SlideShare una empresa de Scribd logo

[CSA] Seminario #Ciberdefensa #UNASUR

cloudsa_arg
cloudsa_arg

Entornos de Cloud Computing para el ámbito público y la defensa nacional. Fortalezas, Debilidades, Consideraciones. Práctica Forense en entornos de Cloud Computing.

Gobierno y org. sin ánimo de lucro
1 de 30
Descargar para leer sin conexión
Lic. Héctor Jara Ing. Gustavo Presman Mayo, 2014 Seminario Regional de Ciberdefensa Ecosistemas de Cómputo en la Nube
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Agenda • Acerca CSA • ¿Qué es el cómputo en la nube? • Nube Gubernamental • Desafíos • Recomendaciones • Cloud Computing Forensics • Canales de contacto y Preguntas
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Acerca de CSA “Promover las mejores prácticas a fin de ofrecer confianza dentro del ámbito del Cómputo en la Nube, educando a la comunidad sobre sus usos y colaborando en asegurar todas las otras formas de computo.” ¿Qué es la Cloud Security Alliance (CSA)?
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Acerca de CSA https://cloudsecurityalliance.org/membership/corporate-members/
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ¿Qué es el Cloud Computing?
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ¿Qué es el Cloud Computing? (Cont.) Modelo de Cómputo en la Nube (Cloud Computing) definido por el NIST SP800-145 [1] http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
NUBE GUBERNAMENTAL
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental • Nube Privada adaptada a las necesidades del ámbito público (eGovernment).  Al menos en un principio, no enviar datos sensibles [2]  Existen requerimientos específicos para el sector público [3] • Permite simplificar la interacción del ciudadano:  Reduciendo el tiempo de procesamiento de la información.  Disminuyendo los costos de los servicios gubernamentales.  Mejorando la seguridad de sus datos.
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.)
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.) CPD Ministerio de Defensa CPD Ministerio de Salud CPD Ministerio de Educación Un CPD por cada organismo • Recursos desaprovechados. • Equipos de IT heterogéneos. • Medidas de seguridad descentralizadas. • Mayor costo y complejidad CPD Ministerio de Economía
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.) Nube Gubernamental [4][5][6]
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.)
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.)
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Desafíos
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Desafíos (Cont.) • Los principales desafíos son:  Aspectos de Privacidad [7][8]  Aspectos de seguridad entre usuarios  Aspectos regulatorios y de cumplimiento  Selección del modelo y los proveedores [9] • Para el caso de Organismos de Defensa  Seguridad
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Desafíos (Cont.)
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Recomendaciones • Recomendaciones de implementación en el ámbito público [4]  Desarrollar una estrategia local y regional.  Fomentar la definición de un marco regulatorio común.  Desarrollar un marco común de SLAs.  Apoyar investigaciones y estudios académicos.  Desarrollar disposiciones integrales para proteger la Privacidad de los ciudadanos (Leyes de Protección de Datos Personales) [7][8]  Utilizar estándares y mejores prácticas (CSA, ENISA, etc) [6][10][11]  En etapas iniciales no llevar datos sensibles [2]
CLOUD COMPUTING FORENSICS
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nuevos desafíos en la informática forense
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Problemática actual: Ubicuidad de la prueba MEDIO RESULTADO ACCION ¿Dónde recolecto la prueba?
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Incidentes y delitos informáticos en la Nube La nube como:  Sujeto del delito: Robo de identidad en el acceso a la nube.  Objeto del delito: Acceso no autorizado o daño Informático a la nube, DDOS.  Herramienta delictiva: almacenamiento estático o distribución de material ilegal (PI).
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Análisis forense informático tradicional Adquisición y preservación (estática)  Recolección efectiva  Resguardo: La copia bit a bit 5b748e186f622c1bdd6ea9843d1609c1 HASHES USUALES MD5 (128 bits) SHA-1(160 bits) SHA-256 (256 bits)
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Análisis forense informático tradicional Adquisición y preservación (dinámica)  Memoria RAM  Celulares  Network Forensics Autenticación por hashes no reproducible (foto)
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Análisis forense informático en la Nube Características  Tercerización CSPn  Múltiples Tenedores de servicios dependientes  Múltiples Jurisdicciones  Seguridad/Resguardo---SLA  Recolección de Evidencia en la nube  Formatos de datos diferentes  Zonas de Tiempo diferentes
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Desafíos de prueba en la Nube  No disponemos de los datos  No tenemos acceso a la infraestructura física  Son sistemas distribuídos y virtuales  Tienen espacio de almacenamiento distribuído en ubicaciones cambiantes  Pueden compartir espacio físico entre usuarios  Frecuentemente transnacionales  Con poca o nula colaboración del CSP
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Obtención de evidencia digital en la Nube La misma puede ser recolectada voluntariamente por la parte* u ordenada por las autoridades legales * Siempre que tenga validez legal y técnica RECOLECCION DE EVIDENCIA EN LA NUBE  Por vía indirecta: A través de artefactos locales en almacenamiento masivo o memoria RAM y en Tráfico de red.  Por vía directa: Con acceso de “bajo nivel” a la nube.
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Referencias [1] NIST SP800-145: The NIST Definition of Cloud Computing. Disponible en: http://goo.gl/EAO7so [2] Governmental Cloud in the EU - New Agency Report [EN]. Disponible en: http://goo.gl/yc9pK5 [3] Government Clouds: Specific public sector requirem. (Danish National IT Agency) [EN]. Disponible en: http://goo.gl/z3ty7r [4] Exploring the Cloud: A global study of Governments Adoption of Cloud [EN]. Disponible en: http://goo.gl/Me0l1l [5] Benefits of Cloud Computing [EN]. Disponible en: http://cloud.cio.gov/topics/benefits-cloud-computing [6] Good Practices Guide for Secure deploying Governmental Clouds [EN]. Disponible en: http://goo.gl/CFqVfZ
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Referencias (Cont.) [7] NIST SP800-144: Guidelines on Security and Privacy in Public Cloud Computing [EN]. Disponible en: http://goo.gl/kxt8VP [8] CSA Modelo Acuerdo de Nivel de Privacidad (PLA) para la contratación de servicios en la Nube [ES]. Disponible en: http://goo.gl/fqOq6z [9] CSA Cloud Control Matrix [ES]. Disponible en: http://goo.gl/lDsXF3 [10] NIST SP800-146: Cloud Computing Synopsis and Recommendations [EN]. Disponible en: http://goo.gl/CDJ0hz [11] ENISA Cloud Computing Risk Assessment [ES]. Disponible en: http://goo.gl/ThpmVd
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Preguntas y Canales de Contacto • ¡Ayúdenos a trabajar por la Seguridad en la Nube! • CSA Argentina • www: https://chapters.cloudsecurityalliance.org/argentina/ • mail: contact@ar.chapters.cloudsecurityalliance.org • LinkedIn: http://www.linkedin.com/groups?home=&gid=3350613 • twitter: @cloudsa_arg • facebook: CSA.Argentina (página)
www.cloudsecurityalliance.org ¡Muchas Gracias!

Recomendados

CSA Evento Prince & Cooke
CSA Evento Prince & CookeCSA Evento Prince & Cooke
CSA Evento Prince & Cooke
cloudsa_arg
 
[CSA] Conclusiones Desayuno Ejecutivo
[CSA] Conclusiones Desayuno Ejecutivo[CSA] Conclusiones Desayuno Ejecutivo
[CSA] Conclusiones Desayuno Ejecutivo
cloudsa_arg
 
[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing
cloudsa_arg
 
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad AustralCSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
cloudsa_arg
 
Panel SEGURINFO 2013 | Que tu camino a la nube, no te lleve a una tormenta
Panel SEGURINFO 2013 | Que tu camino a la nube, no te lleve a una tormentaPanel SEGURINFO 2013 | Que tu camino a la nube, no te lleve a una tormenta
Panel SEGURINFO 2013 | Que tu camino a la nube, no te lleve a una tormenta
cloudsa_arg
 
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
cloudsa_arg
 
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
cloudsa_arg
 
CSA Argentina - Jornada CXO Cloud
CSA Argentina - Jornada CXO CloudCSA Argentina - Jornada CXO Cloud
CSA Argentina - Jornada CXO Cloud
cloudsa_arg
 

Recomendados

CSA Evento Prince & Cooke
CSA Evento Prince & CookeCSA Evento Prince & Cooke
CSA Evento Prince & Cooke
cloudsa_arg
 
[CSA] Conclusiones Desayuno Ejecutivo
[CSA] Conclusiones Desayuno Ejecutivo[CSA] Conclusiones Desayuno Ejecutivo
[CSA] Conclusiones Desayuno Ejecutivo
cloudsa_arg
 
[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing
cloudsa_arg
 
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad AustralCSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
cloudsa_arg
 
Panel SEGURINFO 2013 | Que tu camino a la nube, no te lleve a una tormenta
Panel SEGURINFO 2013 | Que tu camino a la nube, no te lleve a una tormentaPanel SEGURINFO 2013 | Que tu camino a la nube, no te lleve a una tormenta
Panel SEGURINFO 2013 | Que tu camino a la nube, no te lleve a una tormenta
cloudsa_arg
 
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
cloudsa_arg
 
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios
cloudsa_arg
 
CSA Argentina - Jornada CXO Cloud
CSA Argentina - Jornada CXO CloudCSA Argentina - Jornada CXO Cloud
CSA Argentina - Jornada CXO Cloud
cloudsa_arg
 
Piensas Q Es Aburrido Ser Tj
Piensas Q Es Aburrido Ser TjPiensas Q Es Aburrido Ser Tj
Piensas Q Es Aburrido Ser Tj
andycicenia88
 
Bonos Verdes
Bonos VerdesBonos Verdes
Bonos Verdes
UNAM Facultad de Contaduría, Administración e Informática
 
Boletin mensual foro de expertos (Agosto/Septiembre 2014)
Boletin mensual foro de expertos (Agosto/Septiembre 2014) Boletin mensual foro de expertos (Agosto/Septiembre 2014)
Boletin mensual foro de expertos (Agosto/Septiembre 2014)
InstitutoBBVAdePensiones
 
El Sexo Es Buena Medicina
El Sexo Es Buena MedicinaEl Sexo Es Buena Medicina
El Sexo Es Buena Medicina
josemorales
 
Emanación de co2 por vehículos
Emanación de co2 por vehículosEmanación de co2 por vehículos
Emanación de co2 por vehículos
Luis Cañedo Cortez
 
Abg Brochyr
Abg BrochyrAbg Brochyr
Abg Brochyr
Textbyrån Beep
 
Acuerdo bankia sindicatos 2015
Acuerdo bankia sindicatos 2015Acuerdo bankia sindicatos 2015
Acuerdo bankia sindicatos 2015
Gregorio Verdugo
 
Pharma Market 35
Pharma Market 35Pharma Market 35
Pharma Market 35
Pharma Market
 
PwC GN10 risk committees 2016
PwC GN10 risk committees 2016PwC GN10 risk committees 2016
PwC GN10 risk committees 2016
Saskia Bosch van Rosenthal
 
Ins.edi mod (1)
Ins.edi mod (1)Ins.edi mod (1)
Ins.edi mod (1)
Dniel Lima
 
Unidad 01 greeting
Unidad 01 greetingUnidad 01 greeting
Unidad 01 greeting
marherrero61
 
Estructura Urbana. Estudios Urbanos I.
Estructura Urbana. Estudios Urbanos I.Estructura Urbana. Estudios Urbanos I.
Estructura Urbana. Estudios Urbanos I.
Scarlett Velasquez
 
Plan Estratégico 2014-2016
Plan Estratégico 2014-2016Plan Estratégico 2014-2016
Plan Estratégico 2014-2016
Corp. La Fondita de Jesús
 
Ensayo de ICE BUCKET CHALLENGE
Ensayo de ICE BUCKET CHALLENGEEnsayo de ICE BUCKET CHALLENGE
Ensayo de ICE BUCKET CHALLENGE
Julio Ramirez
 
Rsu+incineradora isla margarita marzo2011 c
Rsu+incineradora isla margarita marzo2011 cRsu+incineradora isla margarita marzo2011 c
Rsu+incineradora isla margarita marzo2011 c
Domingo Monserrat
 
Tarifa estetica artea
Tarifa estetica arteaTarifa estetica artea
Tarifa estetica artea
Hydra
 
Whatsapp para PC
Whatsapp para PCWhatsapp para PC
Whatsapp para PC
Platinum
 
Mes Mains Sur Tes Hanches - ADAMO
Mes Mains Sur Tes Hanches - ADAMOMes Mains Sur Tes Hanches - ADAMO
Mes Mains Sur Tes Hanches - ADAMO
May Vázquez
 
[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing
CSA Argentina
 
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad AustralCSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
CSA Argentina
 
CSA Evento Prince & Cooke
CSA Evento Prince & CookeCSA Evento Prince & Cooke
CSA Evento Prince & Cooke
CSA Argentina
 
que es el almacenamiento en la nube
que es el almacenamiento en la nubeque es el almacenamiento en la nube
que es el almacenamiento en la nube
Santiago Jimenez
 

Más contenido relacionado

Destacado

Piensas Q Es Aburrido Ser Tj
Piensas Q Es Aburrido Ser TjPiensas Q Es Aburrido Ser Tj
Piensas Q Es Aburrido Ser Tj
andycicenia88
 
El Sexo Es Buena Medicina
El Sexo Es Buena MedicinaEl Sexo Es Buena Medicina
El Sexo Es Buena Medicina
josemorales
 
Ensayo de ICE BUCKET CHALLENGE
Ensayo de ICE BUCKET CHALLENGEEnsayo de ICE BUCKET CHALLENGE
Ensayo de ICE BUCKET CHALLENGE
Julio Ramirez
 
Rsu+incineradora isla margarita marzo2011 c
Rsu+incineradora isla margarita marzo2011 cRsu+incineradora isla margarita marzo2011 c
Rsu+incineradora isla margarita marzo2011 c
Domingo Monserrat
 
Mes Mains Sur Tes Hanches - ADAMO
Mes Mains Sur Tes Hanches - ADAMOMes Mains Sur Tes Hanches - ADAMO
Mes Mains Sur Tes Hanches - ADAMO
May Vázquez
 

Destacado (18)

Piensas Q Es Aburrido Ser Tj
Piensas Q Es Aburrido Ser TjPiensas Q Es Aburrido Ser Tj
Piensas Q Es Aburrido Ser Tj
 
Bonos Verdes
Bonos VerdesBonos Verdes
Bonos Verdes
 
Boletin mensual foro de expertos (Agosto/Septiembre 2014)
Boletin mensual foro de expertos (Agosto/Septiembre 2014) Boletin mensual foro de expertos (Agosto/Septiembre 2014)
Boletin mensual foro de expertos (Agosto/Septiembre 2014)
 
El Sexo Es Buena Medicina
El Sexo Es Buena MedicinaEl Sexo Es Buena Medicina
El Sexo Es Buena Medicina
 
Emanación de co2 por vehículos
Emanación de co2 por vehículosEmanación de co2 por vehículos
Emanación de co2 por vehículos
 
Abg Brochyr
Abg BrochyrAbg Brochyr
Abg Brochyr
 
Acuerdo bankia sindicatos 2015
Acuerdo bankia sindicatos 2015Acuerdo bankia sindicatos 2015
Acuerdo bankia sindicatos 2015
 
Pharma Market 35
Pharma Market 35Pharma Market 35
Pharma Market 35
 
PwC GN10 risk committees 2016
PwC GN10 risk committees 2016PwC GN10 risk committees 2016
PwC GN10 risk committees 2016
 
Ins.edi mod (1)
Ins.edi mod (1)Ins.edi mod (1)
Ins.edi mod (1)
 
Unidad 01 greeting
Unidad 01 greetingUnidad 01 greeting
Unidad 01 greeting
 
Estructura Urbana. Estudios Urbanos I.
Estructura Urbana. Estudios Urbanos I.Estructura Urbana. Estudios Urbanos I.
Estructura Urbana. Estudios Urbanos I.
 
Plan Estratégico 2014-2016
Plan Estratégico 2014-2016Plan Estratégico 2014-2016
Plan Estratégico 2014-2016
 
Ensayo de ICE BUCKET CHALLENGE
Ensayo de ICE BUCKET CHALLENGEEnsayo de ICE BUCKET CHALLENGE
Ensayo de ICE BUCKET CHALLENGE
 
Rsu+incineradora isla margarita marzo2011 c
Rsu+incineradora isla margarita marzo2011 cRsu+incineradora isla margarita marzo2011 c
Rsu+incineradora isla margarita marzo2011 c
 
Tarifa estetica artea
Tarifa estetica arteaTarifa estetica artea
Tarifa estetica artea
 
Whatsapp para PC
Whatsapp para PCWhatsapp para PC
Whatsapp para PC
 
Mes Mains Sur Tes Hanches - ADAMO
Mes Mains Sur Tes Hanches - ADAMOMes Mains Sur Tes Hanches - ADAMO
Mes Mains Sur Tes Hanches - ADAMO
 

Similar a [CSA] Seminario #Ciberdefensa #UNASUR

Factibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasFactibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
XimenaOrellana05
 
Cloud y movilidad, un nuevo escenario - Nuevas tendencias en Seguridad: Movi...
Cloud y movilidad, un nuevo escenario - Nuevas tendencias en Seguridad: Movi...Cloud y movilidad, un nuevo escenario - Nuevas tendencias en Seguridad: Movi...
Cloud y movilidad, un nuevo escenario - Nuevas tendencias en Seguridad: Movi...
Arsys
 
Securima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeSecurima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nube
Josep Bardallo
 

Similar a [CSA] Seminario #Ciberdefensa #UNASUR (20)

[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing[CSA] Introducción a la Seguridad en Cloud Computing
[CSA] Introducción a la Seguridad en Cloud Computing
 
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad AustralCSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
CSA Desayuno Ejecutivo | Noviembre 2012 | CXO Community en Universidad Austral
 
CSA Evento Prince & Cooke
CSA Evento Prince & CookeCSA Evento Prince & Cooke
CSA Evento Prince & Cooke
 
que es el almacenamiento en la nube
que es el almacenamiento en la nubeque es el almacenamiento en la nube
que es el almacenamiento en la nube
 
SEGURIDAD EN LA NUBE.pptx
SEGURIDAD EN LA NUBE.pptxSEGURIDAD EN LA NUBE.pptx
SEGURIDAD EN LA NUBE.pptx
 
computación en la nube
computación en la nubecomputación en la nube
computación en la nube
 
La nube 1
La nube 1La nube 1
La nube 1
 
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianasFactibilidad del almacenamiento en la nube en empresas ecuatorianas
Factibilidad del almacenamiento en la nube en empresas ecuatorianas
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
 
La nube informatica
La nube informaticaLa nube informatica
La nube informatica
 
Cloud y movilidad, un nuevo escenario - Nuevas tendencias en Seguridad: Movi...
Cloud y movilidad, un nuevo escenario - Nuevas tendencias en Seguridad: Movi...Cloud y movilidad, un nuevo escenario - Nuevas tendencias en Seguridad: Movi...
Cloud y movilidad, un nuevo escenario - Nuevas tendencias en Seguridad: Movi...
 
Seguridad en Cloud Computing
Seguridad en Cloud ComputingSeguridad en Cloud Computing
Seguridad en Cloud Computing
 
Securima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeSecurima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nube
 
Cloud native y donde esta el piloto
Cloud native y donde esta el pilotoCloud native y donde esta el piloto
Cloud native y donde esta el piloto
 
Importancia de la nube
Importancia de la nubeImportancia de la nube
Importancia de la nube
 
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops! Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Computación en la nube resumen Capítulo 1
Computación en la nube resumen Capítulo 1Computación en la nube resumen Capítulo 1
Computación en la nube resumen Capítulo 1
 
Presentacion cloud service administracion de la tecnologia seccion 1530 ceute...
Presentacion cloud service administracion de la tecnologia seccion 1530 ceute...Presentacion cloud service administracion de la tecnologia seccion 1530 ceute...
Presentacion cloud service administracion de la tecnologia seccion 1530 ceute...
 
Datos y almacenamiento de la nube.
Datos y almacenamiento de la nube.Datos y almacenamiento de la nube.
Datos y almacenamiento de la nube.
 

[CSA] Seminario #Ciberdefensa #UNASUR

  • 1. Lic. Héctor Jara Ing. Gustavo Presman Mayo, 2014 Seminario Regional de Ciberdefensa Ecosistemas de Cómputo en la Nube
  • 2. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Agenda • Acerca CSA • ¿Qué es el cómputo en la nube? • Nube Gubernamental • Desafíos • Recomendaciones • Cloud Computing Forensics • Canales de contacto y Preguntas
  • 3. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Acerca de CSA “Promover las mejores prácticas a fin de ofrecer confianza dentro del ámbito del Cómputo en la Nube, educando a la comunidad sobre sus usos y colaborando en asegurar todas las otras formas de computo.” ¿Qué es la Cloud Security Alliance (CSA)?
  • 4. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Acerca de CSA https://cloudsecurityalliance.org/membership/corporate-members/
  • 5. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ¿Qué es el Cloud Computing?
  • 6. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ¿Qué es el Cloud Computing? (Cont.) Modelo de Cómputo en la Nube (Cloud Computing) definido por el NIST SP800-145 [1] http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
  • 8. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental • Nube Privada adaptada a las necesidades del ámbito público (eGovernment).  Al menos en un principio, no enviar datos sensibles [2]  Existen requerimientos específicos para el sector público [3] • Permite simplificar la interacción del ciudadano:  Reduciendo el tiempo de procesamiento de la información.  Disminuyendo los costos de los servicios gubernamentales.  Mejorando la seguridad de sus datos.
  • 9. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.)
  • 10. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.) CPD Ministerio de Defensa CPD Ministerio de Salud CPD Ministerio de Educación Un CPD por cada organismo • Recursos desaprovechados. • Equipos de IT heterogéneos. • Medidas de seguridad descentralizadas. • Mayor costo y complejidad CPD Ministerio de Economía
  • 11. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.) Nube Gubernamental [4][5][6]
  • 12. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.)
  • 13. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nube Gubernamental (Cont.)
  • 14. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Desafíos
  • 15. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Desafíos (Cont.) • Los principales desafíos son:  Aspectos de Privacidad [7][8]  Aspectos de seguridad entre usuarios  Aspectos regulatorios y de cumplimiento  Selección del modelo y los proveedores [9] • Para el caso de Organismos de Defensa  Seguridad
  • 16. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Desafíos (Cont.)
  • 17. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Recomendaciones • Recomendaciones de implementación en el ámbito público [4]  Desarrollar una estrategia local y regional.  Fomentar la definición de un marco regulatorio común.  Desarrollar un marco común de SLAs.  Apoyar investigaciones y estudios académicos.  Desarrollar disposiciones integrales para proteger la Privacidad de los ciudadanos (Leyes de Protección de Datos Personales) [7][8]  Utilizar estándares y mejores prácticas (CSA, ENISA, etc) [6][10][11]  En etapas iniciales no llevar datos sensibles [2]
  • 19. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Nuevos desafíos en la informática forense
  • 20. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Problemática actual: Ubicuidad de la prueba MEDIO RESULTADO ACCION ¿Dónde recolecto la prueba?
  • 21. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Incidentes y delitos informáticos en la Nube La nube como:  Sujeto del delito: Robo de identidad en el acceso a la nube.  Objeto del delito: Acceso no autorizado o daño Informático a la nube, DDOS.  Herramienta delictiva: almacenamiento estático o distribución de material ilegal (PI).
  • 22. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Análisis forense informático tradicional Adquisición y preservación (estática)  Recolección efectiva  Resguardo: La copia bit a bit 5b748e186f622c1bdd6ea9843d1609c1 HASHES USUALES MD5 (128 bits) SHA-1(160 bits) SHA-256 (256 bits)
  • 23. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Análisis forense informático tradicional Adquisición y preservación (dinámica)  Memoria RAM  Celulares  Network Forensics Autenticación por hashes no reproducible (foto)
  • 24. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Análisis forense informático en la Nube Características  Tercerización CSPn  Múltiples Tenedores de servicios dependientes  Múltiples Jurisdicciones  Seguridad/Resguardo---SLA  Recolección de Evidencia en la nube  Formatos de datos diferentes  Zonas de Tiempo diferentes
  • 25. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Desafíos de prueba en la Nube  No disponemos de los datos  No tenemos acceso a la infraestructura física  Son sistemas distribuídos y virtuales  Tienen espacio de almacenamiento distribuído en ubicaciones cambiantes  Pueden compartir espacio físico entre usuarios  Frecuentemente transnacionales  Con poca o nula colaboración del CSP
  • 26. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Obtención de evidencia digital en la Nube La misma puede ser recolectada voluntariamente por la parte* u ordenada por las autoridades legales * Siempre que tenga validez legal y técnica RECOLECCION DE EVIDENCIA EN LA NUBE  Por vía indirecta: A través de artefactos locales en almacenamiento masivo o memoria RAM y en Tráfico de red.  Por vía directa: Con acceso de “bajo nivel” a la nube.
  • 27. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Referencias [1] NIST SP800-145: The NIST Definition of Cloud Computing. Disponible en: http://goo.gl/EAO7so [2] Governmental Cloud in the EU - New Agency Report [EN]. Disponible en: http://goo.gl/yc9pK5 [3] Government Clouds: Specific public sector requirem. (Danish National IT Agency) [EN]. Disponible en: http://goo.gl/z3ty7r [4] Exploring the Cloud: A global study of Governments Adoption of Cloud [EN]. Disponible en: http://goo.gl/Me0l1l [5] Benefits of Cloud Computing [EN]. Disponible en: http://cloud.cio.gov/topics/benefits-cloud-computing [6] Good Practices Guide for Secure deploying Governmental Clouds [EN]. Disponible en: http://goo.gl/CFqVfZ
  • 28. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Referencias (Cont.) [7] NIST SP800-144: Guidelines on Security and Privacy in Public Cloud Computing [EN]. Disponible en: http://goo.gl/kxt8VP [8] CSA Modelo Acuerdo de Nivel de Privacidad (PLA) para la contratación de servicios en la Nube [ES]. Disponible en: http://goo.gl/fqOq6z [9] CSA Cloud Control Matrix [ES]. Disponible en: http://goo.gl/lDsXF3 [10] NIST SP800-146: Cloud Computing Synopsis and Recommendations [EN]. Disponible en: http://goo.gl/CDJ0hz [11] ENISA Cloud Computing Risk Assessment [ES]. Disponible en: http://goo.gl/ThpmVd
  • 29. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance Preguntas y Canales de Contacto • ¡Ayúdenos a trabajar por la Seguridad en la Nube! • CSA Argentina • www: https://chapters.cloudsecurityalliance.org/argentina/ • mail: contact@ar.chapters.cloudsecurityalliance.org • LinkedIn: http://www.linkedin.com/groups?home=&gid=3350613 • twitter: @cloudsa_arg • facebook: CSA.Argentina (página)