ASPECTOS DE SEGURIDAD EN CLOUD COMPUTING

Transcripción

1 ASPECTOS DE SEGURIDAD EN CLOUD COMPUTING MARIEL ARANDA CYBER RISK MANAGER DELOITTE CCNA CCNAS CEH ISO LI ISO LA

2 AGENDA Definiciones. Migrando al Modelo Cloud: Aspectos a tener en cuenta. Modelos de Referencia. Aspectos de Seguridad y Privacidad. Principales Riesgos del Modelo Cloud. Tendencias en Servicios de Seguridad. Conclusiones Finales. 2

3 CLOUD COMPUTING Conceptos Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications), provisioned and released with minimal management effort or service provider interaction (NIST) Es un modelo que permite el acceso desde cualquier lugar y en cualquier momento, a un grupo compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones), aprovisionados y distribuidos con un mínimo esfuerzo de gestión o interacción del proveedor de servicios. 3

4 CLOUD COMPUTING Conceptos Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications), provisioned and released with minimal management effort or service provider interaction (NIST) Acceso Ubicuo a los Datos Menor Costo Escalabilidad y Flexibilidad Deslocalización Dependencia de 4 Terceros

5 CLOUD COMPUTING Características Cloud Computing cambia el paradigma actual de la computación tradicional. Favorece la innovación y el desarrollo de nuevos productos y servicios. Ofrece mayor escalabilidad y Conectividad del Ecosistema Varía de acuerdo al contexto Costo Flexible HABILITADORES DEL NEGOCIO CLOUD Escalabilidad Adaptación al Mercado flexibilidad que el modelo tradicional. Oculta la Complejidad 5 No existe un modelo único para todos!

6 CLOUD COMPUTING Contexto Actual Aumento en el uso de servicios Cloud por todo tipo de compañías. Poca o nula participación del área de SI en los proyectos de migración a Cloud Privacidad de Datos y Seguridad: Dependencia de Terceros. 6

7 QUIERO MIGRAR A CLOUD Qué aspectos debo tener en cuenta? Alineación de los beneficios de Cloud Computing con la estrategia de la organización. Disponibilidad y Madurez de los productos, servicios y proveedores. Consideraciones reglamentarias, legales y de cumplimiento. Comprensión de los riesgos para el negocio y riesgos tecnológicos. 7

8 QUIERO MIGRAR A CLOUD Qué aspectos debo tener en cuenta? Definir una Estrategia Establecer una Nueva Cultura en las Personas y los Procesos Integrar las Tecnologías Analizar las ventajas y desventajas, establecer los objetivos del negocio, definir los modelos y el proveedor. Las personas deben comprender y alinearse al cambio de paradigma. Desarrollar una cultura de gestión de los procesos. Identificar las tecnologías que permanecerán vigentes y la estrategia de integración. Gestionar los Riesgos y el Cumplimiento Entender el modelo, gestionar las operaciones, los servicios y la seguridad. Establecer esquemas de 8 control adecuados.

9 MIGRANDO A CLOUD Gestionando Los Riesgos Los tres pilares: Disponibilidad, Integridad, Confidencialidad. Identificar los activos, funcionalidades y procesos. Identificar el valor para la organización. 9

10 CLOUD COMPUTING Modelo De Referencia (NIST) Fuente: CSA - Cloud Security Alliance

11 MODELO DE REFERENCIA MODELOS DE SERVICIOS Infraestructura como servicio (IaaS) Acceso a almacenamiento y capacidad de cómputo. Permite alquilar infraestructura de IT de un proveedor de servicios en la nube. Plataforma como servicio (PaaS) Ofrece a los desarrolladores herramientas para crear y hospedar aplicaciones web. Está diseñado para dar acceso a los usuarios a los componentes que necesitan para desarrollar y utilizar con rapidez aplicaciones web o móviles, sin preocuparse por configurar y administrar la infraestructura. Software como servicio (SaaS): Método de entrega de aplicaciones de software, donde los proveedores de servicios en la nube hospedan y administran de forma integral las aplicaciones. Facilita tener la misma aplicación en todos sus dispositivos a la vez porque toda la inteligencia y datos de aplicación están alojados en la nube. 11

12 MODELOS DE SERVICIOS Gestión de la Seguridad Seguridad perimetral Seguridad en la transmisión y almacenamiento Copias de respaldo APIs inseguras Parches no actualizados Ausencia de controles Separación de ambientes Seguridad en la transmisión y almacenamiento Controles de acceso 12

13 MODELOS DE SERVICIOS Quién es el responsable? Infraestructura como servicio (IaaS) Plataforma como servicio (PaaS) Data Data Data Application Application Application Runtime Runtime Runtime Middleware Middleware Middleware O/S O/S O/S Software como servicio (SaaS): Virtualization Virtualization Virtualization Servers Servers Servers Storage Storage Storage Networking Networking Networking Responsabilidad del Cliente Responsabilidad del Proveedor 13

14 MODELO DE REFERENCIA Modelos De Despliegue Nubes Públicas Nubes Privadas Nubes Comunitarias Nubes Híbridas Combinación de servicios Cloud Públicos y Privados. Recursos compartidos entre usuarios de diferentes organizaciones. Menos margen para la personalización. Gestionado por el Proveedor. Recursos asignados a una sola organización. Soluciones de seguridad avanzadas. Las organizaciones administran sus recursos. Varias organizaciones comparten una misma nube. Administración más compleja. Ofrece ventajas en cuanto a costos. Permiten gestionar parte de la seguridad.

15 ASPECTOS DE SEGURIDAD Y PRIVACIDAD Modelo Tradicional Vs. Cloud Modelo Tradicional Controles Lógicos y Físicos. La Seguridad es Gestionada por la organización. Los datos se encuentran resguardados en la organización. Controles Lógicos. La Seguridad es Gestionada por el proveedor de Servicios. Responsabilidad compartida: 90/10 Los datos se encuentran en servidores remotos. 15 Modelo Cloud

16 ASPECTOS DE SEGURIDAD Y PRIVACIDAD Amenazas Principales Entorno Más Complejo Amenazas Principales: - Acceso no autorizado a los sistemas y/o información. - Divulgación, pérdida o robo de información. - Suplantación de Identidad. - Denegación de Servicios. - Ataques de Malware. Cómo podemos evitarlas? - Análisis de Riesgos. - Gobierno: Marco Normativo y Controles. - Asumiendo la responsabilidad sobre la seguridad. 16

17 PRINCIPALES RIESGOS En El Contexto De La Ciberseguridad Modelo Cliente/Proveedor. Empresas y consumidores usando la nube con o sin controles de seguridad. Dependencia de Terceros. Las organizaciones dependen de controles realizados por los proveedores. Riesgo concentrado. Los proveedores de la nube son el principal objetivo porque "Ahí es donde están los datos. Nueva Superficie de ataque. El perímetro físico de seguridad es reemplazado por un modelo híbrido. El entorno tecnológico es más complejo. Análisis GAP de Controles. Los controles de seguridad del modelo tradicional deben 17 extenderse a la nube.

18 PRINCIPALES RIESGOS El Proveedor Gestiona La Seguridad GESTIÓN RESPONSABILIDAD La responsabilidad sobre la seguridad de la información corresponde a la organización. 18

19 PRINCIPALES RIESGOS El Proveedor Gestiona La Seguridad 19

20 PRINCIPALES RIESGOS El Proveedor Gestiona La Seguridad Los proveedores deben hacer su parte: CSA o Acuerdos de Nivel de Servicio. Detección de Amenazas. Respuesta ante Incidentes. Políticas de Privacidad y Seguridad. 20

21 TENDENCIAS DE SEGURIDAD EN LA NUBE La industria del software está evolucionando para abordar los riesgos de ciberseguridad en la nube. Gestión de identidad como servicio IDaaS Nuevo servicio que permite gestionar credenciales de varias aplicaciones, en un mismo lugar (SSO) Agentes de Seguridad para el Acceso a la Nube (CASB). La Protección de datos y Gobernanza están madurando rápidamente en un nuevo conjunto de prestaciones. Nuevas Prestaciones A medida que las empresas maduran, también emergen nuevas prestaciones de servicios de CABS. Los CASB operan como intermediarios entre las aplicaciones de la nube y los usuarios, con el objetivo de proveer visibilidad y seguridad. Virtualization WorkFlow SIEM Analytics Governance Cloud Access Security Broker (CASB) 21

22 CASB Herramientas y Servicios que residen entre la empresa y el proveedor Mayor visibilidad Mas Prestaciones de Servicios de Seguridad Reportes y Estadísticas (Dashboard) Define e implementa políticas y estándares. Información sobre el uso de los datos. Administración centralizada de políticas de protección de datos. Encriptación, Tokenización, DLP, etc. Monitoreo de Eventos de Seguridad. Identificación y Remediación de Vulnerabilidades. Paneles de Control y Reportes. Inteligencia para detectar amenazas hacia el proveedor o los servicios. 22

23 CASB El Futuro De La Seguridad En La Nube? Buscan Proteger la infraestructura contra ataques orientados a la información y los usuarios Operan como intermediarios entre las aplicaciones de la nube y los usuarios Proveen protección en distintas fases. Garantiza una interfaz unificada de análisis de eventos. 23

24 CUMPLIMIENTO Estándares y Buenas Prácticas en Cloud Existen varios marcos normativos y buenas prácticas de seguridad en Cloud. Las más reconocidas son: - CSA Cloud Controls Matrix (CMM) - CSA STAR CERTIFICACIÓN - ISO/IEC Obj. de Control de ISACA 24

25 SOLUCIONES DE SI Cloud Security Landscape 25

26 CONCLUSIONES Aspectos A Considerar En Cloud TOP TEN 1. Desafíos de seguridad en cada modelo de servicio y despliegue. 2. Gobierno, Riesgo y Cumplimiento. 3. Monitoreo y Auditorías de Seguridad. 4. Gestión de recursos humanos, roles e identidades (IdAM). 5. Seguridad en las aplicaciones. 6. Seguridad en las redes e interconexiones. 7. Cumplimiento de los estándares de seguridad por parte de los proveedores (certificaciones). 8. Gestión de los CSA (Cloud Service Agreement). 9. Gestión de incidentes de seguridad. 10. Contingencia y Copias de Respaldo. 26

27 Gracias Aguije Thank you MARIEL ARANDA