Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios



Documentos relacionados
ING. YURI RODRIGUEZ ALVA

Informática en la nube. Susi Rodríguez

Estrategia de Cómputo en la Nube. Servicios en la Nube

Elaborado por Víctor Cuchillac (papá)

CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS

Cloud Computing: Definición, generalidades, beneficios y controversias. Marianella Granados Saavedra Ministerio de Justicia y Paz Costa Rica

Cloud Computing. Lic. Guillermo Montenegro VicePresidente CPCIPC Octubre 2011

PCI-DSS Requisitos para su empleo en la nube

Medellín, martes 27 de octubre del 2015

ISEC Labs #8. Nubes o nubarrones? Seguridad en Cloud Computing. Javier Moreno jmoreno<arroba>isecauditors.com

ADMINISTRE CON EFICIENCIA SUS RECURSOS José Flavio Guerra Colorado MBA,PMP,ITIL.

Soporte. Misión y Visión

Cloud Computing. Su aplicación en la Banca Privada Argentina.

I INTRODUCCIÓN. 1.1 Objetivos

A qué huelen las nubes?: seguridad y privacidad del cloud computing

CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE. Versión: 1.3

Boletín de Consultoría Gerencial

Dirección General de Educación Superior Tecnológica

Alumno: Jorge Sordo Balbín Profesor: Luis Joyanes Aguilar Nº Expediente: Correo Electrónico:

Empresa Financiera Herramientas de SW Servicios

Curso Fundamentos de ITIL

Cloud Computing: Cloud híbrida y la solución de AWS

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública

A qué huelen las nubes?: seguridad y privacidad del cloud computing

Informe de la ciudad de Seattle sobre el acceso y la adopción de la información de tecnología

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

Aproximación práctica a ITIL. Proyecto VeredaCS. F r00

Cómo saber qué modelo de ERP es el más adecuado para su empresa? On-Premise vs. SaaS

Cloud Computing. Ing. José Ángel Peña Ibarra, CGEIT, CRISC. Monterrey Chapter. Expositor:

LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN

UNIVERSIDAD PONTIFICIA DE SALAMANCA. Faculta de Informática

Cloud Computing en el Gobierno del Distrito Federal

TEMA 1: INTRODUCCIÓN A SERVICIOS TI

Privacidad y protección de datos en la prestación de Servicios de Cloud Computing T11: Privacidad en la nube

CAS- CHILE S.A. DE I.

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

PROYECTO REALIZADO POR: ENTIDAD GESTORA: COFINANCIADO POR:

Cloud Security Alliance, Inc. (CSA) se atiene a los siguientes principios en relación al manejo de información personal en formato electrónico:

x.m z e m o lg e o J

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

Esquema de Certificación Abierto

WHITE PAPER MIGRACIÓN DE UNA APLICACIÓN ON-PREMISE A WINDOWS AZURE. OSSESoluciones - Cartera de Soluciones en Tecnologías de Información

El Éxito del ICFES frente al reto de la Flexibilidad. Ingrid Picón Directora de Tecnología e Información ICFES

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Gestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi

MODERNIZANDO PCN Y RECUPERACION DE DESASTRES UTILIZANDO VIRTUALIZACION Y LA NUBE

Infraestructura Tecnológica. Sesión 12: Niveles de confiabilidad

CLOUD COMPUTING MITOS Y VERDADES

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

Qué es la Auditoria en Sistemas de Información?

Sistemas de gestión en servicios de TI (UNIT ISO/IEC )

La Intranet Gubernamental como elemento clave de la Interoperabilidad

Workflows? Sí, cuántos quiere?

POLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI. Lineamientos generales

Temas de Seguridad y Privacidad en Cloud Computing

Bechtle Solutions Servicios Profesionales

Cloud Computing. Rodrigo Moreno Rosales DN-11

Ingeniería de Software. Pruebas

ESTRATEGIA PARA EL DESARROLLO DEL SECTOR DE TI

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

1.8 TECNOLOGÍA DE LA INFORMACIÓN

Ley Orgánica de Protección de Datos

INTRODUCCIÓN A LA COMPUTACION EN LA NUBE Y BIG DATA (1) Ing. Carlos Ormella Meyer

Tema 1: Organización, funciones y responsabilidades de la función de TI.

Escritorios virtuales

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Seguridad y Privacidad en el Cloud. Deepak Daswani Daswani Responsable de Investigación en Ciberseguridad de INTECO

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

CONFIGURACIÓN DEL NAVEGADOR PARA EL USO DE LA SEDE ELECTRÓNICA DE DEFENSA

Gestión del Servicio de Tecnología de la información

Cumpliendo con las Necesidades de la Salud Sexual y Reproductiva de Jóvenes Vulnerables: Una Caja de Herramientas para Monitoreo y Evaluación

A la comunidad estudiantil de la FCFM

Escudo Movistar Guía Rápida de Instalación Dispositivos Symbian

Exsis Software & Soluciones S.A.S


CÓMO MEJORAR LA GESTIÓN DE SERVICIOS TI USANDO MEJORES PRÁCTICAS?

"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

UNIVERSIDAD DE SAN MARTÍN DE PORRES Escuela Profesional de Ingeniería de Computación y Sistemas LABORATORIO DE BASE DE DATOS E BUSINESS INTELLIGENCE

Cloud Computing: Prácticas Sostenibles

Qué es la nube? Manuel García-Elorz

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

GUIA PARA TRABAJO PRÁCTICO DIAGNOSTICO ESTRATÉGICO DE UN SISTEMA DE GESTIÓN DE LA CALIDAD

LA COMPUTACIÓN EN NUBE: UN RETO PARA LA PROTECCIÓN DE DATOS» I FORO TRANSPARENCIA Y BUEN GOBIERNO

Proceso de Servicio de Informática y Comunicaciones

Guía de uso del Cloud Datacenter de acens

MANUAL DE INSTLACION ETOKEN PARA WINDOWS DESDE LA WEB. Gerente General Gerente General Gerente General

ITIL FOUNDATION V3 2011

PIDEM Soluciones Integrales Empresariales

Conclusiones del Estudio

Master en Gestion de la Calidad

Tecnologías de la Información en la Gestión Empresarial

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

ZXHN H168N Modem VDSL Manual del Usuario

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Cloud Computig. Riesgos Actuales en la Implementación de. Por: Oscar Vite Consultant PinkElephant, Iberoamérica

Transcripción:

Cloud Security Alliance Recomendaciones de Seguridad

Contenido Qué es el Cloud Computing?... 2 Modelos de Servicios... 2 Modelos de Implementación... 3 Recomendaciones a los Usuarios para la adopción del Cloud Computing... 4 Acerca de Cloud Security Alliance (CSA)... 5 Referencias... 5 Contacto... 5

Qué es el Cloud Computing? El Cloud Computing, también conocido como, ha sido definido por el NIST como un modelo de servicios escalables bajo demanda para la asignación y el consumo de recursos de cómputo. Describe el uso de infraestructura, aplicaciones, información y una serie de servicios compuestos por reservas de recursos de computación, redes, información y almacenamiento. Estos componentes pueden orquestarse, abastecerse, implementarse y liberarse rápidamente, con un mínimo esfuerzo de gestión e interacción por parte del proveedor de Cloud Computing y de acuerdo a las necesidades actuales del cliente. Figura 1 Representación de la definición de Cloud Computing del NIST. Modelos de Servicios La prestación de servicios de cloud computing puede asociarse a tres modelos específicos: Modelo Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS) Descripción Ofrece al consumidor la provisión de procesamiento, almacenamiento, redes y cualquier otro recurso de cómputo necesario para poder instalar software, incluyendo el sistema operativo y aplicaciones. El usuario no tiene control sobre el sistema de nube subyacente pero si del Sistema operativo y aplicaciones. Ejemplo: Amazon Web Services EC2. Ofrece al consumidor la capacidad de ejecutar aplicaciones por éste desarrolladas o contratadas a terceros, a partir de los lenguajes de programación o interfaces provistas por el proveedor. El usuario no tiene control ni sobre el sistema subyacente ni sobre los recursos de Infraestructura de nube. Ejemplo: Microsoft Azure. Ofrece al consumidor la capacidad de utilizar las aplicaciones del proveedor que se ejecutan sobre la infraestructura en la nube. Las aplicaciones son accedidas desde los dispositivos cliente a través de interfaces, por ejemplo un navegador web. En este caso, el usuario solo tiene acceso a una interfaz de configuración del software provisto. Ejemplo: SalesForce Tabla 1 Modelos de provisión de servicios de Cloud Computing.

Modelos de Implementación Dependiendo de cómo se despliegan los servicios en la nube, existen cuatro modelos que caracterizan la implementación de los servicios de Cloud Computing. Modelo Pública Privada Comunitaria Híbrida Descripción Es aquel modelo de en el cual la infraestructura y los recursos lógicos que forman parte del entorno se encuentran disponibles para el público en general o un amplio grupo de usuarios. Suele ser propiedad de un proveedor que gestiona la infraestructura y los servicios ofrecidos. Ejemplo: Servicio de GoogleApps. Es aquel modelo en el cual la infraestructura se gestiona únicamente por una organización. La administración de aplicaciones y servicios puede estar a cargo de la misma organización o de un tercero. La infraestructura asociada puede estar dentro de la organización o fuera de ella. Ejemplo: Cualquier servicio de nube propio de la organización o contratado a un proveedor pero cuyos recursos sean exclusivos para dicha organización. Es aquel modelo donde la infraestructura es compartida por diversas organizaciones y su principal objetivo es soportar a una comunidad específica que posea un conjunto de preocupaciones similares (misión, requisitos de seguridad o de cumplimiento normativo, etc). Al igual que la Privada, puede ser gestionada por las organizaciones o bien por un tercero y la infraestructura puede estar en las instalaciones propias o fuera de ellas. Ejemplo: El servicio app.goc (www.apps.gov) del gobierno de EEUU, el cual provee servicios de cloud computing a las dependencias gubernamentales. Es aquel modelo donde se combinan dos o más tipos de s (Pública, Privada o Comunitaria) que se mantienen como entidades separadas pero que están unidas por tecnologías estandarizadas o propietarias, que permiten la portabilidad de datos y aplicaciones. Ejemplo: Tabla 2 Modelos de implementación de Cloud Computing.

Recomendaciones a los Usuarios para la adopción del Cloud Computing A continuación compartimos una serie de recomendaciones que sería importante que se tengan en cuenta al momento de evaluar una solución de servicio basado en Cloud Computing: Tener en cuenta el valor de la información que estaremos utilizando en el servicio de Cloud Computing y verificar que el servicio cumpla los requisitos que necesitamos. Leer detenidamente los Términos y Condiciones o el Service Level Agreement (SLA) y evaluar si corresponden con las condiciones que estamos dispuestos a aceptar. Mantener los controles de seguridad propios aunque se seleccione un servicio de Cloud Computing. Por ej: Respaldo de la Información. Tener en cuenta las aplicaciones que utilizamos para el servicio de Cloud Computing y los accesos asignados, revisando periódicamente los mismos para verificar que sigan siendo necesarios. Por ej: aplicaciones con acceso a perfiles de redes sociales. Tener en cuenta los requisitos legales que debemos cumplir al momento de enviar información a una solución de Cloud Computing: Por ej: Derechos de Autor, Acuerdos de Confidencialidad, Privacidad, etc. Analizar los términos y condiciones, ofreciendo propuestas sobre aquellos puntos en los que no haya acuerdo. Si los términos y condiciones no cubren los requisitos, no se deberían aceptar, aunque ello signifique no utilizar el servicio. Verificar que existan cláusulas al momento de finalizar el servicio, relacionadas con la seguridad de la información involucrada y los requisitos establecidos para su disposición. Por ej: borrado seguro, devolución, etc. Una buena herramienta para ayudar selección de un proveedor de Cloud Computing es el Consensus Assessments Initiative (CAI) de la Cloud Security Alliance (CSA). Consiste en un cuestionario que, a través de las distintas respuestas, permite identificar la gestión de la seguridad por parte del proveedor de Servicios de Cloud. Verificar si el proveedor de Cloud Computing se encuentra registrado en el proyecto Security, Trust, and Assurance (STAR) de Cloud Security Alliance (CSA), en el mismo se pueden conocer distintos aspectos de seguridad implementados en el servicio de Cloud Computing. Tener en cuenta que aunque se seleccione un determinado proveedor de Cloud Computing, seguimos siendo los responsables por el cuidado de la información. Estar al tanto de los incidentes de seguridad que se presenten e involucren al proveedor de Cloud Computing seleccionado.

Acerca de Cloud Security Alliance (CSA) El Cloud Security Alliance es una entidad sin fines de lucro creada para fomentar el uso de las buenas prácticas, reforzar garantías de seguridad, y ofrecer formación en todo lo concerniente a cloud computing. El Cloud Security Alliance está compuesto por expertos de diferentes disciplinas, unidos para promover un nivel común de entendimiento entre los consumidores y proveedores informáticos en relación a los requisitos de seguridad necesarios y al certificado de garantía; impulsar la investigación independiente enfocada a encontrar mejores prácticas para la seguridad informática; lanzar campañas de sensibilización y programas educativos sobre el uso de la red y soluciones seguras; y crear listas de consenso en cuestiones de orientación y garantía de seguridad. Misión del Capítulo Promover el uso de buenas prácticas, a fin de ofrecer confianza dentro del ámbito de Computo en la y proveer educación sobre los usos de Computo en la, ayudando a asegurar todas las otras formas de computo. Referencias Cloud Security Alliance: http://www.cloudsecurityalliance.org Cloud Security Alliance Chapter Argentina http://chapters.cloudsecurityalliance.org/argentina/ NIST SP800-145: The NIST Definition of Cloud Computing http://csrc.nist.gov/publications/nistpubs/800-145/sp800-145.pdf Infografía sobre Modelos de Implementación de Cloud Computing: http://wikibon.org/blog/wp-content/uploads/2010/12/cloud-computing-landscape-full.html Guía para la Seguridad en Áreas Críticas de atención en Cloud Computing (CSG): https://cloudsecurityalliance.org/research/security-guidance/ Cloud Assessment Initiative (CAI): https://cloudsecurityalliance.org/research/cai/ Security, Trust & Assurance (STAR): https://cloudsecurityalliance.org/research/initiatives/star-registry/ Riesgos y Amenazas del Cloud Computing: http://cert.inteco.es/extfrontinteco/img/file/intecocert/estudiosinformes/cert_inf_riesgos_y_ amenazas_en_cloud_computing.pdf Contacto press@ar.chapters.cloudsecurityalliance.org @cloudsa_arg CSA.Argentina (Facebook page)

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback