Csa summit el circulo de la confianza entre el cliente y el proveedor cloud
1.
2. Luciano Moreira da Cruz
Vicepresidente, CSA Argentina
Julio Cesar Balderrama
Consejero del Directorio - Capítulo Argentina
3.
4.
5. Partes interesada en la nube en las organizaciones
Clientes Business
managers,
CEO/CFO
CIO Legal Security
Están mis datos
Seguros?
La satisfacción del
cliente, retorno de la
inversión, el EBITDA
ROI, Arquitectura
del Sistema,
migraciones
Tratamiento de
datos y sus
jurisdicciones,
Privacidad
Arquitectura segura,
monitoreo, análisis
de amenazas
6.
7.
8. La confianza una de las principales cartas que tiene los proveedores al
momento de diferenciarse de sus competidores
9. TRUST/ Confianza: Definiciones
• Esperanza firme que una persona tiene en que algo suceda, sea o funcione de una forma
determinada, o en que otra persona actúe como ella desea.
• Seguridad, especialmente al emprender una acción difícil o comprometida.
• Familiaridad, naturalidad y sencillez en el trato, propias de la amistad o el parentesco.
• Acto que denota mucha familiaridad, a menudo excesiva.
• Se aplica a la persona en quien se puede confiar.
• [cosa] Que inspira confianza o seguridad. sinónimos: fiable
13. • OCF - Estructura del Esquema de Certificación Abierto
14.
15. • criterios de evaluación para cumplir
metas de Gobierno, Gestión de
Riesgos y Cumplimiento (GRC) en
nubes privadas, públicas o híbridas
• https://cloudsecurityalliance.org/res
earch/grc-stack/
16. • Formado por 4 proyectos
• Cloud Controls Matrix (CCM)
• Consensus Assessments Initiative (CAI)
• Cloud Audit
• Cloud Trust Protocol (CTP)
• Impacto en la industria
• Criterios de evaluación para cumplir metas de
Gobierno, Gestión de Riesgos y Cumplimiento
• Pilotos técnicos
• Certificación de proveedores a través del programa
STAR
17. • Formado por 4 proyectos
• Cloud Controls Matrix (CCM)
• Consensus Assessments Initiative (CAI)
• Cloud Audit
• Cloud Trust Protocol (CTP)
• Impacto en la industria
• Criterios de evaluación para cumplir metas de
Gobierno, Gestión de Riesgos y Cumplimiento
• Pilotos técnicos
• Certificación de proveedores a través del programa
STAR
Delivering Stack Pack Descripción
La monitorización continua ...
con un propósito
• las técnicas comunes y la nomenclatura para solicitar
y recibir evidencia y comprobación de las
circunstancias actuales del servicio de nube de los
proveedores
Pedidos, ofertas, y la base
para la prestación de servicios
de auditoría
• interfaz común y un espacio de nombres para
automatizar la auditoría, aserción, evaluación y
aseguramiento (A6) de entornos de nube
listas de comprobación previa
a la auditoría y cuestionarios
para inventariar los controle
• formas aceptadas por la industria para documentar
los controles de seguridad existentes
Las bases recomendadas para
los controles
• Principios fundamentales de seguridad con las
especificaciones de las necesidades globales de
seguridad de una nube, para que los consumidores
puedan evaluar el riesgo general de seguridad de un
proveedor de la nube
18. CSA GRC ecuación de valor Contribuciones para los
consumidores y proveedores
¿Qué requisitos de control debería
tener como consumidor de nube o
proveedor de la nube?
¿Cómo pregunto acerca de los
requisitos de control que están
cumpliendo (consumidor) o
expresar mi reclamo de respuesta
de un control (proveedor)?
¿Cómo puedo anunciar y automatizar
mis demandas de auditoría para los
diferentes mandatos de cumplimiento
y obligaciones de control?
¿Cómo sé que los controles que
necesito están trabajando para mí
ahora (consumidor)? ¿Cómo puedo
proporcionar seguridad real y la
transparencia del servicio a todos mis
usuarios de la nube (proveedor)?
Demandas
estáticas y
garantías
Dinámica
(continua)
monitoreo y la
transparencia
19.
20. Cuestionario para la Documentación de Controles de Seguridad en
Servicios de Cloud Computing.
https://cloudsecurityalliance.org/research/cai/
21. Cuestionario para la Documentación de Controles de Seguridad en
Servicios de Cloud Computing.
https://cloudsecurityalliance.org/research/cai/
22. Matriz de Controles para evaluar la gestión de la seguridad de los
servicios de Cloud Computing.
Alineamiento con los principales estándares y regulaciones en
materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI,
NIST, Jericho Forum and NERC CIP
https://cloudsecurityalliance.org/research/ccm/
23. Matriz de Controles para evaluar la gestión de la seguridad de los
servicios de Cloud Computing.
Alineamiento con los principales estándares y regulaciones en
materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI,
NIST, Jericho Forum and NERC CIP
https://cloudsecurityalliance.org/research/ccm/
24. Matriz de Controles para evaluar la gestión de la seguridad de los
servicios de Cloud Computing.
Alineamiento con los principales estándares y regulaciones en
materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI,
NIST, Jericho Forum and NERC CIP
https://cloudsecurityalliance.org/research/ccm/
Application Security AIS-01 Data Focus Risk Assessments GRM-02 VMM Security - Hypervisor Hardening IVS-11
Customer Access Requirements AIS-02 Management Oversight GRM-03 Wireless Security IVS-12
Data Integrity AIS-03 Management Program GRM-04 Network Architecture IVS-13
Data Security / Integrity AIS-04 Management Support/Involvement GRM-05 APIs IPY-01
Audit Planning AAC-01 Policy GRM-06 Data Request IPY-02
Independent Audits AAC-02 Policy Enforcement GRM-07 Policy & Legal IPY-03
Information System Regulatory Mapping AAC-03 Policy Impact on Risk Assessments GRM-08 Standardized Network Protocols IPY-04
Business Continuity Planning BCR-01 Policy Reviews GRM-09 Virtualization IPY-05
Business Continuity Testing BCR-02 Risk Assessments GRM-10 Anti-Malware MOS-01
Datacenter Utilities / Environmental Conditions BCR-03 Risk Management Framework GRM-11 Application Stores MOS-02
Documentation BCR-04 Asset Returns HRS-01 Approved Applications MOS-03
Environmental Risks BCR-05 Background Screening HRS-02 Approved Software for BYOD MOS-04
Equipment Location BCR-06 Employment Agreements HRS-03 Awareness and Training MOS-05
Equipment Maintenance BCR-07 Employment Termination HRS-04 Cloud Based Services MOS-06
Equipment Power Failures BCR-08 Mobile Device Management HRS-05 Compatibility MOS-07
Impact Analysis BCR-09 Non-Disclosure Agreements HRS-06 Device Eligibility MOS-08
Policy BCR-10 Roles / Responsibilities HRS-07 Device Inventory MOS-09
Retention Policy BCR-11 Technology Acceptable Use HRS-08 Device Management MOS-10
New Development / Acquisition CCC-01 Training / Awareness HRS-09 Encryption MOS-11
Outsourced Development CCC-02 User Responsibility HRS-10 Jailbreaking and Rooting MOS-12
Quality Testing CCC-03 Workspace HRS-11 Legal MOS-13
Unauthorized Software Installations CCC-04 Audit Tools Access IAM-01 Lockout Screen MOS-14
Production Changes CCC-05 Credential Lifecycle / Provision Management IAM-02 Operating Systems MOS-15
Classification DSI-01 Diagnostic / Configuration Ports Access IAM-03 Passwords MOS-16
Data Inventory / Flows DSI-02 Policies and Procedures IAM-04 Policy MOS-17
eCommerce Transactions DSI-03 Segregation of Duties IAM-05 Remote Wipe MOS-18
Handling / Labeling / Security Policy DSI-04 Source Code Access Restriction IAM-06 Security Patches MOS-19
Non-Production Data DSI-05 Third Party Access IAM-07 Users MOS-20
Ownership / Stewardship DSI-06 Trusted Sources IAM-08 Contact / Authority Maintenance SEF-01
Secure Disposal DSI-07 User Access Authorization IAM-09 Incident Management SEF-02
Asset Management DCS-01 User Access Reviews IAM-10 Incident Reporting SEF-03
Controlled Access Points DCS-02 User Access Revocation IAM-11 Incident Response Legal Preparation SEF-04
Equipment Identification DCS-03 User ID Credentials IAM-12 Incident Response Metrics SEF-05
Off-Site Authorization DCS-04 Utility Programs Access IAM-13 Data Quality and Integrity STA-01
Off-Site Equipment DCS-05 Audit Logging / Intrusion Detection IVS-01 Incident Reporting STA-02
Policy DCS-06 Change Detection IVS-02 Network / Infrastructure Services STA-03
Secure Area Authorization DCS-07 Clock Synchronization IVS-03 Provider Internal Assessments STA-04
Unauthorized Persons Entry DCS-08 Information System Documentation IVS-04 Supply Chain Agreements STA-05
User Access DCS-09 Management - Vulnerability Management IVS-05 Supply Chain Governance Reviews STA-06
Entitlement EKM-01 Network Security IVS-06 Supply Chain Metrics STA-07
Key Generation EKM-02 OS Hardening and Base Conrols IVS-07 Third Party Assessment STA-08
Sensitive Data Protection EKM-03 Production / Non-Production Environments IVS-08 Third Party Audits STA-09
Storage and Access EKM-04 Segmentation IVS-09 Anti-Virus / Malicious Software TVM-01
Baseline Requirements GRM-01 VM Security - vMotion Data Protection IVS-10 Vulnerability / Patch Management TVM-02
Mobile Code TVM-03
25.
26.
27. STAR plataforma que ofrece un registro público de servicios de cloud
computing, en el cual se describen los controles de seguridad
implementados en cada uno de ellos.
https://cloudsecurityalliance.org/star/
28.
29. ¿Su organización tiene una política para brindar
confianza en la nube?
Requerimientos genéricos
• Requisito 1: Detección de servicios en la nube que se
utiliza en la organización
• Requisito 2: Alineación de la organización empresarial
y de seguridad con la nube
Antes de que un aprovisionamiento de
servicios de la nube
• Requisito 3: Cumplir con los requisitos de clasificación
de datos de la organización
• Requisito 4: Cifrar todos los datos confidenciales
procesados en la nube
• Requisito 5: Enlazar el servicio de la nube en la
organización de identidad y la arquitectura de acceso y
seguimiento de las actividades de los usuarios
Durante una contratación de servicios de la
nube
• Requisito 6: Realizar actividades de due diligence antes de
firmar el contrato
Durante una contratación de servicios Cloud (cont)
• Requisito 7: Requerir cláusula de "derecho de auditar" en el contrato
• Requisito 8: Conocer la ubicación de la información Personal en la nube
• Requisito 9: Evaluar la disponibilidad de los servicios en la nube
• Requisito 10: Evaluar la seguridad de los medios del
proveedor de la nube
• Requisito 11: Evaluar la capacidad del proveedor de nube para cumplir
con las investigaciones forenses
El funcionamiento de un servicio de Cloud
• Requisito 12: Limitar el uso de datos en tiempo real para fines de prueba
y desarrollo
• Requisito 13: Monitorear a los proveedores de la nube y sus medidas de
seguridad
Puesta fuera de servicio un servicio de nube
• Requisito 14: Destruir información sensible cuando no es necesario
30. No se olviden la
privacidad es la base de
la Confianza en un
servicio Cloud, sobre
todo sobre servicios de
Cloud tercerizados o sub-
gestionados.
34. CSA Research Portfolio
• Nuestro centro de investigación incluye
proyectos fundamentales necesarios para
definir y poner en práctica la confianza en
el futuro de la tecnología de la información
• CSA sigue siendo agresiva en la producción
de investigación fundamental, educación y
herramientas
• +30 Grupos de Trabajo a nivel Global
Antes estamos muy cómodos con nuestro perímetro, sabíamos que teníamos un único punto de ataque pero estaba controlado por los distintos HW y SW fronterizos que poníamos.
Pero con el avance de todo definido por software, mobile, usabilidad, todo como servicio, no solo ampliamos enormemente el perímetro sino que los punto de entrada a nuestro Circulo de Confianza.
Y si pensamos en Cloud ese pasa a ser un punto fundamental, la confianza entre el proveedor cloud y sus clientes.
Antes estamos muy cómodos con nuestro perímetro, sabíamos que teníamos un único punto de ataque pero estaba controlado por los distintos HW y SW fronterizos que poníamos.
Pero con el avance de todo definido por software, mobile, usabilidad, todo como servicio, no solo ampliamos enormemente el perímetro sino que los punto de entrada a nuestro Circulo de Confianza.
Y si pensamos en Cloud ese pasa a ser un punto fundamental, la confianza entre el proveedor cloud y sus clientes.
Normalmente cuando pensamos en cloud en vez de pensar en confianza , lo primero que viene en la mente es la falta de ella y todos los peligros relacionados a este modelo…
Pero luego miramos hacia adentro de nuestra propia muralla o entorno y nos damos cuentas que son los mismos los factores de desconfianza que tenemos internamente. Ya que siempre desconfiamos a lo nuevo, nos paso con la llegada del PC, nos paso con la invasión del internet con la virtualización, nos paso con la masividad de los celulares y la movilidad.
Por ejemplo cuando el área de seguridad antes nos venia a pedir un IPS o IDS nos preguntábamos que es eso? Nos explicaban que era para la protección del perímetro y nos venia en la cabeza,” pero si ya invertimos como 5 departamentos en Firewalls para eso….
A nosotros, los de seguridad siempre se nos fue difícil justificar el verdadero ROI de la seguridad, últimamente mas fácil luego del ROSI.
Pero si pensamos en Cloud creo que es mucho mas fácil ya que los proveedores de Cloud buscan posicionarse a diferencia de sus competidores y la confianza es una de sus principales cartas.
Pero, ¿de quién es la responsabilidad de fomentar la confianza en el entorno de trabajo en Cloud? ¿Somos todos responsables o cómo en muchos otros aspectos adjudicamos esta responsabilidad a otros?
En Argentina normalmente cuando hablamos de confianza en Cloud que aspectos deberíamos tener en cuenta a la hora de evaluar a un proveedor?
Que estándares, normas o mejores practicas deberíamos tener en cuenta.
Normalmente los proveedores suelen contar con una sección especifica en sus paginas o contratos de servicios donde indica sus niveles con las certificaciones o que norma tiene compliace.
Si recién estoy arrancando y quiero contar con un roadmap, herramientas o mismos con un GRC para Cloud como la CSA puede ayudarme?
Logrando así el nivel de confianza que necesito.
Estructura del Esquema de Certificación Abierto
El OCF se estructura en 3 NIVELES de CONFIANZA, cada uno de los cuales proporciona un incremento gradual en los niveles de visibilidad y transparencia en las operaciones del Proveedor de Servicios en la Nube y un nivel mayor de seguridad en el cliente de servicios en la Nube.
Nivel 1: Autoevaluación: CSA STAR
Los proveedores de servicios en la nube pueden presentar dos tipos diferentes de informes para indicar su cumplimiento con las mejores prácticas de CSA.
El Cuestionario CAIQ (Consensus Assessment Initiative Questionnaire)
Matriz CSA-CCM
Nivel 2: CERTIFICACION STAR (Auditoría de Tercera Parte)
El concepto del esquema es utilizar los requerimientos de la norma de sistemas de gestión ISO 27001 integrado con la CCM de CSA y los propios requisitos internos o las especificaciones de la organización para evaluar la madurez de sus sistemas. Las respuestas son registradas y posteriormente analizadas por su nivel de madurez. A esta madurez se le asigna una puntuación. Todas las puntuaciones son evaluadas conjuntamente para puntuar los diferentes dominios del sistema de gestión y una puntuación global de todo el sistema de gestión.
Además de lo anterior, también existe la posibilidad para los clientes de tener su propio criterio de rendimiento interno incluido en el proceso para su examen y puntuación por los auditores.
Nivel 2: Testeo STAR (Auditoría de Terceros)
El concepto del esquema es utilizar los requerimientos para testeos AICPA SOC2, ejecutados de acuerdo con la sección AT 101, de los test estándar AICPA, ampliados con la CSA-CCM. Puede encontrarse información adicional en el posicionamiento de CSA sobre este tema, disponible en https://downloads.cloudsecurityalliance.org/initiatives/collaborate/aicpa/CSA_Position_Paper_on_AICPA_ Service_Organization_Control_Reports.pdf
Nivel 3: La certificación basada en el seguimiento continuo
Se encuentra actualmente en desarrollo y su concepto busca implementar un seguimiento en tiempo cuasi-real del cumplimiento de los requisitos de cliente, basado en la recogida continua de evidencias de auditoría.
El Esquema de Certificación Abierto (Open Certification Framework, en adelante OCF) de CSA en una iniciativa de la industria para permitir una certificación global, acreditada y basada en la confianza para proveedores de servicios en la nube.
OCF de CSA es un programa flexible, incremental y con diferentes niveles para una certificación de proveedores de servicios en la nube, de acuerdo con los objetivos de control y guías de seguridad de liderazgo de la industria que aporta CSA.
El programa se integrará con las reconocidas auditorías de tercera parte y con los requisitos de informe desarrollados dentro de la comunidad para evitar duplicar costes y esfuerzos.
OCF de CSA está basado en los objetivos de control y estructuras de control continuo definidas dentro del proyecto de investigación STACK GRC (Gobernance, Risk and Compliance) de CSA.
Los potenciales clientes de servicios de nube enfrentan un difícil problema: ¿Cómo pueden confiar en los proveedores de nube lo suficiente como para contratarlos cuando éstos se rehúsan a revelar importantes detalles de su infraestructura por motivos de seguridad y practicidad?
Con nombre Consensus Assessments Initiative Questionnaire, el documento es un marco bien pensado para medir la seguridad de la nube. “Este conjunto de preguntas es una versión simplificada de los temas, mejores prácticas y control… que apuntan a ayudar a las organizaciones a construir los procesos de evaluación necesarios para comprometerse con los proveedores de nube”, señala la CSA.
Las preguntas fundamentales que se deben hacer:
*¿Realiza su proveedor evaluaciones de penetración y auditorias de seguridad internas y externas que sus clientes puedan ver?
*¿Pueden los clientes realizar sus propias evaluaciones de vulnerabilidad?
*¿Se encuentran los datos segmentados o encriptados lógicamente por cliente de tal forma que los datos de un cliente no sean ‘barridos’ inadvertidamente junto con los de otro, digamos, en respuesta a una citación judicial?
*¿Puede el proveedor recuperar los datos cliente por cliente en caso de alguna pérdida?
*¿Cómo se protegen los derechos de propiedad intelectual?
*¿Etiqueta el proveedor las máquinas virtuales y físicas utilizadas por cada cliente y puede garantizar que los datos son almacenados solo en ciertos países pero no en otros, de acuerdo a las leyes de almacenamiento de datos de algunos países?
*¿Cuáles son las políticas del proveedor en cuanto a la respuesta a las solicitudes del gobierno de los datos del cliente?
*¿Cuáles son las políticas del proveedor en cuanto a retener los datos del cliente y puede seguir éste las políticas para el borrado de los datos de la red del proveedor?
*¿Realiza el proveedor un inventario de sus propios activos y de las relaciones con sus proveedores?
*¿Capacita a su personal, y documenta esa capacitación, sobre los controles de seguridad propios y de sus clientes?
El CSA CCM ofrece un marco de controles que da comprensión detallada de los conceptos de seguridad y los principios que están alineados con la GUIA CSA en los 14 dominios.
El CSA CCM fortalece entornos de control de seguridad de información existentes, haciendo hincapié en los requisitos de control de seguridad de información de negocio, reduce e identifica las amenazas de seguridad consistentes y vulnerabilidades en la nube, proporciona seguridad estandarizada y gestión del riesgo operacional, y trata de normalizar las expectativas de seguridad, taxonomía de la nube y terminología, y las medidas de seguridad implementadas en la nube.
Está diseñado específicamente para proporcionar los principios de seguridad para guiar a los proveedores de la nube y para ayudar a los clientes en la nube a evaluar el riesgo general de seguridad de un proveedor de la nube.
Los cimientos de la Cloud Security Alliance Controles Matrix y su relación personalizada con otros estándares de seguridad aceptados por la industria, los reglamentos, y controla los marcos como la ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Foro y NERC CIP
Está diseñado específicamente para proporcionar los principios de seguridad para guiar a los proveedores de la nube y para ayudar a los clientes en la nube a evaluar el riesgo general de seguridad de un proveedor de la nube.
CSA Cloud Controls Matrix (CCM) mapea con otros estándares de seguridad aceptados por la industria, los reglamentos, y controla los marcos como la ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho, NERC CIP, ENISA, COPPA, HIPAA/HITECH, AICPA 2014 Trust Services Criteria, etc.
Al igual que con todas las normas de sistemas de gestión, ISO/IEC 27001 ha sido escrita de tal manera que se pueda aplicar a cualquier organización, grande o pequeña, en todas las industrias. Sin embargo, se considera que existen requisitos especiales específicos para cloud computing que o bien no están cubiertos o que necesitan ser cubiertos con mayor precisión.Desarrollado por la Cloud Security Alliance (CSA) la Matriz de Control de la Nube (CCM) une este vacío, proporcionando un conjunto adicional de controles para los proveedores de servicios cloud.
Aunque no hay obligaciones regulatorias, la certificación STAR permitirá:
Visibilidad completa de la alta dirección para evaluar la eficacia de su sistema de gestión en relación con las expectativas de la norma internacional y la industria de seguridad en la nube
Una auditoría adaptada que reflejará cómo los objetivos de la organización están orientados a la optimización de los servicios en la nube
Una organización para demostrar los niveles de progreso y el desempeño a través de un reconocimiento validado independientemente por un organismo de certificación externo
Las organizaciones pueden comparar sus resultados con su competencia
La certificación STAR dará a los potenciales clientes de la organización certificada una mayor comprensión del nivel de los controles en funcionamiento, así como poner de relieve las áreas en las que una organización puede desear enfocarse
Por eso es importante el objetivo de este grupo de trabajo
Ya que su idea es desarrollar plantillas de Privacy Level Agreements (PLA) basadas en las regulaciones y acuerdos internacionales sobre Privacidad que funcionen como herramientas de autorregulación en la materia.
Un Acuerdo de Nivel de Privacidad tiene un doble objetivo:
Proporcionar a los clientes en la nube con una herramienta para evaluar el compromiso de un CSP para abordar la protección de datos personales.
Ofrecer protección contractual frente a posibles daños económicos debido a la falta de cumplimiento o el compromiso del CSP con la regulación de la privacidad y protección de datos.