Sesión # 111. Riesgos en la nube desde la visión del negocio)

Transcripción

1 Sesión # 111 Riesgos en la nube desde la visión del negocio) Héctor R. Ortiz G., CISM Oficial de Seguridad Informática Carlos Mauricio Fiallos Auditor de Sistemas 1

2 Objetivos Evaluar los Riesgos de ingresar a la nube Conocer las ventajas y desventajas de estar en la nube Definir qué subir a la nube y qué no Establecer si la nube es la solución a las necesidades del negocio Determinar si estamos cubiertos legalmente al estar en la nube 2

3 Agenda Qué es Computación en la Nube? Que podemos subir a la Nube? Por qué ir a la Nube? Marcos de Referencia, Estándares y Herramientas Ventajas y Desventajas de la Nube La Nube en Latinoamérica Riesgos de la Nube Cómo seleccionar un Proveedor de Computación en la Nube? Bases para un Contrato con Proveedores de Computación en la Nube Marco Legal Conclusiones 3

4 Que es Computación en la Nube? 4

5 Qué es Computación en la Nube (Cloud Computing) Computación en la Nube es un término general para todo lo que implica la entrega de servicios de hospedaje a través de Internet. Computación en la nube es un modelo en red para permitir un cómodo acceso bajo demanda a una sección compartida de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente proporcionados y entregados con un mínimo esfuerzo de administración o interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesta por cinco características esenciales, tres modelos de servicio, y cuatro modelos de despliegue 5

6 Modelos de Servicio 6

7 Modelos de Implementación 7

8 Características esenciales Las arquitecturas Multi-Tenant se refiere a un principio en la arquitectura de software donde una única instancia del software se ejecuta en un servidor y al servicio a múltiples clientes (los arrendatarios). 8

9 Tendencias de Mercado según Gartner 9

10 Qué podemos subir a la Nube? 10

11 Contabilidad Infraestructura en la Nube Backup de reserva Presupuestos y previsiones Gestión de Contenidos ERP Gestión de Procesos de Negocio Seguimiento de Tiempos Sistemas Operativos Inteligencia de Negocios Escritorio en la Nube CRM Sistemas de gestión de documentos Gestión de traducción Escuela de Administración /Collaboration/Groupware Seguimiento y gestión de inversiones Gestión de Proyectos Marketing HRM Otras 11

12 Por qué ir a la Nube? 12

13 Porque ir a la nube? 13

14 Prioridades a la Nube 14

15 De la Virtualización a la Nube 15

16 16

17 17

18 Marcos de Referencia, Estándares y Herramientas 18

19 AS/NZ ISO 31000:2009 The globalization of information technology and significant increase in business process outsourcing. Another reason is the highly demanding and constantly changing regulatory environment. The fact that there was no international standard to perform the function of the SAS 70 and the fact that the AICPA aimed to converge with the international standards. Purpose of New Standards As with the SAS 70, the two new standards main purpose is to report on the internal controls of service organizations that pro-vide services to different user entities which outsource services to third party providers. Cloud Computing Management Audit/Assurance Program Special Publication , 145,

20 Ventajas y Desventajas de la Nube 20

21 LO BUENO Beneficios de la Nube: Reducción de costos al disminuir requerimientos de gestión de TI Mayor Gobernabilidad del Área de TI al concentrarse en temas de mayor relevancia Flexibilidad Mayor capacidad de almacenamiento, ya que se comparte infraestructura con otras organizaciones Mayores niveles de automatización Mayor movilidad/portabilidad 21

22 LO MALO Las preocupaciones alrededor de esta tendencia incluye la integridad de los datos, confidencialidad, privacidad, recuperación, problemas legales y de cumplimiento, así como limitantes de auditoria. Adicionalmente: Ubicación de los Datos: Riesgos inherentes a la naturaleza de los servicios ya que la información pudiera almacenarse en cualquier parte del mundo a expensas de las jurisdicciones aplicables Acceso a usuarios privilegiados: La mayor preocupación para las organizaciones son los riesgos inherentes al procesamiento de información sensible que pudiera ser confidencial y/o privada mediante el uso de redes publicas de datos. Adicionalmente el acceso no autorizado del personal del proveedor a los datos. Segregación de datos: Compartir los datos con otros clientes. Argumentos como la encriptación para la mitigación del riesgo puede deteriorar el desempeño de aplicaciones y en caso de haber un problema de integridad de datos y/o llaves el problema puede ser mayor. 22

23 LO MALO Recuperación: La importancia de la continuidad del negocio nuestra y del proveedor para garantizar la recuperación y puesta en marcha de la operatividad. Soporte a Investigaciones: Limitaciones en la investigación de actividad sospechosa si no existe un compromiso del proveedor de registrar la información de incidentes. Cumplimiento regulatorio: El cumplimiento legal y regulatorio es responsabilidad del cliente y al no tener la custodia de la información se pone en riesgo el control de la organización sobre la información. Soporte a largo plazo: El servicio es a largo plazo y las posibilidades de fusión o adquisición pone en riesgo la operatividad. 23

24 Richard Stallman, fundador de la Free Software Foundation y creador del sistema operativo GNU considera que el cómputo en la nube es una trampa orientada a forzar a cada vez mas personas a utilizar software restringido que generan sistemas propietarios que costaran cada vez mas en el futuro. Stallman considera que los usuarios deberían mantener su información en sus propias manos. Independientemente de nuestros ideales sociales y políticos, debemos reconocer que el computo en la nube llegó para quedarse y como responsables de la Seguridad de la Información debemos entender las implicaciones que vienen asociadas con el uso de estos servicios, los riesgos específicos que representa, incluyendo sus consecuencias e impactos y controles disponibles para proteger la información de nuestras organizaciones. 24

25 El CLOUD WASHING Gartner ha bautizado como el Cloud Washing al lavado de cerebro de soluciones y ofertas que lo único que tienen de cómputo en la nube es el nombre, pero que buscan aprovecharse de la atención y crecimiento que el tema ha alcanzado, 25

26 Ventajas y Desventajas de la Nube 26

27 Ventajas y Desventajas de la Nube 27

28 La Nube en Latinoamerica 28

29 Aceptación en LA de la computación en la Nube Actualmente no planean usar la computación en nube para los servicios de TI No hemos finalizado nuestros planes con respecto a la computación en la nube en este momento No sé los detalles de nuestro plan de cloud computing Tenemos la intención de limitar la computación en la nube a TI de bajo riesgo y servicios que no son de misión crítica Tenemos la intención de utilizar la computación en nube a servicios de TI de misión crítica 15% 17% 33% 23% 12% N=416 29

30 Tipo de Profesional Entrevistado Professor/teacher 2% Supervisor 12% Vice President 1% Director 10% External consultant 12% Professional 29% Manager 32% President/CEO 2% N=431 30

31 Riesgos de la Nube Video 31

32 Observamos 1. Seguridad 2. Integridad 3. Monitoreo y Evaluación 4. Responsabilidad 5. Credibilidad 6. Controles/Auditoría 7. SLA 8. Falsas expectativas 9. Terminología 10.Evaluación de Riesgos 11.Ubicación 12.Estándares 13.Dudas 14.Compromisos 15.Costos escondidos 16.Continuidad del Negocio 17.Riesgo Imagen 32

33 Dudas de Mayor Peso 1. La idea de que la seguridad de la información es un poco cuestionable. 2. La privacidad no puede ser 100 por ciento. 3. Preocupación por el lugar de almacenamiento de la información una vez que se envía a la nube. 4. Que le sucederá a la información si uno dejara de pagar el servicio de Cloud Computing. 33

34 Riesgos de la Nube 1. La pérdida de enfoque de negocio 2. Discrepancias contractuales 3. Diferencias entre las expectativas de negocio y las capacidades de los proveedores de servicios 4. Alteraciones del sistema de seguridad y confidencialidad 5. Pobre calidad del software, pruebas insuficientes y un alto número de fracasos 6. Problemas de seguridad con un ambiente público 7. Litigio 8. Deficiencias de control entre procesos realizados por el proveedor de servicios y la organización 9. Transacciones no válidas o transacciones procesadas incorrectamente 10. Controles costosos de compensación 11. Responsabilidades poco claras y la rendición de cuentas 12. Incapacidad de cumplir con la auditoría 13. Fraude 14. Mayores vulnerabilidades en los interfaces externas 15. La inmadurez de los proveedores de servicios 16. La creciente dependencia de los procesos de aseguramiento independiente 34

35 Riesgos de la Nube 17. Mayor magnitud de los riesgos de privacidad que afectan el cumplimiento contractual 18. La ubicación de la planta de procesamiento puede variar en función de balanceo de carga 19. Instalaciones en funcionamiento puede ser compartida con los competidores 20. Sistema de reducción de la disponibilidad y la integridad cuestionable de la información 21. Aumento de los riesgos en los centros de datos globales 22. Circulación transfronteriza de datos personales 23. Problemas de disponibilidad de la conectividad a Internet 24. Aspectos legales (responsabilidad, la propiedad, etc) 25. Solución incorrecta seleccionada o importantes requisitos faltantes 26. La falta de respuesta a los problemas de relación con las decisiones óptimas y aprobadas 27. Insuficiente asignación de recursos 28. Facturación inexacta 29. Reputación 30. La planta de procesamiento puede ser localizado a través de fronteras internacionales 35

36 Ejemplo de Riesgos de la Nube 36

37 Proceso de Selección de un Proveedor de Servicios en la Nube (MSP) 37

38 Selección de Proveedor Según Gartner 38

39 Como seleccionar un Proveedor de Servicios en la Nube (MSP) Tópicos a Evaluar Por tipo de servicio Fácil de usar Respaldo financiero Entendimiento del negocio Precalificar las empresas Empresa reconocida preferiblemente bajo este cuadrante Experiencia profesional, historias de éxito Inspección in-situ de las empresas Comprobación de la seguridad, fiabilidad Acuerdos de niveles de servicio favorables Condiciones favorables de contrato Fuete: Gartner, Magic Quadrants 39

40 Pasos para establecer una relación con un Proveedor de Servicios en la Nube (MSP 40

41 Bases para un contrato con un Proveedor de Servicios en la Nube (MSP) 41

42 42

43 43

44 44

45 45

46 46

47 Aspectos a tomar en cuenta al establecer un SLA con un Proveedor de Servicios en la Nube (MSP) 47

48 48

49 49

50 DISPONIBILIDAD: La regla de los nueves. 50

51 51

52 52

53 Marco Legal 53

54 CP/CAJP-2921/10 54

55 El panel sobre protección de datos personales se centró en la importancia de la privacidad y la protección de los datos personales Se indicó que la Unión Europea ha establecido el que se considera el marco internacional más amplio en materia de protección de datos. La Asamblea General de la OEA, en su cuadragésimo primer periodo ordinario de sesiones realizadas en San Salvador, del 5 al 7 de junio del 2011, recalcó la creciente importancia de la privacidad y la protección de datos personales, así como la necesidad de fomentar y proteger el flujo transfronterizo de información en las Américas y estudió un proyecto de principios y recomendaciones preliminares sobre la protección de datos personales, contenido en el documento CP/CAJP-2921/10 Rev.1 elaborado por el Departamento de Derecho Internacional 55

56 Estos principios incluyen: Legitimidad y justicia, Propósito específico, Limitados y necesarias, Transparencia, Rendición de cuentas, Condiciones para el procesamiento de datos, Revelación de información a los procesadores de datos, Transferencias internacionales, Derecho de la persona al acceso a la información, Derecho de la persona a corregir y suprimir sus datos personales, Derecho a objetar el procesamiento de datos personales, Legitimación para ejercer los derechos sobre el procesamiento de datos, Medidas de seguridad para proteger los datos personales, Deber de confidencialidad, y Control, cumplimiento y responsabilidad 56

57 Marco Legal Argentina: Ley de Protección de los Datos Personales, pero los diversos actores relacionados al tema concuerdan en que la actualización de la misma es urgente, puesto que presenta falencias similares a las encontradas en el resto de la región Chile: LEY Nº SOBRE PROTECCIÓN DE LA VIDA PRIVADA O PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL. Proyecto de Modificación a Ley de Protección de Datos de carácter personal, esto con el fin de garantizar que la información entregada a través de predictores de riesgo sea exacta, actualizada y veraz. Colombia: se viene discutiendo desde hace un mes la polémica "Ley Lleras", que regulará una serie de aspectos relacionados con la información, y que podría otorgarle a los proveedores de internet un fuerte control sobre los datos, algo que podría afectar positiva o negativamente dependiendo de su aplicación. Costa Rica: El pasado 5 de Septiembre, el Poder Ejecutivo de la República de Costa Rica publicó la Ley No de Protección de la Persona frente al Tratamiento de sus Datos Personales de 7 de Julio de El Salvador: Dos iniciativas de ley encaminadas a la protección de datos personales de los salvadoreños han sido presentadas por las fracciones de Cambio Democrático y ARENA para su discusión en el palacio legislativo. Perú: Con fecha 3 de julio de 2011 se ha publicado en el Diario Oficial El Peruano la Ley N Ley de Protección de Datos Personales. 57

58 Marco Legal Otras Regiones LOPD: Ley Orgánica de Protección de Datos que rige en España que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. RLOPD: Reglamento de desarrollo de la Ley Orgánica de protección de datos de carácter personal (RLOPD), supone un desarrollo reglamentario específico para la Ley Orgánica de Protección de Datos de Carácter Personal. Además el RLOPD también desarrolla un nuevo régimen a las medidas de seguridad exigibles Europa: La Directiva 95/46/CE constituye el texto de referencia, a escala europea, en materia de protección de datos personales. Crea un marco regulador destinado a establecer un equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre circulación de datos personales dentro de la Unión Europea (UE). SHPP (Safe Harbor Privacy Policy ) El Departamento de Comercio de Estados Unidos, la Comisión Europea y el Comisionado Federal Suizo para la Información y Protección de Datos han acordado un conjunto de principios de protección de datos y preguntas frecuentes (los "principios de Puerto Seguro") para que las empresas estadunidenses puedan cumplir con los requisitos legales de la Unión Europea y Suiza que exigen brindar una protección adecuada a la información personal transferida desde la Unión Europea o Suiza hacia los Estados Unidos. 58

59 BOLIVIA Toda persona individual o colectiva que crea estar indebida o ilegalmente impedida de conocer, objetar u obtener la eliminación o rectificación de los datos registrados por cualquier medio físico, electrónico, magnético o informático, en archivos o bancos de datos públicos o privados, o que afecten a su derecho fundamental a la intimidad y privacidad personal o familiar, o a su propia imagen, honra y reputación, podrá interponer la Acción de Protección de Privacidad. 59

60 Constitución Española Artículo 18.4 de la Constitución Española de 1978: La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. LOPD Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento 60

61 La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. 61

62 Conclusiones Establecer la conveniencia o justificación institucional Selección clara de los aspectos a subir a la Nube Elaborar un análisis de riesgo IT e Institucional Considerar las implicaciones de regulaciones internacionales Apegarse a un marco legal, normativas, políticas o estándares Uso de marcos de referencia NIST, CSA, Otros Selección adecuada del Cloud MSP Establecer los SLA Demandar la transparencia del proveedor Incluir al Área Legal y Auditoría en los proyectos Supervisión adecuada (Auditoría Interna, SAES 16, ISAE 3402 (SAS70), Certificaciones) 62

63 Bibliografía NIST , 145, 146 ISACA Felaban Gartner Group CSA CSO Microsoft B-SECURE OEA Publicaciones Internet 63

64 64

65 GRACIAS! Héctor R. Ortiz G. (CISM) Carlos Mauricio Fiallos 65