ASPECTOS DE SEGURIDAD EN CLOUD COMPUTING

Documentos relacionados
Principales ventajas de la nube para una empresa

Auditoria de Seguridad ISO/IEC en la nube Qué debo tomar en cuenta? Iván Alberto Jaimes Cortés Consultor Seguridad de la Información

Azure. Plan de Estudio

Ciberseguridad Los riesgos de la información en la nube

UNIVERSIDAD DE CASTILLA-LA MANCHA

Administración y Seguridad de Sistemas Cloud Computing. Integrantes: Martín Steglich Martín Berguer Raúl Speroni Cristian Bauza

Cloud Computing: Su información esta segura?

BVS Cisco Powered IaaS

Cloud Computing. Ing. José Ángel Peña Ibarra, CGEIT, CRISC. Monterrey Chapter. Expositor:

Red Hat Cloud Infrastructure. Alex Callejas Technical Account Manager Noviembre 2014

Propuesta de Transformación Digital de Telefónica

Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas

Seguridad en la Nube. Ingeniero Javier. Asís Especialista en Redes

Servicio de Explotación de Sistemas en Cloud

Ventajas de un Modelo de Madurez en Ciberseguridad

Transformación Digital con Computación en la Nube AWS. José Giori Herrán Escobar Arquitecto Empresarial

Avanzada 2020 REFERENCIAS DE OFERTA TEIC BI 4.0 EUSKALTEL

[Documento promocional] Maestría en Ciberseguridad

Computación Voluntaria VS Cloud VS HPC

SERVICIOS EN SEGURIDAD DE LA INFORMACION SISTESEG BOGOTA/COLOMBIA

Grado de madurez de la organización en Seguridad de la Información

Subirse o no subirse a la nube Las notorias nueve amenazas

DESPLIEGUE DE UNA NUBE DE COMPUTACIÓN PRIVADA OPENSTACK EN UN ENTORNO ACADÉMICO

SUMILLAS DE ASIGNATURAS ELECTIVAS DEL PLAN DE ESTUDIOS

Seguridad en la Nube Continuidad Operacional

Mejores Prácticas sobre Normativa de Ciberseguridad AGENDA. Ataques Cibernéticos al Sistema Financiero Internacional

BIENVENIDO A GRM+ Programa de Gestión de Recursos Municipales

Transformación del área de Ciberseguridad. Julio César Ardita Socio CYBSEC by Deloitte

DIPLOMADO CIBERSEGURIDAD Y CIBERDEFENSA

Azure Management. Jesus Gil MVP Data Frank Chambillo MVP Microsoft

IaaS PaaS SaaS. Cloud Computing. Microsoft Azure. Servicios de aplicaciones. Cómputo Virtual machines

La migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio.

Plataforma de Servicios de Almacenamiento en la Nube. Su Nube Su Red Su Gestión

Azure Infraestructura como Servicio (IaaS) en la nube

Ingeniería social. Amenazas externas

El proceso de adopción de Cloud: los 12 pasos clave para las empresas

PRUEBAS DE PENETRACIÓN EN AMBIENTES DE NUBE. Ing. Javier Hernández Calderón Consultor en Seguridad Informática

Concepto de CLOUD COMPUTING. (apunte y video)

COMO COMBATIR EL PHISHING. Formación a empleados mediante simulación y monitorización continuas para evitar el éxito de los ataques de phishing

Oportunidades de las IES en los Servicios de la Nube Tecnológica

Qué supone la tecnología Cloud para las organizaciones y los departamentos de IT. Andrés Prado Director TIC Universidad de Castilla La Mancha

SEMINARIO EL FUTURO DEL DINERO Y EL SISTEMA FINANCIERO. La regulación financiera para el entorno digital - Fintech. Juan Pedro Cantera

Foro de Negocios San Luis Potosí Servicios administrados y en la nube

Cloud. La visión de Telefónica. Diego Rodríguez Herrero Business Developer

CAS- CHILE S.A. DE I.

Curso: 10983A Upgrading Your Skills To Windows Server 2016

PORTAFOLIO

Transformación de los Servicios TIC universitarios mediante incorporación de cloud

Guía detallada para llevar las aplicaciones COBOL a la nube. Despliegue aplicaciones en entornos virtuales y en la nube con Visual COBOL

MOC 10983A Actualización de Conocimientos a Windows Server 2016

Transcripción:

ASPECTOS DE SEGURIDAD EN CLOUD COMPUTING MARIEL ARANDA CYBER RISK MANAGER DELOITTE CCNA CCNAS CEH ISO 27001 LI ISO 27001 LA

AGENDA Definiciones. Migrando al Modelo Cloud: Aspectos a tener en cuenta. Modelos de Referencia. Aspectos de Seguridad y Privacidad. Principales Riesgos del Modelo Cloud. Tendencias en Servicios de Seguridad. Conclusiones Finales. 2

CLOUD COMPUTING Conceptos Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications), provisioned and released with minimal management effort or service provider interaction (NIST) Es un modelo que permite el acceso desde cualquier lugar y en cualquier momento, a un grupo compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones), aprovisionados y distribuidos con un mínimo esfuerzo de gestión o interacción del proveedor de servicios. 3

CLOUD COMPUTING Conceptos Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications), provisioned and released with minimal management effort or service provider interaction (NIST) Acceso Ubicuo a los Datos Menor Costo Escalabilidad y Flexibilidad Deslocalización Dependencia de 4 Terceros

CLOUD COMPUTING Características Cloud Computing cambia el paradigma actual de la computación tradicional. Favorece la innovación y el desarrollo de nuevos productos y servicios. Ofrece mayor escalabilidad y Conectividad del Ecosistema Varía de acuerdo al contexto Costo Flexible HABILITADORES DEL NEGOCIO CLOUD Escalabilidad Adaptación al Mercado flexibilidad que el modelo tradicional. Oculta la Complejidad 5 No existe un modelo único para todos!

CLOUD COMPUTING Contexto Actual Aumento en el uso de servicios Cloud por todo tipo de compañías. Poca o nula participación del área de SI en los proyectos de migración a Cloud Privacidad de Datos y Seguridad: Dependencia de Terceros. 6

QUIERO MIGRAR A CLOUD Qué aspectos debo tener en cuenta? 1 2 3 4 Alineación de los beneficios de Cloud Computing con la estrategia de la organización. Disponibilidad y Madurez de los productos, servicios y proveedores. Consideraciones reglamentarias, legales y de cumplimiento. Comprensión de los riesgos para el negocio y riesgos tecnológicos. 7

QUIERO MIGRAR A CLOUD Qué aspectos debo tener en cuenta? Definir una Estrategia Establecer una Nueva Cultura en las Personas y los Procesos Integrar las Tecnologías Analizar las ventajas y desventajas, establecer los objetivos del negocio, definir los modelos y el proveedor. Las personas deben comprender y alinearse al cambio de paradigma. Desarrollar una cultura de gestión de los procesos. Identificar las tecnologías que permanecerán vigentes y la estrategia de integración. Gestionar los Riesgos y el Cumplimiento Entender el modelo, gestionar las operaciones, los servicios y la seguridad. Establecer esquemas de 8 control adecuados.

MIGRANDO A CLOUD Gestionando Los Riesgos Los tres pilares: Disponibilidad, Integridad, Confidencialidad. Identificar los activos, funcionalidades y procesos. Identificar el valor para la organización. 9

CLOUD COMPUTING Modelo De Referencia (NIST) Fuente: CSA - Cloud Security Alliance

MODELO DE REFERENCIA MODELOS DE SERVICIOS Infraestructura como servicio (IaaS) Acceso a almacenamiento y capacidad de cómputo. Permite alquilar infraestructura de IT de un proveedor de servicios en la nube. Plataforma como servicio (PaaS) Ofrece a los desarrolladores herramientas para crear y hospedar aplicaciones web. Está diseñado para dar acceso a los usuarios a los componentes que necesitan para desarrollar y utilizar con rapidez aplicaciones web o móviles, sin preocuparse por configurar y administrar la infraestructura. Software como servicio (SaaS): Método de entrega de aplicaciones de software, donde los proveedores de servicios en la nube hospedan y administran de forma integral las aplicaciones. Facilita tener la misma aplicación en todos sus dispositivos a la vez porque toda la inteligencia y datos de aplicación están alojados en la nube. 11

MODELOS DE SERVICIOS Gestión de la Seguridad Seguridad perimetral Seguridad en la transmisión y almacenamiento Copias de respaldo APIs inseguras Parches no actualizados Ausencia de controles Separación de ambientes Seguridad en la transmisión y almacenamiento Controles de acceso 12

MODELOS DE SERVICIOS Quién es el responsable? Infraestructura como servicio (IaaS) Plataforma como servicio (PaaS) Data Data Data Application Application Application Runtime Runtime Runtime Middleware Middleware Middleware O/S O/S O/S Software como servicio (SaaS): Virtualization Virtualization Virtualization Servers Servers Servers Storage Storage Storage Networking Networking Networking Responsabilidad del Cliente Responsabilidad del Proveedor 13

MODELO DE REFERENCIA Modelos De Despliegue Nubes Públicas Nubes Privadas Nubes Comunitarias Nubes Híbridas Combinación de servicios Cloud Públicos y Privados. Recursos compartidos entre usuarios de diferentes organizaciones. Menos margen para la personalización. Gestionado por el Proveedor. Recursos asignados a una sola organización. Soluciones de seguridad avanzadas. Las organizaciones administran sus recursos. Varias organizaciones comparten una misma nube. Administración más compleja. Ofrece ventajas en cuanto a costos. Permiten gestionar parte de la seguridad.

ASPECTOS DE SEGURIDAD Y PRIVACIDAD Modelo Tradicional Vs. Cloud Modelo Tradicional Controles Lógicos y Físicos. La Seguridad es Gestionada por la organización. Los datos se encuentran resguardados en la organización. Controles Lógicos. La Seguridad es Gestionada por el proveedor de Servicios. Responsabilidad compartida: 90/10 Los datos se encuentran en servidores remotos. 15 Modelo Cloud

ASPECTOS DE SEGURIDAD Y PRIVACIDAD Amenazas Principales Entorno Más Complejo Amenazas Principales: - Acceso no autorizado a los sistemas y/o información. - Divulgación, pérdida o robo de información. - Suplantación de Identidad. - Denegación de Servicios. - Ataques de Malware. Cómo podemos evitarlas? - Análisis de Riesgos. - Gobierno: Marco Normativo y Controles. - Asumiendo la responsabilidad sobre la seguridad. 16

PRINCIPALES RIESGOS En El Contexto De La Ciberseguridad Modelo Cliente/Proveedor. Empresas y consumidores usando la nube con o sin controles de seguridad. Dependencia de Terceros. Las organizaciones dependen de controles realizados por los proveedores. Riesgo concentrado. Los proveedores de la nube son el principal objetivo porque "Ahí es donde están los datos. Nueva Superficie de ataque. El perímetro físico de seguridad es reemplazado por un modelo híbrido. El entorno tecnológico es más complejo. Análisis GAP de Controles. Los controles de seguridad del modelo tradicional deben 17 extenderse a la nube.

PRINCIPALES RIESGOS El Proveedor Gestiona La Seguridad GESTIÓN RESPONSABILIDAD La responsabilidad sobre la seguridad de la información corresponde a la organización. 18

PRINCIPALES RIESGOS El Proveedor Gestiona La Seguridad 19

PRINCIPALES RIESGOS El Proveedor Gestiona La Seguridad Los proveedores deben hacer su parte: CSA o Acuerdos de Nivel de Servicio. Detección de Amenazas. Respuesta ante Incidentes. Políticas de Privacidad y Seguridad. 20

TENDENCIAS DE SEGURIDAD EN LA NUBE La industria del software está evolucionando para abordar los riesgos de ciberseguridad en la nube. Gestión de identidad como servicio IDaaS Nuevo servicio que permite gestionar credenciales de varias aplicaciones, en un mismo lugar (SSO) Agentes de Seguridad para el Acceso a la Nube (CASB). La Protección de datos y Gobernanza están madurando rápidamente en un nuevo conjunto de prestaciones. Nuevas Prestaciones A medida que las empresas maduran, también emergen nuevas prestaciones de servicios de CABS. Los CASB operan como intermediarios entre las aplicaciones de la nube y los usuarios, con el objetivo de proveer visibilidad y seguridad. Virtualization WorkFlow SIEM Analytics Governance Cloud Access Security Broker (CASB) 21

CASB Herramientas y Servicios que residen entre la empresa y el proveedor Mayor visibilidad Mas Prestaciones de Servicios de Seguridad Reportes y Estadísticas (Dashboard) Define e implementa políticas y estándares. Información sobre el uso de los datos. Administración centralizada de políticas de protección de datos. Encriptación, Tokenización, DLP, etc. Monitoreo de Eventos de Seguridad. Identificación y Remediación de Vulnerabilidades. Paneles de Control y Reportes. Inteligencia para detectar amenazas hacia el proveedor o los servicios. 22

CASB El Futuro De La Seguridad En La Nube? Buscan Proteger la infraestructura contra ataques orientados a la información y los usuarios Operan como intermediarios entre las aplicaciones de la nube y los usuarios Proveen protección en distintas fases. Garantiza una interfaz unificada de análisis de eventos. 23

CUMPLIMIENTO Estándares y Buenas Prácticas en Cloud Existen varios marcos normativos y buenas prácticas de seguridad en Cloud. Las más reconocidas son: - CSA Cloud Controls Matrix (CMM) https://cloudsecurityalliance.org/ - CSA STAR CERTIFICACIÓN - ISO/IEC 27017 - Obj. de Control de ISACA 24

SOLUCIONES DE SI Cloud Security Landscape 25

CONCLUSIONES Aspectos A Considerar En Cloud TOP TEN 1. Desafíos de seguridad en cada modelo de servicio y despliegue. 2. Gobierno, Riesgo y Cumplimiento. 3. Monitoreo y Auditorías de Seguridad. 4. Gestión de recursos humanos, roles e identidades (IdAM). 5. Seguridad en las aplicaciones. 6. Seguridad en las redes e interconexiones. 7. Cumplimiento de los estándares de seguridad por parte de los proveedores (certificaciones). 8. Gestión de los CSA (Cloud Service Agreement). 9. Gestión de incidentes de seguridad. 10. Contingencia y Copias de Respaldo. 26

Gracias Aguije Thank you MARIEL ARANDA maaranda@deloitte.com www.deloitte.com/ar

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback