Cómo mantener la seguridad en la nube? Tendencias y mejores prácticas Ignacio Ivorra Comité Técnico Operativo del CSA-ES Gerente / Deloitte iivorra@deloitte.es 26/06/2014
ÍNDICE Presentación del CSA Retos seguridad en cloud Medidas de seguridad en cloud Herramientas disponibles
Sobre el Cloud Security Alliance www.cloudsecurityalliance.org Global, not-for-profit organisation Over 40,000 individual members, more than 160 corporate members, over 60 chapters Building best practices and a trusted cloud ecosystem To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.
CSA ES Capítulo local en España de CSA Miembros Fundado por ISMS Fórum y Barcelona Digital Junta Directiva Comité Técnico Operativo Profesionales Algunas iniciativas Guía CSA Cloud Control Matrix Certificación CCSK Certificación CSA STAR Estudio Seguridad Cloud Eventos www.ismsforum.es/iniciativas/index.php?idcategoria=5 www.linkedin.com/groups?gid=1864210 @Cloudsa_spain
ÍNDICE Presentación del CSA Retos seguridad en cloud Medidas de seguridad en cloud Herramientas disponibles
Relevancia de la seguridad en cloud
Estudio del estado de seguridad en Cloud Computing (Año 2013) El usuario tipo de Cloud Acceso a servicios de almacenamiento Busca nuevas funcionalidades Valora fuertemente las funciones de seguridad Ha llegado al 77% de las organizaciones
Estudio del estado de seguridad en Cloud Computing (Año 2013)
ÍNDICE Presentación del CSA Retos seguridad en cloud Medidas de seguridad en cloud Herramientas disponibles
Algunos elementos clave Privacidad Diferencia legislación entre países Ciclo de vida de la información Política de seguridad. Roles y responsabilidades Localización (física y lógica) Acceso a la información Tratamiento realizado de datos Controles: Control de acceso, cifrado, DLP
Algunos elementos clave Gestión de riesgos Dependen de la implantación y modelo Responsabilidad del cliente del cliente
Algunos elementos clave Virtualización Elementos clave: Multitenancy /Virtual desktop Seguridad: Hipervisor: bastionado, ataques red, arranque, cifrado Gestión de datos: mezcla, segregación, destrucción Rendimiento Recomendaciones Identificar usos y definir políticas de seguridad Entornos separados: pruebas, desarrollo, producción Bastionado certificado y cifrado Auditoria de red y datos Verificación
Algunos elementos clave Otros Cumplimiento legal Cifrado y gestión de claves Respuesta ante incidentes Gestión de identidades Seguridad en las aplicaciones Seguridad tradicional: Física, continuidad negocio Contratación y ediscovery Auditoria
Algunos elementos clave SecaaS: Security as a Service Servicios: SIEM, IDS/IPS, Gestión identidades, DLP, Seguridad Web, Cifrado, Continuidad, Ventajas Valor añadido Gestión experta de terceros Cumplimiento Colaboración Inconvenientes Dependencias en áreas estratégicas Cultura de seguridad
ÍNDICE Presentación del CSA Retos seguridad en cloud Medidas de seguridad en cloud Herramientas disponibles
CSA GUIDE, versión 3.0 Mejores prácticas seguridad cloud 1er Documento CSA Para la Comunidad Creadas por Expertos Buenas Práctica s Mejores prácticas Seguridad Cloud A nivel Mundial
CSA GUIDE, versión 3.0 Mejores prácticas seguridad cloud Arquitectura Cloud Gobierno Operaciones Virtualización Gestión de Riesgos Cuestiones Legales Auditoría Seguridad de Datos Interoperabilidad Seguridad, Continuidad Negocio Seguridad CPD Seguridad Aplicaciones Cifrado. Claves Identidad y Accesos SECaaS
CCM (Cloud Control Matrix) Matriz controles mejores prácticas Comparativa: ISO 27001-2005, COBIT 4.1, LOPD, ENS COMPLIANCE DATA GOVERNANCE FACILITY SECURITY INFORMATION SECURITY HUMAN RESOURCES LEGAL RISK MANAGEMENT OPERATIONS MANAGEMENT RELEASE MANAGEMENT RESILIENCY SECURITY ARCHITECHTURE
CSA STAR Registro público controles proveedor Objetivos Beneficios Marco común de evaluación. Capacidad de decisión y comparación para cliente. Evaluación neutral de terceros. Independiente de la tecnología. Visibilidad y eficiencia gestión seguridad Identificación de fortalezas Revisión independiente Orientación al mercado
CSA STAR Registro público controles proveedor
Cómo mantener la seguridad en la nube? Tendencias y mejores prácticas Ignacio Ivorra Comité Técnico Operativo del CSA-ES Gerente / Deloitte iivorra@deloitte.es 26/06/2014