SlideShare una empresa de Scribd logo

Csa summit el circulo de la confianza entre el cliente y el proveedor cloud

Descargar como PPTX, PDF
CSA Argentina
CSA Argentina

Luciano Moreira da Cruz - Vicepresidente y Julio Balderrama Consejero del Directorio Cloud Security Alliance Argentina

Tecnología
1 de 36
Luciano Moreira da Cruz Vicepresidente, CSA Argentina Julio Cesar Balderrama Consejero del Directorio - Capítulo Argentina
Partes interesada en la nube en las organizaciones Clientes Business managers, CEO/CFO CIO Legal Security Están mis datos Seguros? La satisfacción del cliente, retorno de la inversión, el EBITDA ROI, Arquitectura del Sistema, migraciones Tratamiento de datos y sus jurisdicciones, Privacidad Arquitectura segura, monitoreo, análisis de amenazas
La confianza una de las principales cartas que tiene los proveedores al momento de diferenciarse de sus competidores
TRUST/ Confianza: Definiciones • Esperanza firme que una persona tiene en que algo suceda, sea o funcione de una forma determinada, o en que otra persona actúe como ella desea. • Seguridad, especialmente al emprender una acción difícil o comprometida. • Familiaridad, naturalidad y sencillez en el trato, propias de la amistad o el parentesco. • Acto que denota mucha familiaridad, a menudo excesiva. • Se aplica a la persona en quien se puede confiar. • [cosa] Que inspira confianza o seguridad. sinónimos: fiable
Confianza y la nube ¿que debemos tener en cuenta?
Confianza y la nube ¿que debemos tener en cuenta?
Proveedor CLOUD Cliente CLOUD
• OCF - Estructura del Esquema de Certificación Abierto
• criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento (GRC) en nubes privadas, públicas o híbridas • https://cloudsecurityalliance.org/res earch/grc-stack/
• Formado por 4 proyectos • Cloud Controls Matrix (CCM) • Consensus Assessments Initiative (CAI) • Cloud Audit • Cloud Trust Protocol (CTP) • Impacto en la industria • Criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento • Pilotos técnicos • Certificación de proveedores a través del programa STAR
• Formado por 4 proyectos • Cloud Controls Matrix (CCM) • Consensus Assessments Initiative (CAI) • Cloud Audit • Cloud Trust Protocol (CTP) • Impacto en la industria • Criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento • Pilotos técnicos • Certificación de proveedores a través del programa STAR Delivering  Stack Pack  Descripción La monitorización continua ... con un propósito • las técnicas comunes y la nomenclatura para solicitar y recibir evidencia y comprobación de las circunstancias actuales del servicio de nube de los proveedores Pedidos, ofertas, y la base para la prestación de servicios de auditoría • interfaz común y un espacio de nombres para automatizar la auditoría, aserción, evaluación y aseguramiento (A6) de entornos de nube listas de comprobación previa a la auditoría y cuestionarios para inventariar los controle • formas aceptadas por la industria para documentar los controles de seguridad existentes Las bases recomendadas para los controles • Principios fundamentales de seguridad con las especificaciones de las necesidades globales de seguridad de una nube, para que los consumidores puedan evaluar el riesgo general de seguridad de un proveedor de la nube
CSA GRC ecuación de valor Contribuciones para los consumidores y proveedores ¿Qué requisitos de control debería tener como consumidor de nube o proveedor de la nube? ¿Cómo pregunto acerca de los requisitos de control que están cumpliendo (consumidor) o expresar mi reclamo de respuesta de un control (proveedor)? ¿Cómo puedo anunciar y automatizar mis demandas de auditoría para los diferentes mandatos de cumplimiento y obligaciones de control? ¿Cómo sé que los controles que necesito están trabajando para mí ahora (consumidor)? ¿Cómo puedo proporcionar seguridad real y la transparencia del servicio a todos mis usuarios de la nube (proveedor)? Demandas estáticas y garantías Dinámica (continua) monitoreo y la transparencia
 Cuestionario para la Documentación de Controles de Seguridad en Servicios de Cloud Computing.  https://cloudsecurityalliance.org/research/cai/
 Cuestionario para la Documentación de Controles de Seguridad en Servicios de Cloud Computing.  https://cloudsecurityalliance.org/research/cai/
 Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.  Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP  https://cloudsecurityalliance.org/research/ccm/
 Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.  Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP  https://cloudsecurityalliance.org/research/ccm/
 Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.  Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP  https://cloudsecurityalliance.org/research/ccm/ Application Security AIS-01 Data Focus Risk Assessments GRM-02 VMM Security - Hypervisor Hardening IVS-11 Customer Access Requirements AIS-02 Management Oversight GRM-03 Wireless Security IVS-12 Data Integrity AIS-03 Management Program GRM-04 Network Architecture IVS-13 Data Security / Integrity AIS-04 Management Support/Involvement GRM-05 APIs IPY-01 Audit Planning AAC-01 Policy GRM-06 Data Request IPY-02 Independent Audits AAC-02 Policy Enforcement GRM-07 Policy & Legal IPY-03 Information System Regulatory Mapping AAC-03 Policy Impact on Risk Assessments GRM-08 Standardized Network Protocols IPY-04 Business Continuity Planning BCR-01 Policy Reviews GRM-09 Virtualization IPY-05 Business Continuity Testing BCR-02 Risk Assessments GRM-10 Anti-Malware MOS-01 Datacenter Utilities / Environmental Conditions BCR-03 Risk Management Framework GRM-11 Application Stores MOS-02 Documentation BCR-04 Asset Returns HRS-01 Approved Applications MOS-03 Environmental Risks BCR-05 Background Screening HRS-02 Approved Software for BYOD MOS-04 Equipment Location BCR-06 Employment Agreements HRS-03 Awareness and Training MOS-05 Equipment Maintenance BCR-07 Employment Termination HRS-04 Cloud Based Services MOS-06 Equipment Power Failures BCR-08 Mobile Device Management HRS-05 Compatibility MOS-07 Impact Analysis BCR-09 Non-Disclosure Agreements HRS-06 Device Eligibility MOS-08 Policy BCR-10 Roles / Responsibilities HRS-07 Device Inventory MOS-09 Retention Policy BCR-11 Technology Acceptable Use HRS-08 Device Management MOS-10 New Development / Acquisition CCC-01 Training / Awareness HRS-09 Encryption MOS-11 Outsourced Development CCC-02 User Responsibility HRS-10 Jailbreaking and Rooting MOS-12 Quality Testing CCC-03 Workspace HRS-11 Legal MOS-13 Unauthorized Software Installations CCC-04 Audit Tools Access IAM-01 Lockout Screen MOS-14 Production Changes CCC-05 Credential Lifecycle / Provision Management IAM-02 Operating Systems MOS-15 Classification DSI-01 Diagnostic / Configuration Ports Access IAM-03 Passwords MOS-16 Data Inventory / Flows DSI-02 Policies and Procedures IAM-04 Policy MOS-17 eCommerce Transactions DSI-03 Segregation of Duties IAM-05 Remote Wipe MOS-18 Handling / Labeling / Security Policy DSI-04 Source Code Access Restriction IAM-06 Security Patches MOS-19 Non-Production Data DSI-05 Third Party Access IAM-07 Users MOS-20 Ownership / Stewardship DSI-06 Trusted Sources IAM-08 Contact / Authority Maintenance SEF-01 Secure Disposal DSI-07 User Access Authorization IAM-09 Incident Management SEF-02 Asset Management DCS-01 User Access Reviews IAM-10 Incident Reporting SEF-03 Controlled Access Points DCS-02 User Access Revocation IAM-11 Incident Response Legal Preparation SEF-04 Equipment Identification DCS-03 User ID Credentials IAM-12 Incident Response Metrics SEF-05 Off-Site Authorization DCS-04 Utility Programs Access IAM-13 Data Quality and Integrity STA-01 Off-Site Equipment DCS-05 Audit Logging / Intrusion Detection IVS-01 Incident Reporting STA-02 Policy DCS-06 Change Detection IVS-02 Network / Infrastructure Services STA-03 Secure Area Authorization DCS-07 Clock Synchronization IVS-03 Provider Internal Assessments STA-04 Unauthorized Persons Entry DCS-08 Information System Documentation IVS-04 Supply Chain Agreements STA-05 User Access DCS-09 Management - Vulnerability Management IVS-05 Supply Chain Governance Reviews STA-06 Entitlement EKM-01 Network Security IVS-06 Supply Chain Metrics STA-07 Key Generation EKM-02 OS Hardening and Base Conrols IVS-07 Third Party Assessment STA-08 Sensitive Data Protection EKM-03 Production / Non-Production Environments IVS-08 Third Party Audits STA-09 Storage and Access EKM-04 Segmentation IVS-09 Anti-Virus / Malicious Software TVM-01 Baseline Requirements GRM-01 VM Security - vMotion Data Protection IVS-10 Vulnerability / Patch Management TVM-02 Mobile Code TVM-03
 STAR plataforma que ofrece un registro público de servicios de cloud computing, en el cual se describen los controles de seguridad implementados en cada uno de ellos.  https://cloudsecurityalliance.org/star/
¿Su organización tiene una política para brindar confianza en la nube? Requerimientos genéricos • Requisito 1: Detección de servicios en la nube que se utiliza en la organización • Requisito 2: Alineación de la organización empresarial y de seguridad con la nube Antes de que un aprovisionamiento de servicios de la nube • Requisito 3: Cumplir con los requisitos de clasificación de datos de la organización • Requisito 4: Cifrar todos los datos confidenciales procesados en la nube • Requisito 5: Enlazar el servicio de la nube en la organización de identidad y la arquitectura de acceso y seguimiento de las actividades de los usuarios Durante una contratación de servicios de la nube • Requisito 6: Realizar actividades de due diligence antes de firmar el contrato Durante una contratación de servicios Cloud (cont) • Requisito 7: Requerir cláusula de "derecho de auditar" en el contrato • Requisito 8: Conocer la ubicación de la información Personal en la nube • Requisito 9: Evaluar la disponibilidad de los servicios en la nube • Requisito 10: Evaluar la seguridad de los medios del proveedor de la nube • Requisito 11: Evaluar la capacidad del proveedor de nube para cumplir con las investigaciones forenses El funcionamiento de un servicio de Cloud • Requisito 12: Limitar el uso de datos en tiempo real para fines de prueba y desarrollo • Requisito 13: Monitorear a los proveedores de la nube y sus medidas de seguridad Puesta fuera de servicio un servicio de nube • Requisito 14: Destruir información sensible cuando no es necesario
No se olviden la privacidad es la base de la Confianza en un servicio Cloud, sobre todo sobre servicios de Cloud tercerizados o sub- gestionados.
Conclusión “human ingenuity could not construct a cipher which human ingenuity could not solve.”
CSA Research Portfolio • Nuestro centro de investigación incluye proyectos fundamentales necesarios para definir y poner en práctica la confianza en el futuro de la tecnología de la información • CSA sigue siendo agresiva en la producción de investigación fundamental, educación y herramientas • +30 Grupos de Trabajo a nivel Global
lucianomoreira9@hotmail.com @luciano_m_cruz lucianomoreiradacruz https://ar.linkedin.com/in/lucianomoreiradacruz juliocesar@balderrama.com.ar @juliobalderrama juliocesarbalderrama https://www.linkedin.com/in/juliocesarbalderrama
Gracias @CSA_AR facebook.com/csaargentina https://chapters.cloudsecurityalliance.org/argentina/ https://www.linkedin.com/grp/home?gid=3350613 contact@ar.chapters.cloudsecurityalliance.org

Recomendados

Csa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCsa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCSA Argentina
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...
N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...
N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...COIICV
 
Catalogo Fortinet
Catalogo FortinetCatalogo Fortinet
Catalogo FortinetSebastian Alvarez Obando
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 

Recomendados

Csa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCsa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCSA Argentina
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)Cristian Garcia G.
 
Metodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFMetodología de Defensa Basada en NIST CSF
Metodología de Defensa Basada en NIST CSFCristian Garcia G.
 
N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...
N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...
N. de Tomas. BYOD, ¿Cómo gestionar el cambio de paradigma de modo seguro?. Se...COIICV
 
Catalogo Fortinet
Catalogo FortinetCatalogo Fortinet
Catalogo FortinetSebastian Alvarez Obando
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2
CONTRARRESTADO ATAQUES DE INGENIERIA SOCIAL Parte 2Cristian Garcia G.
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónData Center Consultores
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Ciberataques irreversibles en la red
Ciberataques irreversibles en la redCiberataques irreversibles en la red
Ciberataques irreversibles en la redCristian Garcia G.
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...Cristian Garcia G.
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
Cyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCristian Garcia G.
 
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Symantec LATAM
 
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...Cristian Garcia G.
 
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTECEstrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTECCristian Garcia G.
 
Be Aware Webinar - Kill the password
Be Aware Webinar - Kill the passwordBe Aware Webinar - Kill the password
Be Aware Webinar - Kill the passwordSymantec LATAM
 
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYSLA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYSCristian Garcia G.
 
"Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen...
"Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen..."Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen...
"Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen...eShow Colombia
 
Evolución de la SIEM moderna
Evolución de la SIEM modernaEvolución de la SIEM moderna
Evolución de la SIEM modernaTEUNO
 
Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío Cristian Garcia G.
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...Cristian Garcia G.
 
Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...
Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...
Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...Cristian Garcia G.
 
Retos de la transformación digital en las empresas
Retos de la transformación digital en las empresasRetos de la transformación digital en las empresas
Retos de la transformación digital en las empresasCristian Garcia G.
 
Wefightsmart empoderando su estrategia de ciberseguridad GIGAMON
Wefightsmart empoderando su estrategia de ciberseguridad GIGAMONWefightsmart empoderando su estrategia de ciberseguridad GIGAMON
Wefightsmart empoderando su estrategia de ciberseguridad GIGAMONCristian Garcia G.
 
Csa summit presentacion crozono
Csa summit presentacion crozonoCsa summit presentacion crozono
Csa summit presentacion crozonoCSA Argentina
 
Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...
Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...
Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...CSA Argentina
 

Más contenido relacionado

La actualidad más candente

Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónData Center Consultores
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Ciberataques irreversibles en la red
Ciberataques irreversibles en la redCiberataques irreversibles en la red
Ciberataques irreversibles en la redCristian Garcia G.
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOCristian Garcia G.
 
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...Cristian Garcia G.
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Cristian Garcia G.
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCristian Garcia G.
 
Cyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCristian Garcia G.
 
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Symantec LATAM
 
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...Cristian Garcia G.
 
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTECEstrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTECCristian Garcia G.
 
Be Aware Webinar - Kill the password
Be Aware Webinar - Kill the passwordBe Aware Webinar - Kill the password
Be Aware Webinar - Kill the passwordSymantec LATAM
 
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYSLA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYSCristian Garcia G.
 
"Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen...
"Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen..."Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen...
"Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen...eShow Colombia
 
Evolución de la SIEM moderna
Evolución de la SIEM modernaEvolución de la SIEM moderna
Evolución de la SIEM modernaTEUNO
 
Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío Cristian Garcia G.
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...Cristian Garcia G.
 
Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...
Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...
Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...Cristian Garcia G.
 
Retos de la transformación digital en las empresas
Retos de la transformación digital en las empresasRetos de la transformación digital en las empresas
Retos de la transformación digital en las empresasCristian Garcia G.
 
Wefightsmart empoderando su estrategia de ciberseguridad GIGAMON
Wefightsmart empoderando su estrategia de ciberseguridad GIGAMONWefightsmart empoderando su estrategia de ciberseguridad GIGAMON
Wefightsmart empoderando su estrategia de ciberseguridad GIGAMONCristian Garcia G.
 

La actualidad más candente (20)

Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la Información
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Ciberataques irreversibles en la red
Ciberataques irreversibles en la redCiberataques irreversibles en la red
Ciberataques irreversibles en la red
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNOSEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
 
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
Asegurando y Acelerando la Transformación Digital – Seguridad para los Activo...
 
Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube Seguridad de red para la generación de la Nube
Seguridad de red para la generación de la Nube
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIASCOCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
 
Cyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de GestiónCyber Exposure - Categoría Moderna de Gestión
Cyber Exposure - Categoría Moderna de Gestión
 
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
Be Aware Webinar - Si los passwords son débiles… ¿porqué no mejor matarlos?
 
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...La inteligencia artificial y la automatización aplicadas en favor de la ciber...
La inteligencia artificial y la automatización aplicadas en favor de la ciber...
 
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTECEstrategias para un Movimiento Seguro a la Nube SYMANTEC
Estrategias para un Movimiento Seguro a la Nube SYMANTEC
 
Be Aware Webinar - Kill the password
Be Aware Webinar - Kill the passwordBe Aware Webinar - Kill the password
Be Aware Webinar - Kill the password
 
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYSLA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
LA TRANSFORMACIÓN DIGITAL DE LAS EMPRESAS QUALYS
 
"Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen...
"Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen..."Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen...
"Entornos seguros y rentables para los negocios digitales" - Juan Carlos Puen...
 
Evolución de la SIEM moderna
Evolución de la SIEM modernaEvolución de la SIEM moderna
Evolución de la SIEM moderna
 
Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío Ciberseguridad para la transformación digital, el nuevo desafío
Ciberseguridad para la transformación digital, el nuevo desafío
 
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
La Seguridad Aplicativa como herramienta de impacto positivo en la transforma...
 
Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...
Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...
Ataques de DDoS encriptado: ¡El nuevo dolor de cabeza corporativo!, ¿Cómo pro...
 
Retos de la transformación digital en las empresas
Retos de la transformación digital en las empresasRetos de la transformación digital en las empresas
Retos de la transformación digital en las empresas
 
Wefightsmart empoderando su estrategia de ciberseguridad GIGAMON
Wefightsmart empoderando su estrategia de ciberseguridad GIGAMONWefightsmart empoderando su estrategia de ciberseguridad GIGAMON
Wefightsmart empoderando su estrategia de ciberseguridad GIGAMON
 

Destacado

Csa summit presentacion crozono
Csa summit presentacion crozonoCsa summit presentacion crozono
Csa summit presentacion crozonoCSA Argentina
 
Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...
Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...
Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...CSA Argentina
 
Seguridad de la Información - IV Congreso Nacional de Sistemas de Gestión y ...
Seguridad de la Información - IV Congreso Nacional de Sistemas de Gestión y ...Seguridad de la Información - IV Congreso Nacional de Sistemas de Gestión y ...
Seguridad de la Información - IV Congreso Nacional de Sistemas de Gestión y ...Gestión de la Calidad de UTN BA
 
Csa summit seguridad en el sddc
Csa summit seguridad en el sddcCsa summit seguridad en el sddc
Csa summit seguridad en el sddcCSA Argentina
 
Csa summit who can protect us education for cloud security professionals
Csa summit who can protect us education for cloud security professionalsCsa summit who can protect us education for cloud security professionals
Csa summit who can protect us education for cloud security professionalsCSA Argentina
 
Csa summit argentina-reavis
Csa summit argentina-reavisCsa summit argentina-reavis
Csa summit argentina-reavisCSA Argentina
 
Csa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCsa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCSA Argentina
 

Destacado (7)

Csa summit presentacion crozono
Csa summit presentacion crozonoCsa summit presentacion crozono
Csa summit presentacion crozono
 
Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...
Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...
Csa summit cualquier aplicación, desde cualquier dispositivo, en cualquier ...
 
Seguridad de la Información - IV Congreso Nacional de Sistemas de Gestión y ...
Seguridad de la Información - IV Congreso Nacional de Sistemas de Gestión y ...Seguridad de la Información - IV Congreso Nacional de Sistemas de Gestión y ...
Seguridad de la Información - IV Congreso Nacional de Sistemas de Gestión y ...
 
Csa summit seguridad en el sddc
Csa summit seguridad en el sddcCsa summit seguridad en el sddc
Csa summit seguridad en el sddc
 
Csa summit who can protect us education for cloud security professionals
Csa summit who can protect us education for cloud security professionalsCsa summit who can protect us education for cloud security professionals
Csa summit who can protect us education for cloud security professionals
 
Csa summit argentina-reavis
Csa summit argentina-reavisCsa summit argentina-reavis
Csa summit argentina-reavis
 
Csa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del cisoCsa summit la transformación digital y el nuevo rol del ciso
Csa summit la transformación digital y el nuevo rol del ciso
 

Similar a Csa summit el circulo de la confianza entre el cliente y el proveedor cloud

Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud ComputingGabriel Marcos
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabián Descalzo
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioFabián Descalzo
 
Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019CSA Argentina
 
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic Consultoría Tecnológica
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Seguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoSeguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoCristian Borghello
 
Ensayo seguridad en la nube
Ensayo seguridad en la nubeEnsayo seguridad en la nube
Ensayo seguridad en la nubeoerazo6808
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCSA Argentina
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...Roger CARHUATOCTO
 
Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Juan Ignacio Oller Aznar
 
Privacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b securePrivacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b secureJuan Carlos Carrillo
 
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptxRicardo González
 
Azure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaAzure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaPlain Concepts
 

Similar a Csa summit el circulo de la confianza entre el cliente y el proveedor cloud (20)

Seguridad para Cloud Computing
Seguridad para Cloud ComputingSeguridad para Cloud Computing
Seguridad para Cloud Computing
 
Fabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el CloudFabian Descalzo - PCI en el Cloud
Fabian Descalzo - PCI en el Cloud
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorioGobierno de los datos en la nube y el cumplimiento regulatorio
Gobierno de los datos en la nube y el cumplimiento regulatorio
 
Revista CSA
Revista CSARevista CSA
Revista CSA
 
Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019Revista CSA LATAM FORUM 2019
Revista CSA LATAM FORUM 2019
 
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
avanttic - webinar: Oracle Seguridad-Desarrollo Software (18-06-2015)
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Seguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-InfoSeguridad en Cloud Computing - Segu-Info
Seguridad en Cloud Computing - Segu-Info
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Ensayo seguridad en la nube
Ensayo seguridad en la nubeEnsayo seguridad en la nube
Ensayo seguridad en la nube
 
Csa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummiesCsa Summit 2017 - Csa Star for dummies
Csa Summit 2017 - Csa Star for dummies
 
Csa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesCsa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummies
 
Isaca journal marzo 2013
Isaca journal marzo 2013Isaca journal marzo 2013
Isaca journal marzo 2013
 
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
[Webinar] Gestión Identidades y Control de Acceso en los Servicios usando WSO...
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14
 
Privacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b securePrivacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b secure
 
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
 
Azure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanzaAzure bajo control: Claves de una buena gobernanza
Azure bajo control: Claves de una buena gobernanza
 

Más de CSA Argentina

7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v27o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2CSA Argentina
 
Cloud native y donde esta el piloto
Cloud native y donde esta el pilotoCloud native y donde esta el piloto
Cloud native y donde esta el pilotoCSA Argentina
 
Iam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaIam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaCSA Argentina
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophosCSA Argentina
 
CSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA Argentina
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfenseCSA Argentina
 
Segurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecSegurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecCSA Argentina
 
Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0CSA Argentina
 
2018 cyberark evento cloud
2018 cyberark evento cloud2018 cyberark evento cloud
2018 cyberark evento cloudCSA Argentina
 
Csa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCsa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCSA Argentina
 
Csa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCsa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCSA Argentina
 
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCsa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCSA Argentina
 
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...CSA Argentina
 
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Argentina
 
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTEUNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTECSA Argentina
 
SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015CSA Argentina
 
CIBER 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
CIBER 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTECIBER 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
CIBER 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTECSA Argentina
 
Cloud Security y en donde esta el piloto
Cloud Security y en donde esta el pilotoCloud Security y en donde esta el piloto
Cloud Security y en donde esta el pilotoCSA Argentina
 
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
[CSA] Recomendaciones de Seguridad en Cloud Computing para UsuariosCSA Argentina
 

Más de CSA Argentina (20)

7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v27o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
7o estudio-cloud security-esarsenu-2019-csaespearclbobrcomx-isacamad-v2
 
Cloud native y donde esta el piloto
Cloud native y donde esta el pilotoCloud native y donde esta el piloto
Cloud native y donde esta el piloto
 
Iam dev secops the infinity loop saga
Iam dev secops the infinity loop sagaIam dev secops the infinity loop saga
Iam dev secops the infinity loop saga
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps Argentina
 
Cloud security adoption sophos
Cloud security adoption sophosCloud security adoption sophos
Cloud security adoption sophos
 
CSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPECSA LATAM FORUM - NETSKOPE
CSA LATAM FORUM - NETSKOPE
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfense
 
Segurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantecSegurdad de red para la generacion de la nube symantec
Segurdad de red para la generacion de la nube symantec
 
Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0Automated security analysis of aws clouds v1.0
Automated security analysis of aws clouds v1.0
 
2018 cyberark evento cloud
2018 cyberark evento cloud2018 cyberark evento cloud
2018 cyberark evento cloud
 
Csa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nubeCsa Summit 2017 - Un viaje seguro hacia la nube
Csa Summit 2017 - Un viaje seguro hacia la nube
 
Csa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environmentsCsa Summit 2017 - Managing multicloud environments
Csa Summit 2017 - Managing multicloud environments
 
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos CloudCsa summit 2017 - Plataforma de Seguridad para entornos Cloud
Csa summit 2017 - Plataforma de Seguridad para entornos Cloud
 
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
Csa Summit 2017 - Obteniendo información de tu organización a través de aplic...
 
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
CSA Summit 2017 - Infraestructuras Ágiles y Delivery Continuo, del testing ma...
 
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTEUNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
 
SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015SECURITY AS A WAR - Infosecurity 2015
SECURITY AS A WAR - Infosecurity 2015
 
CIBER 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
CIBER 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTECIBER 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
CIBER 2015 UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
 
Cloud Security y en donde esta el piloto
Cloud Security y en donde esta el pilotoCloud Security y en donde esta el piloto
Cloud Security y en donde esta el piloto
 
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
 

Último

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Último (15)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

Csa summit el circulo de la confianza entre el cliente y el proveedor cloud

  • 1.
  • 2. Luciano Moreira da Cruz Vicepresidente, CSA Argentina Julio Cesar Balderrama Consejero del Directorio - Capítulo Argentina
  • 3.
  • 4.
  • 5. Partes interesada en la nube en las organizaciones Clientes Business managers, CEO/CFO CIO Legal Security Están mis datos Seguros? La satisfacción del cliente, retorno de la inversión, el EBITDA ROI, Arquitectura del Sistema, migraciones Tratamiento de datos y sus jurisdicciones, Privacidad Arquitectura segura, monitoreo, análisis de amenazas
  • 6.
  • 7.
  • 8. La confianza una de las principales cartas que tiene los proveedores al momento de diferenciarse de sus competidores
  • 9. TRUST/ Confianza: Definiciones • Esperanza firme que una persona tiene en que algo suceda, sea o funcione de una forma determinada, o en que otra persona actúe como ella desea. • Seguridad, especialmente al emprender una acción difícil o comprometida. • Familiaridad, naturalidad y sencillez en el trato, propias de la amistad o el parentesco. • Acto que denota mucha familiaridad, a menudo excesiva. • Se aplica a la persona en quien se puede confiar. • [cosa] Que inspira confianza o seguridad. sinónimos: fiable
  • 10. Confianza y la nube ¿que debemos tener en cuenta?
  • 11. Confianza y la nube ¿que debemos tener en cuenta?
  • 13. • OCF - Estructura del Esquema de Certificación Abierto
  • 14.
  • 15. • criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento (GRC) en nubes privadas, públicas o híbridas • https://cloudsecurityalliance.org/res earch/grc-stack/
  • 16. • Formado por 4 proyectos • Cloud Controls Matrix (CCM) • Consensus Assessments Initiative (CAI) • Cloud Audit • Cloud Trust Protocol (CTP) • Impacto en la industria • Criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento • Pilotos técnicos • Certificación de proveedores a través del programa STAR
  • 17. • Formado por 4 proyectos • Cloud Controls Matrix (CCM) • Consensus Assessments Initiative (CAI) • Cloud Audit • Cloud Trust Protocol (CTP) • Impacto en la industria • Criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento • Pilotos técnicos • Certificación de proveedores a través del programa STAR Delivering  Stack Pack  Descripción La monitorización continua ... con un propósito • las técnicas comunes y la nomenclatura para solicitar y recibir evidencia y comprobación de las circunstancias actuales del servicio de nube de los proveedores Pedidos, ofertas, y la base para la prestación de servicios de auditoría • interfaz común y un espacio de nombres para automatizar la auditoría, aserción, evaluación y aseguramiento (A6) de entornos de nube listas de comprobación previa a la auditoría y cuestionarios para inventariar los controle • formas aceptadas por la industria para documentar los controles de seguridad existentes Las bases recomendadas para los controles • Principios fundamentales de seguridad con las especificaciones de las necesidades globales de seguridad de una nube, para que los consumidores puedan evaluar el riesgo general de seguridad de un proveedor de la nube
  • 18. CSA GRC ecuación de valor Contribuciones para los consumidores y proveedores ¿Qué requisitos de control debería tener como consumidor de nube o proveedor de la nube? ¿Cómo pregunto acerca de los requisitos de control que están cumpliendo (consumidor) o expresar mi reclamo de respuesta de un control (proveedor)? ¿Cómo puedo anunciar y automatizar mis demandas de auditoría para los diferentes mandatos de cumplimiento y obligaciones de control? ¿Cómo sé que los controles que necesito están trabajando para mí ahora (consumidor)? ¿Cómo puedo proporcionar seguridad real y la transparencia del servicio a todos mis usuarios de la nube (proveedor)? Demandas estáticas y garantías Dinámica (continua) monitoreo y la transparencia
  • 19.
  • 20.  Cuestionario para la Documentación de Controles de Seguridad en Servicios de Cloud Computing.  https://cloudsecurityalliance.org/research/cai/
  • 21.  Cuestionario para la Documentación de Controles de Seguridad en Servicios de Cloud Computing.  https://cloudsecurityalliance.org/research/cai/
  • 22.  Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.  Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP  https://cloudsecurityalliance.org/research/ccm/
  • 23.  Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.  Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP  https://cloudsecurityalliance.org/research/ccm/
  • 24.  Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.  Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP  https://cloudsecurityalliance.org/research/ccm/ Application Security AIS-01 Data Focus Risk Assessments GRM-02 VMM Security - Hypervisor Hardening IVS-11 Customer Access Requirements AIS-02 Management Oversight GRM-03 Wireless Security IVS-12 Data Integrity AIS-03 Management Program GRM-04 Network Architecture IVS-13 Data Security / Integrity AIS-04 Management Support/Involvement GRM-05 APIs IPY-01 Audit Planning AAC-01 Policy GRM-06 Data Request IPY-02 Independent Audits AAC-02 Policy Enforcement GRM-07 Policy & Legal IPY-03 Information System Regulatory Mapping AAC-03 Policy Impact on Risk Assessments GRM-08 Standardized Network Protocols IPY-04 Business Continuity Planning BCR-01 Policy Reviews GRM-09 Virtualization IPY-05 Business Continuity Testing BCR-02 Risk Assessments GRM-10 Anti-Malware MOS-01 Datacenter Utilities / Environmental Conditions BCR-03 Risk Management Framework GRM-11 Application Stores MOS-02 Documentation BCR-04 Asset Returns HRS-01 Approved Applications MOS-03 Environmental Risks BCR-05 Background Screening HRS-02 Approved Software for BYOD MOS-04 Equipment Location BCR-06 Employment Agreements HRS-03 Awareness and Training MOS-05 Equipment Maintenance BCR-07 Employment Termination HRS-04 Cloud Based Services MOS-06 Equipment Power Failures BCR-08 Mobile Device Management HRS-05 Compatibility MOS-07 Impact Analysis BCR-09 Non-Disclosure Agreements HRS-06 Device Eligibility MOS-08 Policy BCR-10 Roles / Responsibilities HRS-07 Device Inventory MOS-09 Retention Policy BCR-11 Technology Acceptable Use HRS-08 Device Management MOS-10 New Development / Acquisition CCC-01 Training / Awareness HRS-09 Encryption MOS-11 Outsourced Development CCC-02 User Responsibility HRS-10 Jailbreaking and Rooting MOS-12 Quality Testing CCC-03 Workspace HRS-11 Legal MOS-13 Unauthorized Software Installations CCC-04 Audit Tools Access IAM-01 Lockout Screen MOS-14 Production Changes CCC-05 Credential Lifecycle / Provision Management IAM-02 Operating Systems MOS-15 Classification DSI-01 Diagnostic / Configuration Ports Access IAM-03 Passwords MOS-16 Data Inventory / Flows DSI-02 Policies and Procedures IAM-04 Policy MOS-17 eCommerce Transactions DSI-03 Segregation of Duties IAM-05 Remote Wipe MOS-18 Handling / Labeling / Security Policy DSI-04 Source Code Access Restriction IAM-06 Security Patches MOS-19 Non-Production Data DSI-05 Third Party Access IAM-07 Users MOS-20 Ownership / Stewardship DSI-06 Trusted Sources IAM-08 Contact / Authority Maintenance SEF-01 Secure Disposal DSI-07 User Access Authorization IAM-09 Incident Management SEF-02 Asset Management DCS-01 User Access Reviews IAM-10 Incident Reporting SEF-03 Controlled Access Points DCS-02 User Access Revocation IAM-11 Incident Response Legal Preparation SEF-04 Equipment Identification DCS-03 User ID Credentials IAM-12 Incident Response Metrics SEF-05 Off-Site Authorization DCS-04 Utility Programs Access IAM-13 Data Quality and Integrity STA-01 Off-Site Equipment DCS-05 Audit Logging / Intrusion Detection IVS-01 Incident Reporting STA-02 Policy DCS-06 Change Detection IVS-02 Network / Infrastructure Services STA-03 Secure Area Authorization DCS-07 Clock Synchronization IVS-03 Provider Internal Assessments STA-04 Unauthorized Persons Entry DCS-08 Information System Documentation IVS-04 Supply Chain Agreements STA-05 User Access DCS-09 Management - Vulnerability Management IVS-05 Supply Chain Governance Reviews STA-06 Entitlement EKM-01 Network Security IVS-06 Supply Chain Metrics STA-07 Key Generation EKM-02 OS Hardening and Base Conrols IVS-07 Third Party Assessment STA-08 Sensitive Data Protection EKM-03 Production / Non-Production Environments IVS-08 Third Party Audits STA-09 Storage and Access EKM-04 Segmentation IVS-09 Anti-Virus / Malicious Software TVM-01 Baseline Requirements GRM-01 VM Security - vMotion Data Protection IVS-10 Vulnerability / Patch Management TVM-02 Mobile Code TVM-03
  • 25.
  • 26.
  • 27.  STAR plataforma que ofrece un registro público de servicios de cloud computing, en el cual se describen los controles de seguridad implementados en cada uno de ellos.  https://cloudsecurityalliance.org/star/
  • 28.
  • 29. ¿Su organización tiene una política para brindar confianza en la nube? Requerimientos genéricos • Requisito 1: Detección de servicios en la nube que se utiliza en la organización • Requisito 2: Alineación de la organización empresarial y de seguridad con la nube Antes de que un aprovisionamiento de servicios de la nube • Requisito 3: Cumplir con los requisitos de clasificación de datos de la organización • Requisito 4: Cifrar todos los datos confidenciales procesados en la nube • Requisito 5: Enlazar el servicio de la nube en la organización de identidad y la arquitectura de acceso y seguimiento de las actividades de los usuarios Durante una contratación de servicios de la nube • Requisito 6: Realizar actividades de due diligence antes de firmar el contrato Durante una contratación de servicios Cloud (cont) • Requisito 7: Requerir cláusula de "derecho de auditar" en el contrato • Requisito 8: Conocer la ubicación de la información Personal en la nube • Requisito 9: Evaluar la disponibilidad de los servicios en la nube • Requisito 10: Evaluar la seguridad de los medios del proveedor de la nube • Requisito 11: Evaluar la capacidad del proveedor de nube para cumplir con las investigaciones forenses El funcionamiento de un servicio de Cloud • Requisito 12: Limitar el uso de datos en tiempo real para fines de prueba y desarrollo • Requisito 13: Monitorear a los proveedores de la nube y sus medidas de seguridad Puesta fuera de servicio un servicio de nube • Requisito 14: Destruir información sensible cuando no es necesario
  • 30. No se olviden la privacidad es la base de la Confianza en un servicio Cloud, sobre todo sobre servicios de Cloud tercerizados o sub- gestionados.
  • 31.
  • 32. Conclusión “human ingenuity could not construct a cipher which human ingenuity could not solve.”
  • 33.
  • 34. CSA Research Portfolio • Nuestro centro de investigación incluye proyectos fundamentales necesarios para definir y poner en práctica la confianza en el futuro de la tecnología de la información • CSA sigue siendo agresiva en la producción de investigación fundamental, educación y herramientas • +30 Grupos de Trabajo a nivel Global

Notas del editor

  1. Antes estamos muy cómodos con nuestro perímetro, sabíamos que teníamos un único punto de ataque pero estaba controlado por los distintos HW y SW fronterizos que poníamos. Pero con el avance de todo definido por software, mobile, usabilidad, todo como servicio, no solo ampliamos enormemente el perímetro sino que los punto de entrada a nuestro Circulo de Confianza. Y si pensamos en Cloud ese pasa a ser un punto fundamental, la confianza entre el proveedor cloud y sus clientes.
  2. Antes estamos muy cómodos con nuestro perímetro, sabíamos que teníamos un único punto de ataque pero estaba controlado por los distintos HW y SW fronterizos que poníamos. Pero con el avance de todo definido por software, mobile, usabilidad, todo como servicio, no solo ampliamos enormemente el perímetro sino que los punto de entrada a nuestro Circulo de Confianza. Y si pensamos en Cloud ese pasa a ser un punto fundamental, la confianza entre el proveedor cloud y sus clientes.
  3. Normalmente cuando pensamos en cloud en vez de pensar en confianza , lo primero que viene en la mente es la falta de ella y todos los peligros relacionados a este modelo…
  4. Pero luego miramos hacia adentro de nuestra propia muralla o entorno y nos damos cuentas que son los mismos los factores de desconfianza que tenemos internamente. Ya que siempre desconfiamos a lo nuevo, nos paso con la llegada del PC, nos paso con la invasión del internet con la virtualización, nos paso con la masividad de los celulares y la movilidad. Por ejemplo cuando el área de seguridad antes nos venia a pedir un IPS o IDS nos preguntábamos que es eso? Nos explicaban que era para la protección del perímetro y nos venia en la cabeza,” pero si ya invertimos como 5 departamentos en Firewalls para eso….
  5. A nosotros, los de seguridad siempre se nos fue difícil justificar el verdadero ROI de la seguridad, últimamente mas fácil luego del ROSI. Pero si pensamos en Cloud creo que es mucho mas fácil ya que los proveedores de Cloud buscan posicionarse a diferencia de sus competidores y la confianza es una de sus principales cartas.
  6. Pero, ¿de quién es la responsabilidad de fomentar la confianza en el entorno de trabajo en Cloud? ¿Somos todos responsables o cómo en muchos otros aspectos adjudicamos esta responsabilidad a otros?
  7. En Argentina normalmente cuando hablamos de confianza en Cloud que aspectos deberíamos tener en cuenta a la hora de evaluar a un proveedor? Que estándares, normas o mejores practicas deberíamos tener en cuenta. Normalmente los proveedores suelen contar con una sección especifica en sus paginas o contratos de servicios donde indica sus niveles con las certificaciones o que norma tiene compliace.
  8. Si recién estoy arrancando y quiero contar con un roadmap, herramientas o mismos con un GRC para Cloud como la CSA puede ayudarme? Logrando así el nivel de confianza que necesito.
  9. Estructura del Esquema de Certificación Abierto El OCF se estructura en 3 NIVELES de CONFIANZA, cada uno de los cuales proporciona un incremento gradual en los niveles de visibilidad y transparencia en las operaciones del Proveedor de Servicios en la Nube y un nivel mayor de seguridad en el cliente de servicios en la Nube. Nivel 1: Autoevaluación: CSA STAR Los proveedores de servicios en la nube pueden presentar dos tipos diferentes de informes para indicar su cumplimiento con las mejores prácticas de CSA.  El Cuestionario CAIQ (Consensus Assessment Initiative Questionnaire)  Matriz CSA-CCM Nivel 2: CERTIFICACION STAR (Auditoría de Tercera Parte) El concepto del esquema es utilizar los requerimientos de la norma de sistemas de gestión ISO 27001 integrado con la CCM de CSA y los propios requisitos internos o las especificaciones de la organización para evaluar la madurez de sus sistemas. Las respuestas son registradas y posteriormente analizadas por su nivel de madurez. A esta madurez se le asigna una puntuación. Todas las puntuaciones son evaluadas conjuntamente para puntuar los diferentes dominios del sistema de gestión y una puntuación global de todo el sistema de gestión. Además de lo anterior, también existe la posibilidad para los clientes de tener su propio criterio de rendimiento interno incluido en el proceso para su examen y puntuación por los auditores. Nivel 2: Testeo STAR (Auditoría de Terceros) El concepto del esquema es utilizar los requerimientos para testeos AICPA SOC2, ejecutados de acuerdo con la sección AT 101, de los test estándar AICPA, ampliados con la CSA-CCM. Puede encontrarse información adicional en el posicionamiento de CSA sobre este tema, disponible en https://downloads.cloudsecurityalliance.org/initiatives/collaborate/aicpa/CSA_Position_Paper_on_AICPA_ Service_Organization_Control_Reports.pdf Nivel 3: La certificación basada en el seguimiento continuo Se encuentra actualmente en desarrollo y su concepto busca implementar un seguimiento en tiempo cuasi-real del cumplimiento de los requisitos de cliente, basado en la recogida continua de evidencias de auditoría.
  10. El Esquema de Certificación Abierto (Open Certification Framework, en adelante OCF) de CSA en una iniciativa de la industria para permitir una certificación global, acreditada y basada en la confianza para proveedores de servicios en la nube. OCF de CSA es un programa flexible, incremental y con diferentes niveles para una certificación de proveedores de servicios en la nube, de acuerdo con los objetivos de control y guías de seguridad de liderazgo de la industria que aporta CSA. El programa se integrará con las reconocidas auditorías de tercera parte y con los requisitos de informe desarrollados dentro de la comunidad para evitar duplicar costes y esfuerzos. OCF de CSA está basado en los objetivos de control y estructuras de control continuo definidas dentro del proyecto de investigación STACK GRC (Gobernance, Risk and Compliance) de CSA.
  11. Los potenciales clientes de servicios de nube enfrentan un difícil problema: ¿Cómo pueden confiar en los proveedores de nube lo suficiente como para contratarlos cuando éstos se rehúsan a revelar importantes detalles de su infraestructura por motivos de seguridad y practicidad? Con nombre Consensus Assessments Initiative Questionnaire, el documento es un marco bien pensado para medir la seguridad de la nube. “Este conjunto de preguntas es una versión simplificada de los temas, mejores prácticas y control… que apuntan a ayudar a las organizaciones a construir los procesos de evaluación necesarios para comprometerse con los proveedores de nube”, señala la CSA. Las preguntas fundamentales que se deben hacer: *¿Realiza su proveedor evaluaciones de penetración y auditorias de seguridad internas y externas que sus clientes puedan ver? *¿Pueden los clientes realizar sus propias evaluaciones de vulnerabilidad? *¿Se encuentran los datos segmentados o encriptados lógicamente por cliente de tal forma que los datos de un cliente no sean ‘barridos’ inadvertidamente junto con los de otro, digamos, en respuesta a una citación judicial? *¿Puede el proveedor recuperar los datos cliente por cliente en caso de alguna pérdida? *¿Cómo se protegen los derechos de propiedad intelectual? *¿Etiqueta el proveedor las máquinas virtuales y físicas utilizadas por cada cliente y puede garantizar que los datos son almacenados solo en ciertos países pero no en otros, de acuerdo a las leyes de almacenamiento de datos de algunos países? *¿Cuáles son las políticas del proveedor en cuanto a la respuesta a las solicitudes del gobierno de los datos del cliente? *¿Cuáles son las políticas del proveedor en cuanto a retener los datos del cliente y puede seguir éste las políticas para el borrado de los datos de la red del proveedor?  *¿Realiza el proveedor un inventario de sus propios activos y de las relaciones con sus proveedores? *¿Capacita a su personal, y documenta esa capacitación, sobre los controles de seguridad propios y de sus clientes?
  12. El CSA CCM ofrece un marco de controles que da comprensión detallada de los conceptos de seguridad y los principios que están alineados con la GUIA CSA en los 14 dominios. El CSA CCM fortalece entornos de control de seguridad de información existentes, haciendo hincapié en los requisitos de control de seguridad de información de negocio, reduce e identifica las amenazas de seguridad consistentes y vulnerabilidades en la nube, proporciona seguridad estandarizada y gestión del riesgo operacional, y trata de normalizar las expectativas de seguridad, taxonomía de la nube y terminología, y las medidas de seguridad implementadas en la nube.
  13. Está diseñado específicamente para proporcionar los principios de seguridad para guiar a los proveedores de la nube y para ayudar a los clientes en la nube a evaluar el riesgo general de seguridad de un proveedor de la nube. Los cimientos de la Cloud Security Alliance Controles Matrix y su relación personalizada con otros estándares de seguridad aceptados por la industria, los reglamentos, y controla los marcos como la ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Foro y NERC CIP Está diseñado específicamente para proporcionar los principios de seguridad para guiar a los proveedores de la nube y para ayudar a los clientes en la nube a evaluar el riesgo general de seguridad de un proveedor de la nube. CSA Cloud Controls Matrix (CCM) mapea con otros estándares de seguridad aceptados por la industria, los reglamentos, y controla los marcos como la ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho, NERC CIP, ENISA, COPPA, HIPAA/HITECH, AICPA 2014 Trust Services Criteria, etc.  
  14. Al igual que con todas las normas de sistemas de gestión, ISO/IEC 27001 ha sido escrita de tal manera que se pueda aplicar a cualquier organización, grande o pequeña, en todas las industrias. Sin embargo, se considera que existen requisitos especiales específicos para cloud computing que o bien no están cubiertos o que necesitan ser cubiertos con mayor precisión. Desarrollado por la Cloud Security Alliance (CSA) la Matriz de Control de la Nube (CCM) une este vacío, proporcionando un conjunto adicional de controles para los proveedores de servicios cloud.
  15. Aunque no hay obligaciones regulatorias, la certificación STAR permitirá: Visibilidad completa de la alta dirección para evaluar la eficacia de su sistema de gestión en relación con las expectativas de la norma internacional y la industria de seguridad en la nube Una auditoría adaptada que reflejará cómo los objetivos de la organización están orientados a la optimización de los servicios en la nube Una organización para demostrar los niveles de progreso y el desempeño a través de un reconocimiento validado independientemente por un organismo de certificación externo Las organizaciones pueden comparar sus resultados con su competencia La certificación STAR dará a los potenciales clientes de la organización certificada una mayor comprensión del nivel de los controles en funcionamiento, así como poner de relieve las áreas en las que una organización puede desear enfocarse
  16. Por eso es importante el objetivo de este grupo de trabajo Ya que su idea es desarrollar plantillas de Privacy Level Agreements (PLA) basadas en las regulaciones y acuerdos internacionales sobre Privacidad que funcionen como herramientas de autorregulación en la materia. Un Acuerdo de Nivel de Privacidad tiene un doble objetivo: Proporcionar a los clientes en la nube con una herramienta para evaluar el compromiso de un CSP para abordar la protección de datos personales. Ofrecer protección contractual frente a posibles daños económicos debido a la falta de cumplimiento o el compromiso del CSP con la regulación de la privacidad y protección de datos.