Latin CACS en la Nube. Octubre 2011

Transcripción

1 Latin CACS Gobierno de Seguridad en la Nube Octubre 2011

2 Agenda Qué es la «Nube» o Cloud Computing? Cinco características esenciales Modelos de servicio (SIP). Modelos de implementación. ió Beneficios, consideraciones y amenazas de usar la nube. Estrategias para el control del Riesgo asociado a Cloud Computing. Consideraciones de Seguridad para la implementación de Cloud Computing. Recomendaciones paraun adecuado Gobierno de la Seguridad. Conclusiones. 2

3 Qué es la «Nube» o Cloud Computing? p g Un 33% de las organizaciones de A America Latina usará i L ti á alguna l forma de Cloud Computing en 2010, según el IT Risk/Reward Barometer Survey de ISACA. Para proteger algo debemos entender que es realmente No se puede proteger lo que no se conoce Los controles pueden ser insuficientes si no se detalla el alcance Y. Recuerde:!No es posible administrar lo que no se conoce

4 Qué es la «Nube» o Cloud Computing? Todos los proveedores y analistas han intentado dar su definición sobre la nube causando una especie de caos Hace poco más de un año los investigadores Peter Mell y Tim Grance del NIST generaron la definición que ha sido mayormente acogida a nivel internacional.

5 Qué es la «Nube» o Cloud Computing? Es un modelo que habilita convenientemente t acceso a demanda d a través de redes a recursos tecnológicos compartidos y configurables (redes, servidores, almacenamiento, aplicaciones, y servicios) que pueden ser rápidamente aprovisionados y liberados con una administración o interacción mínima con el proveedor del servicio. Busca proveer sobretodo disponibilidad y se compone de 5 características esenciales, 3 modelos de servicio y 4 modelos de implementación. ió

6 Autoservicio a demanda: Los clientes pueden aprovisionar recursos de forma autónoma o con poca participación del proveedor. Amplio Acceso: Debe ser basada en estándares y proveer transparencia tecnológica y neutralidad de contenido), Baterías de Recursos: modelo de múltiples arrendatarios y ubicación geográfica transparente Elasticidad eficiente: crecimiento de recursos automático y de mínima intevención Medición del servicio: el servicio debe permitir monitoreo y definición de métricas de rendimiento. Cinco características esenciales

7 Tres modelos de servicio (SIP): Software as a Service (SaaS): el proveedor brinda y administra aplicaciones siendo responsable por la infraestructura que las soporta, el cliente posee control sobre parámetros específicos de configuración, el servicio se dispone por medio de una interfaz común tipicamente un Navegador. El ejemplo más popular es el correo Web. Platform as a Service (PaaS): el cliente implementa aplicaciones para su uso o el de otros mediante lenguajes de programación y herramientas que brinda un proveedor de servicios como java, python o.net. El proveedor tiene el control de la infraestructura y de las aplicaciones que desarrolla y coloca en servicio propio o de otros. Ejemplo: Plataformas Verified by VISA y SafetyPay. Infrastructure as a Service (IaaS): el proveedor brinda la infraestructura completa (servidores, redes, almacenamiento, acceso a internet, etc) el cliente se encarga del software incluyendo sistemas operativos, aplicaciones y la seguridad propia del servicio que presenta. Ejemplo Servicios de RACSA.

8 Cuatro modelos de implementación Hybrid: Una combinación de los modelos anteriores. Community: Es un modelo compartido por múltiples dependecias/organiz aciones y el servicio es adminitrado por uno de ellos o un proveedor externo. Public: Disponible de forma generalizada normalmente vía internet y el administrador vende servicios al público o grupode clientes. Private: Se opera a lo interno de la organización, donde un área provee alguno de los servicios SIP. Puede ser operado por un tercero.

9 Beneficios Empresariales al Utilizar la Tecnología de la Nube Incrementos rápidos en la disponibilidad Reducción de costos de hardware Mejor aprovechamiento en la utilización de recursos Mejoras en la Productividad Reducción del tiempo de incorporación de nuevos servidores Mayor flexibilidad y escalabilidad lbldd Administración simplificada lf

10 Consideraciones Empresariales al Utilizar la Tecnología d la Nube Procesos no alineados a la nueva operativa organizacional Planificación para la Administración del cambio organizacional Falta o inmadurez de las herramientas para el ambiente identificado Alineamiento de Políticas internas al nuevo ambiente Impacto en la seguridad de la información Disponibilidad y tiempo de entrenamiento al personal Nuevos componentes susceptibles de falla no administrados d localmente

11 Amenazas que enfrentamos al Utilizar la Tecnología de la Nube Proveedor de Tecnología adoptada debe salir del negocio Acceso y revelación de información a terceros sin rastro posible Incumplimiento del proveedor de las SLAs pactadas Lasfallas de seguridad interna del proveedor suelen tener mayor impacto en medios por su alcance Crecimiento y desmejora de los planes de continuidad del proveedor Recursos compartidos y en competencia? con otros clientes o competidores Diversidad de regulación en los países donde opera el proveedor

12 Estrategias para el control del Riesgo asociado a Cloud Computing

13 Gobierno de la Nube El gobierno y la gestión de riesgos en la nube son consecuencia de procesosde gobierno de la seguridad de la información bien desarrollados en el marco de las obligaciones del gobierno corporativo. Los procesos de seguridad de la información deben dar lugar a programas de gestión de la seguridad d escalables con el negocio, repetibles en toda la organización, se deben poder medir, sostenibles, deben poder ser defendidos, en mejora continua y rentables en todo momento

14 Gobierno de la Nube Los retos fundamentales de las empresas con la nube son: La adecuada identificación e implementación de las estructuras, procesos y controles organizativos adecuados que se requieren para mantener un gobierno de seguridad de la información. ió Una gestión de riesgos y un cumplimiento normativo efectivos. Garantizar la efectiva seguridad d de la información en toda la cadena de suministros de la información, incluyendo a usuarios internos y a terceros. Una adecuada clasificación de la información y una clara identificación de los dueños de la información

15 Antes de trasladar el servicio Antes de trasladar el servicio Implementar procesos enfocados a darle f d d l estabilidad y certeza al ambiente administrado

16 AI6 Administrar Cambios Manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales Determinar los disparadores de un cambio Quién debe autorizarlo? Distinguir cambios por criticidad del elemento y por urgencia Evaluar las herramientas de gestión del proveedor de cada tecnología Automatización del flujo del proceso DS9 Ad i i t l DS9 Administrar la configuración fi ió Estándarizar las configuraciones, Definir configuraciones base (baseline) Definir métricas de rendimiento Definir métricas de rendimiento Definir parámetros de monitoreo Definir los criterios para cambios o aprobación de nuevas configuraciones Idealmente tener automatizado el proceso y con una Idealmente tener automatizado el proceso y con una CMDB (Configuration Management Database)

17 evel LAs) rvice Le ents (SL Se greeme Ag Contratos claros entre los clientes y quien provee el servicio, definiendo detalladamente los servicios y los niveles de servicio esperados Inclusión de métricas de rendimiento de acuerdo con los requerimientos(como disponibilidad del servicio, tiempo de respuesta, consumo de recursos) Procedimientos de atención de incidentes Estructuras de seguridad detalladas y documentación de cambios accesible Cláusulas de penalización por incumplimiento Cláusulas de responsabilidad de monitoreo de métricas

18 Consideraciones de Seguridad para la g p implementación de Cloud Computing Transparencia Cumplimiento P i id d Privacidad Certification Flujo de I f Información ió transfronteras ISACA Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives

19 Los proveedores de servicio deben demostrar la existencia de controles de seguridad efectivos y robustos, asegurando a sus clientes que la información está adecuadamente protegida contra accesos y cambios no autorizados o destrucción de datos Las áreas clave incluyen: Información de cuales empleados tienen acceso a la información del cliente y como está controlado este acceso. Especificación de segregación de funciones de los empleados del proveedor y su mantenimiento. Información de como se segrega la información del cliente con respecto a otros clientes en la infraestructura. Especificación por parte del proveedor de los controles para prevención, detección y control de incidentes de seguridad.

20 Los proveedores de servicios de cloud computing deberán poder demostrar un adecuado tratamiento de los aspectos de privacidad. Deberán disponer de los controles y permitir la validación acorde con las regulaciones y estándares relacionados.

21 Es fundamental Las organizaciones están asegurar que los datos sometidas al estén disponibles cuado cumplimiento de sean solicitados por las estándares, regulaciones autoridadaes que los y normativas legales solicitan y que en su extracció no se afecten servicios o información de terceros. Recuerde asegurarse que los aspectos de auditoría y cumplimiento relacionados con el servicio contrado estén incluidas id en las SLA y definir claramente las reglas legales que aplicarán a la información entránsito y alamacenada.

22 Cuando la información C d l i f ió puede ser almacenada en cualquier parte de la nube, la ubicación física de los datos física de los datos debe ser considerado cuidadosamente. La ubicación física del almacenamiento establece aspectos como la juridicción la juridicción y y obligaciones legales sobre los datos. Cada país o territorio tiene reglas que pueden variar aspectos como lo que se considera información confidencial para la seguridad nacional o lo relacionado con la privacidad.

23 Los proveedores de Cloud computing deberán brindar a sus clientes el el aseguramiento de que están haciendo las cosas bien. Se recomienda el uso de servicios de auditoría y certificación de terceros independientes. Los hallazgos que afecten el servicio contratado deben ser transparentemente comunicados al cliente con su respectiva con su solución. Statment of Auditing Standard SAS 70 Webtrust SysTrust Service Capability & Performance ISO ISO ISACA Cobit Fundamentos de ITIL Marco de control de Basilea II

24 Áreas Críticas de Atención en Cloud Computing Dominios de Gobierno de TI Marco de la arquitectura de Cloud Computing Gobierno y gestión de riesgos de las empresas Cuestiones legales y ediscovery Cumplimiento normativo y auditorías Gestión del ciclo de vida de la información Respuesta a Incidentes Dominios de Administración i ió de TI Portabilidad e interoperabilidad Seguridad tradicional, continuidad del negocio y recuperación de catástrofes Operaciones del centro de datos Seguridad de las aplicaciones Cifrado y gestión de llaves Gestión de acceso e identidades Virtualización ió Cloud Security Alliance : Security Guidance for Critical Areas of Focus in Cloud Computing

25 Recomendaciones para un ade ado Gobierno de la Se ridad adecuado Gobierno de la Seguridad Una parte de los ahorros obtenidos por los servicios de la nube deben invertirse en realizar un examen más profundo de: Las capacidades de seguridad del proveedor. Los controles de seguridad de la aplicación. Evaluaciones y auditorías detalladas constantes para constantes para garantizar que los requisitos se cumplen en todo momento.

26 Recomendaciones para un adecuado Gobierno de la Seguridad adecuado Gobierno de la Seguridad Tanto los clientes de Tanto los clientes de servicios de la nube como los proveedores deben desarrollar sus prácticas de gobierno de seguridad de la de seguridad de la información basados en estándares para que puedan ser d interdependientes Las organizaciones de Las organizaciones de usuarios deberían incluir la revisión de las estructuras y procesos de gobierno de SI específicas dentro de específicas dentro de su debida diligencia de las posibles organizaciones proveedoras.

27 Recomendaciones para un adecuado d Gobierno de la Seguridad d Identificar las estructuras t y procesos de gobierno colaborativo necesarias, en el marco del diseño y el desarrollo de la prestación de servicios, así como protocolos de evaluación de riesgos del servicio y de gestión de riesgos, e incorporarlos en los contratos de servicio. Participación de los departamentos de seguridad de información en el establecimiento de los SLA y las obligaciones contractuales.

28 Recomendaciones para un adecuado Gobierno de la Seguridad adecuado Gobierno de la Seguridad Implante un método (Ej. Balanced Scorecard), que brinde Scorecard), que brinde una visión sucinta y desde todos los ángulos del desempeño de TI y que se adapte al sistema de monitoreo sistema de monitoreo de la empresa Los estándares y Los estándares y métricas de seguridad (especialmente los requisitos legales y normativos) deben incluirse en los SLA incluirse en los SLA. Estos deben ser documentados y ser d demostrables bl (auditables).

29 Muchas Gracias por su atención!! PREGUNTAS