A qu huelen las nubes?

: seguridad y privacidad del cloud computing

Fundacin Ddalo. VI Semana de Seguridad Informtica: Seguridad en la nube Tudela, 27 de marzo de 2012

Pablo Prez San-Jos

Gerente del Observatorio (INTECO) pablo.perez@inteco.es @pabloperezsjose

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN

ndice

Qu es el cloud computing? El cloud computing: una oportunidad para las AA.PP. Riesgos de seguridad y privacidad del cloud computing Gestin de riesgos de la nube Conclusiones INTECO y el cloud computing

A qu huelen las nubes?

Qu es Cloud Computing?
Concepto Si preguntas a cinco especialistas del sector TIC qu es cloud computing, es posible que obtengas cinco respuestas distintas. Eso se debe en parte a que el cloud computing es el ltimo y ms avanzado desarrollo de una tendencia que ha venido creciendo en los ltimos aos
Russel Kay Computer World

Qu es Cloud Computing?
Evolucin en su adopcin: niveles de servicio
Evolucin en la adopcin del cloud computing

Alta

Internalizacin

SaaS
Adopcin

Institucionalizacin

ADOPCIN

PaaS
Percepcin positiva

IaaS
Comprensin Conciencia

Baja

Inconsciencia

TIEMPO

Qu es Cloud Computing?
Tipos de nubes

Pblica

Privada

Hbrida

Comunitaria

GESTIN DE LA NUBE PBLICA PRIVADA HBRIDA COMUNITARIA Proveedor externo Organizacin o proveedor externo Ambos Por la comunidad o proveedor externo

PROPIEDAD DE LA INFRAESTRUCTURA Proveedor externo Organizacin o proveedor externo Ambos Por la comunidad o proveedor externo

UBICACIN Externa Interna o externa Interna y externa Interna o externa

CLIENTES EN LA NUBE Uno o varios Uno Uno o varios Varios

El cloud computing: una oportunidad para las AAPP

Oportunidad para las AA.PP.

Ahorro y optimizacin de costes tecnolgicos Flexibilidad en el dimensionamiento de recursos Reutilizacin de servicios tecnolgicos Posibilidades de estandarizacin tecnolgica e interoperabilidad

Conocimiento de la tecnologa cloud computing

100%

15,6%

8,5% 90% 80% 70% 56,6% 38,5% 24,4%

43,8%

60% 50% 40% 30% 31,6% 53,0% 55,5%

40,6%
20% 10%

20,0% 11,8%

0% Local Autonmico Estatal

S, ha odo hablar y lo conoce en profundidad S, ha odo hablar pero no lo conoce en profundidad No conoce cloud computing
Fuente : INTECO Base: 889 AAPP contactadas
9

Uso del cloud computing en las AAPP

100% 90% 80%

33,4%
70% 60% 50% 40% 65,8% 71,3% 76,6%

66,6%

30% 20% 10% 0% Local Autonmico Estatal 34,2%

28,7%

23,4%

No utiliza cloud computing S utiliza cloud computing

Fuente: INTECO Base: 500 AAPP que conocen cloud computing
10

Modelos de despliege implementados y reas involucradas

Modelos de despliegue: tipos de implementacin
3,9% 3,0%
Servicios al ciudadano y administracin electrnica 53,2% 41,4% 32,5% 15,7% 11,1% 11,0% 8,8% 20,1% 0% 10% 20% 30% 40% 50% 60%

reas de los organismos involucradas por la implantacin de cloud computing

16,8%

Gestin administrativa de expedientes (autorizaciones, etc.) Gestin presupuestaria y financiera Gobierno abierto y participacin ciudadana Gestin y explotacin de sistemas Relaciones con empresas y proveedores Gestin de RRHH Otro servicio

58,2% 31,0%

Privada Hbrida Ns/Nc

Pblica Comunitaria
Base: 152 AAPP usuarias de cloud computing

11

La decisin de dar el salto a la nube

FACTORES A FAVOR

FACTORES EN CONTRA
Prdida de control Privacidad Desconfianza Cumplimiento normativo Deslocalizacin de los datos Disponibilidad de los datos Gestin de riesgos corporativos
12

Abstraccin Escalabilidad Flexibilidad Reduccin coste Dedicacin esfuerzos al negocio

Accesibilidad Seguridad ms robusta Transferencia del riesgo

Motivacin para la adopcin de cloud computing

Motivos que han influido en la contratacin de un servicio cloud computing
Ahorro tiempo gestin recursos TI Ahorro costes gestin recursos TI Mejorar productividad Sencillez uso de sistemas Mayor interoperabilidad Sencillez implantacin sistemas Fomento administracin electrnica Ampliacin de servicios Mayor gobierno abierto y participacin Modificacin modelos gestin internos Reorganizacin personal interno Otros motivos Se desconocen los motivos 0% 10,0% 8,9% 8,1% 10% 20% 30% 40% 50% 60% 70% 80% 31,6% 25,0% 55,5% 52,8% 52,4% 51,6% 50,0% 43,2% 69,5% 68,4%

Fuente: INTECO Base: 152 AAPP usuarias de cloud computing

13

Riesgos de seguridad y privacidad del cloud computing

14

Principales fuentes de riesgo

SEGURIDAD
La informacin sale de la organizacin y circula por redes pblicas Aplicaciones desarrolladas y mantenidas por terceros Uso de nuevas tecnologas con nuevas vulnerabilidades La operacin de la seguridad tambin se externaliza Surge la necesidad de cmo controlar las actividades del proveedor

15

Principales fuentes de riesgo

PRIVACIDAD
Cumplimiento normativo: multilocalizacin, trazabilidad de los datos y tratamientos por cuenta de terceros. Garantizar la integridad de la informacin Controlar el acceso a los datos, especialmente en nubes pblicas Prevenir la prdida de informacin y garantizar la disponibilidad en el acceso

16

Principales fuentes de riesgo

CONFIANZA Y E-CONFIANZA
Disponibilidad de las comunicaciones/datos y la actividad de los servicios (incluyendo el plan de continuidad de negocio). Dependencia en el cumplimiento normativo ms all de la privacidad (ENS, ENI) Cmo asegurar el control sobre los activos alojados en la nube Confianza de terceras partes (stakeholders)

17

Gestin de riesgos en la nube

18

Gestin de riesgos en la nube

RIESGO

IMPACTO

CONTROLES MITIGANTES Auditoras independientes (SAS70) Exhaustividad en la definicin de Acuerdos de Nivel de Servicio (SLAs) Contratos deben incluir clusulas relevantes y especficas en materia de seguridad y privacidad Anlisis exhaustivo de riesgos en la contratacin Plan Continuidad Negocio (PCN) y Plan Recuperacin Desastres (PRD) deben estar correctamente documentados y testados Certificacin de seguridad por terceros de confianza (ISO 27001, BS25999, ISO 9000) Exhaustividad en la definicin de SLAs Auditoras independientes Exhaustividad en la definicin de SLAs Auditoras independientes Contratos que incluyan clusulas relevantes y especficas en materia de seguridad y privacidad Monitorizacin de los proveedores

Acceso no autorizado a los datos

Disponibilidad de los backup de informacin y el tiempo de recuperacin Almacenamiento compartido Localizacin de los datos

19

Gestin de riesgos en la nube

RIESGO

IMPACTO

CONTROLES MITIGANTES Exhaustividad en la definicin de SLAs Supervisin por parte de las autoridades competentes (AEPD y autonmicas) Contratos deben incluir clusulas relevantes y especficas en materia de seguridad y privacidad Involucrar a terceras partes de confianza en la contratacin y posterior supervisin Auditoras independientes (SAS70) Certificacin de seguridad por terceros de confianza (ISO 27001, BS25999, ISO 9000) Involucrar a terceras partes de confianza en la contratacin y posterior supervisin Auditoras independientes Seguimiento de la reputacin de los proveedores y calificaciones independientes Exhaustividad en la definicin de SLAs Monitorizacin de los proveedores

Cumplimiento de la legislacin

Imposibilidad de supervisar las actividades del proveedor Continuidad y sostenibilidad de los proveedores e integracin con el Plan de Continuidad de Negocio

20

Gestin de riesgos en la nube

Cumplimiento normativo:
LOPD LSSI Ley Firma electrnica LAESCSP ENS y ENI

Estndares:
ISO 27001 BS25999 ISO 2000 SAS 70

Marco de confianza para el cloud computing

Contratacin:
Acuerdos de nivel de servicio (SLAs) Auditoras de servicio Evaluacin de proveedores

Gestin del riesgo:

Anlisis peridico de riesgos y procesos de control Cuadros de mando y auditora remota Plan de continuidad de negocio

21

Consideraciones en la adopcin
Anlisis de riesgos
Realizacin de anlisis de riesgos previo a la implantacin de cloud computing Tipos de anlisis de riesgos precios al cloud realizados por las AAPP

15,6% 29,9%

42,7%

11,8%

S, internamente No

S, externamente Ns/Nc
Fuente: INTECO Base: 65 AAPP que han realizado un anlisis de riesgos
22

Fuente: INTECO Base: 152 AAPP usuarias de cloud computing

Consideraciones en la adopcin
Anlisis normativo
Consideracin de la normativa aplicable previa a la implantacin de cloud computing Tipo de normativa considerada previo al cloud por las AAPP

18,2%

14,9%

66,9%

No

Ns/Nc
Fuente: INTECO Base: 113 AAPP que consideran normativa con carcter previo
23

Fuente: INTECO Base: 152 AAPP usuarias de cloud computing

Consideraciones en la adopcin
Estndares de seguridad
Exigencia de estndares de seguridad al proveedor de cloud computing Estndares de seguridad exigidos al proveedor

Contratos de continuidad y acuerdos de servicio

ISO 27001 (seguridad de la informacin)

37,4% 43,0%
ISO 9000 (calidad del servicio)

BS 25999 (continuidad de negocio)

Otras frmulas

19,6%

0%

20%

40%

60%

No

Ns/Nc
Fuente: INTECO Base: 79 AAPP que exigen estndares de seguridad
24

Fuente: INTECO Base: 152 AAPP usuarias de cloud computing

Conclusiones

25

Conclusiones
La nube es una oportunidad para las AAPP tanto como prestatarias como prestadoras de los servicios cloud No obstante, an casi la mitad de los organismos pblicos no conoce qu es el cloud computing. Y de ellas, apenas el 33% han dado el salto a la nube. Ahorro de tiempo y de dinero, eficiencia y sencillez son las motivaciones que empujan a las AAPP a dar el salto a la nube. Las decisiones se toman generalmente en funcin de los costes y no incorporarn las cuestiones de seguridad

26

Conclusiones
Sin embargo, el cloud computing tiene una serie de riesgos para la seguridad y la privacidad que deben ser conocidos y adecuadamente gestionados. Es fundamental definir un Marco de Confianza Cumplimiento normativo Garantas contractuales Clasificacin y proteccin de la informacin Gestin del riesgo Gestin del riesgo tecnolgico

La formacin/concienciacin de los responsables de los organismos y empresas pblicas es clave

27

INTECO y el cloud computing

Estudio sobre cloud computing en las AA.PP. espaolas Gua para empresas: seguridad y privacidad del cloud computing Estudio sobre el impacto del cloud computing sobre el canal de distribucin de software en Espaa Gua para entidades locales: cmo ahorrar costes y mejorar la productividad con cloud computing

28

Estudio sobre el cloud computing en el sector pblico en Espaa

ESTUDIO
Diagnstico

GUA PRCTICA
Formacin y concienciacin

Anlisis documental + 500 encuestas a AAPP + 12 entrevistas expertos A.G.E. Autonmica y Local

Gua divulgativa con pautas para la identificacin y gestin de riesgos del cloud computing en AAPP

29

Estudio sobre el impacto del cloud computing en el canal de distribucin de software en Espaa
NLISIS DOCUMENTAL

OPININ EXPERTOS Entrevistas en profundidad a 25 expertos INVESTIGACIN 2.0

INVESTIGACIN CUANTITATIVA

Grupos LinkedIn +Twitter

Encuesta telefnica a 413 responsables de tiendas de informtica

30

Gua para empresas: seguridad y privacidad del cloud computing

Introduccin al cloud computing Caractersticas principales Aspectos legales y marco jurdico Riesgos relacionados con cloud computing Seguridad en la nube Privacidad en la nube Pasos para entrar en la nube

31

Gua para empresas: seguridad y privacidad del cloud computing

En febrero de 2012 el Observatorio de la Seguridad de la Informacin del Instituto Nacional de Tecnologas de la Comunicacin (INTECO) ha sido galardonado con el "Premio Dintel al Mejor Proyecto Tecnolgico en Cloud Computing 2011

32

Muchas gracias

http://observatorio.inteco.es pablo.perez@inteco.es