Luciano Moreira da Cruz. Vicepresidente, CSA Argentina. Leonardo Rosso Presidente, CSA Argentina

Transcripción

1

2 Luciano Moreira da Cruz Vicepresidente, CSA Argentina Leonardo Rosso Presidente, CSA Argentina

3

4 Partes interesada en la nube en las organizaciones Clientes Business managers, CEO/CFO CIO Legal Security Están mis datos Seguros? La satisfacción del cliente, retorno de la inversión, el EBITDA ROI, Arquitectura del Sistema, migraciones Tratamiento de datos y sus jurisdicciones, Privacidad Arquitectura segura, monitoreo, análisis de amenazas

5

6

7 La confianza una de las principales cartas que tiene los proveedores al momento de diferenciarse de sus competidores

8 Confianza y la nube que debemos tener en cuenta?

9 Proveedor CLOUD Cliente CLOUD

10 OCF - Estructura del Esquema de Certificación Abierto

11

12 criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento (GRC) en nubes privadas, públicas o híbridas -stack/

13 Delivering Stack Pack Descripción Formado por 4 proyectos La monitorización continua... con un propósito Cloud Controls Matrix (CCM) Consensus Assessments Initiative (CAI) Cloud Audit Cloud Trust Protocol (CTP) Pedidos, ofertas, y la base para la prestación de servicios de auditoría Impacto en la industria Criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento Pilotos técnicos Certificación de proveedores a través del programa STAR listas de comprobación previa a la auditoría y cuestionarios para inventariar los controle Las bases recomendadas para los controles las técnicas comunes y la nomenclatura para solicitar y recibir evidencia y comprobación de las circunstancias actuales del servicio de nube de los proveedores interfaz común y un espacio de nombres para automatizar la auditoría, aserción, evaluación y aseguramiento (A6) de entornos de nube formas aceptadas por la industria para documentar los controles de seguridad existentes Principios fundamentales de seguridad con las especificaciones de las necesidades globales de seguridad de una nube, para que los consumidores puedan evaluar el riesgo general de seguridad de un proveedor de la nube

14 CSA GRC ecuación de valor Contribuciones para los consumidores y proveedores Qué requisitos de control debería tener como consumidor de nube o proveedor de la nube? Cómo pregunto acerca de los requisitos de control que están cumpliendo (consumidor) o expresar mi reclamo de respuesta de un control (proveedor)? Demandas estáticas y garantías Cómo puedo anunciar y automatizar mis demandas de auditoría para los diferentes mandatos de cumplimiento y obligaciones de control? Dinámica (continua) monitoreo y la transparencia Cómo sé que los controles que necesito están trabajando para mí ahora (consumidor)? Cómo puedo proporcionar seguridad real y la transparencia del servicio a todos mis usuarios de la nube (proveedor)?

15

16 Cuestionario para la Documentación de Controles de Seguridad en Servicios de Cloud Computing.

17 Application Security AIS-01 Data Focus Risk Assessments GRM-02 VMM Security - Hypervisor Hardening IVS-11 Customer Access Requirements AIS-02 Management Oversight GRM-03 Wireless Security IVS-12 Data Integrity AIS-03 Management Program GRM-04 Network Architecture IVS-13 Data Security / Integrity AIS-04 Management Support/Involvement GRM-05 APIs IPY-01 Audit Planning AAC-01 Policy GRM-06 Data Request IPY-02 Independent Audits AAC-02 Policy Enforcement GRM-07 Policy & Legal IPY-03 Information System Regulatory Mapping AAC-03 Policy Impact on Risk Assessments GRM-08 Standardized Network Protocols IPY-04 Business Continuity Planning BCR-01 Policy Reviews GRM-09 Virtualization IPY-05 Business Continuity Testing BCR-02 Risk Assessments GRM-10 Anti-Malware MOS-01 Datacenter Utilities / Environmental Conditions BCR-03 Risk Management Framework GRM-11 Application Stores MOS-02 Documentation BCR-04 Asset Returns HRS-01 Approved Applications MOS-03 Environmental Risks BCR-05 Background Screening HRS-02 Approved Software for BYOD MOS-04 Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing. Equipment Location BCR-06 Employment Agreements HRS-03 Awareness and Training MOS-05 Equipment Maintenance BCR-07 Employment Termination HRS-04 Cloud Based Services MOS-06 Equipment Power Failures BCR-08 Mobile Device Management HRS-05 Compatibility MOS-07 Impact Analysis BCR-09 Non-Disclosure Agreements HRS-06 Device Eligibility MOS-08 Policy BCR-10 Roles / Responsibilities HRS-07 Device Inventory MOS-09 Retention Policy BCR-11 Technology Acceptable Use HRS-08 Device Management MOS-10 New Development / Acquisition CCC-01 Training / Awareness HRS-09 Encryption MOS-11 Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA Outsourced Development CCC-02 User Responsibility HRS-10 Jailbreaking and Rooting MOS-12 Quality Testing CCC-03 Workspace HRS-11 Legal MOS-13 Unauthorized Software Installations CCC-04 Audit Tools Access IAM-01 Lockout Screen MOS-14 Production Changes CCC-05 Credential Lifecycle / Provision Management IAM-02 Operating Systems MOS-15 Classification DSI-01 Diagnostic / Configuration Ports Access IAM-03 Passwords MOS-16 COBIT, PCI, NIST, Jericho Forum and NERC CIP Data Inventory / Flows DSI-02 Policies and Procedures IAM-04 Policy MOS-17 ecommerce Transactions DSI-03 Segregation of Duties IAM-05 Remote Wipe MOS-18 Handling / Labeling / Security Policy DSI-04 Source Code Access Restriction IAM-06 Security Patches MOS-19 Non-Production Data DSI-05 Third Party Access IAM-07 Users MOS-20 Ownership / Stewardship DSI-06 Trusted Sources IAM-08 Contact / Authority Maintenance SEF-01 Secure Disposal DSI-07 User Access Authorization IAM-09 Incident Management SEF-02 Asset Management DCS-01 User Access Reviews IAM-10 Incident Reporting SEF-03 Controlled Access Points DCS-02 User Access Revocation IAM-11 Incident Response Legal Preparation SEF-04 Equipment Identification DCS-03 User ID Credentials IAM-12 Incident Response Metrics SEF-05 Off-Site Authorization DCS-04 Utility Programs Access IAM-13 Data Quality and Integrity STA-01 Off-Site Equipment DCS-05 Audit Logging / Intrusion Detection IVS-01 Incident Reporting STA-02 Policy DCS-06 Change Detection IVS-02 Network / Infrastructure Services STA-03 Secure Area Authorization DCS-07 Clock Synchronization IVS-03 Provider Internal Assessments STA-04 Unauthorized Persons Entry DCS-08 Information System Documentation IVS-04 Supply Chain Agreements STA-05 User Access DCS-09 Management - Vulnerability Management IVS-05 Supply Chain Governance Reviews STA-06 Entitlement EKM-01 Network Security IVS-06 Supply Chain Metrics STA-07 Key Generation EKM-02 OS Hardening and Base Conrols IVS-07 Third Party Assessment STA-08 Sensitive Data Protection EKM-03 Production / Non-Production Environments IVS-08 Third Party Audits STA-09 Storage and Access EKM-04 Segmentation IVS-09 Anti-Virus / Malicious Software TVM-01 Baseline Requirements GRM-01 VM Security - vmotion Data Protection IVS-10 Vulnerability / Patch Management TVM-02 Mobile Code TVM-03

18

19 STAR plataforma que ofrece un registro público de servicios de cloud computing, en el cual se describen los controles de seguridad implementados en cada uno de ellos.

20

21 No se olviden que la privacidad es la base de la Confianza en un servicio Cloud, sobre todo sobre servicios de Cloud tercerizados o subgestionados.

22

23 Conclusión human ingenuity could not construct a cipher which human ingenuity could not solve.

24

25 CSA Research Portfolio Nuestro centro de investigación incluye proyectos fundamentales necesarios para definir y poner en práctica la confianza en el futuro de la tecnología de la información CSA sigue siendo agresiva en la producción de investigación fundamental, educación y herramientas +30 Grupos de Trabajo a nivel Global

26 lucianomoreiradacruz leonardo.rosso

27 @CSA_AR Gracias facebook.com/csaargentina