Cloud Security y en donde esta el piloto

Agenda
• Introducción
• ¿Cuáles son los desafíos y riesgos?
• Apagones Recientes
• Seguridad y Privacidad en Cloud
• Recomendaciones
• 10 pasos para asegurar su éxito

¿Que es Cloud?
¿Otra explicación
mas de lo que es
cloud?

¿Que es Cloud?
Lo que usualmente se piensa cuando escuchamos esta pregunta…

¿Que se escucha y que se dice?
Lo que quieren escuchar los CIOs y responsables IT…

Cuestiones básica para la toma de decisiones
Lo que debemos preguntarnos acerca del negocio es…

¿como vemos nosotros?
Lo que vemos los profesionales de Seguridad

¿y ahora quien podrá ayudarnos?
Necesitamos ayuda ¿existen mejores practicas de seguridad en cloud?

¿Donde empezar?
Nos dicen que ir a la Cloud es Fácil…. La realidad nos muestra otra cosa..

¿Qué se necesita?
Necesitamos un plan.
Pero sobre todo procesos y
mejores practicas.
Haciendo Fácil lo difícil

¿Llegamos al Cloud y ahora?
¿Cuales son los desafíos y riegos?
• Seguridad y confidencialidad de los datos
• Gestión de Proveedores
• Compliance
• Fiabilidad, disponibilidad y rendimiento, SLA, etc.
• Terminación de Servicios
• Continuidad de negocio
• Control de acceso y gestión de identidades
• Gobierno
• Integración
• Protección de registros
• Gestión de Incidencias

Apagones Recientes
• Microsoft Cloud Service Azure Experimento apagones globales el- 13 de agosto 2014 - alrededor de 5
horas
• Microsoft Exchange - 24 de junio 2014 - Casi 9 horas – Problemas de redes
• Microsoft Lync - 23 de junio 2014 - varias horas – Problemas de enrutamiento
• iCloud - 12 de junio 2014 - pocos horas
• Feedly - 11 a 13 junio 2014 - de forma intermitente durante 3 días - DDoS attack
• Evernote - 10 de junio 2014 - 10 + horas - DDoS attack
• Adobe Creative Cloud - 16 de mayo 2014 - Alrededor de 28 horas - actividad de mantenimiento
• Samsung Smart TV plataforma apagón mundial- 20 de abril 2014 a 4,5 días - fuego en una de las
instalaciones en Corea del Sur, fue provocado por una falla.
• Basecamp se desconecta - 24 de marzo 2014 - Alrededor de 2 horas -
debido a DDoS attack
• Google Apps - 17 de marzo 2014 - Alrededor de 3,5 horas -
mantenimiento
• Dropbox - 02 de marzo 2014 - Un poco menos de un hora
• Gmail, Google Calendar, Google Docs, y Google+ fuera de línea - 24
de enero 2014 - Alrededor de una hora – Bug de software
• Dropbox - 10 de enero 2014 - Alrededor de 2 días - una falla causada
por scripting de actualizaciones del sistema operativo que se aplicarán
en las máquinas funcionales durante la rutina de mantenimiento

Seguridad y Privacidad en Cloud
The Notorious Nine: Cloud Computing Top Threats in 2013
https://cloudsecurityalliance.org/download/the-notorious-nine-cloud-computing-top-threats-in-2013

• “Empezó como un rumor que existían fotos personales
hackeadas de los teléfonos de los famosos. Ejemplo la actriz
Jennifer Lawrence y un puñados de otras.” – Rachel Zarrell
Seguridad y Privacidad en Cloud
• “Una vulnerabilidad importante fue identificada... en la plataforma online de Box y Dropbox que
permite el descubrimiento de Links a archivos privados… Los datos pueden ser leídos por terceros e
indexada por buscadores” – James Sanders
• “Un problema de privacidad inquietante ha sido descubierto en Google Drive el cual podría haber
resultado en acceso sin autorización de terceros a información sensible, personal y corporativa
almacenada en la nube” - Graham Cluley

Igualmente, no todo esta Perdido
Como mencionamos anteriormente, existen recomendaciones y mejores
practicas…
Para esta
presentación
contamos con el
mejor y mas
experimentado
copiloto para
recomendar guías y
mejores practicas de
seguridad en la nube

OTTO recomienda el uso de:
ISACA – Security Considerations for Cloud Computing
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Security-Considerations-for-Cloud-Computing.aspx

ISACA Cloud Resources – Security, Compliance and Risk Management
http://www.isaca.org/Knowledge-Center/Research/Pages/Cloud.aspx

• 14 dominios:
• Gobierno y Gestión de Riesgos en la Empresa
• Aspectos legales: Contratos y Descubrimiento Electrónico
• Cumplimiento Legal y Auditoría
• Gestión de la Seguridad de la Información y de los Datos
• Portabilidad e Interoperabilidad
• Seguridad Tradicional, Continuidad de Negocio y Recuperación
de Desastres
• Operaciones de CPD
• Respuesta, Notificación y Remediación ante incidentes
• Seguridad de las Aplicaciones
• Cifrado y Gestión de claves
• Gestión de Identidades y de Acceso
• Virtualización
• Seguridad como Servicio
CSA Security Guidance for Critical Ares of Focus in Cloud Computing V3.0
https://cloudsecurityalliance.org/research/security-guidance/#_overview

CSA Cloud Controls Matrix (CCM) v3.0.1
https://cloudsecurityalliance.org/research/ccm/

CSA Cloud Controls Matrix (CCM) v3.0.1
Application Security AIS-01 Data Focus Risk Assessments GRM-02 VMM Security - Hypervisor Hardening IVS-11
Customer Access Requirements AIS-02 Management Oversight GRM-03 Wireless Security IVS-12
Data Integrity AIS-03 Management Program GRM-04 Network Architecture IVS-13
Data Security / Integrity AIS-04 Management Support/Involvement GRM-05 APIs IPY-01
Audit Planning AAC-01 Policy GRM-06 Data Request IPY-02
Independent Audits AAC-02 Policy Enforcement GRM-07 Policy & Legal IPY-03
Information System Regulatory Mapping AAC-03 Policy Impact on Risk Assessments GRM-08 Standardized Network Protocols IPY-04
Business Continuity Planning BCR-01 Policy Reviews GRM-09 Virtualization IPY-05
Business Continuity Testing BCR-02 Risk Assessments GRM-10 Anti-Malware MOS-01
Datacenter Utilities / Environmental Conditions BCR-03 Risk Management Framework GRM-11 Application Stores MOS-02
Documentation BCR-04 Asset Returns HRS-01 Approved Applications MOS-03
Environmental Risks BCR-05 Background Screening HRS-02 Approved Software for BYOD MOS-04
Equipment Location BCR-06 Employment Agreements HRS-03 Awareness and Training MOS-05
Equipment Maintenance BCR-07 Employment Termination HRS-04 Cloud Based Services MOS-06
Equipment Power Failures BCR-08 Mobile Device Management HRS-05 Compatibility MOS-07
Impact Analysis BCR-09 Non-Disclosure Agreements HRS-06 Device Eligibility MOS-08
Policy BCR-10 Roles / Responsibilities HRS-07 Device Inventory MOS-09
Retention Policy BCR-11 Technology Acceptable Use HRS-08 Device Management MOS-10
New Development / Acquisition CCC-01 Training / Awareness HRS-09 Encryption MOS-11
Outsourced Development CCC-02 User Responsibility HRS-10 Jailbreaking and Rooting MOS-12
Quality Testing CCC-03 Workspace HRS-11 Legal MOS-13
Unauthorized Software Installations CCC-04 Audit Tools Access IAM-01 Lockout Screen MOS-14
Production Changes CCC-05 Credential Lifecycle / Provision Management IAM-02 Operating Systems MOS-15
Classification DSI-01 Diagnostic / Configuration Ports Access IAM-03 Passwords MOS-16
Data Inventory / Flows DSI-02 Policies and Procedures IAM-04 Policy MOS-17
eCommerce Transactions DSI-03 Segregation of Duties IAM-05 Remote Wipe MOS-18
Handling / Labeling / Security Policy DSI-04 Source Code Access Restriction IAM-06 Security Patches MOS-19
Non-Production Data DSI-05 Third Party Access IAM-07 Users MOS-20
Ownership / Stewardship DSI-06 Trusted Sources IAM-08 Contact / Authority Maintenance SEF-01
Secure Disposal DSI-07 User Access Authorization IAM-09 Incident Management SEF-02
Asset Management DCS-01 User Access Reviews IAM-10 Incident Reporting SEF-03
Controlled Access Points DCS-02 User Access Revocation IAM-11 Incident Response Legal Preparation SEF-04
Equipment Identification DCS-03 User ID Credentials IAM-12 Incident Response Metrics SEF-05
Off-Site Authorization DCS-04 Utility Programs Access IAM-13 Data Quality and Integrity STA-01
Off-Site Equipment DCS-05 Audit Logging / Intrusion Detection IVS-01 Incident Reporting STA-02
Policy DCS-06 Change Detection IVS-02 Network / Infrastructure Services STA-03
Secure Area Authorization DCS-07 Clock Synchronization IVS-03 Provider Internal Assessments STA-04
Unauthorized Persons Entry DCS-08 Information System Documentation IVS-04 Supply Chain Agreements STA-05
User Access DCS-09 Management - Vulnerability Management IVS-05 Supply Chain Governance Reviews STA-06
Entitlement EKM-01 Network Security IVS-06 Supply Chain Metrics STA-07
Key Generation EKM-02 OS Hardening and Base Conrols IVS-07 Third Party Assessment STA-08
Sensitive Data Protection EKM-03 Production / Non-Production Environments IVS-08 Third Party Audits STA-09
Storage and Access EKM-04 Segmentation IVS-09 Anti-Virus / Malicious Software TVM-01
Baseline Requirements GRM-01 VM Security - vMotion Data Protection IVS-10 Vulnerability / Patch Management TVM-02
Mobile Code TVM-03

• Está diseñado específicamente para proporcionar los principios de seguridad para guiar a
los proveedores de la nube y para ayudar a los clientes en la nube a evaluar el riesgo
general de seguridad de un proveedor de la nube.
• CSA Cloud Controls Matrix (CCM) mapea con otros estándares de seguridad aceptados
por la industria, los reglamentos, y controla los marcos como la ISO 27001/27002, ISACA
COBIT, PCI, NIST, Jericho, NERC CIP, ENISA, COPPA, HIPAA/HITECH, AICPA 2014 Trust
Services Criteria, etc.
CSA Cloud Controls Matrix (CCM)

CSA Consensus Assessments Initiative Questionnaire (CAIQ) v3.0.1
https://cloudsecurityalliance.org/research/cai/

OTTO, ¿solo existen mejores practicas o hay normas?
ISO/IEC 27017:
Information technology — Security techniques — Information
security Management — Guidelines on Information security
controls for the use of cloud computing services based on ISO/IEC
27002
ISO/IEC 27018:
Information technology – Security techniques -- Code of practice
for PII protection in public clouds acting as PII processors
ISO/IEC 27036-4:
Information technology — Security techniques — Information
security for supplier relationships — Part 4: Guidelines for security
of cloud services

ISO/IEC 27017
Estado actual: DRAFT INTERNATIONAL STANDARD
Clause 5: Information Security Policies
Clause 6: Organization of information security
Clause 7: Human Resource Security maintenance
Clause 8: Asset management
Clause 9: Access Control
Clause 10: Cryptography management
Clause 11: Physical and environmental security
Clause 12: Operations security continuity management
Clause 13: Communications Security
Clause 14: Systems acquisition, development and
Clause 15: Supplier relationships
Clause 16: Information security incident
Clause 17: Information security aspects of business

ISO/IEC 27017
• Anexo A- Cloud Service Extended Control Set (normative). Proporciona objetivos
adicionales y controles con una guía de la aplicación, Los controles ISO/IEC 27002
están relacionados con el Cloud Service Extended Control Set (normative) pero no
repetidos
• Se recomienda que cualquier organización implementen estos controles en el contexto
de un SGSI, que está destinado a ser conformes a ISO/IEC 27001, extendiendo la SOA
(declaración de aplicabilidad) para la inclusión de los controles indicados en este
anexo.
• Anexo B-referencias sobre riesgos de seguridad de la información relacionada con
cloud computing (normativo)

ISO/IEC 27018
Estado actual: Publicada en Junio 2014
Extender la guía de ISO 27002:2013, con estructura
similar.
El anexo A Public cloud PII processor extended control set
for PII protection (normative).
Especifica nuevos controles con la guía de
implementación, que en combinación con la ISO/IEC
27002 conforman un control extendido para cumplir con
los requisitos para la protección de PII “información
personal identificable” que se aplican a los proveedores
de servicios de nube pública.
OTTO solo existe mejores practicas o hay normas?

ISO/IEC 27036 Part 4
Current Status: 3rd Working Draft
• 1. abierto a comentarios por organismos nacionales o las organizaciones de enlace.
• 2. se utiliza en combinación con las otras tres partes dentro de la ISO/IEC 27036. Esta
cuarta parte puede usarse como una guía adicional para la seguridad de la
información específicamente a servicios en la nube.
• También esta alineada con la ISO/IEC 27017 proporcionando un mapeo de la ISO/IEC
27017 con los controles de seguridad de información del ciclo de vida de procesos en
el anexo D (informativo).
Cláusula 5: Conceptos clave del Cloud, las amenazas de seguridad y riesgos
Cláusula 6: Seguridad de la información en servicios en la nube (consumidor)
Cláusula 7: Controles de seguridad información en servicios en la nube (proveedor)

http://www.cloud-council.org/Cloud_Security_Standards_Landscape_Final.pdf
Seguridad para Cloud Computing: 10 pasos para asegurar su éxito
Cloud Standards Customer Council

Al parecer aun queda mucho por
hacer, pero como pudimos
observar hay mucho ya hecho para
ayudar a los proveedores y
clientes a implementar controles
de seguridad en la nube.

Créditos x las imágenes: pakorn's - http://www.freedigitalphotos.net
Luciano Moreira da Cruz
• Auditor Líder ISO/IEC 27001:2005 (ISMS LA®)
• Auditor Interno ISO/IEC 9001
• Certified Integrator in Secure Cloud Services-EXIN
• MCSE+Security
• MCP Azure Infrastructure Solutions, MCSE Private Cloud certification, MCSA: Office 365,
• CLODU - CLOUD UNIVERSITY
• Information Security Enginner Certified Plus
• ITIL V3
• Vicepresidente del capitulo CSA Argentina.
lucianomoreira9@hotmail.com
@luciano_m_cruz
lucianomoreiradacruz
https://ar.linkedin.com/in/lucianomoreiradacruz

Cloud Security y en donde esta el piloto

Recomendados

Recomendados

Más contenido relacionado

Similar a Cloud Security y en donde esta el piloto

Similar a Cloud Security y en donde esta el piloto (20)

Más de CSA Argentina

Más de CSA Argentina (20)

Último

Último (10)

Cloud Security y en donde esta el piloto

Notas del editor