Protección de la información en la nube

Transcripción

1 Protección de la información en la nube Considerar la seguridad antes de entrar en la nube Jorge Laredo, CISM, CISA, CISSP, PMP Security Project Manager Hewlett-Packard

2 Qué proveedor? Compañía Reputación, viabilidad, problemas de seguridad, clientes, Seguridad Políticas, estándares, certificaciones, personal, Cumplimiento Protección de datos, soluciones, personal Auditoría Tipos de auditoría externa, auditabilidad 2 SLA Características, nivel, garantías Resolución de problemas Jurisdicción, mecanismos

3 Cumplimiento, protección de datos y auditoría Clave para decidir cómo y para qué usar la Nube Regulaciones aplicables. Aspectos legales: La delegación no exime de la responsabilidad! División de responsabilidades del cumplimiento entre el proveedor de servicio y el cliente. Capacidad del proveedor de servicio para proporcionar las evidencias necesarias para el cumplimiento. Transferencias internacionales de datos personales Papel de cliente para salvar el gap entre el proveedor y el auditor/asesor. 3

4 Enfoque para la seguridad en la nube Extender la seguridad a las personas, procesos y tecnología Privacidad y Protección de Datos Mantener la disponibilidad, integridad y privacidad de los datos y la información ante pérdidas, robos o compromiso, ya sea mientras está almacenada o en uso. Infraestructura de Seguridad Identificar amenazas y vulnerabilidades, desplegar contramedidas para mitigar el riesgo y responder a los incidentes 4 Amenazas de seguridad Desafíos de Negocio Mitigar el Riesgo Gestión del Gobierno de la seguridad, los Riesgos y el Cumplimiento (GRC) Soporte a las políticas especificas a nivel de industria y territorio, así como a las regulaciones, permitiendo a los clientes obtener el máximo valor de su información manteniendo ésta segura Desafíos de Gestión Gestión de identidades y Control de Accesos Proporcionar aseguramiento de la identidad estableciendo relaciones de confianza entre individuos, sistemas, servicios y partners a la vez que se securiza el acceso

5 Seguridad en la nube: componentes Seguridad en la Nube Privacidad y y de Protección de de Gobierno, Riesgos & Gestión de & Datos Cumplimiento Identidades Modelado de datos y Obligaciones AAA AAA Modelado sistemas: de datos Obligaciones y Alineamiento con la Federación sistemas: Clasificación, Clasificación, Alineamiento política con la Gestión dinámica de Viabilidad del Gestión altas y bajas dinámica de localización, uso, acceso política acceso proveedor altas Auditorías y bajas Modelado de Viabilidad del proveedor Modelado de Contrato Auditorías Logs Infraestructura, Contrato Fin o fracaso? Informes Logs plataformas y Fin Niveles o fracaso? de servicio Integración con Niveles de Auditoría Informes aplicaciones aplicaciones Niveles de servicio Seguridad de las Roles y Integración Modelos de con cifrado y Seguridad aplicaciones de las Niveles Responsabilidades de Auditoría aplicaciones gestión de claves aplicaciones Continuidad de Roles Modelo y Responsabilidades Continuidad SOA negocio Negocio, Gestión Modelos de cifrado y Continuidad de negocio Modelo de Continuidad de de incidentes gestión de claves Responsabilidades Negocio, Gestión de Soporte Aplicaciones SOA incidentes Soporte Aplicaciones Preparado? Infraestructura de Seguridad Infraestructura de Seguridad Seguridad física Seguridad física de los centros Seguridad de datos lógica Seguridad lógica Test de intrusión Test de intrusión Bastionado Virtualización Aislamiento Planificación de la capacidad Planificación IDS/IPS, capacidad etc. Puestos IDS/IPS, cliente etc. /Dispositivos Puestos cliente Redes (VPN, NAC, ) Almacenamiento /Dispositivos Integración Aplicaciones Redes (VPN, NAC, ) Almacenamiento Integración Aplic. 5

6 Al final Доверяй, но проверяй (doveray, no proveray) Proverbio ruso 6

7 Let s do amazing