A qué huelen las nubes?: seguridad y privacidad del cloud computing

Transcripción

1 A qué huelen las nubes?: seguridad y privacidad del cloud computing 5º Encuentro Internacional de la Seguridad de la Información (ENISE) León, 26 de octubre de 2011 Pablo Pérez San-José Gerente del Observatorio (INTECO) OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

2 Índice Qué es el cloud computing? La nube: una oportunidad para las AA.PP. Gestión de riesgos de la nube Marco de confianza Conclusiones INTECO y el cloud computing 2

3 A qué huelen las nubes? Qué es el cloud computing? Oportunidades para las AA.PP. La decisión de dar el salto a la nube 3

4 Qué es Cloud Computing? Concepto Si preguntas a cinco especialistas del sector TIC qué es cloud computing, es posible que obtengas cinco respuestas distintas. Eso se debe en parte a que el cloud computing es el último y más avanzado desarrollo de una tendencia que ha venido creciendo en los últimos años Russel Kay Computer World 4

5 Qué es Cloud Computing? Evolución en su adopción: niveles de servicio Evolución en la adopción del cloud computing Alta Internalización SaaS Institucionalización ADOPCIÓN Adopción PaaS Percepción positiva IaaS Comprensión Baja Conciencia Inconsciencia TIEMPO 5

6 Qué es Cloud Computing? Tipos de nubes Pública Privada Híbrida Comunitaria GESTIÓN DE LA NUBE PROPIEDAD DE LA INFRAESTRUCTURA UBICACIÓN CLIENTES EN LA NUBE PÚBLICA Proveedor externo Proveedor externo Externa Uno o varios PRIVADA Organización o proveedor externo HÍBRIDA Ambos Ambos COMUNITARIA Por la comunidad o proveedor externo Organización o proveedor externo Por la comunidad o proveedor externo Interna o externa Interna y externa Interna o externa Uno Uno o varios Varios 6

7 Qué es Cloud Computing? Oportunidades para las AA.PP. Ahorro y optimización de costes tecnológicos Reutilización de servicios tecnológicos Flexibilidad en el dimensionamiento de recursos Posibilidades de estandarización tecnológica e interoperabilidad 7

8 La decisión de dar el salto a la nube FACTORES A FAVOR Abstracción Escalabilidad Flexibilidad Reducción coste Dedicación esfuerzos al negocio Accesibilidad Seguridad más robusta Transferencia del riesgo FACTORES EN CONTRA Privacidad Confianza Cumplimiento normativo Deslocalización de los datos Disponibilidad de los datos Gestión de riesgos corporativos 8

9 Gestión de riesgos de la nube Fuentes de riesgo para la seguridad, la privacidad y la econfianza Identificación de riesgos y su impacto Medidas de control de riesgos Marco de confianza 9

10 Principales fuentes de riesgo SEGURIDAD La información sale de la organización y circula por redes públicas Aplicaciones desarrolladas y mantenidas por terceros Uso de nuevas tecnologías con nuevas vulnerabilidades La operación de la seguridad también se externaliza Surgen necesidades de cómo controlar las actividades del proveedor 10

11 Principales fuentes de riesgo PRIVACIDAD Cumplimiento normativo: multilocalización, trazabilidad de los datos y tratamientos por cuenta de terceros. Garantizar la integridad de la información Controlar el acceso a los datos, especialmente en nubes públicas Prevenir la pérdida de información y garantizar la disponibilidad en el acceso 11

12 Principales fuentes de riesgo CONFIANZA Y E-CONFIANZA Disponibilidad de las comunicaciones/datos y la actividad de los servicios (incluyendo el plan de continuidad de negocio). Dependencia en el cumplimiento normativo más allá de la privacidad (ENS, ENI) Cómo asegurar el control sobre los activos alojados en la nube Confianza de terceras partes (stakeholders) 12

13 Gestión de riesgos en la nube 13

14 Gestión de riesgos en la nube 14

15 Gestión de riesgos en la nube Cumplimiento Normativo: LOPD LSSI LISI Ley Firma electrónica LAESCSP ENS y ENI Estándares: ISO BS25999 ISO 2000 SAS 70 Marco de confianza para el cloud computing Contratación: Acuerdos de nivel de servicio (SLAs) Auditorías de servicio Evaluación de proveedores Gestión del riesgo: Análisis periódico de riesgos y procesos de control Cuadros de mando y auditoría remota Plan de continuidad de negocio 15

16 Conclusiones 16

17 Conclusiones La nube ya está aquí y va a ir a más Existe una gran cautela en llevar a la nube datos o procesos críticos Como otros grandes cambios tecnológicos (IPv4, Wifi, virtualización) la seguridad no ha sido un factor contemplado en su desarrollo. Las decisiones generalmente se toman por coste no incorporarán la opinión de la seguridad La reducción del riesgo se enfrenta directamente al mismo concepto de la nube 17

18 Conclusiones La nube es una oportunidad para las AAPP tanto como prestatarias como prestadoras de los servicios cloud Aspectos clave: Clasificación y protección de la información Gestión del riesgo Cumplimiento de la normativa Garantías contractuales Auditoría y best practices La formación/concienciación de los responsables de las AA.PP. es crucial para implantar y gestionar adecuadamente los servicios cloud (prestados desde/para las AA.PP.) 18

19 INTECO y el cloud computing Guía para empresas: seguridad y privacidad del cloud computing Estudio sobre el impacto del cloud computing sobre el canal de distribución de software en España Estudio sobre cloud computing en las AA.PP. españolas 19

20 Estudio INTECO Cloud AAPP Metodología PROYECTO INTECO SOBRE EL CLOUD COMPUTING EN LAS AA.PP. ESPAÑOLAS ESTUDIO Diagnóstico GUÍA PRÁCTICA Formación y concienciación Análisis documental encuestas a AAPP + 20 entrevistas expertos A.G.E. Autonómica y Local Guía divulgativa con pautas para la identificación y gestión de riesgos del cloud computing en AAPP 20

21 Estudio INTECO Cloud AAPP Resultados esperados Implantación de la nube en la Admón Pública Principales riesgos y requisitos normativos Marco regulatorio Análisis de casos de éxito Buenas prácticas aplicables Impacto económico 21

22 Muchas gracias