SlideShare una empresa de Scribd logo

Problemas-de-seguridad-en-la-nube.pdf

Tximis Kurdi
Tximis Kurdi

Problemas de seguridad en la nube

Internet
1 de 43
Descargar para leer sin conexión
Problemas de seguridad en la Nube Antonio Huerta Consultor de seguridad ahuerta@s2grupo.es
2 Índice 1. Introducción. 2. Normativa de seguridad aplicable 3. Aspectos de seguridad a tener en cuenta. 4. ¿Migramos? 5. Conclusiones.
Introducción
Introducción Nuestro trabajo es proteger el negocio desde todos sus puntos de vista: personas, procesos, infraestructuras… e información. Un día el CEO nos comunica que tenemos que migrar a la nube… – ¿Qué le habrá llevado a pensar eso…? 4
Introducción ¿Y por donde empezamos? ¿Qué migro a la nube? • Correo electrónico • Suite de aplicaciones • Infraestructura y aplicaciones 5
Introducción 6 • Ok, vamos a contratar servicios de cloud… • … pero nos topamos con cuatro modelos de despliegue y tres modelos de servicio que proporciona el Cloud Provider (CP) • Doce combinaciones, sin contar mutaciones. ¡Toma ya!
Introducción 7 • Se me olvidaba... la seguridad. • Primera impresión: (de una forma confío mi información a un tercero que la pasará por servidores de medio mundo). – ¿Confío o me fío? – Dos preocupaciones: Confidencialidad y control • Seguridad implica confianza. Siempre acabo confiando en alguien… – …¡pero hay que tener muchas confianza en el CP para dejar todo en la nube! • ¿Qué hago yo para proteger a la organización, y en especial a su información? – Dicen que gestionar (y si soy optimista, mejorar). • ¿Debo seguir haciendo lo mismo en la nube? – Yo creo que sí… al menos de momento. • ¿Cómo empiezo? – La gran pregunta. ¿LOPD?¿ENS?¿ISO 27001? – Guías: NIST, CCN, ISO…
Introducción 8 LOPD/RDLOPD • La LOPD es la ley por la cual se regula el tratamiento de datos de carácter personal. • El RDLOPD es el Reglamento que establece la medidas de índole técnica y organizativa que son de aplicación. Ej. Copias de respaldo, control de acceso, registros de incidencias.
Introducción 9 ENS •Es el Real Decreto 3/2010 (ENS) establece un marco de seguridad para los sistemas de información que sustentan la aplicación de LAECSP •“Por tanto, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.” CCN •¿Quién es el organismo encargado de velar por el cumplimiento? El CCN
Introducción 10 ISO 27001 = Norma que define los requisitos para implantar un SGSI Planificación • Alcance • Política • Análisis de riesgos Implantación • Plan de tratamientos de riesgo • Formación • Declaración de aplicabilidad Supervisión • Cuadro de mando • Revisión del sistema • Auditorias Mejora • Implementación de mejoras • Acciones correctivas La seguridad como proceso, no como producto...
Introducción 11 Guías CCN (Centro Criptológico Nacional) Normas de seguridad de las TIC, CCN-STIC 823, Seguridad en entornos cloud. NIST (National Institute of Standards and Technology) SP 800-146 Cloud Computing Synopsis and recommendations
Introducción 12 Otras normas en desarrollo ISO 27017 Code of practice for information security controls for cloud computing services based on ISO/IEC 27002 ISO 27018 Code of practice for data protection controls for public cloud computing services ISO 27036 Information technology - Security techniques - Information security for supplier relationships -- Part 1: Overview and concepts
Aspectos de seguridad a tener en cuenta
Introducción 14 S. Organizativa S. Lógica S. Física S. Legal Política de seguridad Aspectos organizativos de la seguridad Conformidad Seguridad física y del entorno Seguridad ligada al personal Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones Desarrollo y mantenimiento de sistemas Clasificación y control de activos Control de accesos Gestión de incidencias ANALISIS Y GESTIÓN DEL RIESGO
Análisis de riesgos 15 • He hecho un análisis de riesgos que tengo siempre en mi pantalla…y además lo actualizo en tiempo real, lo reviso periódicamente y mil cosas más… – ¿Habrá hecho lo mismo el CP? Seguro que sí. – ¿Se preocupará tanto como yo de MIS riesgos? Esto… • Si me voy a la nube, ¿qué hago con mi análisis? • Modificaciones sustanciales de los niveles de probabilidad e impacto de las amenazas habituales. – Nuevas amenazas. • ¿Debo rehacer mi AR por completo? – Seguramente sí. – ¿Me dará el CP los datos que necesito? ¿Cuándo? – Base para las decisiones que se tomarán después.
Política de seguridad 16 • Tengo un papel colgado en mi despacho que dice lo buenos y seguros que vamos a ser. – ¿Debo cambiarlo? Creo que no… – ¿Lo tiene el CP? Espero que sí… • Ese papel se refina en normativas, procedimientos, especificaciones de requisitos, etc. – Aquí ya toca cambiar cosas. • Tendré que ampliar y modificar mis documentos para adaptarme al nuevo paradigma… – …sin descuidar lo anterior: no todo es la nube. • ¿Podrán cubrir esos papeles los mínimos que necesito?
Aspectos organizativos 17 • La organización interna de mi seguridad está controlada: acuerdos de confidencialidad, definición de responsabilidades, contacto con terceros… – Pues que siga tan controlada. Enhorabuena. – Cambios menores en la nube… al menos por la parte que me toca. • La relación con terceros (proveedores, partners…) también creo tenerla controlada. – Ahora deberé potenciarla al máximo. – Mi seguridad pasa a depender en buena parte de la seguridad del CP. • Posiblemente deba confiar tanto en el CP (un proveedor, a fin de cuentas) como en la gente de IT (internos, compañeros).
Gestión de activos 18 • Mis activos están inventariados, tienen responsable asignado y una política de uso aceptable. – Los del CP seguro que también… desde su punto de vista. – ¿Y desde el mío? • Mi información se clasifica, marca y trata según procedimientos internos, incluyendo caducidad, destrucción, etc. – ¿Qué me garantiza el CP? ¿Qué pasa con SaaS? • ¿Dónde están mis activos? ¿Dónde están mis datos? – ¡En la nube!
Seguridad ligada a RRHH 19 • Hasta ahora realizo un estupendo CV screening del personal… – … ¿lo hace también el CP? • Hasta ahora, mantengo una política de formación e información en seguridad para el personal… – …¿y él? • Reviso que la seguridad de RRHH es conforme a mi normativa. – ¿Cuál es la suya? • Cuando alguien deja la organización me encargo de cerrar las puertas correspondientes… – …espero que el CP también. • … • Independientemente de todo, ¿son sus objetivos o requisitos equivalentes a los míos?
Seguridad física y del entorno 20 • Quiero creer que las instalaciones –en especial, los CPD, archivos… donde se ubica información clasificada- del CP son al menos tan seguras como las mías :) – Control y registro de acceso físico a zonas de la organización. – Monitorización ambiental en CPD. – Suministros básicos garantizados. – … • Por tanto, desde este punto de vista sin duda mejoro mi seguridad… ¿verdad? – No hay duda que el CP me proporcionará un listado de las personas que han accedido físicamente a mi infraestructura en cuanto yo se lo pida, o un histórico de monitorización de parámetros ambientales del mes pasado… ¡por supuesto!
Gestión de las Comunicaciones y Operaciones 21 • ¿Tendrá el CP todo su operación documentada? ¿Podré auditarla? • ¿Qué controles técnicos implanta él y cuáles implanto yo?¿Qué garantías me ofrece? De IaaS a SaaS. – Antivirus, firewall, IDS/IPS, parches… – ¿Tengo acceso a los registros? – ¿Podría saber cuántas veces me han atacado durante el último mes? • El CP hará copias de seguridad de mis recursos. – Y yo también si puedo, por si acaso. • ¿Me permitirá el CP quitarme de encima el problema de los dispositivos extraíbles? – No, obviamente. • El CP monitoriza sus recursos y por tanto los míos. No hay duda. – ¿Me proporcionará los logs? ¿Me avisará cuando algo vaya mal?
Control de acceso 22 • ¿Cómo accederé a mis recursos en la nube? ¿Con un password? – ¿Puedo disponer de autenticación robusta? Pagándola, por supuesto… • ¿Cómo se garantiza el need to know? • ¿Es capaz el CP de detectar anomalías en el acceso? – Y lo más importante…¿qué hace si las detecta? • ¿Qué sucede si me roban credenciales? ¿Qué hace el CP? – ¿Y en cuánto tiempo? • Y si estoy en una nube pública, ¿se controla el acceso a las interfaces de administración? ¿cómo?
Adquisición, desarrollo y mantenimiento de sistemas 23 • Seguro que el CP tiene implantado un buen procedimiento de control de cambios. – Yo también. – ¿Seremos compatibles siempre? • ¿Puedo analizar las vulnerabilidades de mis recursos en la nube? – ¿Servirá para algo? • ¿Y si almaceno código fuente propio en la nube? – Mismos problemas y ventajas que con el resto de información.
Gestión de incidentes 24 • Tengo un procedimiento de gestión de incidentes que cubre desde la notificación al aprendizaje, pasando por el simulacro periódico. – ¿Lo tendrá el CP? Al menos para SUS incidentes, seguro. • Si algo sucede, ¿en qué me ayudará el CP? ¿cómo lo hará? – ¿Cómo podré notificarle? – ¿Podré disponer de una imagen de mis recursos para hacer un forense? – ¿Me dará los logs que le solicite? – ¿Aprenderá conmigo? • ¿Y qué hay de la validez de la prueba y la recolección y • preservación de evidencias? – Este tema mejor dejarlo, incluso sin nubes de por medio…
Gestión de continuidad de negocio 25 • Con mis datos distribuidos por la nube, aquí sí que voy a mejorar… – ¿Dónde puedo firmar los RPO y RTO? – Los podré negociar con el CP, ¿no? • ¿Quién me notificará de una degradación considerable del servicio? – ¿Me llamará el CP? • ¿Ante un problema en el servicio seré igual de importante que mi vecino, más importante que él… o menos importante? • Y tendré que hacer pruebas periódicas de mis planes de continuidad… – …junto al CP, por supuesto.
Compliance 26 • Esto de tener información confidencial (tanto datos de carácter personal como información clasificada) en la nube no parece muy bueno, ¿no? • ¿Dónde se ubica físicamente la información? ¿Externaliza servicios el CP? ¿Qué jurisdicción aplicamos? • Esto se nos escapa…¿llamamos a un abogado? • ¿Y qué hay del cumplimiento técnico? – ¿Derecho de auditoría? ¿Hasta dónde? • ¿Quién se ajusta a los estándares del otro? – ¿Se dignarán organizaciones como Google, Amazon o Microsoft a modificar algo porque yo se lo diga?
Requisitos LOPD 27 • CP como Encargado de Tratamiento (art.12 LOPD) – Garantía contractuales – Cumplimiento de medidas de seguridad aplicables por el encargado • Posibilidad de auditar al CP • Notificación de incidentes – Borrado o devolución de información a la finalización de la relación contractual • Garantizar la devolución o la importación de datos a otra entidad – No comunicación a terceros • Definir servicios potencialmente subcontratables • Definición de niveles de calidad • Listado de entidades subcontratadas • Transferencia internacional de datos. (safe harbor y CE)
Requisitos ENS 28 • Guía 823 CCN – Seguridad en entornos Cloud • Analizar los riesgos que conlleva la migración a la nube • Establecer requisitos contractuales: – Descripción del servicio • Tipo de servicio • Tipo de infraestructura • Capacidad del servicio • Confidencialidad del servicio • Acuerdos de nivel de servicio • Portabilidad • Modo de acceso al servicio • Responsabilidades y obligaciones • Finalización del servicio
Requisitos ENS 29 • Guía 823 CCN – Seguridad en entornos Cloud • Establecer requisitos contractuales: – Requisitos para el cumplimiento del ENS • Análisis de riesgos • Gestión de personal • Autorización y control de acceso • Protección de las instalaciones • Seguridad por defecto • Integridad y actualización del sistema • Gestión de cambios • Protección de la información almacenada y en tránsito • Registros de actividad • Gestión de incidencias • Borrado de información • Respaldo y recuperación de datos • Continuidad de la actividad – Requisitos para la protección de los datos personales • Seguimiento del Servicio
¿Migramos?
Entonces…¿migro a la nube? 31 • Análisis de riesgos First Cut. • Oportunidades: – Escalabilidad. – Costes. – Flexibilidad. – Múltiples localizaciones proporcionan redundancia – Personal especializado (proveedores importantes pueden disponer de especialista en seguridad) – Plataformas homogéneas facilitan la actualización de sistemas – Snapshots de infraestructura virtual
Entonces…¿migro a la nube? 32 • Riesgos relevantes: – Pérdida de control. – Mayor tráfico de datos. (Confidencialidad) – Compliance. (LOPD, ENS) – Riesgos derivados de infraestructuras compartidas (aislamiento, borrado de datos….). – Dependencia del CP, dificultar la migración – Otros como ataques a la capa del hypervisor o a las interfaces de administración – Agotamiento de recursos (DoS, algoritmos de asignación de recursos, eventos puntuales)
Entonces…¿migro a la nube? 33 • Alternativas: nubes privadas, VPC… • ¿Quién opera la nube?¿En quién confío (o de quién me fío)? • ¿Resuelven todos mis problemas? – Ni mucho menos :( • ¿Qué hago? – Como hemos dicho antes, siempre tengo que confiar en algo o en alguien (en la nube o fuera de ella). – Pero… ¿hasta dónde confiar? • Análisis de riesgos particularizado en cada caso. – El análisis no es matemático, solo un apoyo en la toma de decisiones nuestra información).
Entonces…¿migro a la nube? 34 • Nueve palabras clave para MI seguridad en la nube: – Terms of Service. – Location, location, location. – Provider, provider, provider. • Risk Appetite: – Los acuerdos de servicio deben ser aceptables. – La ubicación de la información no debe introducir restricciones legales que no podamos asumir. • El CP debe ser confiable (recordemos que vamos a proporcionarle nuestra información). • Algunos ejemplos…
Ya, pero… ¿migro a la nube? 35 • Si la seguridad de mis datos no me ha preocupado hasta ahora ni me preocupará en un futuro… – …migra a la nube en la modalidad que quieras. Tendrás problemas equivalentes a los actuales, pero más baratos. – Replantea tu posición, aunque sea por las sanciones :) • Si la seguridad de mis datos me preocupa hasta cierto punto… – …me puedo plantear una nube pública. – En función del modelo de entrega, mayor o menor seguridad (IaaS >PaaS > SaaS). En términos generales, por supuesto. • Si la seguridad de mis datos me preocupa algo más… – …nube privada, IaaS. • Si vivo de la seguridad de mis datos… – …nube privada gestionada por la organización. ¿Vale la pena? • También puedo, en cualquier caso, intentar no migrar a la nube…
Vale, me lo pensaré 36 • Sea como sea, no debemos descuidar los aspectos de seguridad ni dentro ni fuera de la nube. – Los pendrives no se cifran en ninguna nube. – La movilidad sigue siendo un problema. – El papel también hay que protegerlo. – Sigue habiendo información clasificada en equipos finales. – Los usuarios… siguen siendo usuarios. – Es obligatorio cumplir las leyes. – Siguen existiendo cortafuegos, controles de acceso, antivirus, permisos en Unix :) – …
Conclusiones
Conclusiones 38 • No todo lo que hay en la nube es malo… ni bueno. • La migración a la nube es un hecho que en ocasiones no depende de nosotros. No siempre podremos pararlo, aunque a veces queramos. • Debemos adaptarnos y buscar una solución aceptable para la organización. • Diferentes modelos, diferentes costes… y diferente seguridad. – Del todo a la nada. • No hay una solución única para todos: analicemos los riesgos en cada caso y tomemos decisiones justificadas. – O demos la información adecuada para que se tomen. • Migremos o no, nuestra seguridad no sólo estará en la nube… – …siempre habrá una parte fuera de ella.
Referencias
Otras referencias • www.securityartwork.es • Requisitos del ENS para proveedores de Cloud Computing • Real Cloud Security • Ocultos en la nube • Cloud Computing, el análisis de riesgos y los “servicio dinámicos” de seguridad • Seguridad en Cloud Computing • Seguridad de la computación en la nube: el hipervisor • ¿Qué pasa con la Seguridad y el Cloud Computing? 40
Otras referencias • Inteco – Estudio sobre el Cloud Computing – 2012 Julio – Riesgos y amenazas del Cloud Computing - 2011 Marzo – Guía para empresas – Octubre 2011 • CCN – CCN-STIC-823 Seguridad en entornos Cloud – 2013 Junio • NIST – SP 800-146 Cloud Computing Synopsis and recommendations – 2012 Mayo • Ministerio de Industria, Energía y Turismo – Cloud Computing, retos y oportunidades – 2012 Mayo • Agencia Española de Protección de Datos – Cloud Computing, sujetos que intervienen, ley aplicable, garantías • Enisa – Beneficios, riesgos y recomendaciones para la seguridad de la información – 2009 Noviembre • Data Protection - WP 196 – Opinion 05/2012 on Cloud Computing • Cloud Security Alliance – Top Threats to Cloud Computing – 2010 Marzo – Guía para la Seguridad en áreas críticas de atención en Cloud computing - Noviembre de 2009 41
Dudas, comentarios, sugerencias...
Problemas-de-seguridad-en-la-nube.pdf

Recomendados

Seguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeSeguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeS2 Grupo · Security Art Work
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadClinica Internacional
 
Administracion de riesgos ti9307
Administracion de riesgos ti9307Administracion de riesgos ti9307
Administracion de riesgos ti9307Maestros Online
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgosJorge Pariasca
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2Leandro Galindo
 
SEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptx
SEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptxSEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptx
SEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptxABDONMARCELINOTUTAYA
 
PPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxPPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxFernandoGonzalez668747
 
Administracion de riesgos ti9307 2013
Administracion de riesgos ti9307 2013Administracion de riesgos ti9307 2013
Administracion de riesgos ti9307 2013Maestros Online
 

Recomendados

Seguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeSeguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeS2 Grupo · Security Art Work
 
Proyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadProyecto tics - Sistema de seguridad
Proyecto tics - Sistema de seguridadClinica Internacional
 
Administracion de riesgos ti9307
Administracion de riesgos ti9307Administracion de riesgos ti9307
Administracion de riesgos ti9307Maestros Online
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgosJorge Pariasca
 
Seguridad clase-2
Seguridad clase-2Seguridad clase-2
Seguridad clase-2Leandro Galindo
 
SEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptx
SEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptxSEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptx
SEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptxABDONMARCELINOTUTAYA
 
PPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxPPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxFernandoGonzalez668747
 
Administracion de riesgos ti9307 2013
Administracion de riesgos ti9307 2013Administracion de riesgos ti9307 2013
Administracion de riesgos ti9307 2013Maestros Online
 
Cobit 2(antecedes historia)2
Cobit 2(antecedes historia)2Cobit 2(antecedes historia)2
Cobit 2(antecedes historia)2diegonet373
 
Isaca journal marzo 2013
Isaca journal marzo 2013Isaca journal marzo 2013
Isaca journal marzo 2013Carlos Palacios Serrano
 
E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013IoT Latam
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria FisicaManuel Medina
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingJose Manuel Acosta
 
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docxcharlothvallejo
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoICEMD
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinAlfredo Carrascal
 
Securima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeSecurima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeJosep Bardallo
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCNOrestes Febles
 
Articulo
ArticuloArticulo
ArticuloKeling zamora
 
Administracion de riesgos ti9307
Administracion de riesgos ti9307Administracion de riesgos ti9307
Administracion de riesgos ti9307Maestros en Linea
 
Seguridad foncodes
Seguridad foncodesSeguridad foncodes
Seguridad foncodesjuancarlosreategui
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Maestros Online
 
Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez
Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez
Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez Doralizo
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 

Más contenido relacionado

Similar a Problemas-de-seguridad-en-la-nube.pdf

Cobit 2(antecedes historia)2
Cobit 2(antecedes historia)2Cobit 2(antecedes historia)2
Cobit 2(antecedes historia)2diegonet373
 
E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013IoT Latam
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingJose Manuel Acosta
 
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docxcharlothvallejo
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoICEMD
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinAlfredo Carrascal
 
Securima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeSecurima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeJosep Bardallo
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Administracion de riesgos ti9307
Administracion de riesgos ti9307Administracion de riesgos ti9307
Administracion de riesgos ti9307Maestros en Linea
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Maestros Online
 
Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez
Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez
Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez Doralizo
 

Similar a Problemas-de-seguridad-en-la-nube.pdf (20)

Cobit 2(antecedes historia)2
Cobit 2(antecedes historia)2Cobit 2(antecedes historia)2
Cobit 2(antecedes historia)2
 
Isaca journal marzo 2013
Isaca journal marzo 2013Isaca journal marzo 2013
Isaca journal marzo 2013
 
E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TI
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisica
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical Hacking
 
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking ÉticoCatálogo Programa Superior en Ciberseguridad y Hacking Ético
Catálogo Programa Superior en Ciberseguridad y Hacking Ético
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarin
 
Securima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nubeSecurima ti ca 2013 - seguridad en la nube
Securima ti ca 2013 - seguridad en la nube
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
 
Articulo
ArticuloArticulo
Articulo
 
Administracion de riesgos ti9307
Administracion de riesgos ti9307Administracion de riesgos ti9307
Administracion de riesgos ti9307
 
Seguridad foncodes
Seguridad foncodesSeguridad foncodes
Seguridad foncodes
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012
 
Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez
Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez
Trabajo de plan de gobierno digital Eduardo Mario Rodriguez Alvarez
 

Último

Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 

Último (6)

Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 

Problemas-de-seguridad-en-la-nube.pdf

  • 1. Problemas de seguridad en la Nube Antonio Huerta Consultor de seguridad ahuerta@s2grupo.es
  • 2. 2 Índice 1. Introducción. 2. Normativa de seguridad aplicable 3. Aspectos de seguridad a tener en cuenta. 4. ¿Migramos? 5. Conclusiones.
  • 4. Introducción Nuestro trabajo es proteger el negocio desde todos sus puntos de vista: personas, procesos, infraestructuras… e información. Un día el CEO nos comunica que tenemos que migrar a la nube… – ¿Qué le habrá llevado a pensar eso…? 4
  • 5. Introducción ¿Y por donde empezamos? ¿Qué migro a la nube? • Correo electrónico • Suite de aplicaciones • Infraestructura y aplicaciones 5
  • 6. Introducción 6 • Ok, vamos a contratar servicios de cloud… • … pero nos topamos con cuatro modelos de despliegue y tres modelos de servicio que proporciona el Cloud Provider (CP) • Doce combinaciones, sin contar mutaciones. ¡Toma ya!
  • 7. Introducción 7 • Se me olvidaba... la seguridad. • Primera impresión: (de una forma confío mi información a un tercero que la pasará por servidores de medio mundo). – ¿Confío o me fío? – Dos preocupaciones: Confidencialidad y control • Seguridad implica confianza. Siempre acabo confiando en alguien… – …¡pero hay que tener muchas confianza en el CP para dejar todo en la nube! • ¿Qué hago yo para proteger a la organización, y en especial a su información? – Dicen que gestionar (y si soy optimista, mejorar). • ¿Debo seguir haciendo lo mismo en la nube? – Yo creo que sí… al menos de momento. • ¿Cómo empiezo? – La gran pregunta. ¿LOPD?¿ENS?¿ISO 27001? – Guías: NIST, CCN, ISO…
  • 8. Introducción 8 LOPD/RDLOPD • La LOPD es la ley por la cual se regula el tratamiento de datos de carácter personal. • El RDLOPD es el Reglamento que establece la medidas de índole técnica y organizativa que son de aplicación. Ej. Copias de respaldo, control de acceso, registros de incidencias.
  • 9. Introducción 9 ENS •Es el Real Decreto 3/2010 (ENS) establece un marco de seguridad para los sistemas de información que sustentan la aplicación de LAECSP •“Por tanto, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.” CCN •¿Quién es el organismo encargado de velar por el cumplimiento? El CCN
  • 10. Introducción 10 ISO 27001 = Norma que define los requisitos para implantar un SGSI Planificación • Alcance • Política • Análisis de riesgos Implantación • Plan de tratamientos de riesgo • Formación • Declaración de aplicabilidad Supervisión • Cuadro de mando • Revisión del sistema • Auditorias Mejora • Implementación de mejoras • Acciones correctivas La seguridad como proceso, no como producto...
  • 11. Introducción 11 Guías CCN (Centro Criptológico Nacional) Normas de seguridad de las TIC, CCN-STIC 823, Seguridad en entornos cloud. NIST (National Institute of Standards and Technology) SP 800-146 Cloud Computing Synopsis and recommendations
  • 12. Introducción 12 Otras normas en desarrollo ISO 27017 Code of practice for information security controls for cloud computing services based on ISO/IEC 27002 ISO 27018 Code of practice for data protection controls for public cloud computing services ISO 27036 Information technology - Security techniques - Information security for supplier relationships -- Part 1: Overview and concepts
  • 13. Aspectos de seguridad a tener en cuenta
  • 14. Introducción 14 S. Organizativa S. Lógica S. Física S. Legal Política de seguridad Aspectos organizativos de la seguridad Conformidad Seguridad física y del entorno Seguridad ligada al personal Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones Desarrollo y mantenimiento de sistemas Clasificación y control de activos Control de accesos Gestión de incidencias ANALISIS Y GESTIÓN DEL RIESGO
  • 15. Análisis de riesgos 15 • He hecho un análisis de riesgos que tengo siempre en mi pantalla…y además lo actualizo en tiempo real, lo reviso periódicamente y mil cosas más… – ¿Habrá hecho lo mismo el CP? Seguro que sí. – ¿Se preocupará tanto como yo de MIS riesgos? Esto… • Si me voy a la nube, ¿qué hago con mi análisis? • Modificaciones sustanciales de los niveles de probabilidad e impacto de las amenazas habituales. – Nuevas amenazas. • ¿Debo rehacer mi AR por completo? – Seguramente sí. – ¿Me dará el CP los datos que necesito? ¿Cuándo? – Base para las decisiones que se tomarán después.
  • 16. Política de seguridad 16 • Tengo un papel colgado en mi despacho que dice lo buenos y seguros que vamos a ser. – ¿Debo cambiarlo? Creo que no… – ¿Lo tiene el CP? Espero que sí… • Ese papel se refina en normativas, procedimientos, especificaciones de requisitos, etc. – Aquí ya toca cambiar cosas. • Tendré que ampliar y modificar mis documentos para adaptarme al nuevo paradigma… – …sin descuidar lo anterior: no todo es la nube. • ¿Podrán cubrir esos papeles los mínimos que necesito?
  • 17. Aspectos organizativos 17 • La organización interna de mi seguridad está controlada: acuerdos de confidencialidad, definición de responsabilidades, contacto con terceros… – Pues que siga tan controlada. Enhorabuena. – Cambios menores en la nube… al menos por la parte que me toca. • La relación con terceros (proveedores, partners…) también creo tenerla controlada. – Ahora deberé potenciarla al máximo. – Mi seguridad pasa a depender en buena parte de la seguridad del CP. • Posiblemente deba confiar tanto en el CP (un proveedor, a fin de cuentas) como en la gente de IT (internos, compañeros).
  • 18. Gestión de activos 18 • Mis activos están inventariados, tienen responsable asignado y una política de uso aceptable. – Los del CP seguro que también… desde su punto de vista. – ¿Y desde el mío? • Mi información se clasifica, marca y trata según procedimientos internos, incluyendo caducidad, destrucción, etc. – ¿Qué me garantiza el CP? ¿Qué pasa con SaaS? • ¿Dónde están mis activos? ¿Dónde están mis datos? – ¡En la nube!
  • 19. Seguridad ligada a RRHH 19 • Hasta ahora realizo un estupendo CV screening del personal… – … ¿lo hace también el CP? • Hasta ahora, mantengo una política de formación e información en seguridad para el personal… – …¿y él? • Reviso que la seguridad de RRHH es conforme a mi normativa. – ¿Cuál es la suya? • Cuando alguien deja la organización me encargo de cerrar las puertas correspondientes… – …espero que el CP también. • … • Independientemente de todo, ¿son sus objetivos o requisitos equivalentes a los míos?
  • 20. Seguridad física y del entorno 20 • Quiero creer que las instalaciones –en especial, los CPD, archivos… donde se ubica información clasificada- del CP son al menos tan seguras como las mías :) – Control y registro de acceso físico a zonas de la organización. – Monitorización ambiental en CPD. – Suministros básicos garantizados. – … • Por tanto, desde este punto de vista sin duda mejoro mi seguridad… ¿verdad? – No hay duda que el CP me proporcionará un listado de las personas que han accedido físicamente a mi infraestructura en cuanto yo se lo pida, o un histórico de monitorización de parámetros ambientales del mes pasado… ¡por supuesto!
  • 21. Gestión de las Comunicaciones y Operaciones 21 • ¿Tendrá el CP todo su operación documentada? ¿Podré auditarla? • ¿Qué controles técnicos implanta él y cuáles implanto yo?¿Qué garantías me ofrece? De IaaS a SaaS. – Antivirus, firewall, IDS/IPS, parches… – ¿Tengo acceso a los registros? – ¿Podría saber cuántas veces me han atacado durante el último mes? • El CP hará copias de seguridad de mis recursos. – Y yo también si puedo, por si acaso. • ¿Me permitirá el CP quitarme de encima el problema de los dispositivos extraíbles? – No, obviamente. • El CP monitoriza sus recursos y por tanto los míos. No hay duda. – ¿Me proporcionará los logs? ¿Me avisará cuando algo vaya mal?
  • 22. Control de acceso 22 • ¿Cómo accederé a mis recursos en la nube? ¿Con un password? – ¿Puedo disponer de autenticación robusta? Pagándola, por supuesto… • ¿Cómo se garantiza el need to know? • ¿Es capaz el CP de detectar anomalías en el acceso? – Y lo más importante…¿qué hace si las detecta? • ¿Qué sucede si me roban credenciales? ¿Qué hace el CP? – ¿Y en cuánto tiempo? • Y si estoy en una nube pública, ¿se controla el acceso a las interfaces de administración? ¿cómo?
  • 23. Adquisición, desarrollo y mantenimiento de sistemas 23 • Seguro que el CP tiene implantado un buen procedimiento de control de cambios. – Yo también. – ¿Seremos compatibles siempre? • ¿Puedo analizar las vulnerabilidades de mis recursos en la nube? – ¿Servirá para algo? • ¿Y si almaceno código fuente propio en la nube? – Mismos problemas y ventajas que con el resto de información.
  • 24. Gestión de incidentes 24 • Tengo un procedimiento de gestión de incidentes que cubre desde la notificación al aprendizaje, pasando por el simulacro periódico. – ¿Lo tendrá el CP? Al menos para SUS incidentes, seguro. • Si algo sucede, ¿en qué me ayudará el CP? ¿cómo lo hará? – ¿Cómo podré notificarle? – ¿Podré disponer de una imagen de mis recursos para hacer un forense? – ¿Me dará los logs que le solicite? – ¿Aprenderá conmigo? • ¿Y qué hay de la validez de la prueba y la recolección y • preservación de evidencias? – Este tema mejor dejarlo, incluso sin nubes de por medio…
  • 25. Gestión de continuidad de negocio 25 • Con mis datos distribuidos por la nube, aquí sí que voy a mejorar… – ¿Dónde puedo firmar los RPO y RTO? – Los podré negociar con el CP, ¿no? • ¿Quién me notificará de una degradación considerable del servicio? – ¿Me llamará el CP? • ¿Ante un problema en el servicio seré igual de importante que mi vecino, más importante que él… o menos importante? • Y tendré que hacer pruebas periódicas de mis planes de continuidad… – …junto al CP, por supuesto.
  • 26. Compliance 26 • Esto de tener información confidencial (tanto datos de carácter personal como información clasificada) en la nube no parece muy bueno, ¿no? • ¿Dónde se ubica físicamente la información? ¿Externaliza servicios el CP? ¿Qué jurisdicción aplicamos? • Esto se nos escapa…¿llamamos a un abogado? • ¿Y qué hay del cumplimiento técnico? – ¿Derecho de auditoría? ¿Hasta dónde? • ¿Quién se ajusta a los estándares del otro? – ¿Se dignarán organizaciones como Google, Amazon o Microsoft a modificar algo porque yo se lo diga?
  • 27. Requisitos LOPD 27 • CP como Encargado de Tratamiento (art.12 LOPD) – Garantía contractuales – Cumplimiento de medidas de seguridad aplicables por el encargado • Posibilidad de auditar al CP • Notificación de incidentes – Borrado o devolución de información a la finalización de la relación contractual • Garantizar la devolución o la importación de datos a otra entidad – No comunicación a terceros • Definir servicios potencialmente subcontratables • Definición de niveles de calidad • Listado de entidades subcontratadas • Transferencia internacional de datos. (safe harbor y CE)
  • 28. Requisitos ENS 28 • Guía 823 CCN – Seguridad en entornos Cloud • Analizar los riesgos que conlleva la migración a la nube • Establecer requisitos contractuales: – Descripción del servicio • Tipo de servicio • Tipo de infraestructura • Capacidad del servicio • Confidencialidad del servicio • Acuerdos de nivel de servicio • Portabilidad • Modo de acceso al servicio • Responsabilidades y obligaciones • Finalización del servicio
  • 29. Requisitos ENS 29 • Guía 823 CCN – Seguridad en entornos Cloud • Establecer requisitos contractuales: – Requisitos para el cumplimiento del ENS • Análisis de riesgos • Gestión de personal • Autorización y control de acceso • Protección de las instalaciones • Seguridad por defecto • Integridad y actualización del sistema • Gestión de cambios • Protección de la información almacenada y en tránsito • Registros de actividad • Gestión de incidencias • Borrado de información • Respaldo y recuperación de datos • Continuidad de la actividad – Requisitos para la protección de los datos personales • Seguimiento del Servicio
  • 31. Entonces…¿migro a la nube? 31 • Análisis de riesgos First Cut. • Oportunidades: – Escalabilidad. – Costes. – Flexibilidad. – Múltiples localizaciones proporcionan redundancia – Personal especializado (proveedores importantes pueden disponer de especialista en seguridad) – Plataformas homogéneas facilitan la actualización de sistemas – Snapshots de infraestructura virtual
  • 32. Entonces…¿migro a la nube? 32 • Riesgos relevantes: – Pérdida de control. – Mayor tráfico de datos. (Confidencialidad) – Compliance. (LOPD, ENS) – Riesgos derivados de infraestructuras compartidas (aislamiento, borrado de datos….). – Dependencia del CP, dificultar la migración – Otros como ataques a la capa del hypervisor o a las interfaces de administración – Agotamiento de recursos (DoS, algoritmos de asignación de recursos, eventos puntuales)
  • 33. Entonces…¿migro a la nube? 33 • Alternativas: nubes privadas, VPC… • ¿Quién opera la nube?¿En quién confío (o de quién me fío)? • ¿Resuelven todos mis problemas? – Ni mucho menos :( • ¿Qué hago? – Como hemos dicho antes, siempre tengo que confiar en algo o en alguien (en la nube o fuera de ella). – Pero… ¿hasta dónde confiar? • Análisis de riesgos particularizado en cada caso. – El análisis no es matemático, solo un apoyo en la toma de decisiones nuestra información).
  • 34. Entonces…¿migro a la nube? 34 • Nueve palabras clave para MI seguridad en la nube: – Terms of Service. – Location, location, location. – Provider, provider, provider. • Risk Appetite: – Los acuerdos de servicio deben ser aceptables. – La ubicación de la información no debe introducir restricciones legales que no podamos asumir. • El CP debe ser confiable (recordemos que vamos a proporcionarle nuestra información). • Algunos ejemplos…
  • 35. Ya, pero… ¿migro a la nube? 35 • Si la seguridad de mis datos no me ha preocupado hasta ahora ni me preocupará en un futuro… – …migra a la nube en la modalidad que quieras. Tendrás problemas equivalentes a los actuales, pero más baratos. – Replantea tu posición, aunque sea por las sanciones :) • Si la seguridad de mis datos me preocupa hasta cierto punto… – …me puedo plantear una nube pública. – En función del modelo de entrega, mayor o menor seguridad (IaaS >PaaS > SaaS). En términos generales, por supuesto. • Si la seguridad de mis datos me preocupa algo más… – …nube privada, IaaS. • Si vivo de la seguridad de mis datos… – …nube privada gestionada por la organización. ¿Vale la pena? • También puedo, en cualquier caso, intentar no migrar a la nube…
  • 36. Vale, me lo pensaré 36 • Sea como sea, no debemos descuidar los aspectos de seguridad ni dentro ni fuera de la nube. – Los pendrives no se cifran en ninguna nube. – La movilidad sigue siendo un problema. – El papel también hay que protegerlo. – Sigue habiendo información clasificada en equipos finales. – Los usuarios… siguen siendo usuarios. – Es obligatorio cumplir las leyes. – Siguen existiendo cortafuegos, controles de acceso, antivirus, permisos en Unix :) – …
  • 38. Conclusiones 38 • No todo lo que hay en la nube es malo… ni bueno. • La migración a la nube es un hecho que en ocasiones no depende de nosotros. No siempre podremos pararlo, aunque a veces queramos. • Debemos adaptarnos y buscar una solución aceptable para la organización. • Diferentes modelos, diferentes costes… y diferente seguridad. – Del todo a la nada. • No hay una solución única para todos: analicemos los riesgos en cada caso y tomemos decisiones justificadas. – O demos la información adecuada para que se tomen. • Migremos o no, nuestra seguridad no sólo estará en la nube… – …siempre habrá una parte fuera de ella.
  • 40. Otras referencias • www.securityartwork.es • Requisitos del ENS para proveedores de Cloud Computing • Real Cloud Security • Ocultos en la nube • Cloud Computing, el análisis de riesgos y los “servicio dinámicos” de seguridad • Seguridad en Cloud Computing • Seguridad de la computación en la nube: el hipervisor • ¿Qué pasa con la Seguridad y el Cloud Computing? 40
  • 41. Otras referencias • Inteco – Estudio sobre el Cloud Computing – 2012 Julio – Riesgos y amenazas del Cloud Computing - 2011 Marzo – Guía para empresas – Octubre 2011 • CCN – CCN-STIC-823 Seguridad en entornos Cloud – 2013 Junio • NIST – SP 800-146 Cloud Computing Synopsis and recommendations – 2012 Mayo • Ministerio de Industria, Energía y Turismo – Cloud Computing, retos y oportunidades – 2012 Mayo • Agencia Española de Protección de Datos – Cloud Computing, sujetos que intervienen, ley aplicable, garantías • Enisa – Beneficios, riesgos y recomendaciones para la seguridad de la información – 2009 Noviembre • Data Protection - WP 196 – Opinion 05/2012 on Cloud Computing • Cloud Security Alliance – Top Threats to Cloud Computing – 2010 Marzo – Guía para la Seguridad en áreas críticas de atención en Cloud computing - Noviembre de 2009 41