Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Principales Amenazas en Cloud Computing. 2012

    Cargado por

    Efrain Aperador Mancipe
    18 vistas21 páginas

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    18 vistas21 páginas

    Principales Amenazas en Cloud Computing. 2012

    Cargado por

    Efrain Aperador Mancipe

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 21

    Dominando los riesgos se compite mejor

    Principales amenazas en Cloud Computing


    Cristina Fernndez
    Patrocinadores

    Records & Processes Manager

    Colaboradores

    GRUPO SMS

    Valor aadido a la Virtualizacin


    Cuando se contrata la externalizacin de los servidores, la informacin debera ser monitorizada mediante la implantacin de Procesos Information Governance(*), estableciendo los mecanismos de control, supervisin, seguimiento del uso y la gestin de los datos para transformarlos en un activo estratgico, gestionndolos adecuadamente y garantizando la calidad.
    Mecanismos de control

    Gestin de la informacin
    Salvaguarda y Seguridad

    CSTIC 2012

    Seguridad gestionada en Cloud


    Fiabilidad, Calidad y Gestin del riesgo del servicio estableciendo una metodologa aplicada y cdigos de buenas prcticas de reconocido prestigio. Tcnicas de seguridad de vigilancia tecnolgica e inteligencia colectiva.

    Deteccin de nuevas amenazas y vulnerabilidades, permitiendo tomar acciones correctivas.


    Operacin unificada, gestin y administracin del servicio Meta: mejores prcticas profesionales de sectores con riesgos equivalentes: servicios financieros, telecomunicaciones, stakeholders

    Hacia una gestin de seguridad unificada


    CSTIC 2012
    3

    Asumimos los riesgos?


    Cumplimiento normativo, regulatorio y legal (transfronterizo) SLAs claros y medibles. Compensan las penalizaciones (*)? Disponibilidad y alternativas: Plan de Continuidad Seguridad de datos: donde y cmo? de terceros Costes medibles: pago por uso probable utilizacin

    ilimitado?

    Confianza en el proveedor (solidez y fiabilidad) Baja del servicio: eliminando rastros

    (* ) Ver referencia de la Cloud Security Alliance

    CSTIC 2012

    Amenazas en Cloud Computing


    Alcance
    Identificar el uso incorrecto de las tecnologas Cloud

    7 Pecados capitales de Seguridad Cloud


    1. Vulnerabilidad de la tecnologa compartida 2. Suplantacin de cuentas, trfico y servicios 3. Prdida o fuga de datos 4. Empleados que utilizan sus privilegios de forma inadecuada 5. Uso incorrecto del Servicio 6. APIs inseguras 7. Perdida de la trazabilidad
    Fuente: Top Threats to Cloud Computing v1.0 -CSA

    CSTIC 2012

    Posibles soluciones a las amenazas I


    Pecados capitales / Soluciones
    Vulnerabilidad de la tecnologa compartida Implementar mejores prcticas en seguridad en la instalacin/configuracin. Monitorizacin del entorno de actividad por cambios no autorizados. Promover autentificacin estable y control de accesos para el acceso administrativo y sus operaciones. Controlar los SLAs para solventar la vulnerabilidad . Dirigir auditorias de configuracin y monitorizacin de vulnerabilidad. Suplantacin de cuentas, trfico y servicios Prohibir el compartir cuentas entre usuarios y servicios . Implementar al menos dos factores de autenticacin siempre que sea posible. Emplear proactivamente la monitorizacin, para detectar actividad no autorizada. Entender las polticas de seguridad de los SLAs del proveedor cloud. Prdida o fuga de datos Implementar controles de acceso y APIs robustas. Encriptar y proteger la integridad de los datos en su trnsito. Analizar la proteccin de los datos tanto en el diseo como en la ejecucin. Desarrollar sistemas de generacin de claves robustas, almacenamiento, gestin y prcticas de destruccin. Solicitar a los proveedores mediante contrato los medios necesarios antes de iniciar el servicio, as como las estrategias de backup y conservacin. Empleados que utilizan sus privilegios de forma inadecuada Implementar una poltica de gestin del cambio firme y comprensible para evaluiacin de empledos Especificacin de los perfiles de los recursos como parte del contrato. Requerir transparencia en la seguridad de la informacin y prcticas de gestin, as como sus informes de cumplimiento. Determinar la violacin de seguridad en los procesos de notificacin.

    CSTIC 2012

    Fuente: Top Threats to Cloud Computing v1.0 -CSA

    Posibles soluciones a las amenazas II


    Pecados capitales / Soluciones
    Uso incorrecto del Servicio Registros iniciales y procesos de validacin rgidos y estables. Supervisin de la coordinacin y monitorizacin de posibles fraudes del servicio. Interpretacin del trfico de la red de cliente. Monitorizacin de listas negras pblicas para bloqueo de redes propias. APIs inseguras Analizar el modelo de seguridad de los interfaces de los proveedores cloud. Asegurar el control de acceso encriptado y robusto. Entender la cadena de dependencia asociada al API. . Perdida de la trazabilidad: Divulgacin de datos y logs aplicables. Parcial/total difusin de los detalles de infraestructura (sw corrector, firewalls, etc.). Monitorizacin y alertas de la informacin necesaria.

    CSTIC 2012

    Fuente: Top Threats to Cloud Computing v1.0 -CSA

    Universo Normativo en la Nube

    CSTIC 2012

    Universo regulatorio II
    GRUPO SMS participa en diferentes organismos de normalizacin y Comits Tcnicos donde se definen y publican estndares a nivel mundial: ISO (INTERNATIONAL STANDARDS ORGANIZATION): -TC46SC11 Gestin Documental : ISO 30300, 30301, 30302, etc. - JTC1/SC38 Plataformas de aplicaciones distribuidas y servicios: normas ISO - Cloud ETSI (European Telecommunications Standards Institute) conjuntamente con CEN (European Committee for Standardisation)/CENELEC (European Committee for Electrotechnical Standardization ) especificamente en el grupo de trabajo que publica normativa Cloud. BSI (BRITISH STANDARD INSTITUTION): comunidad conocimiento - Continuidad de Negocio NORMAPME (European Office of Crafts Trades and Small and Medium-sized Enterprises for Standardisation), colaboracin en los Comits arriba referenciados. Ministerio de Industria/ M de Cultura: asistencia a reuniones, jornadas, etc. sobre la Sociedad de Telecomunicaciones e Informacin espaola, y presentacin de Proyectos I+D. AENOR (ASOCIACIN ESPAOLA DE NORMALIZACIN Y CERTIFICACIN): -CTN50/SC1: Comit Tcnico sobre Gestin de Documentos y Aplicaciones: traduccin de normas ISO (a UNE) y elaboracin y adopcin de estndares propios. -CTN71: CT Tecnologa de la Informacin, Seguridad en Cloud CONETIC (Confederacion Espaola de Empresas de las TICs), financiacin proyectos I+D.

    Ampliamos nuestra labor normativa con la participacin activa en distintos foros especializados tanto de Cloud como de los distintos Sistemas de Gestin e Information Governance.

    NACIONAL

    INTERNACIONAL

    CSTIC 2012

    Sistemas de Gestin y Funciones de Negocio


    ISO 22301 (Business Continuity)

    ISO 20001 (IT Service management)

    ISO 30301 (Records)

    ISO 31000 (Riks)

    CSTIC 2012

    10

    MARCO DE GOBIERNO DE UN SERVICIO GENRICO


    1.Se identifican los principales procesos objeto de anlisis
    PROCESOS ACTIVOS RIESGOS

    2.Se detectan los riesgos asociados


    IDENTIFICACIN DE NORMATIVAS CONSOLIDACIN DE CONTROLES

    3.Se aplican normas y regulaciones para mitigarlos

    4.Se establece un marco de controles a aplicar para mitigar los riesgos en los mbitos de control interno y riesgo operacional

    Activos 5.Se establece el marco de aplicacin de cada control Procesos Riesgos Propietario
    RIESGOS

    Controles Normativa Control Evidencia Madurez Cuantificacin

    REGISTROS Y EVIDENCIAS

    6.Se recolectan los registros

    AUDITORIA MEJORA CONTINUA

    8.Se clasifican los controles segn su grado de madurez y calidad y se establece el seguimiento del ciclo de vida de los controles

    CALIDAD Y MADUREZ DE LOS CONTROLES

    7.Se establecen los requerimientos de auditora y revisin

    CSTIC 2012

    11

    Tendencias Cloud Computing

    Evaluacin Conformidad

    Normas armonizadas / cumplimiento directo

    Requisitos bsicos

    CSTIC 2012

    12

    Registro de Seguridad, Fiabilidad y Aseguramiento

    CSTIC 2012

    Fuente: Consensus Assessments Initiative Questionnaire v1.1CSA

    13

    Esquema Conceptual de un SLA

    CSTIC 2012

    Fuente: Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 - CSA

    14

    Proceso Documental de los requisitos tcnicos Cloud

    GESTIN INTEROPERABILIDAD SEGURIDAD

    CSTIC 2012

    Fuente: Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 - CSA

    15

    DISPONIBILIDAD CLOUD

    CSTIC 2012

    Fuente: Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 - CSA

    16

    Mapeo Sistema Cloud/Controles IG

    Fuente: Cloud Security Alliance (Security Guidance for Critical Areas of Focus in Cloud Computing V2.1)

    CSTIC 2012

    Fuente: Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 - CSA

    17

    CLAVES A TENER EN CUENTA


    AUTENCIDAD/METODOLOGA: TRANSPARENCIA Y HONESTIDAD CON NUESTROS CLIENTES ESTABLECIENDO UN MARCO DE GOBIERNO QUE SE TRADUZCA EN LA PRESENTACIN DE SLAs Y CUADROS DE MANDO CON ITEMS MNIMOS (DISPONIBILIDAD, RENDIMIENTO Y SEGURIDAD) INDEPENDIENTEMENTE DEL SERVICIO QUE SE OFREZCA. INNOVACIN/CUALIFICACIN: ESPECIALIZACIN EN SECTORES Y A CUALQUIER ESCALA DISCURSO COMN SOBRE NUESTRA IMPLICACIN EN LA DEFINICIN DE NORMAS EN LOS ORGANISMOS DE NORMALIZACIN MAS EMBLEMTICOS, INCIDIENDO EN QUE ESPAA EST EN LA VANGUARDIA. NO NOS HEMOS ACOMODADO EN NUESTRA ZONA DE CONFORT, SIENDO REACTIVOS.

    ANTICIPACIN/ADAPTACIN: REINVENTARSE, ADQUIRIENDO UNA ESTRATEGIA PROACTIVA EN SERVICIOS DE CERTIFICACIN DE SISTEMAS DE GESTIN (EJEMPLO ISO 30300= OPORTUNIDAD DE PASAR DEL PLANO OPERATIVO AL ESTRATGICO), DISPONER DE PROYECTOS ESCALABLES A NIVEL INTERNACIONAL Y CONTAR CON UN EQUIPO HUMANO MULTIDISCIPLINAR.
    AFINIDAD/COMPETENCIA: OFRECER SERVICIOS POR SECTORES LA DEBILIDAD DE NUESTRA COMPETENCIA ES NUESTRA FORTALEZA, Y EL ELEMENTO DIFERENCIADOR QUE NOS PUEDE AYUDAR A GANAR LA CONFIANZA DE UN CLIENTE POTENCIAL.

    CSTIC 2012

    18

    Referencias
    Enlaces de inters Riesgos:
    ENISA - Evaluacin de Riesgos Cloud Computing http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment Foro Jericho Esquema de autoevaluacin https://www.opengroup.org/jericho/self-assessment.htmCarnegie Mellon OCTAVE Evaluacin de Riesgos http://www.cert.org/octave/Microsoft STRIDE Modelo de amenazas http://msdn.microsoft.com/en-us/magazine/cc163519.aspxFactor Anlisis de Gestin de Riesgos (FAIR) http://fairwiki.riskmanagementinsight.com/ Modelo de Madurez Aseguramiento http://common-assurance.com/BITS Evaluacin compartida http://www.sharedassessments.org/

    Enlaces de inters Information Governance- GRUPO SMS:


    http://blog.grupo-sms.com/category/normalizacion/ http://www.linkedin.com/groups?gid=2103672&trk=myg_ugrp_ovr

    CSTIC 2012

    19

    LA GESTIN DE LA INFORMACIN ES UN PROCESO CONTINUO, ESTS O NO EN LA NUBE!

    MUCHAS GRACIAS POR TU ATENCIN

    Cristina Fernndez Records & Processes Manager cfernandezf@grupo-sms.com Tfs. 91 203 84 83/639049313 GRUPO SMS

    CSTIC 2012

    20

    CSTIC 2012
    Dominando los riesgos se compite mejor
    18 de Septiembre de 2012
    Patrocinadores

    #CSTIC12
    Organizador

    Patronos de la AEC:

    Colaboradores

    Cooperadores

    También podría gustarte