SlideShare una empresa de Scribd logo
1 de 44
Seguridad en
Cloud Confusingmputing
    Mitos y realidades




                  Lic. Cristian Borghello
                            CISSP – MVP
                    www.segu-info.com.ar
                              @seguinfo
Sobre Segu-Info y
      Cristian Borghello
Cristian Borghello, es Licenciado en Sistemas,
desarrollador, Certified Information Systems Security
Professional (CISSP) y Microsoft MVP Security (Most
Valuable Professional).
Es Director de Segu-Info y se desempeña como
consultor independiente en Seguridad de la
Información.

Segu-Info es la comunidad más grande de habla
hispana sobre Seguridad de la Información.
Brinda información libre y gratuita sobre la temática
desde el año 2000.
Licencia de uso
   Creative Commons 2.5
Ud. puede:
   Copiar, distribuir, exhibir, y ejecutar la obra
   Hacer obras derivadas
 Bajo las siguientes condiciones:
   Atribución. Debe atribuir la obra en la forma especificada por el autor

   No Comercial. No puede usar esta obra con fines comerciales

   Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre
   esta obra, sólo podrá distribuir la obra derivada resultante bajo una
   licencia idéntica a ésta

             http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
En la nube nosotros confiamos



      ¿Qué es la nube?
Cloud Computing (CC)
     Buzzword de moda

    Nuevo modelo o
paradigma que permite
ofrecer servicios a través
  de Internet (la nube)
Definición formal
• CC es un modelo que permite el acceso
bajo demanda a un conjunto compartido de
recursos informáticos configurables, de los
cuales se puede disponer rápidamente con
una gestión mínima de esfuerzos
• Promueve la disponibilidad y se compone
de distintas características, modelos de
servicio e implementación
       Definición de Cloud Computing de NIST
                 http://bit.ly/d6J8pk
Servicios en la Nube
Seguridad en Cloud Computing - Segu-Info
Barómetro de ISACA
• En 2010 utilizarán CC:
    30% de las organizaciones en LA
    25% de las organizaciones de EE.UU.
    18% de las organizaciones europeas
• 41% de los profesionales de LA considera
  que los riesgos de CC superan los beneficios
• 17% opina lo contrario
• 42% creen que los beneficios y los riesgos
  están equilibrados
 2010 ISACA IT Risk/Reward Barometer - Latin America Edition
                     http://bit.ly/aym1KF
Ventajas para el proveedor
  Mayor número           “Inmediatez”
   de servicios           del servicio
   disponibles
                                Servicios
  Ahorro en                 estándares y “sin
  tecnología              reinventar la rueda”

                          Mayor escalabilidad
  Mayor adaptabilidad
    de los servicios    Unificación
  ofrecidos/recibidos   de sistemas
Ventajas para el cliente
     Servicio          Simplicidad de
  disponible en       implementación
 cualquier lugar
                               Precios más
Integración ya                   flexibles
probada por la
   industria                     Mayor
                              escalabilidad
 Mínima cantidad de
  tiempo fuera de     Actualizaciones
      servicio         automáticas
Permite
  centrarse en
   el negocio
Menos riesgos y
ahorro de costes
  e inversión
Arquitectura “As a Service”




   En la nube todo es un
     S e r v i c i o (SPI)
Arquitectura “As a Service”




       IBM: Cloud Security Guidance
            http://bit.ly/bDlhrf
Software as a Service
SaaS es la capa más alta y es una aplicación
que se ofrece como un servicio, que se
ejecuta en la infraestructura del proveedor y
es posible acceder a la aplicación desde
cualquier dispositivo y un navegador
Plataforma as a Service
PaaS encapsula y abstrae un ambiente de
desarrollo que contiene los lenguajes de
programación y las bases de datos. Es capaz
de brindar servicios a todas las fases del ciclo
de desarrollo de software
Infraestructura as a Service
 IaaS entrega almacenamiento, conexiones,
 poder de procesamiento y servicios de red
 generalmente virtualizados para que el
 cliente pueda disponer de ellos
Tipos de nube
Públicas: manejadas completamente por terceras
partes. El cliente no conoce qué servicios o
clientes se ejecutan en el entorno
Privadas: se ejecutan en una infraestructura a
demanda. El cliente controla el servidor, la red, el
espacio, las aplicaciones, los servicios y los
usuarios que pueden acceder
Comunitarias: son compartidas por varias
organizaciones con objetivos similares
Híbridas: combinan los modelos anteriores y
permiten configurar o escalar algunos servicios
“Creemos que CC representa la
 plataforma para la próxima
   generación de negocios”
                    Microsoft
 “Pienso que CC es una de las
    bases para la próxima
generación de computadoras”
                  Tim O’Reilly
“Hay restricciones en CC en Europa. No
va a matar el negocio, pero su evolución
será mas lenta comparada con EE.UU.”
                             Bob Lindsay
            Director de privacidad de HP

“CC es una trampa destinada a obligar a
      la gente a adquirir sistemas
 propietarios, bloqueados, que costarán
     más conforme pase el tiempo”
                        Richard Stallman
¡PUFFF! Más
       de lo mismo
¿No estamos siendo simplistas?
    ¿No olvidamos nada?
     ¿Son todas ventajas?



 Todo lo que brilla ¿es oro?
Los servicios brindados son
 una caja negra y se debe
     “confiar” en ellos
Seguridad en la nube (I)
• La nube deja en manos del proveedor
la responsabilidad del almacenamiento
de datos y su control
• No se consideran la legislación, las
normas y las regulaciones
• La cadena de provisión de servicio no
es evaluada
• Los tres pilares (CID) de la Seguridad de
la Información pueden comprometerse
Seguridad en la nube (II)
• Existen problemas de Insiders
• Sistemas compartidos por distintos clientes
• Fallas “masivas” pueden dañar a múltiples
clientes
• Servicios compartidos son ¿vulnerabilidades
compartidas?
• Se conoce al proveedor por una interface
• No se conocen los activos del proveedor
• Riesgo del proveedor desconocido para el
cliente
Confidencialidad
• Verificar dónde se alojan los datos para
  evitar problemas de ubicuidad legislación
  internacional y geolocalización
• Conocer quién accede a la información
  almacenada
• El cifrado debe realizarse en la información
  almacenada, en tránsito y en backup
• Verificar si se retiene o se destruye la
  información al finalizar el contrato con el
  proveedor
Ejemplos de Confidencialidad
Integridad
• Analizar quién puede acceder, modificar o
  eliminar información del centro de datos
• Verificar si la información permanece o se
  elimina logica/físicamente (remanencia)
• Posibilidad de que datos de distintos clientes
  se “mezclen”
• Restore incorrecto, inconsistente o
  incompleto
• Sistema de análisis de malware
Ejemplo de Integridad
Disponibilidad
• Los servicios no estarán disponibles 24x7
• Los proveedores ofrecen 99.999% de
  disponibilidad (5,25 min./año sin servicio)
• Pueden existir ataques de DDoS (Distributed
  Denial of Service)
• El servicio es SPOF (Single Point of Failure)
• Backup y restore no satisfactorio

Ej: Bitbucket (servicio provisto por EC2 de Amazon) estuvo 19
horas caído en octubre 2009
DDoS
Ejemplos de Disponibilidad
Virtualización
• Los riesgos asociados a CID son los mismos
  que en sistemas físicos más los propios de la
  virtualización
• La “mezcla” de máquinas virtuales de
  diferente sensibilidad representa un riesgo
• Se debe analizar la seguridad por capas del
  proveedor
Gestión de Riesgos
• No se conocen los activos
• No se conocen las amenazas
• Se pueden conocer algunas vulnerabilidades
  (a través de la interface)
• No se puede medir el riesgo
• No se puede implementar controles y por lo
  tanto se deben fortalecer las medidas
  contractuales
El modelo de
Gestión de Riesgo
 debe cambiar
Si antes no se evaluaba
       el Riesgo
  ¿Ahora lo haremos?
Contratos
• Considerar la jurisdicción
• Evaluar la aplicabilidad de disposiciones
  nacionales e internacionales
• Recolectar y revisar los requisitos legales y
  normativos necesarios para ambas partes
• Evaluar si los términos del proveedor
  cumplen los requisitos del cliente
• Estipular todo lo necesario en los SLA
  (Service Level Agreement)
• Analizar el sistema de penalizaciones
Certificaciones y Compliance
  • Los proveedores deberían contar con una
    certificación de auditoría (SAS 70) al menos
  • Se recomienda un SGSI y la certificación de ISO
    27000 (sobre todo en servicios críticos)
  • Verificar certificaciones internacionales de
    continuidad de negocio como BS 25999
  • Existen otras normas que pueden ser requeridas
    (NIST, SOX, PCI, FISMA, HIPAA…)
  • Próximamente la certificación Trusted Cloud
    Initiative (13 dominios de seguridad)
Ejemplo de Certificaciones
Conclusiones (I)
• Ante la duda pensar estos servicios como
  externos porque son más conocidos
  (offshoring o outsourcing)
• Evaluar los contratos de servicio
• Evaluar que las políticas actuales de la
  empresa coincidan con el proveedor
• Lograr la interacción entre legales y IT
• Parte de lo ahorrado debe invertirse en
  examinar las capacidades del servicio de CC
Conclusiones (II)
• Lo importante no es el nombre (buzzword)
  sino entender la transformación (revolución)
  que implica el cambio
• Existen servicios que por su criticidad no
  pueden ser trasladados a la nube
• Evaluar que aún no es posible garantizar el
  cumplimiento normativo
• Requerir herramientas de administración
  centralizadas
Conclusiones (III)
• Exigir el uso y aplicación de certificaciones y
  estándares
• Se deben evaluar las decisiones de negocio
  por sobre las decisiones del IT
• Tomar decisiones en base a la medición de
  riesgos previa
No debemos permitir que
    el “bajo” costo y la
 “simplicidad” de CC no
    nos permita ver la
  tormenta en la nube
 Analicemos los riesgos
Referencias
• Cloud Computing en Segu-Info
  http://bit.ly/segu-cloud
• Cloud Security Alliance (EN - ES)
   http://bit.ly/95LKUu - http://bit.ly/9PCnoh
• Gartner: Cloud Computing Security Risks
  http://bit.ly/avxvor
  http://bit.ly/buJcMa
• ENISA: Cloud Computing: benefits and risks
  http://bit.ly/bjlFSY
• NIST: Cloud Computing
  http://bit.ly/d6J8pk
• IBM: Cloud Security Guidance
  http://bit.ly/bDlhrf
Agradecimientos

 A la Comunidad de Segu-Info
que todos los días [me] aporta
 conocimiento a través de los
 distintos grupos de discusión
¡Gracias!


       Lic. Cristian Borghello
                 CISSP – MVP
         www.segu-info.com.ar
                   @seguinfo

Más contenido relacionado

La actualidad más candente

Seguridad y computación en la nube
Seguridad y computación en la nubeSeguridad y computación en la nube
Seguridad y computación en la nubeCarlos Rubén Jacobs
 
Seguridad en computo en la nube
Seguridad en computo en la nubeSeguridad en computo en la nube
Seguridad en computo en la nubeJazmin Glez.
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Computación en la nube y sus riesgos
Computación en la nube y sus riesgosComputación en la nube y sus riesgos
Computación en la nube y sus riesgosSergio Pinzón Amaya
 
Presentacion comunicacion en la nube
Presentacion comunicacion en la nubePresentacion comunicacion en la nube
Presentacion comunicacion en la nubeAna Ochoa
 
Introducción a la Seguridad en Cloud Computing | CISObeat Webinars
Introducción a la Seguridad en Cloud Computing | CISObeat WebinarsIntroducción a la Seguridad en Cloud Computing | CISObeat Webinars
Introducción a la Seguridad en Cloud Computing | CISObeat WebinarsCISObeat
 
Aspectos legales cloud_computing
Aspectos legales cloud_computingAspectos legales cloud_computing
Aspectos legales cloud_computingOrlando Verdugo
 
Nube informatica
Nube informaticaNube informatica
Nube informaticammyepez05
 
PROGRAMACION EN LA NUBE
PROGRAMACION EN LA NUBEPROGRAMACION EN LA NUBE
PROGRAMACION EN LA NUBEKevin Muegues
 
Arquitectura de la Nube: Modelos de Servicio y Despliegue
Arquitectura de la Nube: Modelos de Servicio y DespliegueArquitectura de la Nube: Modelos de Servicio y Despliegue
Arquitectura de la Nube: Modelos de Servicio y DespliegueOlinda Marina Sanchez Torres
 
Preseherramienta en la nube
Preseherramienta en la nube Preseherramienta en la nube
Preseherramienta en la nube jhaniret
 
Tendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la NubeTendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la NubeDiana Cullen
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingLuisanaEV
 
Presentacion de la arquitectura de nube
Presentacion de la arquitectura de nubePresentacion de la arquitectura de nube
Presentacion de la arquitectura de nubeJeidy Nuñez
 

La actualidad más candente (18)

Seguridad y computación en la nube
Seguridad y computación en la nubeSeguridad y computación en la nube
Seguridad y computación en la nube
 
Seguridad en computo en la nube
Seguridad en computo en la nubeSeguridad en computo en la nube
Seguridad en computo en la nube
 
Exposicion cloud
Exposicion cloudExposicion cloud
Exposicion cloud
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Computación en la nube y sus riesgos
Computación en la nube y sus riesgosComputación en la nube y sus riesgos
Computación en la nube y sus riesgos
 
Presentacion comunicacion en la nube
Presentacion comunicacion en la nubePresentacion comunicacion en la nube
Presentacion comunicacion en la nube
 
Introducción a la Seguridad en Cloud Computing | CISObeat Webinars
Introducción a la Seguridad en Cloud Computing | CISObeat WebinarsIntroducción a la Seguridad en Cloud Computing | CISObeat Webinars
Introducción a la Seguridad en Cloud Computing | CISObeat Webinars
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Aspectos legales cloud_computing
Aspectos legales cloud_computingAspectos legales cloud_computing
Aspectos legales cloud_computing
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 
Nube informatica
Nube informaticaNube informatica
Nube informatica
 
PROGRAMACION EN LA NUBE
PROGRAMACION EN LA NUBEPROGRAMACION EN LA NUBE
PROGRAMACION EN LA NUBE
 
Arquitectura de la Nube: Modelos de Servicio y Despliegue
Arquitectura de la Nube: Modelos de Servicio y DespliegueArquitectura de la Nube: Modelos de Servicio y Despliegue
Arquitectura de la Nube: Modelos de Servicio y Despliegue
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Preseherramienta en la nube
Preseherramienta en la nube Preseherramienta en la nube
Preseherramienta en la nube
 
Tendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la NubeTendencias de la Tecnología Informática: Computación en la Nube
Tendencias de la Tecnología Informática: Computación en la Nube
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Presentacion de la arquitectura de nube
Presentacion de la arquitectura de nubePresentacion de la arquitectura de nube
Presentacion de la arquitectura de nube
 

Destacado

Análisis de las estrategias de seguridad ante los
Análisis de las estrategias de seguridad ante losAnálisis de las estrategias de seguridad ante los
Análisis de las estrategias de seguridad ante losisaacnaez23
 
Derechos de Autor y Estrategias de Licenciamiento
Derechos de Autor y Estrategias de Licenciamiento Derechos de Autor y Estrategias de Licenciamiento
Derechos de Autor y Estrategias de Licenciamiento Sebastian Thuer
 
La competencia digital, una propuesta
La competencia digital, una propuestaLa competencia digital, una propuesta
La competencia digital, una propuestaBoris Mir
 
Présentation finale WEB.pdf
Présentation finale WEB.pdfPrésentation finale WEB.pdf
Présentation finale WEB.pdfmaxybeaute
 
Los blogs en los tiempos de las redes sociales
Los blogs en los tiempos de las redes socialesLos blogs en los tiempos de las redes sociales
Los blogs en los tiempos de las redes socialesFernando Tricas García
 
Webquest quispe anilu 1ºa
Webquest quispe anilu 1ºaWebquest quispe anilu 1ºa
Webquest quispe anilu 1ºaAnilu Quispe
 
Salaires de référence et taux d'indemnisation au 31 mars 2014
Salaires de référence et taux d'indemnisation au 31 mars 2014Salaires de référence et taux d'indemnisation au 31 mars 2014
Salaires de référence et taux d'indemnisation au 31 mars 2014France Travail
 
Supplément Voix du Nord / ISCOM
Supplément Voix du Nord / ISCOMSupplément Voix du Nord / ISCOM
Supplément Voix du Nord / ISCOMCamilleAvge
 
Enib cours c.a.i. web - séance #1 - html5 css3-js - td
Enib   cours c.a.i. web - séance #1 - html5 css3-js - tdEnib   cours c.a.i. web - séance #1 - html5 css3-js - td
Enib cours c.a.i. web - séance #1 - html5 css3-js - tdHoracio Gonzalez
 
Projet jungle rue Gustave Goublier (version réduite)
Projet jungle rue Gustave Goublier (version réduite)Projet jungle rue Gustave Goublier (version réduite)
Projet jungle rue Gustave Goublier (version réduite)Grégory MACÉ
 
Journal n°1 alain bénard
Journal n°1 alain bénardJournal n°1 alain bénard
Journal n°1 alain bénardAlainBenard
 
Regimes de Responsabilite Americains: Conference MARSH-AFJE
Regimes de Responsabilite Americains: Conference MARSH-AFJE Regimes de Responsabilite Americains: Conference MARSH-AFJE
Regimes de Responsabilite Americains: Conference MARSH-AFJE Eliot Norman
 
Tarea frances
Tarea frances Tarea frances
Tarea frances jsmayo26
 
Point transferts rugby Top 14
Point transferts rugby Top 14Point transferts rugby Top 14
Point transferts rugby Top 14Marc De Jongy
 
ALT.Net Juin 2012 - Specflow
ALT.Net Juin 2012 - SpecflowALT.Net Juin 2012 - Specflow
ALT.Net Juin 2012 - SpecflowMathias Kluba
 

Destacado (20)

Análisis de las estrategias de seguridad ante los
Análisis de las estrategias de seguridad ante losAnálisis de las estrategias de seguridad ante los
Análisis de las estrategias de seguridad ante los
 
Derechos de Autor y Estrategias de Licenciamiento
Derechos de Autor y Estrategias de Licenciamiento Derechos de Autor y Estrategias de Licenciamiento
Derechos de Autor y Estrategias de Licenciamiento
 
La competencia digital, una propuesta
La competencia digital, una propuestaLa competencia digital, una propuesta
La competencia digital, una propuesta
 
Présentation finale WEB.pdf
Présentation finale WEB.pdfPrésentation finale WEB.pdf
Présentation finale WEB.pdf
 
Estructura aula digital
Estructura aula digitalEstructura aula digital
Estructura aula digital
 
Los blogs en los tiempos de las redes sociales
Los blogs en los tiempos de las redes socialesLos blogs en los tiempos de las redes sociales
Los blogs en los tiempos de las redes sociales
 
Webquest quispe anilu 1ºa
Webquest quispe anilu 1ºaWebquest quispe anilu 1ºa
Webquest quispe anilu 1ºa
 
Salaires de référence et taux d'indemnisation au 31 mars 2014
Salaires de référence et taux d'indemnisation au 31 mars 2014Salaires de référence et taux d'indemnisation au 31 mars 2014
Salaires de référence et taux d'indemnisation au 31 mars 2014
 
Supplément Voix du Nord / ISCOM
Supplément Voix du Nord / ISCOMSupplément Voix du Nord / ISCOM
Supplément Voix du Nord / ISCOM
 
Enib cours c.a.i. web - séance #1 - html5 css3-js - td
Enib   cours c.a.i. web - séance #1 - html5 css3-js - tdEnib   cours c.a.i. web - séance #1 - html5 css3-js - td
Enib cours c.a.i. web - séance #1 - html5 css3-js - td
 
Projet jungle rue Gustave Goublier (version réduite)
Projet jungle rue Gustave Goublier (version réduite)Projet jungle rue Gustave Goublier (version réduite)
Projet jungle rue Gustave Goublier (version réduite)
 
port 3
port 3port 3
port 3
 
Bookonline, livre blanc sur les études par internet by QualiQuanti
Bookonline, livre blanc sur les études par internet by QualiQuantiBookonline, livre blanc sur les études par internet by QualiQuanti
Bookonline, livre blanc sur les études par internet by QualiQuanti
 
Ulls de colors
Ulls de colorsUlls de colors
Ulls de colors
 
Journal n°1 alain bénard
Journal n°1 alain bénardJournal n°1 alain bénard
Journal n°1 alain bénard
 
Regimes de Responsabilite Americains: Conference MARSH-AFJE
Regimes de Responsabilite Americains: Conference MARSH-AFJE Regimes de Responsabilite Americains: Conference MARSH-AFJE
Regimes de Responsabilite Americains: Conference MARSH-AFJE
 
Tarea frances
Tarea frances Tarea frances
Tarea frances
 
Jeu et image
Jeu et imageJeu et image
Jeu et image
 
Point transferts rugby Top 14
Point transferts rugby Top 14Point transferts rugby Top 14
Point transferts rugby Top 14
 
ALT.Net Juin 2012 - Specflow
ALT.Net Juin 2012 - SpecflowALT.Net Juin 2012 - Specflow
ALT.Net Juin 2012 - Specflow
 

Similar a Seguridad en Cloud Computing - Segu-Info

Pronóstico nublado... por tiempo indeterminado
Pronóstico nublado... por tiempo indeterminadoPronóstico nublado... por tiempo indeterminado
Pronóstico nublado... por tiempo indeterminadoISACA Buenos Aires Chapter
 
Computación en la Nube.pdf
Computación en la Nube.pdfComputación en la Nube.pdf
Computación en la Nube.pdfDulce Pineda
 
Computacion en la nube. Susan Garcia
Computacion en la nube. Susan GarciaComputacion en la nube. Susan Garcia
Computacion en la nube. Susan GarciaSusan-PG
 
Computación en la nube. Susan Garcia
Computación en la nube. Susan GarciaComputación en la nube. Susan Garcia
Computación en la nube. Susan GarciaSusan-PG
 
Ex Mba S3 Por La Nube Grupo B
Ex Mba S3 Por La Nube Grupo BEx Mba S3 Por La Nube Grupo B
Ex Mba S3 Por La Nube Grupo BCarlos V
 
Los servicios de intermediación de cloud mejoran la visibilidad y la gestión ...
Los servicios de intermediación de cloud mejoran la visibilidad y la gestión ...Los servicios de intermediación de cloud mejoran la visibilidad y la gestión ...
Los servicios de intermediación de cloud mejoran la visibilidad y la gestión ...Josefina Almorza Hidalgo
 
Computacion unah
Computacion unahComputacion unah
Computacion unahYami Madrid
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
Curso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computingCurso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computingJack Daniel Cáceres Meza
 
COMPUTACION EN LA NUBE Y POSICIONAMIENTO WEB
COMPUTACION  EN LA NUBE Y POSICIONAMIENTO WEBCOMPUTACION  EN LA NUBE Y POSICIONAMIENTO WEB
COMPUTACION EN LA NUBE Y POSICIONAMIENTO WEBPerlaMartinez30
 
Computacion en la nube Cap. 1
Computacion en la nube Cap. 1Computacion en la nube Cap. 1
Computacion en la nube Cap. 1César Carcamo
 
Introducción al Cloud Computing
Introducción al Cloud ComputingIntroducción al Cloud Computing
Introducción al Cloud ComputingEsteban Saavedra
 

Similar a Seguridad en Cloud Computing - Segu-Info (20)

Computación en la nube resumen Capítulo 1
Computación en la nube resumen Capítulo 1Computación en la nube resumen Capítulo 1
Computación en la nube resumen Capítulo 1
 
Pronóstico nublado... por tiempo indeterminado
Pronóstico nublado... por tiempo indeterminadoPronóstico nublado... por tiempo indeterminado
Pronóstico nublado... por tiempo indeterminado
 
Capitulo 1
Capitulo 1Capitulo 1
Capitulo 1
 
Computación en la Nube.pdf
Computación en la Nube.pdfComputación en la Nube.pdf
Computación en la Nube.pdf
 
computación en la nube
computación en la nubecomputación en la nube
computación en la nube
 
Computacion en la nube. Susan Garcia
Computacion en la nube. Susan GarciaComputacion en la nube. Susan Garcia
Computacion en la nube. Susan Garcia
 
Computación en la nube. Susan Garcia
Computación en la nube. Susan GarciaComputación en la nube. Susan Garcia
Computación en la nube. Susan Garcia
 
CLOUD COMPUTING HOY: Todo como Servicio.
CLOUD COMPUTING HOY: Todo como Servicio.CLOUD COMPUTING HOY: Todo como Servicio.
CLOUD COMPUTING HOY: Todo como Servicio.
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Computacion en la nube
Computacion en la nubeComputacion en la nube
Computacion en la nube
 
Ex Mba S3 Por La Nube Grupo B
Ex Mba S3 Por La Nube Grupo BEx Mba S3 Por La Nube Grupo B
Ex Mba S3 Por La Nube Grupo B
 
Los servicios de intermediación de cloud mejoran la visibilidad y la gestión ...
Los servicios de intermediación de cloud mejoran la visibilidad y la gestión ...Los servicios de intermediación de cloud mejoran la visibilidad y la gestión ...
Los servicios de intermediación de cloud mejoran la visibilidad y la gestión ...
 
Perspectiva
PerspectivaPerspectiva
Perspectiva
 
Computacion unah
Computacion unahComputacion unah
Computacion unah
 
Computacion en la nube
Computacion en la nubeComputacion en la nube
Computacion en la nube
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
Curso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computingCurso: Proyecto de sistemas de comunicación: 04 Cloud computing
Curso: Proyecto de sistemas de comunicación: 04 Cloud computing
 
COMPUTACION EN LA NUBE Y POSICIONAMIENTO WEB
COMPUTACION  EN LA NUBE Y POSICIONAMIENTO WEBCOMPUTACION  EN LA NUBE Y POSICIONAMIENTO WEB
COMPUTACION EN LA NUBE Y POSICIONAMIENTO WEB
 
Computacion en la nube Cap. 1
Computacion en la nube Cap. 1Computacion en la nube Cap. 1
Computacion en la nube Cap. 1
 
Introducción al Cloud Computing
Introducción al Cloud ComputingIntroducción al Cloud Computing
Introducción al Cloud Computing
 

Más de Cristian Borghello

Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Cristian Borghello
 
Fuga de información - segu-info
Fuga de información - segu-infoFuga de información - segu-info
Fuga de información - segu-infoCristian Borghello
 
Continuidad del negocio y gestion de crisis
Continuidad del negocio y gestion de crisisContinuidad del negocio y gestion de crisis
Continuidad del negocio y gestion de crisisCristian Borghello
 
Malware, botnet y y cibercrimen
Malware, botnet y y cibercrimenMalware, botnet y y cibercrimen
Malware, botnet y y cibercrimenCristian Borghello
 
Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesCristian Borghello
 
Robo de informacion en sesiones seguras
Robo de informacion en sesiones segurasRobo de informacion en sesiones seguras
Robo de informacion en sesiones segurasCristian Borghello
 
Root Secure Google Hacking Tool Taller
Root Secure Google Hacking Tool TallerRoot Secure Google Hacking Tool Taller
Root Secure Google Hacking Tool TallerCristian Borghello
 
Pacheco Cazadores Mitos Seguridad Informatica
Pacheco Cazadores Mitos Seguridad InformaticaPacheco Cazadores Mitos Seguridad Informatica
Pacheco Cazadores Mitos Seguridad InformaticaCristian Borghello
 
Chema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection TallerChema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection TallerCristian Borghello
 
Root Secure Information Disclosure
Root Secure Information DisclosureRoot Secure Information Disclosure
Root Secure Information DisclosureCristian Borghello
 
Presman Taller Analisis Forense Robo Identidad
Presman Taller Analisis Forense Robo IdentidadPresman Taller Analisis Forense Robo Identidad
Presman Taller Analisis Forense Robo IdentidadCristian Borghello
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting AttacksCristian Borghello
 
Borghello Presentacion Segu-Info
Borghello Presentacion Segu-InfoBorghello Presentacion Segu-Info
Borghello Presentacion Segu-InfoCristian Borghello
 

Más de Cristian Borghello (20)

IoT - Internet de las Cosas
IoT - Internet de las CosasIoT - Internet de las Cosas
IoT - Internet de las Cosas
 
Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)Phishing en moviles (Segu-Info)
Phishing en moviles (Segu-Info)
 
BYOD: Desafios y Respuestas
BYOD: Desafios y RespuestasBYOD: Desafios y Respuestas
BYOD: Desafios y Respuestas
 
Fuga de información - segu-info
Fuga de información - segu-infoFuga de información - segu-info
Fuga de información - segu-info
 
Continuidad del negocio y gestion de crisis
Continuidad del negocio y gestion de crisisContinuidad del negocio y gestion de crisis
Continuidad del negocio y gestion de crisis
 
Malware, botnet y y cibercrimen
Malware, botnet y y cibercrimenMalware, botnet y y cibercrimen
Malware, botnet y y cibercrimen
 
Seguridad en Cloud Computing
Seguridad en Cloud ComputingSeguridad en Cloud Computing
Seguridad en Cloud Computing
 
Vectores de ataque dispositivos moviles
Vectores de ataque dispositivos movilesVectores de ataque dispositivos moviles
Vectores de ataque dispositivos moviles
 
VDI Security
VDI SecurityVDI Security
VDI Security
 
Robo de informacion en sesiones seguras
Robo de informacion en sesiones segurasRobo de informacion en sesiones seguras
Robo de informacion en sesiones seguras
 
Root Secure Google Hacking Tool Taller
Root Secure Google Hacking Tool TallerRoot Secure Google Hacking Tool Taller
Root Secure Google Hacking Tool Taller
 
Pacheco Cazadores Mitos Seguridad Informatica
Pacheco Cazadores Mitos Seguridad InformaticaPacheco Cazadores Mitos Seguridad Informatica
Pacheco Cazadores Mitos Seguridad Informatica
 
Malaureille Robo Identidad
Malaureille Robo IdentidadMalaureille Robo Identidad
Malaureille Robo Identidad
 
Chema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection TallerChema Alonso Blind Sql Injection Taller
Chema Alonso Blind Sql Injection Taller
 
Mautner Autenticacion
Mautner AutenticacionMautner Autenticacion
Mautner Autenticacion
 
Root Secure Information Disclosure
Root Secure Information DisclosureRoot Secure Information Disclosure
Root Secure Information Disclosure
 
Presman Taller Analisis Forense Robo Identidad
Presman Taller Analisis Forense Robo IdentidadPresman Taller Analisis Forense Robo Identidad
Presman Taller Analisis Forense Robo Identidad
 
Racciatti Html Scripting Attacks
Racciatti Html Scripting AttacksRacciatti Html Scripting Attacks
Racciatti Html Scripting Attacks
 
Bortnik Nuevas Tecnologias
Bortnik Nuevas TecnologiasBortnik Nuevas Tecnologias
Bortnik Nuevas Tecnologias
 
Borghello Presentacion Segu-Info
Borghello Presentacion Segu-InfoBorghello Presentacion Segu-Info
Borghello Presentacion Segu-Info
 

Último

IA en la empresa. La inteligencia artificial potencia la tarea diaria
IA en la empresa. La inteligencia artificial potencia la tarea diariaIA en la empresa. La inteligencia artificial potencia la tarea diaria
IA en la empresa. La inteligencia artificial potencia la tarea diariaEducática
 
Taller De La Electricidad Y Electrónica 10-4.pdf
Taller De La Electricidad Y Electrónica  10-4.pdfTaller De La Electricidad Y Electrónica  10-4.pdf
Taller De La Electricidad Y Electrónica 10-4.pdfAnaSofiaRodriguezzap
 
Basisschulung zum Datenschutz DE_SPA.pptx
Basisschulung zum Datenschutz  DE_SPA.pptxBasisschulung zum Datenschutz  DE_SPA.pptx
Basisschulung zum Datenschutz DE_SPA.pptxsergioagudo4
 
Texto Argumentativo (Basura Electronica)
Texto Argumentativo (Basura Electronica)Texto Argumentativo (Basura Electronica)
Texto Argumentativo (Basura Electronica)lucianavillotalozano
 
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docxBLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docxJuanstevanGarcaarcin
 
Texto Argumentativo (Basura Electronica)
Texto Argumentativo (Basura Electronica)Texto Argumentativo (Basura Electronica)
Texto Argumentativo (Basura Electronica)AlejandraCasallas7
 
Lista de selección dinámica desde MySQL hacia PHP (con PDO)
Lista de selección dinámica desde MySQL hacia PHP (con PDO)Lista de selección dinámica desde MySQL hacia PHP (con PDO)
Lista de selección dinámica desde MySQL hacia PHP (con PDO)ChristianRivera122452
 
Carta y Excel trabajo sobre estadística.
Carta y Excel trabajo sobre estadística.Carta y Excel trabajo sobre estadística.
Carta y Excel trabajo sobre estadística.MariannaGutierrezGom
 
¿Cómo preguntar a la IA?_ Universitat Oberta de Catalunya
¿Cómo preguntar a la IA?_ Universitat Oberta de Catalunya¿Cómo preguntar a la IA?_ Universitat Oberta de Catalunya
¿Cómo preguntar a la IA?_ Universitat Oberta de CatalunyaRichard Canabate
 
El Libro de la Inteligencia Artificial (versión 13)
El Libro de la Inteligencia Artificial (versión 13)El Libro de la Inteligencia Artificial (versión 13)
El Libro de la Inteligencia Artificial (versión 13)Alfredo Vela Zancada
 
Lista de datos (tecnología) combinación de...
Lista de datos (tecnología) combinación de...Lista de datos (tecnología) combinación de...
Lista de datos (tecnología) combinación de...NicolleAndrade7
 
Excel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdfExcel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdfSOFIAACOSTAESCOBAR
 
Excel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdfExcel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdfNicolleAndrade7
 
APEX Office Hours - Two Factor Authentication
APEX Office Hours - Two Factor AuthenticationAPEX Office Hours - Two Factor Authentication
APEX Office Hours - Two Factor Authenticationjoelorta2
 
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdfVerde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdfmiriamsarahihm2008
 
Tecnología 2024 11-2 .pdf.......................
Tecnología 2024  11-2 .pdf.......................Tecnología 2024  11-2 .pdf.......................
Tecnología 2024 11-2 .pdf.......................GabrielHernndez206156
 
Trabajo de tecnología excel avanzado:métodos estadísticos
Trabajo de tecnología excel avanzado:métodos estadísticosTrabajo de tecnología excel avanzado:métodos estadísticos
Trabajo de tecnología excel avanzado:métodos estadísticosJuanCamilomurillo2
 
Texto Argumentativo (Basura Electronica).docx
Texto Argumentativo (Basura Electronica).docxTexto Argumentativo (Basura Electronica).docx
Texto Argumentativo (Basura Electronica).docxlucianavillotalozano
 
Excel avanzado.pdf tecnologiaaaaaaaaaaaa
Excel avanzado.pdf tecnologiaaaaaaaaaaaaExcel avanzado.pdf tecnologiaaaaaaaaaaaa
Excel avanzado.pdf tecnologiaaaaaaaaaaaaNicolleAndrade7
 
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar OrtegaNovedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar OrtegaBaltasar Ortega
 

Último (20)

IA en la empresa. La inteligencia artificial potencia la tarea diaria
IA en la empresa. La inteligencia artificial potencia la tarea diariaIA en la empresa. La inteligencia artificial potencia la tarea diaria
IA en la empresa. La inteligencia artificial potencia la tarea diaria
 
Taller De La Electricidad Y Electrónica 10-4.pdf
Taller De La Electricidad Y Electrónica  10-4.pdfTaller De La Electricidad Y Electrónica  10-4.pdf
Taller De La Electricidad Y Electrónica 10-4.pdf
 
Basisschulung zum Datenschutz DE_SPA.pptx
Basisschulung zum Datenschutz  DE_SPA.pptxBasisschulung zum Datenschutz  DE_SPA.pptx
Basisschulung zum Datenschutz DE_SPA.pptx
 
Texto Argumentativo (Basura Electronica)
Texto Argumentativo (Basura Electronica)Texto Argumentativo (Basura Electronica)
Texto Argumentativo (Basura Electronica)
 
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docxBLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS.docx
 
Texto Argumentativo (Basura Electronica)
Texto Argumentativo (Basura Electronica)Texto Argumentativo (Basura Electronica)
Texto Argumentativo (Basura Electronica)
 
Lista de selección dinámica desde MySQL hacia PHP (con PDO)
Lista de selección dinámica desde MySQL hacia PHP (con PDO)Lista de selección dinámica desde MySQL hacia PHP (con PDO)
Lista de selección dinámica desde MySQL hacia PHP (con PDO)
 
Carta y Excel trabajo sobre estadística.
Carta y Excel trabajo sobre estadística.Carta y Excel trabajo sobre estadística.
Carta y Excel trabajo sobre estadística.
 
¿Cómo preguntar a la IA?_ Universitat Oberta de Catalunya
¿Cómo preguntar a la IA?_ Universitat Oberta de Catalunya¿Cómo preguntar a la IA?_ Universitat Oberta de Catalunya
¿Cómo preguntar a la IA?_ Universitat Oberta de Catalunya
 
El Libro de la Inteligencia Artificial (versión 13)
El Libro de la Inteligencia Artificial (versión 13)El Libro de la Inteligencia Artificial (versión 13)
El Libro de la Inteligencia Artificial (versión 13)
 
Lista de datos (tecnología) combinación de...
Lista de datos (tecnología) combinación de...Lista de datos (tecnología) combinación de...
Lista de datos (tecnología) combinación de...
 
Excel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdfExcel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdf
 
Excel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdfExcel avanzado y métodos estadísticos.pdf
Excel avanzado y métodos estadísticos.pdf
 
APEX Office Hours - Two Factor Authentication
APEX Office Hours - Two Factor AuthenticationAPEX Office Hours - Two Factor Authentication
APEX Office Hours - Two Factor Authentication
 
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdfVerde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
Verde Ilustrado Moderno Redes Sociales Informe de Marketing Presentación (1).pdf
 
Tecnología 2024 11-2 .pdf.......................
Tecnología 2024  11-2 .pdf.......................Tecnología 2024  11-2 .pdf.......................
Tecnología 2024 11-2 .pdf.......................
 
Trabajo de tecnología excel avanzado:métodos estadísticos
Trabajo de tecnología excel avanzado:métodos estadísticosTrabajo de tecnología excel avanzado:métodos estadísticos
Trabajo de tecnología excel avanzado:métodos estadísticos
 
Texto Argumentativo (Basura Electronica).docx
Texto Argumentativo (Basura Electronica).docxTexto Argumentativo (Basura Electronica).docx
Texto Argumentativo (Basura Electronica).docx
 
Excel avanzado.pdf tecnologiaaaaaaaaaaaa
Excel avanzado.pdf tecnologiaaaaaaaaaaaaExcel avanzado.pdf tecnologiaaaaaaaaaaaa
Excel avanzado.pdf tecnologiaaaaaaaaaaaa
 
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar OrtegaNovedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
Novedades del mejor escritorio: Plasma 6 de KDE - Por Baltasar Ortega
 

Seguridad en Cloud Computing - Segu-Info

  • 1. Seguridad en Cloud Confusingmputing Mitos y realidades Lic. Cristian Borghello CISSP – MVP www.segu-info.com.ar @seguinfo
  • 2. Sobre Segu-Info y Cristian Borghello Cristian Borghello, es Licenciado en Sistemas, desarrollador, Certified Information Systems Security Professional (CISSP) y Microsoft MVP Security (Most Valuable Professional). Es Director de Segu-Info y se desempeña como consultor independiente en Seguridad de la Información. Segu-Info es la comunidad más grande de habla hispana sobre Seguridad de la Información. Brinda información libre y gratuita sobre la temática desde el año 2000.
  • 3. Licencia de uso Creative Commons 2.5 Ud. puede: Copiar, distribuir, exhibir, y ejecutar la obra Hacer obras derivadas Bajo las siguientes condiciones: Atribución. Debe atribuir la obra en la forma especificada por el autor No Comercial. No puede usar esta obra con fines comerciales Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idéntica a ésta http://creativecommons.org/licenses/by-nc-sa/2.5/ar/
  • 4. En la nube nosotros confiamos ¿Qué es la nube?
  • 5. Cloud Computing (CC) Buzzword de moda Nuevo modelo o paradigma que permite ofrecer servicios a través de Internet (la nube)
  • 6. Definición formal • CC es un modelo que permite el acceso bajo demanda a un conjunto compartido de recursos informáticos configurables, de los cuales se puede disponer rápidamente con una gestión mínima de esfuerzos • Promueve la disponibilidad y se compone de distintas características, modelos de servicio e implementación Definición de Cloud Computing de NIST http://bit.ly/d6J8pk
  • 9. Barómetro de ISACA • En 2010 utilizarán CC: 30% de las organizaciones en LA 25% de las organizaciones de EE.UU. 18% de las organizaciones europeas • 41% de los profesionales de LA considera que los riesgos de CC superan los beneficios • 17% opina lo contrario • 42% creen que los beneficios y los riesgos están equilibrados 2010 ISACA IT Risk/Reward Barometer - Latin America Edition http://bit.ly/aym1KF
  • 10. Ventajas para el proveedor Mayor número “Inmediatez” de servicios del servicio disponibles Servicios Ahorro en estándares y “sin tecnología reinventar la rueda” Mayor escalabilidad Mayor adaptabilidad de los servicios Unificación ofrecidos/recibidos de sistemas
  • 11. Ventajas para el cliente Servicio Simplicidad de disponible en implementación cualquier lugar Precios más Integración ya flexibles probada por la industria Mayor escalabilidad Mínima cantidad de tiempo fuera de Actualizaciones servicio automáticas
  • 12. Permite centrarse en el negocio Menos riesgos y ahorro de costes e inversión
  • 13. Arquitectura “As a Service” En la nube todo es un S e r v i c i o (SPI)
  • 14. Arquitectura “As a Service” IBM: Cloud Security Guidance http://bit.ly/bDlhrf
  • 15. Software as a Service SaaS es la capa más alta y es una aplicación que se ofrece como un servicio, que se ejecuta en la infraestructura del proveedor y es posible acceder a la aplicación desde cualquier dispositivo y un navegador
  • 16. Plataforma as a Service PaaS encapsula y abstrae un ambiente de desarrollo que contiene los lenguajes de programación y las bases de datos. Es capaz de brindar servicios a todas las fases del ciclo de desarrollo de software
  • 17. Infraestructura as a Service IaaS entrega almacenamiento, conexiones, poder de procesamiento y servicios de red generalmente virtualizados para que el cliente pueda disponer de ellos
  • 18. Tipos de nube Públicas: manejadas completamente por terceras partes. El cliente no conoce qué servicios o clientes se ejecutan en el entorno Privadas: se ejecutan en una infraestructura a demanda. El cliente controla el servidor, la red, el espacio, las aplicaciones, los servicios y los usuarios que pueden acceder Comunitarias: son compartidas por varias organizaciones con objetivos similares Híbridas: combinan los modelos anteriores y permiten configurar o escalar algunos servicios
  • 19. “Creemos que CC representa la plataforma para la próxima generación de negocios” Microsoft “Pienso que CC es una de las bases para la próxima generación de computadoras” Tim O’Reilly
  • 20. “Hay restricciones en CC en Europa. No va a matar el negocio, pero su evolución será mas lenta comparada con EE.UU.” Bob Lindsay Director de privacidad de HP “CC es una trampa destinada a obligar a la gente a adquirir sistemas propietarios, bloqueados, que costarán más conforme pase el tiempo” Richard Stallman
  • 21. ¡PUFFF! Más de lo mismo ¿No estamos siendo simplistas? ¿No olvidamos nada? ¿Son todas ventajas? Todo lo que brilla ¿es oro?
  • 22. Los servicios brindados son una caja negra y se debe “confiar” en ellos
  • 23. Seguridad en la nube (I) • La nube deja en manos del proveedor la responsabilidad del almacenamiento de datos y su control • No se consideran la legislación, las normas y las regulaciones • La cadena de provisión de servicio no es evaluada • Los tres pilares (CID) de la Seguridad de la Información pueden comprometerse
  • 24. Seguridad en la nube (II) • Existen problemas de Insiders • Sistemas compartidos por distintos clientes • Fallas “masivas” pueden dañar a múltiples clientes • Servicios compartidos son ¿vulnerabilidades compartidas? • Se conoce al proveedor por una interface • No se conocen los activos del proveedor • Riesgo del proveedor desconocido para el cliente
  • 25. Confidencialidad • Verificar dónde se alojan los datos para evitar problemas de ubicuidad legislación internacional y geolocalización • Conocer quién accede a la información almacenada • El cifrado debe realizarse en la información almacenada, en tránsito y en backup • Verificar si se retiene o se destruye la información al finalizar el contrato con el proveedor
  • 27. Integridad • Analizar quién puede acceder, modificar o eliminar información del centro de datos • Verificar si la información permanece o se elimina logica/físicamente (remanencia) • Posibilidad de que datos de distintos clientes se “mezclen” • Restore incorrecto, inconsistente o incompleto • Sistema de análisis de malware
  • 29. Disponibilidad • Los servicios no estarán disponibles 24x7 • Los proveedores ofrecen 99.999% de disponibilidad (5,25 min./año sin servicio) • Pueden existir ataques de DDoS (Distributed Denial of Service) • El servicio es SPOF (Single Point of Failure) • Backup y restore no satisfactorio Ej: Bitbucket (servicio provisto por EC2 de Amazon) estuvo 19 horas caído en octubre 2009
  • 30. DDoS
  • 32. Virtualización • Los riesgos asociados a CID son los mismos que en sistemas físicos más los propios de la virtualización • La “mezcla” de máquinas virtuales de diferente sensibilidad representa un riesgo • Se debe analizar la seguridad por capas del proveedor
  • 33. Gestión de Riesgos • No se conocen los activos • No se conocen las amenazas • Se pueden conocer algunas vulnerabilidades (a través de la interface) • No se puede medir el riesgo • No se puede implementar controles y por lo tanto se deben fortalecer las medidas contractuales
  • 34. El modelo de Gestión de Riesgo debe cambiar Si antes no se evaluaba el Riesgo ¿Ahora lo haremos?
  • 35. Contratos • Considerar la jurisdicción • Evaluar la aplicabilidad de disposiciones nacionales e internacionales • Recolectar y revisar los requisitos legales y normativos necesarios para ambas partes • Evaluar si los términos del proveedor cumplen los requisitos del cliente • Estipular todo lo necesario en los SLA (Service Level Agreement) • Analizar el sistema de penalizaciones
  • 36. Certificaciones y Compliance • Los proveedores deberían contar con una certificación de auditoría (SAS 70) al menos • Se recomienda un SGSI y la certificación de ISO 27000 (sobre todo en servicios críticos) • Verificar certificaciones internacionales de continuidad de negocio como BS 25999 • Existen otras normas que pueden ser requeridas (NIST, SOX, PCI, FISMA, HIPAA…) • Próximamente la certificación Trusted Cloud Initiative (13 dominios de seguridad)
  • 38. Conclusiones (I) • Ante la duda pensar estos servicios como externos porque son más conocidos (offshoring o outsourcing) • Evaluar los contratos de servicio • Evaluar que las políticas actuales de la empresa coincidan con el proveedor • Lograr la interacción entre legales y IT • Parte de lo ahorrado debe invertirse en examinar las capacidades del servicio de CC
  • 39. Conclusiones (II) • Lo importante no es el nombre (buzzword) sino entender la transformación (revolución) que implica el cambio • Existen servicios que por su criticidad no pueden ser trasladados a la nube • Evaluar que aún no es posible garantizar el cumplimiento normativo • Requerir herramientas de administración centralizadas
  • 40. Conclusiones (III) • Exigir el uso y aplicación de certificaciones y estándares • Se deben evaluar las decisiones de negocio por sobre las decisiones del IT • Tomar decisiones en base a la medición de riesgos previa
  • 41. No debemos permitir que el “bajo” costo y la “simplicidad” de CC no nos permita ver la tormenta en la nube Analicemos los riesgos
  • 42. Referencias • Cloud Computing en Segu-Info http://bit.ly/segu-cloud • Cloud Security Alliance (EN - ES) http://bit.ly/95LKUu - http://bit.ly/9PCnoh • Gartner: Cloud Computing Security Risks http://bit.ly/avxvor http://bit.ly/buJcMa • ENISA: Cloud Computing: benefits and risks http://bit.ly/bjlFSY • NIST: Cloud Computing http://bit.ly/d6J8pk • IBM: Cloud Security Guidance http://bit.ly/bDlhrf
  • 43. Agradecimientos A la Comunidad de Segu-Info que todos los días [me] aporta conocimiento a través de los distintos grupos de discusión
  • 44. ¡Gracias! Lic. Cristian Borghello CISSP – MVP www.segu-info.com.ar @seguinfo

Notas del editor

  1. ISO 27000 y Gobernabilidad - 06/2010 www.segu-info.com.ar