3
2
G
e
s
t
i
ón
d
e
r
i
e
sg
o
s
t
é
c
n
i
c
o
s
e
n
nub
e
s
p
r
i
v
a
d
a
s c
on
s
opo
r
t
e
a
la
c
a
t
e
g
o
r
í
a
d
e
s
e
r
v
i
c
i
o
I
aa
S
m
a
n
a
g
e
m
e
n
t
of
t
e
c
hn
i
c
a
l
r
i
s
k
s
i
n
p
r
i
v
a
t
e
c
l
o
ud
s
w
i
t
h
s
upp
o
r
t
fo
r
t
h
e
i
aa
s s
e
r
v
i
c
e
c
a
t
e
g
o
r
y
I
n
g
.
A
n
e
t F
e
r
n
á
nd
e
z
B
e
z
a
n
ill
a
1
*
,
M
Sc
.
L
ili
a
R
.
G
a
rc
í
a
P
e
r
e
ll
a
d
a
2
,
D
r
.
Sc
.
A
l
a
i
n
A
.
G
a
r
ó
f
a
l
o
H
e
r
n
á
nd
e
z
3
i
N
v
e
s t i g a c i ó
N
R
e
c
i
b
i
d
o:
03
/
201
8 |
A
c
e
p
t
a
d
o:
0
5
/
201
8
1
*
E
m
p
r
e
s
a
T
e
c
n
o
l
o
g
í
a
s
d
e
l
a
I
n
fo
r
m
a
c
i
ó
n
,
B
i
o
C
ub
a
F
a
r
m
a
.
L
a
H
a
b
a
n
a
,
C
ub
a
.
a
n
e
t
.
f
d
e
z@
o
c
.
b
i
o
c
ub
a
f
a
r
m
a
.
c
u
2
U
n
i
v
e
rs
i
d
a
d
T
e
c
n
o
l
óg
i
c
a
d
e
L
a
H
a
b
a
n
a
“
J
o
s
é
A
n
t
o
n
i
o
E
c
h
e
v
e
rr
í
a
″
.
L
a
H
a
b
a
n
a
,
C
ub
a
.
lili
a
n
r
o
s
a
@t
e
l
e
.
c
uj
a
e
.
e
du
.
c
u
3
U
n
i
v
e
rs
i
d
a
d
T
e
c
n
o
l
óg
i
c
a
d
e
L
a
H
a
b
a
n
a
“
J
o
s
é
A
n
t
o
n
i
o
E
c
h
e
v
e
rr
í
a
″
.
L
a
H
a
b
a
n
a
,
C
ub
a
.
aa
g
a
r
of
a
l
@g
m
a
il
.
c
o
m
F
inalmente, se propone un ciclo de ta
r
eas pa
r
a lleva
r
a cabo el p
r
oceso de gestión de
riesgos de manera
s
impli
f
icada.
F
i
n
a
ll
y
,
a
ta
s
k
c
y
c
l
e
i
s
p
r
o
p
o
s
e
d
t
o
c
a
rr
y
o
u
t
t
h
e
r
i
s
k
m
a
n
a
g
e
m
e
n
t
p
r
o
c
e
ss
i
n
a
s
i
m
-
p
l
i
f
i
e
d
m
a
nn
e
r
.
La gestión de riesgos en las nubes p
r
ivadas adquie
r
e
r
elevancia debido a que, en
este tipo de escena
r
io, las amenazas a los cent
r
os de datos t
r
adicionales coexisten
junto a las que provocan el empleo de los
r
ecu
r
sos compa
r
tidos y ot
r
as ca
r
acterí
s
-
ticas de la computación en la nube y la vi
r
tualización. En este a
r
tículo se p
r
esentan
los principales rie
s
gos técnicos asociados a este tipo de despliegue y se desc
r
iben
los dos estándares
r
ecomendados pa
r
a la gestión de
r
iesgos. Fue
r
on empleado
s
métodos teóricos de investigación como el análisis histó
r
ico
-
lógico y el dialéctico
en el estudio crítico de la bibliog
r
a
f
ía
r
elacionada con la temática investigada y en
la elaboración de la p
r
opuesta.
PAlA
b
RAs clAve
R
E
S
U
M
E
N
Gestión de riesgos
Computación en la nube
Nube privada
Virtualización
a
n
d d
e
s
c
r
i
b
e
s
t
h
e
t
w
o
r
e
c
o
mm
e
n
d
e
d
s
ta
n
d
a
r
d
s
f
o
r
r
i
s
k
m
a
n
a
g
e
m
e
n
t
.
T
h
e
t
h
e
o
r
e
t
i
-
c
a
l
m
e
t
h
o
d
s
o
f
i
n
v
e
s
t
i
g
at
i
o
n
,
h
i
s
t
o
r
i
c
a
l
-
l
o
g
i
c
a
l
a
n
a
l
y
s
i
s
a
n
d
t
h
e
d
i
a
l
e
c
t
i
c
w
e
r
e
u
s
e
d
i
n
t
h
e
c
r
i
t
i
c
a
l
s
t
u
d
y
o
f
t
h
e
b
i
b
l
i
o
g
r
a
p
hy
r
e
l
at
e
d
t
o
t
h
e
s
u
b
j
e
c
t
u
n
d
e
r
i
n
v
e
s
t
i
g
at
i
o
n
a
n
d
i
n
t
h
e
e
l
a
bo
r
at
i
o
n
o
f
t
h
e
p
r
o
p
o
s
a
l
.
KeyWoRds
A
B
S
T
R
A
CT
Risk management
R
i
s
k
m
a
n
a
g
e
m
e
n
t
i
n
p
r
i
v
at
e
c
l
o
u
d
s
a
c
q
u
i
r
e
s
r
e
l
e
v
a
n
c
e
b
e
c
a
u
s
e
,
i
n
t
h
i
s
t
y
p
e
o
f
s
c
e
-
Cloud computing
n
a
r
i
o
,
t
h
e
t
h
r
e
at
s
o
f
t
r
a
d
i
t
i
o
n
a
l
d
ata
c
e
n
t
e
r
s
c
o
e
x
i
s
t
a
l
o
n
g
s
i
d
e
t
h
o
s
e
t
h
at
c
a
u
s
e
t
h
e
Private cloud
u
s
e
o
f
s
h
a
r
e
d
r
e
s
o
u
r
c
e
s
a
n
d
o
t
h
e
r
f
e
at
u
r
e
s
o
f
c
l
o
u
d c
o
m
p
u
t
i
n
g
a
n
d
v
i
r
t
u
a
l
i
z
at
i
o
n
Virtualization
T
h
i
s
p
a
p
e
r
p
r
e
s
e
n
t
s
t
h
e
m
a
i
n
t
e
c
h
n
i
c
a
l
r
i
s
k
s
a
ss
o
c
i
at
e
d
w
i
t
h
t
h
i
s
t
y
p
e
o
f
d
e
p
l
o
y
m
e
n
t
I
n
t
r
odu
cc
i
ón
La seguridad de la Computación en la
N
ube
r
imientos pa
r
a log
r
a
r
la consolidación de este pa-
(CN) continua siendo uno de los principales reque
-
r
adigma, como una solución
f
actible y
r
obusta que
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
33
m
a
t
e
r
ial
e
s
y
m
é
t
odo
s
Pa
r
a la
r
ealización de esta investigación
f
ueron
empleados los métodos teó
r
icos de investigación aná-
lisis histó
r
ico
-
lógico y el dialéctico en el estudio críti-
co de la bibliog
r
a
f
ía
r
elacionada con la temática inve
s
-
tigada y en la elabo
r
ación de la p
r
opuesta.
Los
r
iesgos de segu
r
idad que pueden a
f
ecta
r
a una
N
P con sopo
r
te po
r
lo gene
r
al gua
r
dan
r
elación con el
contexto, entiéndase diseño
f
ísico y lógico de la nube,
catego
r
ía de se
r
vicio que se o
fr
ece y las política
s
que
se establezcan p
r
opias de la o
r
ganización o de
r
ivada
s
de
r
egulaciones o leyes. El compendio de
r
ie
s
go
s
técnicos asociados a las
N
P con sopo
r
te a la categoría
I
aaS que se p
r
esenta en la
f
igu
r
a 1,
f
ue con
f
ormado
a pa
r
ti
r
de un análisis c
r
ítico de di
f
e
r
entes
f
uente
s
,
(A
ldossa
r
y y
A
llen, 2016; Bali, 2015; Bazm y Laco
s
te,
2017; Fa
r
ahmandian y
H
oang, 2016;
G
holami, 2016;
H
ussain y Fatima, 2017;
I
qbal y
K
iah, 2016; I
s
lam
y Manivannan, 2016;
K
esava
r
aj y
A
nitha, 2016;
Kr
ishna, 2015;
K
uma
r
, 2016; Lade
r
man y Cox, 2016;
Majhi y
D
hal, 2016; Rao y Selvamani, 2015;
S
aini y
Saini, 2014; Sushmitha y Reddy, 2015;
V
u
r
ukonda y
Rao, 2016
)
, así como documentos p
r
ovenientes de or-
ganizaciones inte
r
nacionales como la
A
lianza para la
Segu
r
idad en la
N
ube
(
CS
A)
(
Cloud Secu
r
ity
A
lliance,
2017
)
y la
U
nión
I
nte
r
nacional de Telecomunicacione
s
(UI
T
-
T
)
(UI
T
-
T, 2015
)
.
A
pa
r
ti
r
del análisis, se comp
r
obó que la violación
y pé
r
dida de datos es una de las amenazas que gene-
r
an mayo
r
p
r
eocupación, la cual puede se
r
el objeti-
vo p
r
incipal de un ataque o simplemente el
r
esultado
de e
rr
o
r
es humanos, vulne
r
abilidades de los sistemas
o p
r
ácticas de segu
r
idad de
f
icientes.
A
unque el rie
s
-
se pueda aplicar en múltiples entornos (
K
atsikas,
2017; Pattakou y Kalloniatis, 2017).
S
i bien es cie
r-
to que las Nubes
P
rivadas (N
P
) ofrecen ventajas
con respecto a las nubes públicas en lo
r
e
f
e
r
ente
a la gestión de la seguridad, ya que el p
r
opieta
r
io
de la nube tiene el control sobre la infraest
r
uctu
-
ra física y vi
r
tual, en ellas coexisten los riesgos de
los Centros de Datos (CD) tradicionales, junto a los
lización y la CN, tales como el autoservicio bajo
demanda, la multitenencia, la rápida escalabilidad
y la elasticidad (ENI
S
A, 2017;
F
elsch y Heide
r
ich,
2015; UIT-T, 2015).
Con respecto al marco regulatorio vigente en
Cuba, la Resolución No. 127/2007 del Ministe
r
io de
Comunicaciones, establece que cada entidad que haga
uso de las tecnologías de la información para el desem
-
peño de su actividad está en la obligación de diseña
r
, im
-
plantar y mantener actualizado un sistema de
S
egu
r
idad
Informática con el objetivo de garantizar la continuidad
de los proceso
s
y minimizar los riesgos sobre los sistemas
informáticos. Aunque esta resolución carece de actuali
-
zación y deja muchas lagunas en relación a la gestión de
la seguridad, y en especial a la gestión de riesgos, al me
-
nos obliga a las entidades a formular una estrategia a se
-
guir ante cualquier incidente o violación de la
s
egu
r
idad,
siendo consecuente con sus objetivos básicos y tomando
en consideración los riesgos que la entidad en
fr
enta, en
términos de
s
u probabilidad e impacto (Ministe
r
io de
Comunicaciones de Cuba, 2007).
La gestión de riesgos es un proceso esencial dent
r
o
de la gestión de la seguridad de cualquier organización,
la cual tiene por objetivo minimizar las pérdidas y el
impacto negativo que puedan provocar esos
r
iesgos.
En el caso de las N
P
, la gestión de riesgos es un
f
ac
-
tor imprescindible para la detección de las amenazas y
vulnerabilidades que puedan ser explotadas, así como
que se derivan de las características de la vi
r
tua
-
r
e
s
u
l
t
a
do
s
y
d
i
sc
u
s
i
ón
para desarrollar una correcta selección y con
f
igu
r
ación
go asociado a esta amenaza suele se
r
supe
r
io
r
en la
s
de los controles de seguridad, y de
f
inir las prio
r
idades
nubes públicas, también se conside
r
a un incidente de
para su implementación en función de los objetivos
segu
r
idad con un alto impacto en las
N
P cuando dato
s
del negocio. La presente investigación se abo
r
da los
sensibles o con
f
idenciales son copiados, modi
f
icado
s
,
principales riesgos técnicos asociados a una
N
P con
eliminados,
r
obados o divulgados po
r
una pe
rs
ona o
soporte a la categoría Infraestructura como Servicioentidad no auto
r
izada pa
r
a hace
r
lo. Estos datos pueden
Infrastructure as a Service (Iaa
S
), y se analizan losco
rr
esponde
r
a in
f
o
r
mación
f
inancie
r
a,
I
n
f
o
r
mación
estándares de gestión de riesgos recomendados pa
r
aPe
r
sonal
I
denti
f
icable
(
P
II)
, sec
r
etos emp
r
esa
r
iale
s
o
estos entorno
s
. Como resultado de la investigación se
gube
r
namentales, p
r
opiedad intelectual, e inclu
s
o ba-
propone un grupo de tareas especí
f
icas para lleva
r
a
ses de datos
(
B
D)
, imágenes de máquinas virtuale
s
cabo una gestión de riesgos en este tipo de despliegue.
(
M
V)
, a
r
chivos de disco vi
r
tual, a
r
chivos de con
f
igu-
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
G
e
st
i
ón
d
e
r
i
e
s
g
o
s t
é
c
n
i
c
o
s
e
n
nub
e
s
p
r
iva
d
a
s c
on
s
opo
r
t
e
a
la
c
a
t
e
g
o
r
í
a
d
e
s
e
r
vi
c
i
o
I
aa
S
i
N
v
e
s t i g a c i ó
N
3
4
ración y datos operacionales (Cloud
S
ecurity Alliance,
f
o
r
ma de nube, a las capas de se
r
vicio y a los datos
2017; Islam y Manivannan, 2016; Krishna, 2015
)
.
(
E
NI
S
A
, 2017
)
.
Los riesgos relacionados con la interrupción oMuchos de esos
r
iesgos son gene
r
ados po
r
p
r
o-
denegación de servicios también son especialmenteblemas de ope
r
ación y con
f
igu
r
ación, siendo los má
s
críticos, debido a que pueden afectar tanto a los
r
ecu
r-r
ecu
rr
entes: la gestión inadecuada de los
r
oles de
sos virtualizados como a la capa física subyacente, yadminist
r
ación de la plata
f
o
r
ma de vi
r
tualización y
la recuperación y reubicación de los recursos virtualesgestión de nube, el cont
r
ol ine
f
iciente del ciclo de
puede causar la degradación del rendimiento del siste
-
vida de las M
V
y los p
r
ocesos de gestión de cambios
ma. Asimismo, los ataques que generan la asignacióny chequeo de integ
r
idad; la no cent
r
alización, moni-
incontrolada de recursos virtuales de red pueden p
r
o
-
to
r
eo y análisis continuo de los eventos pa
r
a la detec-
vocar condiciones de congestión, saturando la
s
capa
-
ción de anomalías y no adopta
r
las mejo
r
es p
r
áctica
s
cidades disponibles de la red física (Bays y Olivei
r
a,
r
ecomendadas po
r
los p
r
oveedo
r
es.
(
E
NI
S
A
, 2017
)
2015; ENISA, 2017).Existe ot
r
o g
r
upo de
r
iesgos asociados con e
rr
o-
Se evidencia la recurrencia en los riesgos asocia
-r
es o debilidades de so
f
t
w
a
r
e que pueden se
r
explo-
dos con el hipervisor, el cual constituye una de lastados de mane
r
a malintencionada. Estas amenaza
s
principales supe
r
f
icies de ataques, considerándose unconstituyen un
r
iesgo aún mayo
r
, debido a que el
elemento de alta criticidad, debido a que cualquie
r
atacante puede toma
r
el cont
r
ol de un g
r
an núme
r
o
vulnerabilidad que sea explotada en el mismo, puedede
r
ecu
r
sos vi
r
tuales de mane
r
a
r
ápida y simultá-
poner en riesgo la seguridad de la infraestructura aso
-
nea. Ent
r
e las vulne
r
abilidades más
fr
ecuentemente
ciada. Asu vez, las herramientas de gestión de la vi
r
tua
-
explotadas se destacan aquellas que pe
r
miten la ele-
lización y el conjunto de Interfaces de
P
rogramaciónvación de p
r
ivilegios, la inyección y ejecución de
de Aplicaciones (A
P
I) de administración remota decódigo a
r
bit
r
a
r
io, la
r
evelación de in
f
o
r
mación y la
los hipervisores, generan nuevos vectores de ataques.denegación de se
r
vicios
(
E
NI
S
A
, 2017; Lade
r
man
Garantizar la seguridad de la capa de virtualización esy Cox, 2016
)
. La in
f
o
r
mación
r
elativa a las vulne-
fundamental debido a que toda la plataforma de nube
r
abilidades de so
f
t
w
a
r
e es
r
egist
r
ada po
r
la o
r
gani-
está sustentada por una infraestructura virtualizada, yzación estadounidense M
I
TRE, pat
r
ocinada po
r
el
por consiguiente, una violación a la seguridad de la
D
epa
r
tamento de Segu
r
idad
N
acional de los Estado
s
misma supone una puerta a posibles ataques a la plata
-U
nidos, y está disponible pa
r
a su conocimiento pú-
f
i
g
u
r
a
1
.
p
r
i
n
c
i
p
a
l
e
s
r
i
e
s
g
o
s
t
é
c
n
i
c
o
s
e
n
n
p
c
o
n
s
o
p
o
r
t
e
a
l
a
c
a
t
e
g
o
rí
a
i
aa
s
.
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
i
N
v
e
s t i g a c i ó
N
I
n
g
.
A
n
e
t F
e
r
n
á
nd
e
z
B
e
z
a
n
ill
a
,
M
Sc
.
L
ili
a
R
.
G
a
rc
í
a
P
e
r
e
ll
a
d
a
,
D
r
.
Sc
.
A
l
a
i
n
A
.
G
a
ró
f
a
l
o
H
e
r
n
á
nd
e
z
3
5
E
st
á
nd
a
r
e
s
p
a
r
a
la
g
e
st
i
ón
d
e
r
i
e
s
g
o
s
La gestión de riesgos es un proceso cíclico que
comprende la identi
f
icación de los riesgos, su eva
-
luación, una estrategia para su mitigación, y la selec
-
ción e implementación de técnicas y procedimientos
para su monitoreo continuo (Gartner, 2018;
NI
CCS,
2018). Existen varios estándares y metodologías que
ofrecen directrices y principios para la gestión de los
riesgos en los sistemas de información, aunque no se
han desarrollado normas especí
f
icas para los mode
-
los de despliegue ni de servicio de la CN. El están
-
dar 27017:2015 de la Organización Internacional de
Normalización (I
S
O) y la Comisión Elect
r
otécnica
Internacional (IEC), plantea que, tanto los clientes
como los proveedores del servicio de nube deben te
-
ner información acerca de los procesos de gestión de
riesgos, y recomienda el uso de los estánda
r
es
I
S
O
31000:2009
1
e I
S
O/IEC 27005:2011 (Inte
r
national
Organization for
S
tandardization, 2015).
P
o
r
su pa
r
te
la CSA menciona como una alternativa factible a las
normas de la I
S
O, el Marco de Gestión de Riesgos
de
f
inido por el NI
S
T, el cual se aborda en varias de sus
Publicacione
s
Especiales (
SP
), presentándo
s
e especí
-
f
icamente una guía para su aplicación en la
S
P800
-
37
rev.1
2
. (Cloud
S
ecurity Alliance, 2017)
G
e
st
i
ón
d
e
r
i
e
s
g
o
s s
e
g
ún
la
I
So
El estándar internacional I
S
O 27005:2011, actual
-
mente bajo revisión, proporciona una guía pa
r
a la ges
-
tión del riesgo de seguridad de la información en una
organización, en apoyo a los requerimientos del siste
-
ma de gestión de seguridad de
f
inido en el estánda
r
I
S
O
/
IEC 27001. El estándar es una adaptación de la no
r
ma
ISO 31000:2009
3
, la cual provee directrices gené
r
icas
y un marco de referencia para el diseño, la implemen
-
tación y el soporte del proceso de gestión de
r
iesgos
R
e
v
i
s
i
ó
n
2
d
e
e
st
a
g
u
í
a
.
3
L
a
I
S
O
31000
:
2009
s
e
c
o
m
p
l
e
m
e
n
t
a
c
o
n
un
v
o
c
a
bu
l
a
r
i
o
fo
r-
m
a
l
d
e
d
e
f
i
n
i
c
i
o
n
e
s
(
I
S
O
73
:
2009
)
,
y
c
o
n
un
c
o
njun
t
o
d
e
t
é
c
n
i
c
a
s
d
e
e
v
a
l
u
a
c
i
ó
n
d
e
r
i
e
sg
o
s
(
I
S
O
/
I
E
C
31010
:
2009
)
,
e
st
e
ú
l
t
i
m
o
e
st
á
b
a
j
o
a
ct
u
a
li
z
a
c
i
ó
n
.
blico en el sitio web: “Common Vulnerabilities anden cualquie
r
contexto
(I
nte
r
national
Or
ganization for
Exposures” (MITRE, 2018) y en la Base de
D
atosStanda
r
dization, 2011
)
.
Nacional de Vulnerabilidades del Instituto
N
acionalLa
I
S
O
de
f
ine el
r
iesgo como el e
f
ecto de la incer-
de Estándares y Tecnologías (NI
S
T, 2018).tidumb
r
e en los objetivos, en luga
r
de la p
r
obabilidad
de ocu
rr
encia de un evento con impacto en los obje-
tivos
(I
nte
r
national
Or
ganization
f
o
r
Standa
r
dization,
2011
)
. Esto quie
r
e deci
r
que se conside
r
a el rie
s
go
como neut
r
al, ya que las consecuencias asociada
s
con
un
r
iesgo pueden se
r
positivas o negativas, mejorando
o limitando el log
r
o de los objetivos de
f
inidos en cual-
quie
r
nivel: est
r
atégico, o
r
ganizacional y tecnológico.
En muchas o
r
ganizaciones, la gestión de
r
iesgo
s
con
consecuencias positivas,
r
e
f
e
r
ida como opo
r
tunidade
s
,
se sepa
r
a de la gestión de
r
iesgos con consecuencia
s
negativas o simplemente no se tiene en cuenta. El pro-
ceso de gestión de
r
iesgos, como se muest
r
a en la
f
i-
gu
r
a 2, debe se
r
un p
r
oceso constante, integ
r
ado en la
s
actividades de gestión de la segu
r
idad y se estructura
de la siguiente
f
o
r
ma:
2
E
n
m
a
y
o
d
e
2018
e
l
n
I
ST
pub
li
có
a
m
o
d
o
d
e
b
o
rr
a
d
o
r
l
a
1
L
a
n
o
r
m
a
I
S
O
31000
f
u
e
a
ct
u
a
li
z
a
d
a
e
n
f
e
b
r
e
r
o
d
e
2018
.
es
t
ablecimien
t
o del con
t
ex
t
o ex
t
erno e interno:
Consiste en o
r
ganiza
r
el p
r
oceso de gestión de
r
ie
s
go
s
,
de
f
iniendo las
r
esponsabilidades, el alcance y el ámbi-
to de aplicación, así como un g
r
upo de c
r
ite
r
ios bá
s
ico
s
necesa
r
ios tales como la evaluación, el impacto y la
aceptación de los
r
iesgos.
f
i
g
u
r
a
2
.
p
r
o
c
e
s
o
d
e
g
e
s
t
i
ó
n
d
e
r
i
e
s
g
o
s
d
e
f
i
n
i
d
o
p
o
r
l
a
i
so
/
i
e
c
27005
:
2011
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
G
e
st
i
ón
d
e
r
i
e
s
g
o
s t
é
c
n
i
c
o
s
e
n
nub
e
s
p
r
iva
d
a
s c
on
s
opo
r
t
e
a
la
c
a
t
e
g
o
r
í
a
d
e
s
e
r
vi
c
i
o
I
aa
S
i
N
v
e
s t i g a c i ó
N
3
6
G
e
st
i
ón
d
e
r
i
e
s
g
o
s s
e
g
ún
e
l
n
I
S
T
El
NI
ST de
f
ine el
r
iesgo como la p
r
obabilidad de
ocu
rr
encia de una amenaza potencial y su nivel de im-
pacto en las ope
r
aciones, activos y pe
r
sonas de una or-
ganización, e incluso de te
r
ce
r
os que puedan se
r
a
f
ecta-
dos. La gestión de
r
iesgos
(
Figu
r
a 3
)
se desc
r
ibe como
una actividad holística, completamente integ
r
ada den-
t
r
o de la o
r
ganización, la cual comp
r
ende: el p
r
oceso de
evaluación de
r
iesgos; un ma
r
co de gestión, que esta-
blece el contexto pa
r
a la toma de decisiones basadas en
el
r
iesgo; la
r
espuesta a estos una vez dete
r
minado
s
y
la monito
r
ización que posibilite una
r
et
r
oalimentación
de in
f
o
r
mación pa
r
a la mejo
r
a continua de la gestión de
r
iesgos.
(NI
ST, 2012
)
El p
r
oceso de evaluación de
r
iesgos
(
Figu
r
a 4
)
e
s
tá
compuesto po
r
di
f
e
r
entes ta
r
eas ag
r
upadas en cuat
r
o etapa
s
:
Preparación
:
D
ete
r
mina
r
el p
r
opósito y el alcance
de la evaluación, identi
f
ica
r
suposiciones y limitacio-
nes asociadas con el p
r
oceso de evaluación, identi
f
icar
4
S
i
st
e
m
a
d
e
G
e
st
i
ó
n
d
e
E
v
e
n
t
o
s
e
I
n
fo
r
m
a
c
i
ó
n
d
e
S
e
g
u
r
i
d
a
d
(
S
I
E
M
)
d
e
S
of
t
w
a
r
e
L
i
b
r
e
y
C
ó
d
i
g
o
A
b
i
e
rt
o
(
SL
C
A
)
d
e
A
li
e
n
v
a
u
l
t
.
tratamiento
d
el riesgo: consiste en seleccio
-
nar e implementar controles que permitan alguna de
las siguientes opciones: modi
f
icar, conservar, evita
r
o compartir el riesgo.
P
uesto que los riesgos nunca
desaparecerán totalmente, la dirección de la entidad
debe asumir un riesgo residual, o sea el nivel restante
de riesgo después de su tratamiento.
comunicación y consulta: facilita los inte
r
cam
-
bios de información sobre riesgos entre las partes in
-
teresadas externas e internas de manera bidireccional.
Esta información incluye la existencia, naturaleza,
probabilidad, severidad, tratamiento y aceptabilidad de
los riesgos. Una comunicación efectiva puede tene
r
un
impacto signi
f
icativo en las decisiones que se tomen
respecto al riesgo.
seguimiento y revisión: Resulta necesario mo
-
nitorear y revisar de manera constante las amenazas,
vulnerabilidades, probabilidad de ocurrencia, y conse
-
cuencias de los riesgos con el
f
in de detectar cambios
en el contexto. Esto permitirá identi
f
icar de mane
r
a
oportuna riesgos emergentes y determinar si los con
-
troles aplicados son e
f
icaces.
Con relación al análisis de riesgos, resulta opo
r
tu
-
no aclarar que e
s
te proceso puede ser llevado a cabo
con diferentes niveles de detalle, en dependencia de
la criticidad de los activos, el grado de las vulne
r
abi
-
cran a la organización. La metodología de análisis de
riesgos puede se
r
cualitativa, cuantitativa o una com
-
binación de ambas. En la práctica, los análisis cualita
-
tivos son empleados a menudo en un primer momento
para obtener una idea aproximada del nivel de
r
iesgo
e identi
f
icar los más relevantes.
P
or lo general, en el
análisis cualitativo se emplean los atributos cali
f
icati
-
vos Bajo, Medio y Alto para describir la magnitud del
impacto potencial y su probabilidad de ocurrencia. Po
r
su parte, los análisis cuantitativos se realizan gene
r
al
-
mente sobre los
r
iesgos más signi
f
icativos y la escala
Apreciación del riesgo: comprende las tareas denumé
r
ica va
r
ía de una p
r
opuesta a ot
r
a. En ambos ca-
identi
f
icación, análisis y evaluación de los riesgos. Sesos es común el empleo de Mat
r
ices de Riesgos para
determina el valor de los activos de información, sedete
r
mina
r
el nivel de
r
iesgo del activo
(I
nte
r
national
identi
f
ican las amenazas y vulnerabilidades existentes
Or
ganization
f
o
r
Standa
r
dization, 2011
)
. Existen si
s
-
o que puedan existir, así como los controles de segu
r
i
-
temas como el
O
pen Source Security
I
nfor
m
ation
dad y su efecto. Finalmente, se analizan las consecuen
-
Manage
m
ent
4
(O
SS
I
M
)
, que calculan de mane
r
a au-
cias potenciales, se clasi
f
ican los riesgos de acue
r
do atomática, dado un valo
r
de activo dado, el nivel de
los criterios de
f
inidos en el establecimiento del contex
-r
iesgo a pa
r
ti
r
de co
rr
elaciona
r
la in
f
o
r
mación obtenida
to y se establecen prioridades para ayudar en la tomapo
r
el escáne
r
de vulne
r
abilidades y las ale
r
tas genera-
de decisiones en la etapa de tratamiento.das po
r
los Sistemas de
D
etección de
I
nt
r
usos
(ID
S).
lidades conocidas y los incidentes previos que involu
-
f
i
g
u
r
a
3
.
p
r
o
c
e
s
o
d
e
g
e
s
t
i
ó
n
d
e
r
i
e
s
g
o
s
d
e
sc
r
i
t
o
p
o
r
e
l
n
i
st
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
i
N
v
e
s t i g a c i ó
N
I
n
g
.
A
n
e
t F
e
r
n
á
nd
e
z
B
e
z
a
n
ill
a
,
M
Sc
.
L
ili
a
R
.
G
a
rc
í
a
P
e
r
e
ll
a
d
a
,
D
r
.
Sc
.
A
l
a
i
n
A
.
G
a
ró
f
a
l
o
H
e
r
n
á
nd
e
z
3
7
amenazas mediante eventos especí
f
icos y las condi
-
ciones que propician que la explotación sea e
f
ectiva.
Determinar la probabilidad de que las fuentes de ame
-
nazas identi
f
icadas puedan iniciar un evento de segu
-
ridad especí
f
ico y la probabilidad de que el evento sea
exitoso. Dete
r
minar el impacto negativo de esos even
-
tos sobre las operaciones, los activos y los individuos
de la organización. Determinar los riesgos de segu
r
idad
de la información como combinación de la p
r
obabili
-
dad de la explotación de vulnerabilidades y su impacto,
incluyendo cualquier incertidumbre asociada con la de
-
terminación de los riesgos.
Comunicación de los resultados: Comunica
r
los
resultados de la evaluación de riesgos a los deciso
r
es y
compartir la información obtenida durante la ejecución
de la evaluación de riesgos, para contribuir a ot
r
as acti
-
vidades del p
r
oceso de gestión de riesgos.
Mantenimiento: Monitorear los factores de
r
iesgo
identi
f
icados en la evaluación, considerando los cam
-
bios asociado
s
a esos factores. Actualizar los compo
-
nentes de la evaluación de riesgos re
f
lejando las activi
-
las fuentes de información a ser usadas como ent
r
adas
r
iesgos en los sistemas de in
f
o
r
mación y en el ambiente
para la evaluación e identi
f
icar el modelo de
r
iesgos yen que ellos ope
r
an así como dete
r
mina
r
la e
f
ectividad
el enfoque analítico que serán empleados.
de la
r
espuesta a los
r
iesgos.
ejecución: Identi
f
icar las fuentes de amenazas
r
e
-
El ma
r
co de gestión de
r
iesgos desa
rr
ollado por el
levantes a la organización, y los eventos que se pueden
NI
ST
(
Figu
r
a 5
)
puede se
r
usado en dive
r
sos
entorno
s
generar desde esas fuentes. Identi
f
icar las vulne
r
abi
-
expuestos a vulne
r
abilidades y amenazas c
r
eciente
s
lidades que pueden ser explotadas por las
f
uentes de
de di
f
e
r
entes niveles de complejidad. Este ma
r
co pro-
mueve el concepto de gestión de
r
iesgos “casi en tiem-
po
r
eal” y
f
omenta el uso de la automatización para
p
r
ovee
r
a di
r
ectivos y deciso
r
es, de la in
f
o
r
mación ne-
cesa
r
ia pa
r
a toma
r
decisiones
r
entables basadas en el
r
iesgo, con
r
especto a los sistemas de in
f
o
r
mación de
la o
r
ganización que sopo
r
tan las misiones y
f
uncione
s
p
r
incipales del negocio.
f
i
g
u
r
a
4
.
t
a
r
e
a
s c
o
m
p
r
e
nd
i
d
a
s
e
n
e
l
p
r
o
c
e
s
o
d
e
e
v
a
l
u
a
c
i
ó
n
d
e
r
i
e
s
g
o
s
e
s
t
a
b
l
e
c
i
d
o
p
o
r
e
l
n
i
st
dades de monitoreo llevadas a cabo por la organización.
f
i
g
u
r
a
5
.
m
a
r
c
o
d
e
g
e
s
t
i
ó
n
d
e
r
i
e
s
g
o
s
e
l
a
b
o
r
a
d
o
p
o
r
e
l
Esto permite identi
f
icar cambios en el impacto de los
n
i
st
(
f
u
e
n
t
e
: n
i
st,
2018
b
)
.
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
G
e
st
i
ón
d
e
r
i
e
s
g
o
s t
é
c
n
i
c
o
s
e
n
nub
e
s
p
r
iva
d
a
s c
on
s
opo
r
t
e
a
la
c
a
t
e
g
o
r
í
a
d
e
s
e
r
vi
c
i
o
I
aa
S
i
N
v
e
s t i g a c i ó
N
3
8
- Implementación de los controles de segu
r
idad,
describiendo cómo esos controles son empleados den
-
tro de los sistemas de información y su ambiente de
operación.
- Evaluación de los controles de seguridad, pa
r
a de
-
terminar en qué medida están correctamente implemen
-
5
E
n
e
l
2004
f
u
e
pub
li
c
a
d
o
e
n
E
st
a
d
o
s
U
n
i
d
o
s
e
l
e
st
á
nd
a
r F
I
PS
199
p
a
r
a
l
a
C
a
t
e
g
o
r
i
z
a
c
i
ó
n
d
e
S
e
g
u
r
i
d
a
d
d
e
l
a
I
n
fo
r
m
a
c
i
ó
n
F
e
d
e
r
a
l
y
l
o
s S
i
st
e
m
a
s
d
e
I
n
fo
r
m
a
c
i
ó
n
.
E
l
a
n
á
li
s
i
s
d
e
i
m
p
a
ct
o
s
e
r
e
f
i
e
r
e
a
d
e
t
e
r
m
i
n
a
r
e
n
qu
é
m
e
d
i
d
a
un
c
a
m
b
i
o
e
n
e
l
s
i
st
e
m
a
d
e
i
n
fo
r
m
a
-
c
o
n
tr
o
l
e
s
h
a
n
s
i
d
o
a
ct
u
a
li
z
a
d
o
s
e
n
v
a
r
i
a
s
o
c
a
s
i
o
n
e
s, t
e
n
i
e
nd
o
e
n
c
u
e
n
t
a
l
a
s
o
f
ist
i
c
a
c
i
ó
n
cr
e
c
i
e
n
t
e
d
e
l
o
s
a
t
a
qu
e
s
e
n
e
l
c
i
b
e
r
e
s
p
a
c
i
o
.
mentación de cambios en el sistema o en su ambiente
de ope
r
ación, el
r
espectivo análisis de su impacto en la
P
r
opu
e
st
a
d
e
g
e
st
i
ón
d
e
r
i
e
s
g
o
s t
é
c
n
i
c
o
s
p
a
r
a
un
a
n
P
c
on
s
opo
r
t
e
a
la
c
a
t
e
g
o
r
í
a
I
aa
S
.
Como se observa, el marco está conformado po
r
los siguientes procesos:
desde una perspectiva organizacional y a nivel de sis
-
tema. Comprende, entre otras tareas: la de
f
inición de
la estrategia de gestión de riesgos para la organiza
-
impacto y la de
f
inición de requerimientos de segu
r
idad
y privacidad.
- Categorización de los sistemas de información
y la información procesada, almacenada y transmitida
por los sistemas, basado en un análisis de impacto.
5
- Selección de un grupo inicial de controles de se
-
guridad a partir de la categorización anterior, teniendo
en cuenta la evaluación de riesgos y las condiciones
locales.
6
- Preparación inicial para establecer el contex
-
segu
r
idad y la gene
r
ación de
r
epo
r
tes sob
r
e el estado
to donde se ejecutará el marco de gestión de riesgos,
de segu
r
idad del sistema a los especialistas.
ción, la asignación de roles para ejecutar la gestión de
En el caso de una
N
P con sopo
r
te a la categoría
riesgos, la evaluación de los riesgos, la identi
f
icación
I
aaS, algunas de las metodologías de gestión de
r
ie
s
-
de activos y tipos de información, la priorización degos empleadas en los C
D
t
r
adicionales como
O
ctave,
los sistemas organizacionales con el mismo nivel de
Mag
e
r
it
y
M
e
ha
r
i
p
u
di
e
r
an
s
e
r
a
pli
c
adas.
E
sp
e
cialm
e
nte
hay que conside
r
a
r
que la capa de gestión de la nube
y de la in
fr
aest
r
uctu
r
a de vi
r
tualización implican que
dete
r
minados
r
iesgos tengan un impacto mucho mayor,
como po
r
ejemplo la explotación de vulne
r
abilidade
s
en estas plata
f
o
r
mas y la modi
f
icación de pe
r
miso
s
y
con
f
igu
r
aciones. El p
r
oceso de gestión de
r
iesgos que
se p
r
opone
(
Figu
r
a 6
)
debe se
r
cíclico y en constante
pe
rf
eccionamiento, siendo un
r
equisito indispensable
que cada o
r
ganización de
f
ina un ma
r
co tempo
r
al pa
r
a la
ejecución de las siguientes ta
r
eas:
-
I
nventa
r
io automatizado de activos
(f
ísicos y vir-
tuales
)
. Estima
r
un valo
r
pa
r
a cada activo
(
asigna
r
un
valo
r
máximo a la in
fr
aest
r
uctu
r
a de vi
r
tualización y
gestión de la nube
)
.
-
Listado de vulne
r
abilidades obtenido de he
r
ra-
tados, operando en un estado deseado, produciendo el
resultado esperado y cumpliendo con los requerimientos
mientas de escaneo automatizado
(
ej.
O
pen
V
AS).
de seguridad del
s
istema.
Puede
r
esulta
r
útil la in
f
o
r
mación
r
esultante de las
- Autorización de la operación de los sistemas dep
r
uebas de penet
r
ación
r
ealizadas en las audito
r
ías.
información, basado en un nivel de riesgo aceptable
-
I
denti
f
ica
r
las
A
menazas. Comp
r
ende la detección
para las operaciones, los activos y los individuos de la
d
e i
ncidentes
, el a
nálisi
s
d
e
evento
s y la c
o
rr
elació
n
de
organización.
in
f
o
r
mació
n
(
automátic
a o m
anual
)
. P
o
r
lo
gene
r
al
,
s
e
- Monitorización de los controles de segu
r
idad,
despliega
n
I
D
S
d
e
r
e
d
(
ej
. S
u
r
icata
)
y de s
e
r
vicio
s
(
ej
.
incluyendo la evaluación de su e
f
icacia, la docu
-
O
SSEC
)
, S
I
E
M
(
ej
.
O
SS
I
M
)
, P
lata
f
o
r
ma
s
d
e
A
nti
v
iru
s
y de
I
nteligencia de
A
menazas, en todos los casos con
sopo
r
te pa
r
a vi
r
tualización.
-
La e
f
ectividad de los cont
r
oles de segu
r
idad im-
plementados, ya sean p
r
eventivos, de detección o de
r
ecupe
r
ación. Ent
r
e los cont
r
oles más signi
f
icativo
s
c
i
ó
n
h
a
a
f
e
ct
a
d
o
o
pu
e
d
e
a
f
e
ct
a
r
l
a
p
o
st
u
r
a
d
e
s
e
g
u
r
i
d
a
d
d
e
l
s
i
s-
t
e
m
a
, c
a
li
f
ic
a
d
o
c
o
m
o
“
B
a
j
o
”
,
“
M
o
d
e
r
a
d
o
”
o
“
A
l
t
o
”
.
se encuent
r
an: gestión de actualizaciones y pa
r
che
s
d
e
E
st
a
d
o
s
U
n
i
d
o
s s
e
d
e
scr
i
b
e
n
e
n
l
a
SP
800
-
53
R
e
v
.
4
.
E
st
o
s
6
L
o
s c
o
n
tr
o
l
e
s
d
e
f
i
n
i
d
o
s
p
o
r
e
l
n
I
ST
p
a
r
a
l
a
p
r
i
v
a
c
i
d
a
d
y
l
a
s
e
g
u
-
(
incluyendo M
V
inactivas
)
;
f
o
r
talecimiento del hiper-
r
i
d
a
d
d
e
l
o
s S
i
st
e
m
a
s
d
e
I
n
fo
r
m
a
c
i
ó
n
F
e
d
e
r
a
l
e
s
y
O
rg
a
n
i
z
a
c
i
o
n
e
s
viso
r
y las M
V
; gestión de con
f
igu
r
aciones y control
de cambios; p
r
otección c
r
iptog
r
á
f
ica, p
r
otección anti-
vi
r
us, antispam y
w
eb; p
r
otección pe
r
imet
r
al
(
zona
s
de
di
f
e
r
entes niveles de con
f
ianza mediante co
r
ta
f
uego
s
A
ct
u
a
l
m
e
n
t
e
e
l
n
I
ST tr
a
b
a
j
a
e
n
l
a
e
l
a
b
o
r
a
c
i
ó
n
d
e
l
a
R
e
v
i
s
i
ó
n
5
,
l
a
c
u
a
l
y
a
e
st
á
d
i
s
p
o
n
i
b
l
e
a
m
o
d
o
d
e
b
o
rr
a
d
o
r
.
vi
r
tualizados
)
; cont
r
ol de accesos y gestión de identi-
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
i
N
v
e
s t i g a c i ó
N
I
n
g
.
A
n
e
t F
e
r
n
á
nd
e
z
B
e
z
a
n
ill
a
,
M
Sc
.
L
ili
a
R
.
G
a
rc
í
a
P
e
r
e
ll
a
d
a
,
D
r
.
Sc
.
A
l
a
i
n
A
.
G
a
ró
f
a
l
o
H
e
r
n
á
nd
e
z
3
9
C
on
c
l
u
s
i
on
e
s
f
inir su tratamiento (fundamentalmente modi
f
ica
r
lo o
evitarlo, aunque por análisis de costo bene
f
icio puede
resultar factible conservarlo). La decisión del t
r
ata
-
dades; monitoreo y gestión centralizada de los
r
egis
-
nizaciones pequeñas el p
r
oceso de gestión de
r
ie
s
go
s
tros de audito
r
ía y gestión de salvas y restauración.puede
r
ealiza
r
se de mane
r
a mensual, sin embargo,
- La probabilidad de ocurrencia y el impacto.pa
r
a aquellas con un núme
r
o conside
r
able de activo
s
Puede medir
s
e cualitativamente en Muy Bajo, Bajo,puede se
r
conveniente
r
ealiza
r
lo dos o t
r
es vece
s
al
Medio, Alto, Muy Alto o usando una escala numé
r
i
-
año, p
r
io
r
izando la ejecución de las ta
r
eas de
f
inida
s
ca. En el caso de la probabilidad resulta difícil
r
ealiza
r
en los puntos dos, t
r
es y cuat
r
o. Es
impo
r
tante des-
una estimación sin tener datos de incidentes p
r
evios
taca
r
que el p
r
oceso de gestión de
r
iesgos debe e
s
-
similares en la organización.
ta
r
plani
f
icado, documentado sus p
r
ocedimiento
s
y
- La probabilidad del valor del riesgo (
P
robabilidad
ap
r
obado po
r
la di
r
ección de cada entidad como parte
por Impacto), permite establecer las prioridades y de
-
de
las
políticas
de
gestión
de
segu
r
idad.
miento del riesgo debe ser aprobada por la di
r
ección.La gestión de
r
iesgos debe esta
r
concebida en
Puede conllevar a implementar nuevos controles o
r
ea
-
las ta
r
eas est
r
atégicas, de gestión y ope
r
acionale
s
de
lizar cambios en las con
f
iguraciones existentes.una o
r
ganización mediante sus
f
unciones y p
r
oce
s
o
s
,
- Elaborar reporte, registrar y comunica
r
r
esulta
-
adaptándose a las necesidades del negocio, sus obje-
dos a la dirección y demás partes interesadas.tivos pa
r
ticula
r
es, el contexto y p
r
ácticas especí
f
ica
s
El marco temporal que se establezca depende
r
á de
empleadas.
A
unque solamente
f
ue
r
on analizado
s
lo
s
la cantidad de activos de la entidad, la frecuencia de
r
iesgos técnicos, en los ento
r
nos de la C
N
deberán
publicaciones de vulnerabilidades que puedan a
f
ecta
r
tene
r
se en cuenta además ot
r
os
f
acto
r
es de
r
ie
s
go
esos activos y la periodicidad con la que son publicadas
impo
r
tantes como son los medioambientales, los
actualizaciones de software, parches de seguridad y
f
i
r-
asociados con políticas, con los p
r
oveedo
r
es y por
mas para detectar y mitigar esas amenazas. Pa
r
a o
r
ga
-
supuesto con los
r
ecu
r
sos humanos.
f
i
g
u
r
a
6
.
p
r
o
c
e
s
o
d
e
g
e
s
t
i
ó
n
d
e
r
i
e
s
g
o
s
t
é
c
n
i
c
o
s
p
r
o
pu
e
s
t
o
p
a
r
a
un
a
n
p
c
o
n
s
o
p
o
r
t
e
p
a
r
a
i
aa
s
.
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
G
e
st
i
ón
d
e
r
i
e
s
g
o
s t
é
c
n
i
c
o
s
e
n
nub
e
s
p
r
iva
d
a
s c
on
s
opo
r
t
e
a
la
c
a
t
e
g
o
r
í
a
d
e
s
e
r
vi
c
i
o
I
aa
S
i
N
v
e
s t i g a c i ó
N
4
0
La selección de qué estándar, metodología y siste
-
posibilidad de mate
r
ializa
r
se en el contexto y p
r
ovocar
mas para la gestión de riesgos a utilizar es una decisiónun e
f
ecto negativo en la o
r
ganización, apoyándose en
de cada organización, pudiendo ser empleados pa
r
a eseel compendio de
r
iesgos técnicos p
r
esentado. Esta pro-
proceso otros documentos con enfoques diferentes a lospuesta p
r
esentada p
r
etende simpli
f
ica
r
el p
r
oceso de ge
s
-
analizados. Sin embargo, se considera que deben ges
-
tión de
r
iesgos, que po
r
lo gene
r
al
r
esulta complejo, aun
tionarse aquellos riesgos y combinaciones de estos concuando la o
r
ganización sea una pequeña emp
r
esa.
r
e
f
e
r
e
n
c
ia
Katsikas,
S
. (2017).
S
EPR
I
CC: Secu
r
ity and P
r
ivacy in Cloud Computing. P
r
esentado
en Cloud Comuting 2017: The Eighth
I
nte
r
national Con
f
e
r
ence on Cloud Computing,
GRIDs, and Virtualization,
Gr
ecia.
D
isponible en https://
www
.ia
r
ia.o
r
g/con
f
e
r
en-
ces2017/
f
ilesCLOUDC
O
MP
U
T
ING
17/SEPR
I
CC_CL
OUD
C
O
MP
U
T
ING
17.pd
f
P
attakou, A. y Kalloniatis, C.
(
2017
)
. Secu
r
ity and P
r
ivacy Requi
r
ements Enginee
r
ing
Methods for Traditional and Cloud
-
Based Systems:
A
Revie
w
. P
r
esentado en Cloud
Computing 2017: The Eighth
I
nte
r
national Con
f
e
r
ence on Cloud Computing,
G
R
I
D
s
,
and Virtualization,
Gr
ecia.
D
isponible en https://
www
.thinkmind.o
r
g/do
w
nload.
php?articleid=cloud_computing_2017_8_10_28013
ENI
S
A. (2017).
S
ecurity aspects o
f
vi
r
tualization.
D
isponible en https://
www
.enisa.eu-
ropa.eu/publications/secu
r
ity
-
aspects
-
o
f-
vi
r
tualization/at_do
w
nload/
f
ullRepo
r
t
F
elsch, D. y Heiderich, M.
(
2015
)
.
H
o
w
P
r
ivate is
Y
ou
r
P
r
ivate Cloud? Secu
r
ity
A
naly
s
i
s
of Cloud Control Interfaces
(
pp. 5
-
16
)
. P
r
esentado en
A
CM Cloud Computing Security
Workshop. Disponible en http://dl.acm.o
r
g/citation.c
f
m?doid=2808425.2808432
UIT-T. (2015). Recomendación
X
.1601. Ma
r
co de segu
r
idad pa
r
a la computación en la
nube. Disponible en https://
www
.itu.int/
I
T
U-
T/
r
ecommendations/
r
ec.aspx?
r
ec=12613
Ministerio de Comunicaciones de Cuba.
(
2007
)
. «Resolución
N
o. 127/2007. Reglamento
de
S
eguridad Informática».
D
isponible en http://
www
.minco
www
.mincom.gob.cu/site
s
/
default/
f
iles/marcoregulato
r
io/1346872659054_R 127
-
07 Reglamento de Segu
r
idad
Informatica.pdf
Aldossary,
S
. y Allen, W.
(
2016
)
.
D
ata secu
r
ity, p
r
ivacy, availability and integ
r
ity in
cloud computing: issues and cu
rr
ent solutions.
I
nte
r
national Jou
r
nal o
f
A
dvanced
Computer
S
cience and
A
pplications, 7
(
4
)
.
D
isponible en https://thesai.o
r
g/
D
o
w
nload
s
/
Volume7No4/
P
aper_64
-D
ata_Secu
r
ity_P
r
ivacy_
A
vailability_and_
I
nteg
r
ity.pd
f
Bali,
P
. (2015). Cloud Computing: Secu
r
ity
I
ssues
I
n
I
n
fr
ast
r
uctu
r
e
-A
s
-A-
Se
r
vice Model.
International Journal o
f
in Multidisciplina
r
y and
A
cademic Resea
r
ch, 4
(
5
)
.
D
isponible
en http://ssijmar.in/vol4no5/vol4%20no5.5.pd
f
Bazm, M.-M. y Lacoste, M.
(
2017
)
. Side Channels in the Cloud:
I
solation Challenge
s
,
Attacks, and Countermeasu
r
es.
D
isponible en https://hal.in
r
ia.
fr
/hal
-
01591808/document
F
arahmandian,
S
. y Hoang,
D
. B.
(
2016
)
. Secu
r
ity
f
o
r
So
f
t
w
a
r
e
-D
e
f
ined
(
Cloud, S
DN
and N
F
V) Infrastructu
r
es
-
I
ssues and Challenges
(
pp. 13
-
24
)
. P
r
esentado en Eight
International Conference on
N
et
w
o
r
k and Communications Secu
r
ity.
D
isponible en ht-
tps://doi.org/10.5121/csit.2016.61502
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
i
N
v
e
s t i g a c i ó
N
I
n
g
.
A
n
e
t F
e
r
n
á
nd
e
z
B
e
z
a
n
ill
a
,
M
Sc
.
L
ili
a
R
.
G
a
rc
í
a
P
e
r
e
ll
a
d
a
,
D
r
.
Sc
.
A
l
a
i
n
A
.
G
a
ró
f
a
l
o
H
e
r
n
á
nd
e
z
4
1
Gholami, A. (2016
)
. Secu
r
ity and P
r
ivacy o
f
Sensitive
D
ata in Cloud Computing (Te
s
i
s
de Doctorado). KT
H
Royal
I
nstitute o
f
Technology,
D
epa
r
tment o
f
Computational
S
cience and Technology. Estocolmo, Suecia.
D
isponible en http://
www
.diva
-
po
r
tal.org/
smash/record.jsf?pid=diva2:925669
Hussain,
S
. A. y
F
atima, M.
(
2017
)
. Multilevel classi
f
ication o
f
secu
r
ity concern
s
in
cloud computing. Applied Computing and
I
n
f
o
r
matics, 13
(
1
)
, 57
-
65.
D
isponible en
ht-
tp
s://doi
.
org/10
.
1016
/j.a
ci
.
2016
.
03
.
001
Iqbal,
S
. y Kiah, M. L. M.
(
2016
)
. Se
r
vice delive
r
y models o
f
cloud computing: security
issues and open challenges: Cloud computing secu
r
ity. Secu
r
ity and Communication
Networks, 9(17).
D
isponible en https://doi.o
r
g/10.1002/sec.1585
Islam, T. y Manivannan,
D
.
(
2016
)
.
A
Classi
f
ication and Cha
r
acte
r
ization o
f
Security
Threats in Cloud Computing.
I
nte
r
national Jou
r
nal o
f
N
ext
-G
ene
r
ation Computing,
7(1). Disponible en https://
www
.
r
esea
r
chgate.net/p
r
o
f
ile/Ta
r
iqul_
I
slam16/publica-
tion/308172311_A_Classi
f
ication_and_Cha
r
acte
r
ization_o
f
_Secu
r
ity_Th
r
eat
s
_in_
Cloud_Computing/links/57dc38c
f
08aeea195935c51
f
/
A-
Classi
f
ication
-
and
-
Charac-
terization-of-
S
ecurity
-
Th
r
eats
-
in
-
Cloud
-
Computing.pd
f
Kesavaraj, G. y
A
nitha,
K
.
(
2016
)
.
A
dd
r
essing Cloud Computing Secu
r
ity
Iss
ue
s
.
International Journal o
f
I
nnovative Resea
r
ch in Compute
r
and Communication
Engineering, 4(6).
D
isponible en https://
www
.iji
r
cce.com/upload/2016/june/228_
ADDRE
SS
ING.pd
f
Krishna, V. (2015). Secu
r
ity
I
ssues and Counte
r
measu
r
es in Cloud Computing Envi
r
onment.
International Journal o
f
Enginee
r
ing Science and
I
nnovative Technology, 4
(
5
)
, 5.
Kumar,
P
. (2016). Cloud Computing: Th
r
eats,
A
ttacks and Solutions.
I
nte
r
national
Journal of Emerging Technologies in Enginee
r
ing Resea
r
ch, 4
(
8
)
.
D
isponible en http://
www.ijeter.everscience.o
r
g/Manusc
r
ipts%5C
V
olume
-
4%5C
I
ssue
-
8%5C
V
ol
-
4
-
i
ss
ue-
8-M-06.pdf
Laderman, E. y Cox,
K
.
(
2016
)
. Resiliency Mitigations in
V
i
r
tualized and Cloud
Environments (MITRE Technical Repo
r
t
)
.
D
isponible en https://
www
.mit
r
e.o
r
g/
s
ite
s
/
default/
f
iles/publications/p
r-
16
-
3043
-
vi
r
tual
-
machine
-
attacks
-
and
-
cybe
r-r
esiliency.pdf
Majhi,
S
. K. y Dhal, S.
K
.
(
2016
)
.
A
Study on Secu
r
ity
V
ulne
r
ability on Cloud Plat
f
orm
s
.
P
rocedia Compute
r
Science, 78, 55
-
60.
D
isponible en https://doi.o
r
g/10.1016/j.
procs.2016.02.010
Rao, R. V. y
S
elvamani,
K
.
(
2015
)
.
D
ata Secu
r
ity Challenges and
I
ts Solutions in Cloud
Computing.
P
rocedia Compute
r
Science, 48, 204
-
209.
D
isponible en https://doi.or-
g/10.1016/j.procs.2015.04.171
S
aini, H. y
S
aini,
A
.
(
2014
)
. Secu
r
ity Mechanisms at di
ff
e
r
ent Levels in Cloud
Infrastructure. Inte
r
national Jou
r
nal o
f
Compute
r
A
pplications, 108
(
2
)
.
D
isponible en
http://search.proquest.com/openvie
w
/65a400aace0
f
24bc
f
33db2b81e184914/1?pq-orig-
site=gscholar&cbl=136216
S
ushmitha, Y. y Reddy,
V
.
K
.
(
2015
)
.
A
su
r
vey on cloud computing secu
r
ity i
ss
ue
s
.
International Journal o
f
Compute
r
Science and
I
nnovation, 2015
(
2
)
.
D
isponible en http
s
://
www.researchgate.net/publication/299569834_
A
_Su
r
vey_
O
n_Cloud_Computing_
S
ecurity_Issues
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
G
e
st
i
ón
d
e
r
i
e
s
g
o
s t
é
c
n
i
c
o
s
e
n
nub
e
s
p
r
iva
d
a
s c
on
s
opo
r
t
e
a
la
c
a
t
e
g
o
r
í
a
d
e
s
e
r
vi
c
i
o
I
aa
S
i
N
v
e
s t i g a c i ó
N
4
2
Vurukonda, N. y Rao, B. T.
(
2016
)
.
A
Study on
D
ata Sto
r
age Secu
r
ity
I
ssues in
Cloud Computing. P
r
esentado en 2nd
I
nte
r
national Con
f
e
r
ence on
I
ntelligent
Computing, Communication & Conve
r
gence.
D
isponible en https://doi.o
r
g/10.1016/j.
procs.2016.07.335
Cloud
S
ecurity Alliance.
(
2017b
)
. The T
r
eache
r
ous 12
-
Top Th
r
eats to Cloud Computing
+ Industry Insights. Disponible en https://do
w
nloads.cloudsecu
r
ityalliance.o
r
g/asset
s
/
research/top-threats/treache
r
ous
-
12
-
top
-
th
r
eats.pd
f
Bays, L. R. y Oliveira, R. R.
(
2015
)
.
V
i
r
tual net
w
o
r
k secu
r
ity: th
r
eats, counte
r
measure
s
,
and challenges. Journal o
f
I
nte
r
net Se
r
vices and
A
pplications, 6
(
1
)
.
D
isponible en ht-
tps://doi.org/10.1186/s13174
-
014
-
0015
-
z
MITRE. (2018). CVE
-
Common
V
ulne
r
abilities and Exposu
r
es.
A
ccedido 10 de julio de
2018, Disponible en https://cve.mit
r
e.o
r
g/
NI
S
T. (2018a). National
V
ulne
r
ability
D
atabase
(NVD)
.
A
ccedido 10 de julio de 2018,
Disponible en https://nvd.nist.gov/
Gartner. (2018). IT
G
lossa
r
y:
I
nteg
r
ated Risk Management
(I
RM
)
.
A
ccedido
10dejuliode2018,
D
isponibleenhttps://
www
.ga
r
tne
r
.com/it
-
glossary/
integrated-risk-management
-
i
r
m/
NICC
S
. (2018). A Glossa
r
y o
f
Common Cybe
r
secu
r
ity Te
r
minology
[Of
f
icial
w
eb
s
i-
te of the Department o
f
H
omeland Secu
r
ity o
f
U
S
A]
.
A
ccedido 10 de julio de 2018,
Disponible en https://niccs.us
-
ce
r
t.gov/glossa
r
y
International Organization
f
o
r
Standa
r
dization.
(
2015
)
.
I
S
O
/
I
EC 27017:2015. Code of
practice for information secu
r
ity cont
r
ols based on
I
S
O
/
I
EC 27002
f
o
r
cloud se
r
vice
s
.
Disponible en https://w
ww
.iso.o
r
g/standa
r
d/43757.html
Cloud
S
ecurity Alliance.
(
2017a
)
. Secu
r
ity
G
uidance
f
o
r
C
r
itical
Ar
eas o
f
Focus in
Cloud Computing v4.0.
D
isponible en https://do
w
nloads.cloudsecu
r
ityalliance.o
r
g/a
s
-
sets/research/security-guidance/secu
r
ity
-
guidance
-
v4
-
F
INA
L.pd
f
International Organization
f
o
r
Standa
r
dization.
(
2011
)
.
I
S
O
/
I
EC 27005:2011.
I
n
f
o
r
mation
security risk management.
D
isponible en https://
www
.iso.o
r
g/standa
r
d/56742.html
NI
S
T. (2012).
S
pecial Publication 800
-
30 Rev. 1.
G
uide
f
o
r
Conducting Ri
s
k
Assessments. Disponible en http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpu-
blication800-30r1.pdf
NI
S
T. (2018b).
S
pecial Publication 800
-
37
r
ev. 2
Dr
a
f
t. Risk Management F
r
ame
w
ork
for Information
S
ystems and
Or
ganizations.
D
isponible en https://cs
r
c.nist.gov/CSRC/
media/
P
ublications/sp/800
-
37/
r
ev
-
2/d
r
a
f
t/documents/sp800
-
37
r
2
-
d
r
a
f
t
-
ipd.pd
f
NI
S
T. (2018c). «
S
pecial Publication 800
-
37
r
ev. 2
Dr
a
f
t. Risk Management F
r
ame
w
ork
for Information
S
ystems and
Or
ganizations».
D
isponible en https://cs
r
c.nist.gov/CSRC/
media/
P
ublications/sp/800
-
37/
r
ev
-
2/d
r
a
f
t/documents/sp800
-
37
r
2
-
d
r
a
f
t
-
ipd.pd
f
i
ssn:
1813
-
5056
v
o
l
.
14
, n
o
.
1
,
e
n
e
r
o
-
j
u
li
o
,
pp
.
30
-
40
,
2018
i
N
v
e
s t i g a c i ó
N
I
n
g
.
A
n
e
t F
e
r
n
á
nd
e
z
B
e
z
a
n
ill
a
,
M
Sc
.
L
ili
a
R
.
G
a
rc
í
a
P
e
r
e
ll
a
d
a
,
D
r
.
Sc
.
A
l
a
i
n
A
.
G
a
ró
f
a
l
o
H
e
r
n
á
nd
e
z
