Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Fundacin Ddalo. VI Semana de Seguridad Informtica: Seguridad en la nube Tudela, 27 de marzo de 2012
ndice
Qu es el cloud computing? El cloud computing: una oportunidad para las AA.PP. Riesgos de seguridad y privacidad del cloud computing Gestin de riesgos de la nube Conclusiones INTECO y el cloud computing
Qu es Cloud Computing?
Concepto Si preguntas a cinco especialistas del sector TIC qu es cloud computing, es posible que obtengas cinco respuestas distintas. Eso se debe en parte a que el cloud computing es el ltimo y ms avanzado desarrollo de una tendencia que ha venido creciendo en los ltimos aos
Russel Kay Computer World
Qu es Cloud Computing?
Evolucin en su adopcin: niveles de servicio
Evolucin en la adopcin del cloud computing
Alta
Internalizacin
SaaS
Adopcin
Institucionalizacin
ADOPCIN
PaaS
Percepcin positiva
IaaS
Comprensin Conciencia
Baja
Inconsciencia
TIEMPO
Qu es Cloud Computing?
Tipos de nubes
Pblica
Privada
Hbrida
Comunitaria
GESTIN DE LA NUBE PBLICA PRIVADA HBRIDA COMUNITARIA Proveedor externo Organizacin o proveedor externo Ambos Por la comunidad o proveedor externo
PROPIEDAD DE LA INFRAESTRUCTURA Proveedor externo Organizacin o proveedor externo Ambos Por la comunidad o proveedor externo
100%
15,6%
43,8%
40,6%
20% 10%
20,0% 11,8%
S, ha odo hablar y lo conoce en profundidad S, ha odo hablar pero no lo conoce en profundidad No conoce cloud computing
Fuente : INTECO Base: 889 AAPP contactadas
9
33,4%
70% 60% 50% 40% 65,8% 71,3% 76,6%
66,6%
28,7%
23,4%
16,8%
Gestin administrativa de expedientes (autorizaciones, etc.) Gestin presupuestaria y financiera Gobierno abierto y participacin ciudadana Gestin y explotacin de sistemas Relaciones con empresas y proveedores Gestin de RRHH Otro servicio
58,2% 31,0%
Pblica Comunitaria
Base: 152 AAPP usuarias de cloud computing
11
FACTORES A FAVOR
FACTORES EN CONTRA
Prdida de control Privacidad Desconfianza Cumplimiento normativo Deslocalizacin de los datos Disponibilidad de los datos Gestin de riesgos corporativos
12
14
15
16
17
18
RIESGO
IMPACTO
CONTROLES MITIGANTES Auditoras independientes (SAS70) Exhaustividad en la definicin de Acuerdos de Nivel de Servicio (SLAs) Contratos deben incluir clusulas relevantes y especficas en materia de seguridad y privacidad Anlisis exhaustivo de riesgos en la contratacin Plan Continuidad Negocio (PCN) y Plan Recuperacin Desastres (PRD) deben estar correctamente documentados y testados Certificacin de seguridad por terceros de confianza (ISO 27001, BS25999, ISO 9000) Exhaustividad en la definicin de SLAs Auditoras independientes Exhaustividad en la definicin de SLAs Auditoras independientes Contratos que incluyan clusulas relevantes y especficas en materia de seguridad y privacidad Monitorizacin de los proveedores
Disponibilidad de los backup de informacin y el tiempo de recuperacin Almacenamiento compartido Localizacin de los datos
19
RIESGO
IMPACTO
CONTROLES MITIGANTES Exhaustividad en la definicin de SLAs Supervisin por parte de las autoridades competentes (AEPD y autonmicas) Contratos deben incluir clusulas relevantes y especficas en materia de seguridad y privacidad Involucrar a terceras partes de confianza en la contratacin y posterior supervisin Auditoras independientes (SAS70) Certificacin de seguridad por terceros de confianza (ISO 27001, BS25999, ISO 9000) Involucrar a terceras partes de confianza en la contratacin y posterior supervisin Auditoras independientes Seguimiento de la reputacin de los proveedores y calificaciones independientes Exhaustividad en la definicin de SLAs Monitorizacin de los proveedores
Cumplimiento de la legislacin
Imposibilidad de supervisar las actividades del proveedor Continuidad y sostenibilidad de los proveedores e integracin con el Plan de Continuidad de Negocio
20
Estndares:
ISO 27001 BS25999 ISO 2000 SAS 70
21
Consideraciones en la adopcin
Anlisis de riesgos
Realizacin de anlisis de riesgos previo a la implantacin de cloud computing Tipos de anlisis de riesgos precios al cloud realizados por las AAPP
15,6% 29,9%
42,7%
11,8%
S, internamente No
S, externamente Ns/Nc
Fuente: INTECO Base: 65 AAPP que han realizado un anlisis de riesgos
22
Consideraciones en la adopcin
Anlisis normativo
Consideracin de la normativa aplicable previa a la implantacin de cloud computing Tipo de normativa considerada previo al cloud por las AAPP
18,2%
14,9%
66,9%
No
Ns/Nc
Fuente: INTECO Base: 113 AAPP que consideran normativa con carcter previo
23
Consideraciones en la adopcin
Estndares de seguridad
Exigencia de estndares de seguridad al proveedor de cloud computing Estndares de seguridad exigidos al proveedor
37,4% 43,0%
ISO 9000 (calidad del servicio)
Otras frmulas
19,6%
0%
20%
40%
60%
No
Ns/Nc
Fuente: INTECO Base: 79 AAPP que exigen estndares de seguridad
24
Conclusiones
25
Conclusiones
La nube es una oportunidad para las AAPP tanto como prestatarias como prestadoras de los servicios cloud No obstante, an casi la mitad de los organismos pblicos no conoce qu es el cloud computing. Y de ellas, apenas el 33% han dado el salto a la nube. Ahorro de tiempo y de dinero, eficiencia y sencillez son las motivaciones que empujan a las AAPP a dar el salto a la nube. Las decisiones se toman generalmente en funcin de los costes y no incorporarn las cuestiones de seguridad
26
Conclusiones
Sin embargo, el cloud computing tiene una serie de riesgos para la seguridad y la privacidad que deben ser conocidos y adecuadamente gestionados. Es fundamental definir un Marco de Confianza Cumplimiento normativo Garantas contractuales Clasificacin y proteccin de la informacin Gestin del riesgo Gestin del riesgo tecnolgico
27
28
ESTUDIO
Diagnstico
GUA PRCTICA
Formacin y concienciacin
Anlisis documental + 500 encuestas a AAPP + 12 entrevistas expertos A.G.E. Autonmica y Local
Gua divulgativa con pautas para la identificacin y gestin de riesgos del cloud computing en AAPP
29
Estudio sobre el impacto del cloud computing en el canal de distribucin de software en Espaa
NLISIS DOCUMENTAL
INVESTIGACIN CUANTITATIVA
30
Introduccin al cloud computing Caractersticas principales Aspectos legales y marco jurdico Riesgos relacionados con cloud computing Seguridad en la nube Privacidad en la nube Pasos para entrar en la nube
31
32
Muchas gracias
http://observatorio.inteco.es pablo.perez@inteco.es