TP Seguridad de la Información AEROLÍNEAS FRESQUETE

...

---------------------------------------------------------------

Items Nuevos

Encriptación de datos en tránsito y en reposo dentro de Amazon Elastic Cloud Services (EC2):

Amazon provee encriptación en sus EBS (Discos virtuales) tanto en la información almacenada en el mismo, cuando la misma transita entre el disco y la instancia de procesamiento, y en los snapshots de los mismos.

El algoritmo de encriptación utilizado es AES-256.

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html

Encriptación para todas las conexiones con servidores críticos

Las conexiones a los servidores de amazon se realizan a través de encriptación con pares de clave. La clave pública se utiliza para encriptar las credenciales de acceso, que luego son desencriptadas en el servidor utilizando la clave privada.

Para acceder a instancias de sistemas Linux se utiliza SSH y en sistemas windows se utiliza RDP.

Fuente: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_Network_and_Security.html

Resilience controls

Los servicios en la nube son inherentemente resistentes a caídas o pérdidas de datos. Los servicios aseguran una disponibilidad del 99.95% en todas sus regiones.

De todas maneras, si se desea aumentar la disponibilidad, se puede realizar replicaciones de los servicios en otras instancias de procesamiento, inclusive, en distintas regiones. El costo de implementar este tipo de mecanismos es usual para el almacenamiento, transferencia y procesamiento de la información replicada.

Fuente:

https://aws.amazon.com/about-aws/whats-new/2015/03/amazon-s3-introduces-cross-region-replication/

Tecnología de prevención de pérdidas

Este tipo de sistemas se utilizan para detectar y bloquear brechas de información sensible, ya sea con intención maliciosa o por error. A modo de investigación, se cita la tecnología Data Loss Prevention de Symantec. La misma es compatible con AWS (amazon web services) aunque solo para instancias de Windows.

Fuente:

https://www.symantec.com/es/mx/data-loss-prevention/

https://es.wikipedia.org/wiki/Software_de_prevenci%C3%B3n_de_p%C3%A9rdida_de_datos

Componente de la Arquitectura

Mantener, Eliminar, o Añadir más

Pros y Contras del cambio

Encriptación para todas las conexiones con servidores críticos

Añadir

Justificación: La confidencialidad es uno de los aspectos de la Seguridad al que hay que darle especial importancia.

Cifrado de datos en reposo

Añadir

Justificación: La complejidad y costo de implementar la encriptación de datos en reposo es baja en comparación de las ventaja que otorga

Pros:

- Mayor seguridad y confidencialidad de los datos

Contras:

- Mayor costo y sobrecarga de los servidores.

Resilience controls

Añadir

Justificación: El carácter crítico de la información de la empresa hace hace que sea necesario implementar mecanismos que aumenten la disponibilidad de los servicios contratados. Cómo se descubrió en la investigación realizada, se pueden implementar mediante la réplica de los servicios críticos a servidores en otras regiones.

Pros:

- Mayor disponibilidad y resistencia a fallos (especialmente errores humanos)

- Se unifica la plataforma, haciendo simple el cambio del servidor principal al auxiliar en caso de ser necesario

- No se necesitarán expertos en diferentes plataformas y se reducirá la cantidad de configuraciones necesarias

Contras:

- Aumento en el costo

- Mayor complejidad en la administración de los servicios

Tecnología de prevención de pérdidas

Añadir

Justificación:

Su implementación aumenta el control que posee la empresa sobre la información almacenada en la nube.

Pros:

- Permite extender(de cierta forma) el alcance de las políticas de seguridad a la información almacenada en la nube.

Contras:

- Hay que invertir un tiempo considerable en la creación de las reglas de negocio para las etiquetas del sistema.

Conclusión

El Equipo de Seguridad de la Información ha identificado 12 componentes de la arquitectura de seguridad y de acuerdo al estudio realizado ha decidido añadir cuatro nuevos factores, eliminar 5 de los ya existentes debido a las modificaciones que la gerencia está queriendo llevar a cabo, y mantener 7 componentes de los cuales uno de ellos (el referido a las políticas), se modificará para así poder contemplar las nuevas amenazas y vulnerabilidades en las que incurrió la empresa. Cada una de estas modificaciones conllevarán repercusiones en los procesos de la organización pero como se expresó en la tabla se considera que las ventajas son mucho mayores a los contras que estas podrían acarrear, por lo que la gerencia decidió asumir estos riesgos de buena gana.