2Centro de computo 2
Centro de computo 2
JoanGil
 
Direccionamiento Ip Y Subredes Ejercicios Resueltos
Direccionamiento Ip Y Subredes Ejercicios ResueltosDireccionamiento Ip Y Subredes Ejercicios Resueltos
Direccionamiento Ip Y Subredes Ejercicios Resueltos
Salvador Fernández Fernández
 
Organigrama de un departamento de sistema by ESRL
Organigrama de un departamento de sistema by ESRLOrganigrama de un departamento de sistema by ESRL
Organigrama de un departamento de sistema by ESRL
Emilio_Romano
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
Diana Alfaro
 
Sistemas expertos
Sistemas expertosSistemas expertos
Sistemas expertos
XAVIER_PONCE
 
Norma itil
Norma itilNorma itil
Norma itil
Marco Mendoza López
 
Patrones diseño y arquitectura
Patrones diseño y arquitecturaPatrones diseño y arquitectura
Patrones diseño y arquitectura
Joan Sebastián Ramírez Pérez
 
Diagrama de clases - Ejemplo monográfico 02
Diagrama de clases - Ejemplo monográfico 02Diagrama de clases - Ejemplo monográfico 02
Diagrama de clases - Ejemplo monográfico 02
Facultad de Ciencias y Sistemas
 
Herramientas de gestion de redes de comunicacion
Herramientas de gestion de redes de comunicacionHerramientas de gestion de redes de comunicacion
Herramientas de gestion de redes de comunicacion
RJ Manayay Chavez
 
Mapa conceptual sistema operativo linux
Mapa conceptual sistema operativo linuxMapa conceptual sistema operativo linux
Mapa conceptual sistema operativo linux
Servinet Arenal Bolivar
 
El conocimiento en Inteligencia Artificial
El conocimiento en Inteligencia ArtificialEl conocimiento en Inteligencia Artificial
El conocimiento en Inteligencia Artificial
warrionet
 
Social realism
Social realismSocial realism
Social realism
nicollee12
 
Visual, auditiva y kinestésica
Visual, auditiva y kinestésicaVisual, auditiva y kinestésica
Visual, auditiva y kinestésica
ordonezleidy
 

Mais conteúdo relacionado

Mais procurados

Creación de un centro de Computo
Creación de un centro de ComputoCreación de un centro de Computo
Creación de un centro de Computo
Jorwin Cumare
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
VladimirMC
 
Centro de computo 2
Centro de computo 2Centro de computo 2
Centro de computo 2
JoanGil
 
Herramientas de gestion de redes de comunicacion
Herramientas de gestion de redes de comunicacionHerramientas de gestion de redes de comunicacion
Herramientas de gestion de redes de comunicacion
RJ Manayay Chavez
 

Mais procurados (20)

Tema 4: Procesamiento paralelo.
Tema 4: Procesamiento paralelo.Tema 4: Procesamiento paralelo.
Tema 4: Procesamiento paralelo.
 
Creación de un centro de Computo
Creación de un centro de ComputoCreación de un centro de Computo
Creación de un centro de Computo
 
Seguridad en los Sistemas Distribuidos
Seguridad en los Sistemas DistribuidosSeguridad en los Sistemas Distribuidos
Seguridad en los Sistemas Distribuidos
 
Organización Del Centro De Cómputo
Organización Del Centro De CómputoOrganización Del Centro De Cómputo
Organización Del Centro De Cómputo
 
Estructura de almacenamiento
Estructura de almacenamientoEstructura de almacenamiento
Estructura de almacenamiento
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Auditoría de redes
Auditoría de redesAuditoría de redes
Auditoría de redes
 
10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas10. Sofware de auditoria de sistemas
10. Sofware de auditoria de sistemas
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Centro de computo 2
Centro de computo 2Centro de computo 2
Centro de computo 2
 
Direccionamiento Ip Y Subredes Ejercicios Resueltos
Direccionamiento Ip Y Subredes Ejercicios ResueltosDireccionamiento Ip Y Subredes Ejercicios Resueltos
Direccionamiento Ip Y Subredes Ejercicios Resueltos
 
Organigrama de un departamento de sistema by ESRL
Organigrama de un departamento de sistema by ESRLOrganigrama de un departamento de sistema by ESRL
Organigrama de un departamento de sistema by ESRL
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
 
Sistemas expertos
Sistemas expertosSistemas expertos
Sistemas expertos
 
Norma itil
Norma itilNorma itil
Norma itil
 
Patrones diseño y arquitectura
Patrones diseño y arquitecturaPatrones diseño y arquitectura
Patrones diseño y arquitectura
 
Diagrama de clases - Ejemplo monográfico 02
Diagrama de clases - Ejemplo monográfico 02Diagrama de clases - Ejemplo monográfico 02
Diagrama de clases - Ejemplo monográfico 02
 
Herramientas de gestion de redes de comunicacion
Herramientas de gestion de redes de comunicacionHerramientas de gestion de redes de comunicacion
Herramientas de gestion de redes de comunicacion
 
Mapa conceptual sistema operativo linux
Mapa conceptual sistema operativo linuxMapa conceptual sistema operativo linux
Mapa conceptual sistema operativo linux
 
El conocimiento en Inteligencia Artificial
El conocimiento en Inteligencia ArtificialEl conocimiento en Inteligencia Artificial
El conocimiento en Inteligencia Artificial
 

Destaque

Social realism
Social realismSocial realism
Social realism
nicollee12
 
Top 10 tips of choosing a wedding dress part ii
Top 10 tips of choosing a wedding dress part iiTop 10 tips of choosing a wedding dress part ii
Top 10 tips of choosing a wedding dress part ii
YesmyBride
 
Atv 03conhecendoastecnologiasjoanadarcviana
Atv 03conhecendoastecnologiasjoanadarcvianaAtv 03conhecendoastecnologiasjoanadarcviana
Atv 03conhecendoastecnologiasjoanadarcviana
joviana
 
Presentatie ttc nl 28 02 %282%29
Presentatie ttc nl 28 02 %282%29Presentatie ttc nl 28 02 %282%29
Presentatie ttc nl 28 02 %282%29
jornmineur
 
ISO/IEC 27001 as a Starting Point for GRC
ISO/IEC 27001 as a Starting Point for GRCISO/IEC 27001 as a Starting Point for GRC
ISO/IEC 27001 as a Starting Point for GRC
PECB
 

Destaque (13)

Social realism
Social realismSocial realism
Social realism
 
Visual, auditiva y kinestésica
Visual, auditiva y kinestésicaVisual, auditiva y kinestésica
Visual, auditiva y kinestésica
 
Junel rosios and jona mae galo phpapp02 (1)
Junel rosios and jona mae galo phpapp02 (1)Junel rosios and jona mae galo phpapp02 (1)
Junel rosios and jona mae galo phpapp02 (1)
 
Top 10 tips of choosing a wedding dress part ii
Top 10 tips of choosing a wedding dress part iiTop 10 tips of choosing a wedding dress part ii
Top 10 tips of choosing a wedding dress part ii
 
BlackBerry OS Roadmap
BlackBerry OS RoadmapBlackBerry OS Roadmap
BlackBerry OS Roadmap
 
Sumasy actividadespara1erome
Sumasy actividadespara1eromeSumasy actividadespara1erome
Sumasy actividadespara1erome
 
Katalog „Kocham, bo kocham”
Katalog „Kocham, bo kocham”Katalog „Kocham, bo kocham”
Katalog „Kocham, bo kocham”
 
Atv 03conhecendoastecnologiasjoanadarcviana
Atv 03conhecendoastecnologiasjoanadarcvianaAtv 03conhecendoastecnologiasjoanadarcviana
Atv 03conhecendoastecnologiasjoanadarcviana
 
Presentatie ttc nl 28 02 %282%29
Presentatie ttc nl 28 02 %282%29Presentatie ttc nl 28 02 %282%29
Presentatie ttc nl 28 02 %282%29
 
мета і завдання осітньої галузі здоров'я і фізкультура
мета і завдання осітньої галузі здоров'я і фізкультурамета і завдання осітньої галузі здоров'я і фізкультура
мета і завдання осітньої галузі здоров'я і фізкультура
 
Views on Interreligious Dialogue and Salvation
Views on Interreligious Dialogue and SalvationViews on Interreligious Dialogue and Salvation
Views on Interreligious Dialogue and Salvation
 
ISO/IEC 27001 as a Starting Point for GRC
ISO/IEC 27001 as a Starting Point for GRCISO/IEC 27001 as a Starting Point for GRC
ISO/IEC 27001 as a Starting Point for GRC
 
Qu'annaa
Qu'annaaQu'annaa
Qu'annaa
 

Semelhante a Riesgos actuales en entornos virtualizados

C:\fakepath\2 v mware vi3-omega 24-oct-2006
C:\fakepath\2 v mware vi3-omega 24-oct-2006 C:\fakepath\2 v mware vi3-omega 24-oct-2006
C:\fakepath\2 v mware vi3-omega 24-oct-2006
Omega Peripherals
 
Virtualizacion sistemas operativos 04 ing_isc_pii_e p
Virtualizacion sistemas operativos 04 ing_isc_pii_e pVirtualizacion sistemas operativos 04 ing_isc_pii_e p
Virtualizacion sistemas operativos 04 ing_isc_pii_e p
Walky Treminio
 
2 la nueva versión de v mware
2 la nueva versión de v mware2 la nueva versión de v mware
2 la nueva versión de v mware
Omega Peripherals
 
Portafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxPortafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptx
GrupoInnsumoda
 

Semelhante a Riesgos actuales en entornos virtualizados (20)

Metodología de Desarrollo de TI para PYME
Metodología de Desarrollo de TI para PYMEMetodología de Desarrollo de TI para PYME
Metodología de Desarrollo de TI para PYME
 
VDI Security
VDI SecurityVDI Security
VDI Security
 
C:\fakepath\2 v mware vi3-omega 24-oct-2006
C:\fakepath\2 v mware vi3-omega 24-oct-2006 C:\fakepath\2 v mware vi3-omega 24-oct-2006
C:\fakepath\2 v mware vi3-omega 24-oct-2006
 
Unitis Virtualization
Unitis VirtualizationUnitis Virtualization
Unitis Virtualization
 
automatizacion de red.pptx
automatizacion de red.pptxautomatizacion de red.pptx
automatizacion de red.pptx
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
Virtualizacion sistemas operativos 04 ing_isc_pii_e p
Virtualizacion sistemas operativos 04 ing_isc_pii_e pVirtualizacion sistemas operativos 04 ing_isc_pii_e p
Virtualizacion sistemas operativos 04 ing_isc_pii_e p
 
Evolución de la admon. sistemas
Evolución de la admon. sistemasEvolución de la admon. sistemas
Evolución de la admon. sistemas
 
Veeam Sure Backup - Presentación Técnica
Veeam Sure Backup - Presentación TécnicaVeeam Sure Backup - Presentación Técnica
Veeam Sure Backup - Presentación Técnica
 
5 Consejos Tecnologicos - VMWare
5 Consejos Tecnologicos - VMWare5 Consejos Tecnologicos - VMWare
5 Consejos Tecnologicos - VMWare
 
V mware infraestructure 3
V mware infraestructure 3V mware infraestructure 3
V mware infraestructure 3
 
La virtualizacion
La virtualizacionLa virtualizacion
La virtualizacion
 
Miscloudfiguration
MiscloudfigurationMiscloudfiguration
Miscloudfiguration
 
Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017
 
2 la nueva versión de v mware
2 la nueva versión de v mware2 la nueva versión de v mware
2 la nueva versión de v mware
 
Presentación rcen qualys vulnerability management
Presentación rcen qualys vulnerability managementPresentación rcen qualys vulnerability management
Presentación rcen qualys vulnerability management
 
Consolidacion
ConsolidacionConsolidacion
Consolidacion
 
¿Por qué la Virtualización?
¿Por qué la Virtualización?¿Por qué la Virtualización?
¿Por qué la Virtualización?
 
Memoria
MemoriaMemoria
Memoria
 
Portafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptxPortafolio de servicios Gerencia Tecnológica.pptx
Portafolio de servicios Gerencia Tecnológica.pptx
 

Mais de Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
Fabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
Fabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
Fabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
Fabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
Fabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
Fabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
Fabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
Fabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Fabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
Fabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
Fabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
Fabián Descalzo
 

Mais de Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

Último

EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptxEVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
augusto2788
 

Último (6)

LA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALESLA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
LA DECLAMACIÓN Y LOS RECURSOS NO VERBALES
 
DIABETES MELLITUS trabajo de investigación
DIABETES MELLITUS trabajo de investigaciónDIABETES MELLITUS trabajo de investigación
DIABETES MELLITUS trabajo de investigación
 
Expo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdfExpo Construir 2024 agenda-workshops (2).pdf
Expo Construir 2024 agenda-workshops (2).pdf
 
Willer Gehizon Sanchez Mora
Willer Gehizon Sanchez MoraWiller Gehizon Sanchez Mora
Willer Gehizon Sanchez Mora
 
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptxEVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
EVOLUCION DE LA ENFERMERIA QUIRURGICA Y ETICA 1.pptx
 
Modelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdfModelos comunicacionales. Antonella Castrataro.pdf
Modelos comunicacionales. Antonella Castrataro.pdf
 

Riesgos actuales en entornos virtualizados

  • 1. Riesgos actuales en entornos virtualizados
  • 2. Riesgos actuales en entornos virtualizados • Evolución de la virtualización • Gobierno y gestión en entornos virtuales • Riesgos actuales en entornos virtuales • Seguridad en virtualización de servidores y red • Recomendaciones y conclusiones
  • 3. Riesgos actuales en entornos virtualizados Seleccionar plataforma y estándar de evaluaciónSeleccionar plataforma y estándar de evaluación Identificar los riesgos y requerimientos de control Identificar los riesgos y requerimientos de control Conocer las necesidades de aplicación para el Negocio Conocer las necesidades de aplicación para el Negocio
  • 4. Riesgos actuales en entornos virtualizados MAINFRAME - OS 360 Permite crear máquinas virtuales dentro de la unidad central Creación a través de software de una versión virtual de algún recurso tecnológico, como puede ser una plataforma de hardware, un sistema operativo, un dispositivo de almacenamiento u otros recursos de red La tecnología de virtualización tiene su origen en los sistemas de ordenadores centrales
  • 5. Riesgos actuales en entornos virtualizados Capa de abstracción entre el hardware de la máquina física (host) y el sistema operativo de la máquina virtual (virtual machine, guest), dividiéndose el recurso en uno o más entornos de ejecución Los cuatro recursos principales de una computadora CPU, Memoria, Dispositivos Periféricos y Conexiones de Red HIPERVISOR HOST GUEST
  • 6. Riesgos actuales en entornos virtualizados Uso actual a nivel de Servidores y Desktops Cuidado con el uso local !!! La máquina virtual simula una plataforma de hardware autónoma incluyendo un sistema operativo completo que se ejecuta como si estuviera instalado. Se puede virtualizar el hardware de servidor, el software de servidor, virtualizar sesiones de usuario, virtualizar aplicaciones y también crear máquinas virtuales en una computadora de escritorio
  • 7. Riesgos actuales en entornos virtualizados • Reducción de costos y mejora de los niveles de servicio • Gestión y administración simplificada de infraestructura • Facilidad de disponer de entornos de desarrollo/testing • Resuelve problemas de falta de capacidad o rendimiento de aplicación • Permite a las empresas facilidad de escalabilidad • Facilita las soluciones orientadas a la implementación de continuidad operativa (DRP/BCP)
  • 8. Riesgos actuales en entornos virtualizados • Perfil de seguridad aprobado y de acuerdo con las directivas establecidas • Control de versión adecuada de SO y sus actualizaciones correctas a la hora de implementar nuevas VM • Análisis de capacidad para verificar si hay recursos apropiados disponibles para las nuevas VM • Afectación de una nueva VM al rendimiento y a la seguridad de otras VM en la misma máquina anfitriona • Análisis regular de VMs inactivas en busca de vulnerabilidades conocidas y se instalan y actualizan las revisiones de seguridad • Verificación de bajas de la infraestructura virtual de las VM retiradas • Las vulnerabilidades de los entornos físicos son también aplicables a los entornos virtuales. • Los hipervisors crean una nueva superficie susceptible de ataque. • Los entornos virtuales presentan una mayor complejidad.
  • 9. Riesgos actuales en entornos virtualizados • Riesgos de cumplimiento en la exposición negativa a datos previamente asociados a una VM retirada • La virtualización acaba con el modelo de implementación según el cual cada servidor físico cumple una sola función. • Coexisten en el mismo anfitrión físico varias máquinas virtuales (VM) con distintos niveles de confianza (por ejemplo, las aplicaciones orientadas al interior y al exterior y las distintas directivas de seguridad). • No hay separación de tareas entre los administradores del sistema, pues todos necesitan tener acceso a los entornos virtuales. • Falta de revisiones y actualizaciones para las VM inactivas. • Registro y seguimiento insuficientes en el entorno virtual. • Filtración de información entre los segmentos y los componentes de las redes virtuales.
  • 10. Riesgos actuales en entornos virtualizados 1. Nuevas vulnerabilidades • 259 vulnerabilidades en software de virtualización. • Nuevos tipos de ataques (HyperJacking, Hypervisor Escape, Ataques a VM) 2. Mayor superficie de ataque • Los Hypervisors tienen los mismos riesgos que el resto de los equipos. • Las herramientas de gestión de virtualización generan nuevos vectores de ataques. • El Hypervisor pasa a ser un nuevo vector de ataque. 3. Mayor flexibilidad incrementa los riesgos de seguridad • La virtualización crea una nueva capa de infraestructura que es necesario planificar, asegurar y controlar. • Los entornos virtuales son dinámicos por diseño. • La facilidad de crear y clonar VM genera riesgos de crear nuevos equipos inseguros y sin control. • Intrusos internos pueden generar un daño masivo rapidamente.
  • 11. Riesgos actuales en entornos virtualizados GobiernoGobierno Gestión de Riesgo Gestión de Riesgo EducaciónEducación CumplimientoCumplimiento Reinvertir en controles AHORRO 4. Incremento de riesgos • Pérdida de la gobernabilidad • Riesgos de cumplimiento y conformidad legal • Filtración de información entre los segmentos y los componentes de las redes virtuales, información confidencial contenida en imágenes de las VM. • Algunos componentes virtuales no tienen el mismo nivel de control de acceso , registro y seguimiento que sus contrapartes físicas. • Falta de restricciones en los límites perimetrales entre diferentes entornos
  • 12. Riesgos actuales en entornos virtualizados Gobierno y Gestión de Riesgo • Invertir parte del ahorro en controles • Implementar un Programa de Seguridad de la Información para entornos virtuales • Evaluar los procesos de gestión de IT • Métricas de cumplimiento • Exigir evaluaciones de vulnerabilidad y pentest • Estrategia de gestión de riesgos • Establecer revisiones y auditorias periódicas Gobierno y Gestión de Riesgo • Invertir parte del ahorro en controles • Implementar un Programa de Seguridad de la Información para entornos virtuales • Evaluar los procesos de gestión de IT • Métricas de cumplimiento • Exigir evaluaciones de vulnerabilidad y pentest • Estrategia de gestión de riesgos • Establecer revisiones y auditorias periódicas Educación y Cumplimiento • Verificar la capacitación continua del personal que administra entornos virtuales • Asegurar la participación de personal debidamente certificado • Verificar la capacitación en la plataforma ante cambio o ingreso de personal • Establecer un cronograma anual de capacitación • Verificar periódicamente la gestión de entornos virtuales • Auditar políticas, procesos y procedimientos de continuidad • Verificar el Marco Normativo y su cumplimiento en la gestión del servicio Educación y Cumplimiento • Verificar la capacitación continua del personal que administra entornos virtuales • Asegurar la participación de personal debidamente certificado • Verificar la capacitación en la plataforma ante cambio o ingreso de personal • Establecer un cronograma anual de capacitación • Verificar periódicamente la gestión de entornos virtuales • Auditar políticas, procesos y procedimientos de continuidad • Verificar el Marco Normativo y su cumplimiento en la gestión del servicio
  • 13. Riesgos actuales en entornos virtualizados
  • 14. Riesgos actuales en entornos virtualizados Y si tengo muchas zonas de seguridad. ¿Cómo aprovecho la tecnología de virtualización?
  • 15. Riesgos actuales en entornos virtualizados DMZ1 MV0 MV1 DMZ2 MV2 MV3 Proveedores MV0 MV1 Entidades Externas MV2 MV3 LAN
  • 16. Riesgos actuales en entornos virtualizados
  • 17. Riesgos actuales en entornos virtualizados Problemáticas de seguridad conocidas. Riesgos inherentes a la tecnología de virtualización
  • 18. Riesgos actuales en entornos virtualizados
  • 19. Riesgos actuales en entornos virtualizados Datacenter (Externalizar) • ¿Cómo garantizar que se aplican las directivas de seguridad adecuadas al trasladar VM individuales de un anfitrión físico o centro de datos a otro? • ¿Qué sucede cuando una VM es trasladada a una máquina anfitriona física con un nivel distinto de protección de seguridad? • ¿Cómo se protege una VM al migrarla de un anfitrión físico a otro?
  • 20. Riesgos actuales en entornos virtualizados “Aprender” la seguridad de una nueva tecnología Seguridad del Server HOST o del Storage a través de la aplicación de permisos de acceso a las maquinas virtuales Cada máquina virtual (VM) y aplicación hacen pasar su tráfico de red a través del hipervisor de camino a otros sistemas virtuales o físicos o a dispositivos Cada máquina virtual (VM) y aplicación hacen pasar su tráfico de red a través del hipervisor de camino a otros sistemas virtuales o físicos o a dispositivos Los sistemas de protección habituales no visualizan el tráfico entre máquinas virtuales Los sistemas de protección habituales no visualizan el tráfico entre máquinas virtuales VM inactivas y las migraciones de VM VM inactivas y las migraciones de VM
  • 21. Riesgos actuales en entornos virtualizados Switch virtual (vSwitch) Switch virtual (vSwitch) vSwitch Host (Hypervisor) Grupo de puertos Grupo de puertos MV 0 MV1 MV2 MV3 Máquina virtual (MV) Máquina virtual (MV) NIC virtual (vnic) NIC virtual (vnic) Consola de servidor (puerto de gestión) Consola de servidor (puerto de gestión) Vmkernel (puerto para IP Storage y VMotion) Vmkernel (puerto para IP Storage y VMotion) NIC física (vmnic o pnic) NIC física (vmnic o pnic) Switch físicoSwitch físico LAN ADM vmkernel Permitirle a una VM conectarse a Internet o abarcar diferentes segmentos de red. Los firewalls e IDS/IPS tradicionales están instalados en segmentos de redes físicas, y por ello no pueden proteger las VM de manera adecuada Los firewalls e IDS/IPS tradicionales están instalados en segmentos de redes físicas, y por ello no pueden proteger las VM de manera adecuada
  • 22. Riesgos actuales en entornos virtualizados HIPERVISOR Internet LAN Interna DMZ DC/Win FS Mail/Win
  • 23. Riesgos actuales en entornos virtualizados HIPERVISOR Internet DMZ Mail/Win HIPERVISOR LAN Interna DC/Win FS FW Físico
  • 24. Riesgos actuales en entornos virtualizados HIPERVISOR Actualizaciones Agentes Datos sobre amenazas Actualizaciones Agentes Datos sobre amenazas Para supervisar y proteger el tráfico entre las VM, se necesitan soluciones de seguridad diseñadas para funcionar en un entorno virtual Para supervisar y proteger el tráfico entre las VM, se necesitan soluciones de seguridad diseñadas para funcionar en un entorno virtual
  • 25. Riesgos actuales en entornos virtualizados DMZ 1 MV0 MV1 MV2 MV3 MV2 MV3 MV2 MV3 DMZ 2 Proveedores Ent. Externas Internet LAN LAN ADM ADM Firewalls virtuales • Utilización de roles para segregar las tareas de administración • Documentar adecuadamente. Monitoreo de logs del Hypervisor Centralización de logs del hypervisor y monitoreo de los mismos para detección de anomalías. Administración, backup, centralización de LOGS.
  • 26. Riesgos actuales en entornos virtualizados • El acceso se debe realizar a través de la red de management. • En lo posible el Hypervisor no debe tener una IP propia asignada en el segmento LAN. • Si posee una dirección IP, debe estar filtrada solo a los usuarios autorizados. LAN DC/W2k AS/Linux Management
  • 27. Riesgos actuales en entornos virtualizados Gestión de roles de administración Se deben definir los roles de administración del Hypervisor incluyendo creación, apagado, encendido, clonación, movimiento, etc. de las máquinas virtuales existentes. Admin (sobre) Admin full (no puede admin roles) Admin Hypervisor Admin VM Auditoría Admin red virtual Seguridad Informática Documentación normativa y de soporte Deben crearse documentos normativos y de gestión/administración específico del entorno y sus particularidades, incluyendo estándares de configuración
  • 28. Riesgos actuales en entornos virtualizados • Seguridad del Hypervisor o Sistema Operativo Host • Vulnerabilidades del Hypervisor • Aplicación de patches de seguridad a nivel de Hypervisor.
  • 29. Riesgos actuales en entornos virtualizados Reingeniería de riesgosReingeniería de riesgos Actividades y controles específicos para la plataforma y su administración Actividades y controles específicos para la plataforma y su administración Tecnología y Operaciones Proyectos y procesos funcionales Tecnología y Operaciones Proyectos y procesos funcionales
  • 30. Riesgos actuales en entornos virtualizados PLATAFORMAS Proyecto Clonación Plantilla de software de base Puede no mantener nombre de máquina Clonación completa Mantiene nombre de máquina Instalación nueva + Copia de entorno App No mantiene nombre de máquina Operaciones Nuevas Aplicaciones Arquitectura (SO + BD) Tecnología Renovación tecnológica Arquitectura (SO + BD) Tecnología SEGURIDAD - COMPLIANCE OPERACIONES
  • 31. Riesgos actuales en entornos virtualizados Proyecto 1 Clonación Plantilla de software de base (GUEST) Puede no mantener nombre de máquina Clonación completa Mantiene nombre de máquina Instalación nueva + Copia de entorno App Se trabaja sobre una plantilla de software de base (SO + BD). Esta plantilla no está validada con los nuevos estándares Se efectúa copia fiel del servidor y se pasa con todos los parámetros configurados. Si el servidor está remediado, el cambio es transparente ya que tampoco cambia el nombre Proyecto 2Proyecto 2 SUCEDE EXCEPCIONALMENTE Instalación nueva o plantilla de software de base (SO + BD). No está validada contra los nuevos estándares Equipo de proyecto NOTA: Las máquinas con nuevos nombres salen bajo la nueva nomenclatura alfanumérica SRV5003sv [código alfanumérico] NOTA: Las máquinas con nuevos nombres salen bajo la nueva nomenclatura alfanumérica SRV5003sv [código alfanumérico] SEGURIDAD - COMPLIANCE TECNOLOGÍA
  • 32. Riesgos actuales en entornos virtualizados El entorno virtual y los controles Identificando lo tangible para tomar medidas Conocer las necesidades de aplicación para el Negocio Conocer las necesidades de aplicación para el Negocio Seleccionar estándar de evaluación en base a la plataforma Seleccionar estándar de evaluación en base a la plataforma Identificar los riesgos y requerimientos de control Identificar los riesgos y requerimientos de control
  • 33. Riesgos actuales en entornos virtualizados • Firewalls físicos y segmentación de red a nivel de infraestructura física • Los firewalls virtuales en el hipervisor y a nivel de máquinas virtuales • Etiquetado VLAN o zonificación, además de firewalls • Los sistemas de prevención de intrusiones en el hipervisor y/o a nivel de máquina virtual para detectar y bloquear el tráfico no deseado • Herramientas de prevención de pérdidas de datos en el hipervisor y/o nivel de máquina virtual • Controles para evitar que las comunicaciones se propaguen hacia la infraestructura subyacente • La separación de funciones y la supervisión administrativa
  • 34. Riesgos actuales en entornos virtualizados El proceso y diseño de virtualización se debe llevar a cabo teniendo en cuenta como gobernar y administrar la seguridad y cumplimiento en el uso de la nueva tecnología. Los riesgos existentes son elevados, ya que se puede poner en riesgo la continuidad de la operación y el acceso no autorizado a información confidencial. Se debe trabajar en conjunto con el área de IT y Auditoría para coordinar la gestión y el monitoreo de cada uno de los componentes de la plataforma. Se deben incluir aspectos adicionales en la Gestión de identidades y de acceso en función de la evolución de la plataforma en relación a la seguridad en virtualización, incluyendo acceso alHypervisor y componentes internos, interfaces y APIs, seguridad de sistemas Cliente y control de ambientes compartidos
  • 35. Riesgos actuales en entornos virtualizados
  • 36. Riesgos actuales en entornos virtualizados
  • 37. Riesgos actuales en entornos virtualizados http://web.nvd.nist.gov/view/vuln/search-results?query=vmware&search_type=all&cves=on http://www.cve.mitre.org/cgi-bin/cvekey.cgi?keyword=vmware http://search.iss.net/Search.do?keyword=vmware&searchType=keywd&x=0&y=0
  • 38. Riesgos actuales en entornos virtualizados Copyright FABIÁN DESCALZO © – 2016 Fabián Descalzo Gerente de Gobierno, Riesgo y Cumplimiento E-mail: fdescalzo@cybsec.com Web: http://www.cybsec.com