Conceptos Cloud, Arquitectura y Diseño

1.1. Entender los conceptos de computación en la nube
· Definiciones de Cloud Computing.
· Funciones de computación en la nube.
· Características clave de computación en la nube.
· Tecnologías de bloques de construcción.

1.2. Describir la arquitectura de referencia en la nube
· Actividades de computación en la nube.
· Capacidades de servicio en la nube .
· Categorías de servicios en la nube.
· Modelos de implementación en la nube .
· Consideraciones compartidas en la nube.
· Impacto de tecnologías relacionadas.

1.3. Comprender los conceptos de seguridad relevantes para la computación en nube
· Criptografía y gestión de claves.
· Control de acceso.
· Desinfección de datos y medios.
· Seguridad de la red
· Seguridad de virtualización
· Amenazas comunes

1.4. Comprender los principios de diseño de la computación en nube segura
· Ciclo de vida de datos seguros en la nube.
· Planificación de recuperación de desastres (DR) y continuidad de negocios (BC) basada en la nube.
· Análisis coste-beneficio.
· Requisitos de seguridad funcional.
· Consideraciones de seguridad para diferentes categorías de nubes.

1.5. Evaluar proveedores de servicios en la nube
· Verificación contra los criterios.
· Sistema / subsistema de Certificaciones de Producto.

Seguridad de datos en la nube

2.1. Describir conceptos de datos en la nube
· Fases del ciclo de vida de los datos en la nube.
· Dispersión de datos.

2.2. Diseñar e implementar arquitecturas de almacenamiento de datos en la nube
· Tipos de almacenamiento.
· Amenazas a los tipos de almacenamiento.

2.3. Diseñar y aplicar tecnologías y estrategias de seguridad de datos.
· Encriptación y gestión de claves.
· Hash.
· Enmascaramiento.
· Tokenización.
· Prevención de pérdida de datos (DLP).
· Ofuscación de datos.
· Desidentificación de datos (por ejemplo, anonimización).

2.4. Implement Data Discovery
· Datos estructurados.
· Datos no estructurados.

2.5. Implementar clasificación de datos
· Cartografía.
· Etiquetado.
· Datos confidenciales (por ejemplo, información de salud protegida (PHI), información de identificación personal (PII), datos del titular de la tarjeta).

2.6. Diseñar e implementar la gestión de derechos de información (IRM)
· Objetivos .
· Herramientas apropiadas (por ejemplo, emisión y revocación de certificados)

2.7. Planifique e implemente políticas de retención, eliminación y archivo de datos
· Políticas de retención de datos.
· Procedimientos y mecanismos de eliminación de datos.
· Procedimientos y mecanismos de archivo de datos.
· Retención legal.

2.8. Diseñar e implementar la capacidad de auditoría, trazabilidad y responsabilidad de los eventos de datos.
· Definición de fuentes de eventos y requisitos de atribución de identidad.
· Registro, almacenamiento y análisis de eventos de datos.
· Cadena de Custodia y No Repudio.

Plataforma de la nube y seguridad de la infraestructura

3.1. Comprender los componentes de la infraestructura de la nube.
· Entorno físico.
· Red y comunicaciones.
· Calcular.
· Virtualización.
· Almacenamiento.
· Plano de gestion.

3.2. Design a Secure Data Center.
· Diseño lógico (por ejemplo, partición de inquilinos, control de acceso).
· Diseño físico (por ejemplo, ubicación, compra o construcción).
· Diseño ambiental (por ejemplo, calefacción, ventilación y aire acondicionado (HVAC), conectividad de vía de múltiples proveedores).

3.3. Analizar riesgos asociados con la infraestructura de la nube.
· Evaluación y análisis de riesgos.
· Vulnerabilidades de la nube, amenazas y ataques.
· Riesgos de virtualización.
· Estrategias de contramedidas

3.4. Diseño y planificación de los controles de seguridad.
· Protección física y ambiental (por ejemplo, en las instalaciones).
· Sistema y protección de la comunicación.
· Protección de sistemas de virtualización.
· Identificación, autenticación y autorización en infraestructura de nube.
· Mecanismos de auditoría (por ejemplo, recopilación de registros, captura de paquetes).

3.5. Plan de recuperación ante desastres (DR) y continuidad del negocio (BC).
· Riesgos relacionados con el entorno de la nube.
· Requisitos de negocio.
· Continuidad de negocios / Estrategia de recuperación de desastres.
· Creación, Implementación y Pruebas de Plan.

Seguridad de la aplicación de la nube

4.1. Capacitación y sensibilización para la seguridad de las aplicaciones.
· Fundamentos de desarrollo de la nube.
· Errores comunes.
· Vulnerabilidades comunes en la nube.

4.2. Describir el proceso del ciclo de vida de desarrollo de software seguro (SDLC).
· Requisitos de negocio.
· Fases y metodologías.

4.3. Aplicar el ciclo de vida de desarrollo de software seguro (SDLC).
· Evite las vulnerabilidades comunes durante el desarrollo.
· Riesgos específicos de la nube.
· Seguro de calidad
· Modelado de amenazas.
· Gestión de configuración de software y control de versiones

4.4. Aplicar Cloud Software Assurance y Validación.
· Pruebas funcionales.
· Metodologías de Pruebas de Seguridad.

4.5. Utilice un software seguro verificado.
· Interfaces de programación de aplicaciones aprobadas (API).
· Gestión de la cadena de suministro.
· Gestión de software de terceros.
· Software de código abierto validado.

4.6. Comprender los aspectos específicos de la arquitectura de aplicaciones en la nube.
· Componentes de seguridad suplementarios.
· Criptografía.
· Caja de arena.
· Aplicación de virtualización y orquestación.

4.7. Diseñar soluciones adecuadas de gestión de acceso e identidad (IAM).
· Identidad federada.
· Proveedores de identidad.
· Inicio de sesión único (SSO).
· Autenticación multifactor.
· Corredor de seguridad de acceso a la nube (CASB).

Operaciones de seguridad en la nube

5.1. Implementar y construir infraestructura física y lógica para entornos de nube.
· Requisitos de configuración de seguridad específicos del hardware.
· Instalación y configuración de herramientas de gestión de virtualización.
· Requisitos de configuración de seguridad específicos de hardware virtual.
· Instalación de conjuntos de herramientas de virtualización de sistema operativo invitado (SO).

5.2. Operar infraestructura física y lógica para entornos de nube.
· Configurar el control de acceso para el acceso local y remoto.
· Configuración de red segura.
· Refuerzo del sistema operativo (SO) mediante la aplicación de líneas de base.
· Disponibilidad de anfitriones autónomos.
· Disponibilidad de hosts agrupados.
· Disponibilidad de sistema operativo invitado (OS).

5.3. Gestionar infraestructuras físicas y lógicas para entornos de nube.
· Controles de acceso para acceso remoto.
· Monitoreo y Remediación de Cumplimiento de Línea de Base del Sistema Operativo (SO).
· Gestión de parches.
· Monitoreo de rendimiento y capacidad.
· Monitoreo de hardware.
· Configuración de las funciones de copia de seguridad y restauración del sistema operativo huésped y host.
· Controles de seguridad de red.
· Plan de gestion.

5.4. Implementar controles y estándares operativos.
· Gestión del cambio.
· Gestión de la continuidad.
· Gestión de la seguridad de la información.
· Gestión de la mejora continua del servicio.
· Administracion de incidentes.
· Gestión de problemas.
· Gestión de la liberación.
· Gestión de la implementación.
· Gestión de la configuración.
· Gestión de nivel de servicio.
· Gestion de disponibilidad.
· Gestión de la capacidad.

5.5. Soporte forense digital.
· Metodologías de recolección de datos forenses.
· Manejo de evidencia.
· Recoger, adquirir y preservar evidencia digital.

5.6. Gestionar la comunicación con las partes relevantes.
· Vendedores.
· Clientes.
· Partners.
· Reguladores.
· Otras partes interesadas.

5.7. Gestionar operaciones de seguridad.
· Centro de Operaciones de Seguridad (SOC).
· Monitoreo de los controles de seguridad.
· Captura y análisis de registros.
· Autenticación multifactor.
· Gestión de Incidentes.

Legal, Riesgo y Cumplimiento

6.1. Requisitos legales articulados y riesgos únicos dentro del entorno de la nube.
· Legislación internacional en conflicto.
· Evaluación de riesgos legales específicos a la computación en la nube.
· Marco legal y directrices.
· eDiscovery.
· Requerimiento Forense.

6.2. Understand Privacy Issues.
· Diferencia entre datos privados contractuales y regulados.
· Legislación específica del país relacionada con datos privados.
· Diferencias jurisdiccionales en la privacidad de los datos.
· Requisito de privacidad estándar.

6.3. Entender el proceso de auditoría, las metodologías y las adaptaciones necesarias para un entorno de nube.
· Controles de auditoría interna y externa.
· Impacto de los requisitos de auditoría.
· Identificar los desafíos de aseguramiento de la virtualización y la nube.
· Tipos de informes de auditoría.
· Restricciones de las declaraciones del alcance de la auditoría.
· Gap Analysis.
· Planificación de la auditoría.
· Sistema Interno de Gestión de Seguridad de la Información (SGSI).
· Sistema Interno de Control de Seguridad de la Información.
· Políticas (por ejemplo, organizacional, funcional, computación en la nube).
· Identificación y participación de las partes interesadas relevantes.
· Requisitos de cumplimiento especializados para industrias altamente reguladas.
· Impacto del modelo de tecnología de información distribuida (TI).

6.4. Comprender las implicaciones de la nube para la gestión de riesgos empresariales.
· Evaluar proveedores de programas de gestión de riesgos.
· Diferencia entre el propietario / controlador de datos y el custodio / procesador de datos.
· Requisitos reglamentarios de transparencia.
· Tratamiento del riesgo.
· Diferentes marcos de riesgo.
· Métricas para la Gestión de Riesgos.
· Evaluación del entorno de riesgo.

6.5. Comprender la subcontratación y el diseño de contratos en la nube.
· Business Requirements - (Requisitos de Negocio / Requisitos comerciales)?.
· Gestión de proveedores.
· Gestión de contratos.
· Gestión de la cadena de suministro.