Alfredo Alva brinda una introducción a Cloud Computing, donde nos habla del modelo de responsabilidad compartida y el enfoque de seguridad en proyectos que involucren sistemas cloud.

1. Introducción al
Cloud
Computing

2. 2

3. 3
Usamos hosting,
por eso estamos en
la nube
Que hay con la ley
peruana?º
La nube es mas barata
Los servicios de
Cloud aun no están
maduros
Soy vulnerable
si me mudo a una
Cloud

4. 1.
Qué es Cloud
Computing? Y que no lo es!!
4

5. ‘’
La computación en la nube es un
modelo para permitir un acceso de
red ubicuo, conveniente y bajo
demanda a un grupo compartido
de recursos informáticos
configurables (por ejemplo, redes,
servidores, almacenamiento,
aplicaciones y servicios) que
pueden aprovisionarse y liberarse
rápidamente con un mínimo
esfuerzo o interacción del
proveedor de servicio.
5

6. ‘’
Paradigma para permitir el
acceso de red a un conjunto
de recursos compartidos,
escalables y elásticos, físicos o
virtuales con
aprovisionamiento de
autoservicio y administración
bajo demanda..
6

7. ‘’
Recursos informáticos que
incluyen procesadores,
memoria, discos (entre
muchas otras cosas
relacionadas) y que están
disponibles para su uso
usando tecnología de
virtualización o física de
manera elástica y en línea.
7

8. 2.
Cual es su
modelo?
Lo que debe
tener para ser
considerado
nube.
8

9. Modelo de definición
Para ser considerado un ambiente de Cloud
Computing, NIST toma en cuenta la descripción
de cinco características esenciales, tres modelos
de servicios en la nube y cuatro modelos de
implementación en la nube
9
NIST 800-145

10. 10
(1) CSA Security Guidance v4.0 - Cloud Security Alliance

11. Modelos de Servicio
Software como servicio (SaaS) es una aplicación completa
administrada y alojada por el proveedor. Los usuarios acceden a ella con
un navegador web, una aplicación móvil o una aplicación de cliente
liviana.
Plataforma como Servicio (PaaS) es un entorno de desarrollo e
implementación completo en la nube, con recursos que permiten
entregar todo, desde aplicaciones sencillas basadas en la nube hasta
aplicaciones empresariales sofisticadas habilitadas para la nube. Usted le
compra los recursos que necesita a un proveedor de servicios en la nube,
a los que accede a través de una conexión segura a Internet, pero solo
paga por el uso que hace de ellos.
Infraestructura como servicio (IaaS) ofrece acceso a un conjunto de
recursos de infraestructura base de informática, como computación, red
o almacenamiento.
11
(1) CSA Security Guidance v4.0 - Cloud Security Alliance

12. Modelos de implementación
Nube pública. La infraestructura de la nube está disponible para
el público en general o un gran grupo de la industria y es
propiedad de una organización que vende servicios en la nube.
Nube privada. La infraestructura de la nube se opera
únicamente para una sola organización. Puede ser administrado
por la organización o por un tercero y puede estar ubicado en sus
instalaciones o fuera de su propiedad.
Nube comunitaria. La infraestructura en la nube es compartida
por varias organizaciones y soporta a una comunidad específica
que tiene inquietudes compartidas (por ejemplo, misión,
requisitos de seguridad, política o consideraciones de
cumplimiento). Puede ser administrado por las organizaciones o
por un tercero y puede estar ubicado en sus instalaciones o fuera
de ellas.
12
(1) CSA Security Guidance v4.0 - Cloud Security Alliance

13. Modelos de implementación
Nube híbrida. La infraestructura de la nube es una
composición de dos o más nubes (privada, comunitaria o
pública) que siguen siendo entidades únicas, pero están
unidas por estándares o tecnología patentada que
permite la portabilidad de datos y aplicaciones (por
ejemplo, proliferación de nubes para equilibrar la carga
entre nubes). El término Híbrido también se usa
comúnmente para describir un centro de datos que no
está en la nube y está conectado directamente a un
proveedor de servicios en la nube.
13
(1) CSA Security Guidance v4.0 - Cloud Security Alliance

14. 14
(1) CSA Security Guidance v4.0 - Cloud Security Alliance

15. 3.
Seguridad y
Responsabilidad
Que tan segura
es y que debo
tener en
cuenta.
15

16. Modelo de responsabilidad compartida
16
(1) CSA Security Guidance v4.0 - Cloud Security Alliance

17. Modelo de responsabilidad compartida
17
(1) https://aws.amazon.com/es/compliance/shared-responsibility-model/

18. Modelo de responsabilidad compartida
18
https://www.microsoft.com/es-xl/TrustCenter/security/azure-security

19. Modelo de responsabilidad compartida
19
(1) CSA Guideline on Effectively Managing Security Service in the Cloud (2019)

20. Modelo de Seguridad
20
(1) CSA Guideline on Effectively Managing Security Service in the Cloud (2019)
Cloud Customer CSP

21. Modelo simple de seguridad
21
(1) CSA Security Guidance v4.0 - Cloud Security Alliance

22. 4.
Gobierno
De lo legal a lo
responsable.
22

23. ‘’
una organización
nunca
puede externalizar la
responsabilidad del
gobierno
23

24. El contrato
24
Los contratos definen las relaciones entre los proveedores y clientes y
son la herramienta principal para que los clientes extiendan la
gobernanza a sus proveedores.
(1) CSA Security Guidance v4.0 - Cloud Security Alliance

25. Recomendaciones finales
Identificar las responsabilidades compartidas de seguridad y
gestión del riesgo basadas en la elección del despliegue de la
nube y del modelo de servicio. Desarrollar un Marco de
trabajo/Modelo de gobernanza de la nube en base a las mejores
prácticas de la industria más relevantes, estándares globales, y
regulaciones como CSA CCM, COBIT 5, NIST RMF, ISO/IEC 27017,
HIPAA, PCI DSS, EU GDPR, etc
25

26. Recomendaciones finales
Comprender cómo afecta un contrato a su marco de
trabajo/modelo de gobernanza.
• Obtener y revisar los contratos (y cualquier documento
referenciado) antes de llegar a un acuerdo.
• No asumir que se puede negociar eficazmente un contrato
con un proveedor de servicios en la nube, pero esto tampoco
debería impedir el uso de ese proveedor.
• Si un contrato no puede ser negociado eficazmente y
percibe un riesgo inaceptable, considerar mecanismos
alternativos para gestionar este riesgo (e.j. monitorización o
encriptación)
26

27. Recomendaciones finales
Alinear los requisitos de riesgo con los activos
específicos involucrados y la tolerancia al riesgo
para esos activos.
Crear una metodología específica de gestión de
riesgos y de aceptación/mitigación de riesgos
para evaluar los riesgos de cada solución.
27

28. 28
No dejes que la seguridad sea
algo que te vaya a detener

29. Gracias
Alguna pregunta?
Me pueden encontrar en:
Alfredo.alva@Gmail.com
kamikaxxe
29
https://www.linkedin.com/in/aalval/