INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

Transcripción

1 INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215

2 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados (Técnica)... 8 Nivel de Madurez (Técnica) Acerca de Cloud Security Alliance (CSA) Misión del Capítulo Grupos de investigación Contacto CSA 215 Cloud Security Alliance All Rights Reserved 1

3 215 Objetivo y metodología OBJETIVO DE LA ENCUESTA Conocer la percepción de los usuarios y profesionales de IT / Seguridad con respecto a los proveedores de Cloud Computing, con el objetivo de evaluar las características de Seguridad y Técnicas Obtener una visión local con relación a los proveedores externos y locales de Cloud Computing. METODOLOGIA DE LA ENCUESTA Encuesta: a 2 profesionales/ usuarios de servicios de Cloud durante los eventos InfoSecurity y CIBER 215 en Argentina La encuesta tenía 4 tipos de respuesta: *Si: Cuando el proveedor cumple con la característica consultada. *Probablemente Si: Cuando el participante no está seguro si el Proveedor cumple con la característica consultada en la pregunta *Probablemente no: Cuando el participante no está seguro si el Proveedor cumple con la característica consultada en la pregunta. *No: Cuando el proveedor no cumple con la característica consultada. Resumen Ejecutivo Para muchas organizaciones todavía no es un concepto claro y sus beneficios para la empresa pueden resultar confusos. Atendiendo a la definición dada por el NIST (National Institute of Standards and Technology), el cloud computing o computación en la nube es un modelo tecnológico que permite el acceso ubicuo, adaptado y bajo demanda en red a un conjunto compartido de recursos de computación configurables (por ej. redes, servidores, almacenamiento, aplicaciones y servicios), que pueden ser rápidamente aprovisionados y liberados con un esfuerzo de gestión reducido o interacción mínima con el proveedor del servicio. La tecnología que facilita el desarrollo de este nuevo escenario es la virtualización que permite desacoplar el hardware del software haciendo posible replicar el entorno del usuario sin tener que instalar y configurar todo el software que requiere cada aplicación. Con las máquinas virtuales se consigue distribuir las cargas de trabajo de un modo sencillo dando lugar a un nuevo paradigma, el cloud computing. Para poder entender de una manera rápida y sencilla cuales son las claves del concepto del cloud computing, se recurre a una serie de características principales que lo diferencian de los sistemas tradicionales de TI: Pago por uso. Permite la facturación basada en el consumo. Abstracción. Permite aislar los recursos informáticos contratados al proveedor de los equipos informáticos de la entidad. Agilidad en la escalabilidad. Permite aumentar o disminuir de manera dinámica las funcionalidades ofrecidas en función de las necesidades del propio cliente. Multiusuario. Permite a todos los usuarios el consumo de un determinado servicio o recurso desde una misma plataforma tecnológica, adaptándose a sus necesidades. Autoservicio bajo demanda. Permite al usuario el acceso a las capacidades de computación en la nube de forma automática sin tener que comunicarse con el proveedor. Acceso sin restricciones. Hace posible el acceso de forma ubicua a los servicios contratados en cualquier lugar/momento y con cualquier dispositivo con acceso a la Red. Las soluciones de cloud computing disponibles en el mercado se clasifican atendiendo a tres dimensiones: Familias (modelos de servicio): Infrastructure as a Service (IaaS), Software as a Service (SaaS), Platform as a Service (PaaS) y Business Process as a Service (BPaaS). Formas de implementación (formas de integración y explotación): cloud público, cloud privado, cloud híbrido y cloud de comunidad. Agentes intervinientes en el negocio: habilitador, proveedor, intermediario, suscriptor y auditor. CSA 215 Cloud Security Alliance All Rights Reserved 2

4 215 Resultados (Seguridad) La primera encuesta relacionada con las características de seguridad obtuvimos los siguientes resultados Característica 1: Manejo de los incidentes de seguridad definido procedimientos de comunicación con los usuarios en caso de algún incidente? Su Proveedor utiliza controles para mitigar las técnicas de ataques ya conocidas (por ejemplo, DoS, escaneo de puertos, etc.)? El proveedor dispone de un canal de comunicación para que los usuarios puedan reportar anomalías y/o incidentes de seguridad? controles para prevenir o minimizar el impacto de actividades maliciosas (dentro y fuera de la empresa)? Su Proveedor permite participar al prestador de servicios en la mitigación de incidentes de seguridad? Característica 2: Recuperación ante incidentes de seguridad (Resiliencia) Su Proveedor cuenta con procedimientos de recuperación de las operaciones ante incidentes y/o desastres? niveles de prioridad para la recuperación de datos y/o servicios? planes de Continuidad de negocios? Su Proveedor aplica conceptos como RTO (Recovery Time Objective) y RPO (Recovery Point Objective) en las estrategias de protección de los datos? procedimientos de análisis post incidentes de seguridad (análisis forense)? Característica 3: Encriptación de datos y redes Su Proveedor encripta los datos y/o el tráfico de datos? procedimientos para incidentes en los que se vean comprometidos las llaves? La renovación de llaves es efectiva simultáneamente en diferentes sitios? Su Proveedor informa cuál es la solución usada para encriptar los datos y redes? controles de seguridad para encriptar los datos y/o tráfico? CSA 215 Cloud Security Alliance All Rights Reserved 3

5 215 Característica 4: Prevención de incidentes de seguridad procedimientos para detectar, identificar, analizar y responder a los posibles incidentes de seguridad? buenas políticas de configuración de equipos para prevenir ataques o incidentes de seguridad? definidas las responsabilidades en su equipo para actuar ante algún incidente? Su Proveedor informa si ya probó anteriormente los procedimientos de detección, identificación, análisis y respuesta ante incidentes de seguridad? Su Proveedor muestra información a los clientes de antiguos incidentes de seguridad? Característica 5: Prueba de vulnerabilidades Su Proveedor evalúa frecuentemente las posibles vulnerabilidades en los recursos ofrecidos? Su Proveedor verifica que las nuevas versiones de las soluciones ofrecidas no tienen vulnerabilidades? Su Proveedor permite al usuario realizar pruebas de vulnerabilidades en sus recursos? Su Proveedor muestra los resultados de las evaluaciones de vulnerabilidades en sus recursos? Su Proveedor realiza los cambios necesarios para mitigar o eliminar las vulnerabilidades detectadas en las evaluaciones? Característica 6: Auditorías Su Proveedor realiza auditorias periódicamente? Su Proveedor informa al usuario si realiza auditorias para evaluar sus recursos? Su Proveedor muestra los resultados de las auditorías a los usuarios? Su Proveedor realiza los cambios necesarios para mitigar o eliminar las fallas detectadas en las auditorias? Su Proveedor permite al usuario realizar auditorías a sus recursos? CSA 215 Cloud Security Alliance All Rights Reserved 4

6 215 Característica 7: Seguridad mínima ofrecida Su Proveedor utiliza estándares de seguridad en los equipos de la red, dispositivos, infraestructura de redes, etc. (por ejemplo, ISO 271)? Usted sabe si los recursos utilizados por su Proveedor tienen vulnerabilidades ya conocidas? Su Proveedor exige a los usuarios requerimientos mínimos de seguridad (por ejemplo, antivirus actualizado, parches en sistemas operativos, etc.)? procesos o procedimientos para la eliminación o destrucción de datos? Su Proveedor informa al usuario lo que sucede con los equipos retirados de la red? Característica 8: Definición de privilegios de los usuarios Los términos del contrato especifican las políticas de escalamiento de privilegios de los usuarios? Los niveles de privilegios están definidos por acciones (lectura, escritura, eliminación)? administración, control y seguridad de los accesos de mayores privilegios? políticas de modificación de privilegios en caso de emergencia? Los términos del contrato especifican las políticas de eliminación de privilegios de los usuarios? Característica 9: Administración de accesos de los usuarios Su Proveedor informa de las políticas de autenticación y/o autorización de los usuarios en la red? políticas de control de acceso remoto? Su Proveedor considera Su Proveedor retira los las políticas de privilegios otorgados a los autorización y prestadores de servicio autenticación durante un luego de finalizar el pedido de escalamiento trabajo realizado? no planeado? Su Proveedor revisa frecuentemente los accesos otorgados? CSA 215 Cloud Security Alliance All Rights Reserved 5

7 215 Característica 1: Compartimiento de recursos Su Proveedor informa de las políticas de autenticación y/o autorización para los usuarios que comparten recursos? control de las actividades de los otros usuarios que comparten recursos con usted (si fuera el caso)? Su Proveedor garantiza la protección de los recursos compartidos por usuarios de acciones como escaneo de puertos y vulnerabilidades realizadas por otros usuarios? Su Proveedor delimita el uso de los recursos entre los usuarios? Su Proveedor garantiza que los recursos de los clientes estarán totalmente aislados de otros usuarios? Característica 11: Definición de roles y responsabilidades Los términos del contrato definen claramente los roles y responsabilidades de su Proveedor y del usuario? Los términos del contrato definen la participación de prestadores de servicios? Su Proveedor detalla las obligaciones y acuerdos de confidencialidad de los dados? El contrato establece al usuario como propietario de los datos? El contrato establece penalidades para los participantes, en caso no se cumpla alguna cláusula? Característica 12: Perfil del personal del proveedor Su Proveedor verifica la información del personal al que contrata (identidad, referencias laborales, antecedentes policiales, etc.)? El personal de su Proveedor tiene los conocimientos mínimos de seguridad? El personal de su Proveedor firma algún acuerdo de confidencialidad de la información? Su Proveedor revisa Su Proveedor garantiza frecuentemente los que el acceso a los datos y accesos y/o privilegios aplicaciones están otorgados al personal de restringidos al personal la empresa? de la empresa? CSA 215 Cloud Security Alliance All Rights Reserved 6

8 215 Nivel de Madurez (Seguridad) Al ser una encuesta de percepción este grafico nos muestra el nivel de madurez que actualmente los encuestados perciben en relación a las características de seguridad de sus proveedores de Cloud Computing. 1: Compartimiento de recursos 12: Perfil del personal del proveedor 11: Definición de roles y responsabilidades 1: Manejo de los incidentes de seguridad : Recuperación ante incidentes de seguridad (Resiliencia) 3: Encriptación de datos y redes 4: Prevención de incidentes de seguridad 9: Administración de accesos de los usuarios 5: Prueba de vulnerabilidades 8: Definición de privilegios de los usuarios 7: Seguridad mínima ofrecida 6: Auditorías CSA 215 Cloud Security Alliance All Rights Reserved 7

9 215 Resultados (Técnica) La segundad encuesta relacionada con las características de Técnicas obtuvimos los siguientes resultados Característica 1: Lock-In / Dependencia de los productos de un Proveedor específico Su proveedor ofrece soluciones y/o tecnologías propias, que son compatibles con otras tecnologías ya existentes en el mercado? Las soluciones y/o tecnologías usadas por su Proveedor pueden ser utilizadas por otro Proveedor? portabilidad de los datos y servicios desarrollados con él? La solución ofrecida por su Proveedor para clasificar los datos se adecúa a la que usted usualmente usa? La solución y/o tecnología ofrecida por su Proveedor tiene alguna restricción? Característica 2: Aplicación de parches Su proveedor tiene políticas de aplicación de parches al software y/o sistema operativo que utiliza? Su proveedor aplica estos parches sólo cuando el grado de la vulnerabilidad es alto? Su proveedor informa al usuario cuando va a aplicar un parche al software y/o sistema operativo? Su proveedor informa al usuario los riesgos de la aplicación del parche? Su proveedor cuenta con procedimientos de rollback en caso la aplicación del parche tuviera problemas? Característica 3: Recursos ofrecidos información detallada del Hardware/Software/Sistema operativo que utiliza? Su Proveedor evalúa inicialmente la compatibilidad de los recursos ofrecidos con los usuarios, para descartar problemas en la migración? Su Proveedor evalúa los posibles riesgos a ocurrir antes de la implementación? capacitaciones técnicas de los servicios y soluciones ofrecidas al usuario? Su Proveedor usa la hora de un servidor NTP para grabar los logs? CSA 215 Cloud Security Alliance All Rights Reserved 8

10 215 Característica 4: Desarrollo de soluciones La solución ofrecida por su Proveedor le permite realizar los cambios que requiere para adecuarse a las políticas de su organización? APIs estandarizadas para el desarrollo de sus soluciones? Su Proveedor evalúa las aplicaciones desarrolladas por el usuario antes de pasarlas a producción, a fin de verificar si generan riesgos para los otros usuarios? Es posible que un usuario evalúe las nuevas versiones de los aplicativos ofrecidos por el proveedor antes de ponerlas en producción? Su Proveedor utiliza controles o estándares (por ejemplo OWASP, Sans Checklist, etc.) para proteger la integridad de los datos? Característica 5: Migración de datos, procesos y/o servicios APIs para la migración inicial de sus datos (para un nuevo usuario, desde otro Proveedor Cloud Computing y/o para mudar a otro Proveedor Cloud Computing)? Existen APIs y procedimientos documentados para exportar datos en la nube? En caso no ofrezca estos APIs, los términos del contrato indican si su Proveedor ofrece ayuda técnica para la migración de los datos? planes o procedimientos de migración de datos establecidos? Sabe si el formato usado por sus datos puede ser usado para migrar hacia otros proveedores? Característica 6: Logs operacionales almacenamiento de logs (operacionales y de seguridad) requeridos por el usuario? Su Proveedor informa el periodo de tiempo que los logs son almacenados? Usted sabe donde son almacenados físicamente los logs? métodos para revisar y proteger la integridad de los logs? procedimientos efectivos de recuperación de logs? CSA 215 Cloud Security Alliance All Rights Reserved 9

11 215 Característica 7: Actualización de versiones Su Proveedor informa al usuario de los procedimientos de aplicación de actualización de versiones al software o sistema operativo usado? Su Proveedor informa al usuario cuando va a aplicar una actualización de versión al software o sistema operativo? Su Proveedor informa al usuario de los riesgos de la aplicación de la actualización? Su Proveedor cuenta con procedimientos de rollback en caso la actualización no fuera exitosa? Su Proveedor se hace responsable si la actualización genera problemas en los usuarios? Característica 8: Procesamiento de la información prioridades para el proceso de sus requerimientos? En el caso de recarga en el procesamiento de la información, su Proveedor ofrece prioridades para el proceso de algunas transacciones? En caso de fallas en el procesamiento de la información, su Proveedor ofrece prioridades para atender sus requerimientos? Existe un tiempo de espera mínimo para el atendimiento de sus requerimientos? medidas técnicas y organizativas que garantían el correcto funcionamiento del proceso de la información? Característica 9: Almacenamiento de datos una gran capacidad de almacenamiento de datos, comparado con otros proveedores del mercado? el servicio de copias de respaldo (backup) de la información? métodos que garanticen la destrucción de medios magnéticos o eliminación de datos, si lo requiere el usuario? Su Proveedor informa cómo van a ser recolectados, procesados y transmitidos los datos a los usuarios? Su Proveedor asume responsabilidad alguna si los datos no están disponibles cuando el usuario lo requiere? CSA 215 Cloud Security Alliance All Rights Reserved 1

12 215 Característica 1: Escalamiento de recursos El escalamiento de recursos ofrecido por su Proveedor es inmediato? El escalamiento de recursos es flexible a los requerimientos de los usuarios? Su Proveedor informa al usuario de las restricciones aplicadas para el escalamiento? procedimientos para escalamiento de recursos no planeados con anticipación? Su Proveedor hace efectivas las políticas de autorización y autenticación durante un pedido de escalamiento de recursos no planificado? Característica 11: Tercerización de servicios servicios administrados por un prestador de servicios? De ser el caso, su Proveedor informa al cliente cuales de sus servicios son administrados por el prestador de servicios? definidas claramente las actividades que irán a ser ejecutadas por los prestadores? definidos los accesos (físicos y lógicos) que serán otorgados a los prestadores? El usuario puede auditar las actividades de los prestadores? CSA 215 Cloud Security Alliance All Rights Reserved 11

13 215 Característica 12: Costos El contrato establece El contrato establece claramente los precios a algún pago adicional por pagar al Proveedor por los la variación de los servicios/productos servicios/productos adquiridos? adquiridos por parte del Proveedor? El contrato establece algún pago por concepto de licencia de uso de los servicios de los productos del Proveedor? Su Proveedor estructura los costos de los productos basados en los tipos de servicios ofrecidos (por ejemplo, en el caso de almacenamiento de datos, establece un límite de capacidad de almacenamiento)? protección de los precios (Price Protection)? Nivel de Madurez (Técnica) Al ser una encuesta de percepción este grafico nos muestra el nivel de madurez que actualmente los encuestados perciben en relación a las características técnicas de sus proveedores de Cloud Computing. 11: Tercerización de servicios 1: Escalamiento de recursos 1: Lock-In / Dependencia de los productos de un Proveedor específico 6 12: Costos 2: Aplicación de parches : Recursos ofrecidos 4: Desarrollo de soluciones 9: Almacenamiento de datos 5: Migración de datos, procesos y/o servicios 8: Procesamiento de la información 7: Actualización de versiones 6: Logs operacionales CSA 215 Cloud Security Alliance All Rights Reserved 12

14 215 Acerca de Cloud Security Alliance (CSA) El Cloud Security Alliance es una entidad sin fines de lucro creada para fomentar el uso de las buenas prácticas, reforzar garantías de seguridad, y ofrecer formación en todo lo concerniente a cloud computing. El Cloud Security Alliance está compuesto por expertos de diferentes disciplinas, unidos para promover un nivel común de entendimiento entre los consumidores y proveedores informáticos en relación a los requisitos de seguridad necesarios y al certificado de garantía; impulsar la investigación independiente enfocada a encontrar mejores prácticas para la seguridad informática; lanzar campañas de sensibilización y programas educativos sobre el uso de la red y soluciones seguras; y crear listas de consenso en cuestiones de orientación y garantía de seguridad. Misión del Capítulo Promover el uso de buenas prácticas, a fin de ofrecer confianza dentro del ámbito de Cómputo en la Nube y proveer educación sobre los usos de Cómputo en la Nube, ayudando a asegurar todas las otras formas de cómputo. Grupos de investigación facebook.com/csaargentina contact@ar.chapters.cloudsecurityalliance.org CSA 215 Cloud Security Alliance All Rights Reserved 13