Conclusiones del Desayuno Ejecutivo realizado durante el mes de Noviembre y que reunió a profesionales del ámbito público, privado y organismos de gobierno.
2. Diciembre
Conclusiones del Desayuno Ejecutivo
2012
Contenido
Resumen de la Jornada ...................................................................................................... 2
Conclusiones: ¿Por qué migraría a la nube? ¿A cuál? (privada, pública, híbrida). ............... 3
Conclusiones: ¿Cuáles son los principales obstáculos que identifica al momento de migrar
hacia la nube? .................................................................................................................... 4
Conclusiones: Aspectos Legales y Regulatorios referidos a la nube. ................................... 5
Herramientas Disponibles .................................................................................................. 7
Acerca de Cloud Security Alliance (CSA) ............................................................................. 8
Referencias ........................................................................................................................ 8
Contacto ............................................................................................................................ 8
3. Diciembre
Conclusiones del Desayuno Ejecutivo
2012
Resumen de la Jornada
El pasado 22 de Noviembre hemos realizado junto con CXO Community, el primer desayuno
ejecutivo sobre Seguridad en Cloud Computing. El mismo tuvo sede en la Universidad
Austral, quien confió en nosotros y nos cedió una excelente aula.
Dentro de los objetivos planteados para la jornada, se incluyeron principalmente, escuchar
a los referentes del mercado respecto de sus problemáticas al momento de trabajar en
temas referidos al Cloud Computing, analizar en un formato de debate dichos issues, con el
objetivo de identificar algún camino de solución y por último, debatir la situación actual del
Cloud Computing en la Argentina.
A diferencia de otras jornadas sobre la temática en cuestión, en esta oportunidad se ha
podido contar en un mismo lugar con representantes de la Dirección Nacional de Protección
de Datos Personales y del Centro de Protección de Datos Personales de la Defensoría del
Pueblo de la Ciudad Autónoma de Buenos Aires, lo que más allá de ser todo un logro, ha
sido de un gran valor para todos los asistentes a la jornada.
La Jornada se desarrolló bajo el paraguas de una serie de disparadores que se describen a
continuación:
• ¿Por qué migraría a la nube? ¿A cuál? (privada, pública, híbrida).
• ¿Cuáles son los principales obstáculos que identifica al momento de migrar hacia la
nube?
• Aspectos Legales y Regulatorios referidos a la nube.
Ante estos mismos disparadores también se realizó una encuesta que permitió conocer la
opinión de los asistentes sobre distintos modelos relacionados a la migración a la nube.
Finalmente, se presentaron una serie de herramientas de Cloud Security Alliance (CSA), que
se encuentran a disposición y que podrían facilitar la gestión de la seguridad de la
información, así como la recolección de la información requerida para tomar una decisión
respecto a los riesgos que implica una determinada solución o modelo.
Esperamos que haya sido de interés el encuentro y agradecemos infinitamente la asistencia
y participación de todos.
Cloud Security Alliance, Argentina.
4. Diciembre
Conclusiones del Desayuno Ejecutivo
2012
Conclusiones: ¿Por qué migraría a la nube? ¿A cuál? (privada, pública, híbrida).
Sobre este disparador, las primeras opiniones que surgieron entre los asistentes fueron
asociadas a la visión de la migración a una solución de Cloud Computing, como un elemento
que permitiría reducir costos.
Al momento de profundizar sobre los modelos, la mayoría de los asistentes conocía
ampliamente el modelo de Nube Pública del tipo Software como Servicio (SaaS) y el resto de
los modelos no se consideraban como la primera opción al momento de migrar hacia una
solución de Cloud Computing.
Los ejemplos que se mencionaban correspondían principalmente a los grandes jugadores
del mercado, y en su gran mayoría con Centros de Datos fuera de Argentina. Si bien se
mencionaron superficialmente, las opciones locales no eran las más reconocidas, lo cual no
colabora a la migración a la Nube Pública dentro de proveedores locales.
Bajo estas circunstancias, la mayoría (66% de los asistentes) preferiría migrar a la Nube
Privada, por cuestiones relacionadas a la privacidad de la información y el 80% opinó que
este era el tema más importante a la hora de la tomar la decisión. Esta respuesta se vio
fortalecida ya que la mayoría de los asistentes (60%) no conocía si los proveedores cumplen
con las necesidades relacionadas a la seguridad de datos.
Si bien se identificaba claramente a la reducción de costos como el principal
motivo/beneficio del modelo planteado (80% de las respuestas), a través del debate
surgieron algunos “costos ocultos” que podrían cambiar la visión inicial, por ejemplo:
• Ausencia de Documentación de los Sistemas que se van a migrar.
• Ausencia de Procesos Críticos de la Gestión de la Seguridad de la Información:
Responsabilidades de Seguridad de la Información, Clasificación de la Información,
Gestión de Activos, Análisis de Riesgos.
• Ausencia de Procesos en la Organización que garanticen una migración ordenada.
• Limitaciones Legales/Regulatorias.
• Acuerdos de Nivel de Servicio poco negociables.
• Entre otros.
Si bien los puntos conversados fueron varios, los aspectos legales y regulatorios ya
comenzaron a tomar la mayor relevancia.
5. Diciembre
Conclusiones del Desayuno Ejecutivo
2012
Conclusiones: ¿Cuáles son los principales obstáculos que identifica al momento de migrar
hacia la nube?
Sobre este disparador, las primeras opiniones que surgieron entre los asistentes fueron
asociadas a las dificultades para identificar qué migrar primero, sistemas críticos
(¿cuáles?), sistemas no críticos (¿cuáles?), otros aspectos importantes estaban orientados a
conocer el tipo de información que se estaría migrando y que requisitos de seguridad se
deberían implementar. Nuevamente surgió el debate acerca del tipo de dato a migrar y si es
posible, o bajo que circunstancias debería realizarse, para cumplir con el marco legal de la
Argentina.
Otro tema que surgió fue lo referido a los problemas de comunicación en las
Organizaciones, el hecho de “enterarse” que debes ir a la nube (o que ya están ahí), sin
tomar los recaudos necesarios, así como tampoco contar con el tiempo que garantice en
cierta forma el éxito del proyecto. En esta ocasión el debate estuvo orientado a los temas
culturales de las Organizaciones, la falta de apoyo de las autoridades para algunas
actividades críticas, y en algunos casos, la falta de diligencia por quienes toman las
decisiones.
Dentro las sugerencias que se comentaban, referidas a los problemas planteados, se
encontraban los siguientes:
Trabajar en forma responsable, documentando las decisiones.
Influenciar positivamente a los miembros del equipo de trabajo.
Identificar los requerimientos legales involucrados.
Obtener el apoyo de los referentes de la Organización.
Aplicar una visión orientada a la gestión del riesgo en cada etapa.
Documentar nuestras opiniones, sobre todo si implican riesgos que deben
gestionarse.
Buscar otro trabajo ¿?
Cerrando el debate sobre este disparador, se pudo concluir en que es muy necesario que
desde el lugar en que nos toque participar, siempre debemos hacerlo en forma
responsable, documentando los temas críticos, obteniendo respuestas formales y
analizando los riesgos involucrados, de forma tal de no afectar a la información y activos
asociados a la misma. Claro que en algunos lugares, esto no es nada sencillo.
6. Diciembre
Conclusiones del Desayuno Ejecutivo
2012
Conclusiones: Aspectos Legales y Regulatorios referidos a la nube.
Si bien al momento de planificar la jornada, la intención era dejar el tema legal para el final,
durante todo el encuentro fue referenciado, lo que hizo que, finalmente, se trate a lo largo
de toda la jornada.
A diferencia de otras jornadas, en esta oportunidad la temática contó con la opinión de
referentes de los organismos más importantes en materia de protección de datos
personales, tanto la Dirección Nacional de Protección de Datos Personales, como el Centro
de Protección de Datos Personales, ambos en carácter de asistentes a la jornada. Sin dudas,
fue un elemento diferenciador y que aportó gran valor para todos.
Inicialmente, el 80% de los asistentes mencionó que en forma general que no se conocen
cuales son las leyes y/o regulaciones que deben cumplirse en relación al uso de las
tecnologías en la nube y al momento de mencionar los principales problemas referidos a los
aspectos legales y regulatorios referidos al Cloud Computing, todos los presentes
coincidieron en los siguientes lineamientos:
Existe una falta de conocimiento del marco legal vigente, en materia de datos
personales, a nivel general en las Organizaciones.
Existen aspectos culturales negativos referidos al cumplimiento de la ley.
Se hace visible la ausencia de profesionales que conozcan el marco legal vigente.
A nivel general ejecución de los proyectos referidos a Cloud Computing, no incluye
los aspectos legales.
Existe una sensación de falta de control sobre el cumplimiento del marco legal
vigente.
Dentro de las alternativas que se plantearon para resolver las problemáticas, o al menos
disminuir la dificultad actual, se incluyen:
Actualización del Marco Legal vigente, incluyendo por ej: Oficial de Privacidad en las
Organizaciones, Definición concreta sobre legalidad del Cloud Computing, Aclaración
de Conceptos y Requisitos para: tratamiento, cesión, transferencia internacional de
datos personales.
Reporte Obligatorio de Incidentes de Seguridad.
Revisiones Técnicas de Cumplimiento de requerimientos de seguridad.
Inclusión de la Seguridad de la Información (esto incluye los aspectos legales) desde
el inicio de los proyectos.
Ejecución de Auditorias Periódicas de Cumplimiento, a cargo de Profesionales de
Seguridad de la Información.
Realización de campañas de concientización en materia de Protección de Datos
Personales.
7. Diciembre
Conclusiones del Desayuno Ejecutivo
2012
Finalmente se pudo concluir en que, si bien la Argentina se encuentra en una posición de
liderazgo frente a la región desde lo legal, la implementación del marco legal y su control
pone en una situación de riesgo a los datos personales involucrados en soluciones de Cloud
Computing. Esto podría significar una situación de riesgo alto al momento de presentarse un
incidente de seguridad. De todas formas, entre los asistentes se pudo percibir una gran
preocupación por la protección de los datos personales y un espíritu de colaboración para la
difusión de buenas prácticas y recomendaciones que permitan, en el mediano plazo,
mejorar el escenario actual.
8. Diciembre
Conclusiones del Desayuno Ejecutivo
2012
Herramientas Disponibles
Al cerrar la jornada, presentamos una serie de herramientas gratuitas que se encuentran
disponibles para, en cierta forma, colaborar con las Organizaciones y Profesionales, al
momento de encarar proyectos referidos a Cloud Computing.
A continuación y a modo de resumen, se describen las herramientas:
Guía de Seguridad para las Áreas Críticas de Cloud Computing:
https://cloudsecurityalliance.org/research/security-guidance/
o Actualmente en su versión 3 (versión 2 en español).
o Formato PDF
o 14 Dominios
o 3 Secciones:
Cloud Architecture
Governing The Cloud
Operating The Cloud.
Iniciativa de Evaluación del Cloud Computing:
https://cloudsecurityalliance.org/research/cai/
o Actualmente en su versión 1.1
o Formato XLS.
o Alineado con la Guía de Seguridad (CSG) y la Matriz de Controles de Cloud
Computing (CCM)
Matriz de Controles de Cloud Computing:
https://cloudsecurityalliance.org/research/ccm/
o Actualmente en su versión 1.3
o Formato XLS.
o Controles de Seguridad mapeados entre la Guía de Seguridad, ISO27001,
PCIDSS, NIST, HIPAA, Jericho Forum, etc.
Registro de Seguridad, Confianza y Aseguramiento (STAR):
https://cloudsecurityalliance.org/research/initiatives/star-registry/
o Registro Gratuito de Proveedores de Cloud Computing.
o Aspectos de Seguridad implantados en el servicio de Cloud Computing,
producto de la respuesta del Cuestionario de Evaluación (CAI) y la Matriz de
Controles (CCM).
o Debe actualizarse anualmente.
Seguridad como Servicio (SecaaS):
https://cloudsecurityalliance.org/research/secaas/
o Documentos referidos a las principales soluciones de seguridad basadas en
Cloud Computing: DLP, Security Assessments, SIEM, BCP/DRP, etc.
o Corresponde al Dominio 14 de la Guía de Seguridad de Cloud Computing.
o Entregables generados por vendors miembros de CSA.
9. Diciembre
Conclusiones del Desayuno Ejecutivo
2012
Acerca de Cloud Security Alliance (CSA)
El Cloud Security Alliance es una entidad sin fines de lucro creada para fomentar el uso de
las buenas prácticas, reforzar garantías de seguridad, y ofrecer formación en todo lo
concerniente a cloud computing. El Cloud Security Alliance está compuesto por expertos de
diferentes disciplinas, unidos para promover un nivel común de entendimiento entre los
consumidores y proveedores informáticos en relación a los requisitos de seguridad
necesarios y al certificado de garantía; impulsar la investigación independiente enfocada a
encontrar mejores prácticas para la seguridad informática; lanzar campañas de
sensibilización y programas educativos sobre el uso de la red y soluciones seguras; y crear
listas de consenso en cuestiones de orientación y garantía de seguridad.
Misión del Capítulo
Promover el uso de buenas prácticas, a fin de ofrecer confianza dentro del ámbito de
Cómputo en la Nube y proveer educación sobre los usos de Computo en la Nube, ayudando
a asegurar todas las otras formas de computo.
Referencias
Cloud Security Alliance:
http://www.cloudsecurityalliance.org
Cloud Security Alliance Chapter Argentina
http://chapters.cloudsecurityalliance.org/argentina/
NIST SP800-145: The NIST Definition of Cloud Computing
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
Infografía sobre Modelos de Implementación de Cloud Computing:
http://wikibon.org/blog/wp-content/uploads/2010/12/cloud-computing-landscape-
full.html
Guía para la Seguridad en Áreas Críticas de atención en Cloud Computing (CSG):
https://cloudsecurityalliance.org/research/security-guidance/
Cloud Assessment Initiative (CAI):
https://cloudsecurityalliance.org/research/cai/
Security, Trust & Assurance (STAR):
https://cloudsecurityalliance.org/research/initiatives/star-registry/
Riesgos y Amenazas del Cloud Computing:
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_
y_amenazas_en_cloud_computing.pdf
Contacto
press@ar.chapters.cloudsecurityalliance.org
@cloudsa_arg
CSA.Argentina (Facebook page)