El documento explora los mitos y realidades del cloud computing, destacando sus ventajas y riesgos tanto para proveedores como para clientes. Se enfatiza la importancia de la seguridad en la nube, la gestión de riesgos y el cumplimiento normativo, así como la necesidad de evaluar cuidadosamente los contratos y certificaciones de los proveedores. Finalmente, se concluye que, aunque el cloud computing ofrece beneficios, las decisiones deben basarse en un análisis exhaustivo de riesgos y regulaciones antes de adoptar estos servicios.

1. Seguridad en
Cloud Confusingmputing
Mitos y realidades
Lic. Cristian Borghello
CISSP – MVP
www.segu-info.com.ar
@seguinfo

2. Sobre Segu-Info y
Cristian Borghello
Cristian Borghello, es Licenciado en Sistemas,
desarrollador, Certified Information Systems Security
Professional (CISSP) y Microsoft MVP Security (Most
Valuable Professional).
Es Director de Segu-Info y se desempeña como
consultor independiente en Seguridad de la
Información.
Segu-Info es la comunidad más grande de habla
hispana sobre Seguridad de la Información.
Brinda información libre y gratuita sobre la temática
desde el año 2000.

3. Licencia de uso
Creative Commons 2.5
Ud. puede:
Copiar, distribuir, exhibir, y ejecutar la obra
Hacer obras derivadas
Bajo las siguientes condiciones:
Atribución. Debe atribuir la obra en la forma especificada por el autor
No Comercial. No puede usar esta obra con fines comerciales
Compartir Obras Derivadas Igual. Si altera, transforma, o crea sobre
esta obra, sólo podrá distribuir la obra derivada resultante bajo una
licencia idéntica a ésta
http://creativecommons.org/licenses/by-nc-sa/2.5/ar/

4. En la nube nosotros confiamos
¿Qué es la nube?

5. Cloud Computing (CC)
Buzzword de moda
Nuevo modelo o
paradigma que permite
ofrecer servicios a través
de Internet (la nube)

6. Definición formal
• CC es un modelo que permite el acceso
bajo demanda a un conjunto compartido de
recursos informáticos configurables, de los
cuales se puede disponer rápidamente con
una gestión mínima de esfuerzos
• Promueve la disponibilidad y se compone
de distintas características, modelos de
servicio e implementación
Definición de Cloud Computing de NIST
http://bit.ly/d6J8pk

7. Servicios en la Nube

9. Barómetro de ISACA
• En 2010 utilizarán CC:
30% de las organizaciones en LA
25% de las organizaciones de EE.UU.
18% de las organizaciones europeas
• 41% de los profesionales de LA considera
que los riesgos de CC superan los beneficios
• 17% opina lo contrario
• 42% creen que los beneficios y los riesgos
están equilibrados
2010 ISACA IT Risk/Reward Barometer - Latin America Edition
http://bit.ly/aym1KF

10. Ventajas para el proveedor
Mayor número “Inmediatez”
de servicios del servicio
disponibles
Servicios
Ahorro en estándares y “sin
tecnología reinventar la rueda”
Mayor escalabilidad
Mayor adaptabilidad
de los servicios Unificación
ofrecidos/recibidos de sistemas

11. Ventajas para el cliente
Servicio Simplicidad de
disponible en implementación
cualquier lugar
Precios más
Integración ya flexibles
probada por la
industria Mayor
escalabilidad
Mínima cantidad de
tiempo fuera de Actualizaciones
servicio automáticas

12. Permite
centrarse en
el negocio
Menos riesgos y
ahorro de costes
e inversión

13. Arquitectura “As a Service”
En la nube todo es un
S e r v i c i o (SPI)

14. Arquitectura “As a Service”
IBM: Cloud Security Guidance
http://bit.ly/bDlhrf

15. Software as a Service
SaaS es la capa más alta y es una aplicación
que se ofrece como un servicio, que se
ejecuta en la infraestructura del proveedor y
es posible acceder a la aplicación desde
cualquier dispositivo y un navegador

16. Plataforma as a Service
PaaS encapsula y abstrae un ambiente de
desarrollo que contiene los lenguajes de
programación y las bases de datos. Es capaz
de brindar servicios a todas las fases del ciclo
de desarrollo de software

17. Infraestructura as a Service
IaaS entrega almacenamiento, conexiones,
poder de procesamiento y servicios de red
generalmente virtualizados para que el
cliente pueda disponer de ellos

18. Tipos de nube
Públicas: manejadas completamente por terceras
partes. El cliente no conoce qué servicios o
clientes se ejecutan en el entorno
Privadas: se ejecutan en una infraestructura a
demanda. El cliente controla el servidor, la red, el
espacio, las aplicaciones, los servicios y los
usuarios que pueden acceder
Comunitarias: son compartidas por varias
organizaciones con objetivos similares
Híbridas: combinan los modelos anteriores y
permiten configurar o escalar algunos servicios

19. “Creemos que CC representa la
plataforma para la próxima
generación de negocios”
Microsoft
“Pienso que CC es una de las
bases para la próxima
generación de computadoras”
Tim O’Reilly

20. “Hay restricciones en CC en Europa. No
va a matar el negocio, pero su evolución
será mas lenta comparada con EE.UU.”
Bob Lindsay
Director de privacidad de HP
“CC es una trampa destinada a obligar a
la gente a adquirir sistemas
propietarios, bloqueados, que costarán
más conforme pase el tiempo”
Richard Stallman

21. ¡PUFFF! Más
de lo mismo
¿No estamos siendo simplistas?
¿No olvidamos nada?
¿Son todas ventajas?
Todo lo que brilla ¿es oro?

22. Los servicios brindados son
una caja negra y se debe
“confiar” en ellos

23. Seguridad en la nube (I)
• La nube deja en manos del proveedor
la responsabilidad del almacenamiento
de datos y su control
• No se consideran la legislación, las
normas y las regulaciones
• La cadena de provisión de servicio no
es evaluada
• Los tres pilares (CID) de la Seguridad de
la Información pueden comprometerse

24. Seguridad en la nube (II)
• Existen problemas de Insiders
• Sistemas compartidos por distintos clientes
• Fallas “masivas” pueden dañar a múltiples
clientes
• Servicios compartidos son ¿vulnerabilidades
compartidas?
• Se conoce al proveedor por una interface
• No se conocen los activos del proveedor
• Riesgo del proveedor desconocido para el
cliente

25. Confidencialidad
• Verificar dónde se alojan los datos para
evitar problemas de ubicuidad legislación
internacional y geolocalización
• Conocer quién accede a la información
almacenada
• El cifrado debe realizarse en la información
almacenada, en tránsito y en backup
• Verificar si se retiene o se destruye la
información al finalizar el contrato con el
proveedor

26. Ejemplos de Confidencialidad

27. Integridad
• Analizar quién puede acceder, modificar o
eliminar información del centro de datos
• Verificar si la información permanece o se
elimina logica/físicamente (remanencia)
• Posibilidad de que datos de distintos clientes
se “mezclen”
• Restore incorrecto, inconsistente o
incompleto
• Sistema de análisis de malware

28. Ejemplo de Integridad

29. Disponibilidad
• Los servicios no estarán disponibles 24x7
• Los proveedores ofrecen 99.999% de
disponibilidad (5,25 min./año sin servicio)
• Pueden existir ataques de DDoS (Distributed
Denial of Service)
• El servicio es SPOF (Single Point of Failure)
• Backup y restore no satisfactorio
Ej: Bitbucket (servicio provisto por EC2 de Amazon) estuvo 19
horas caído en octubre 2009

30. DDoS

31. Ejemplos de Disponibilidad

32. Virtualización
• Los riesgos asociados a CID son los mismos
que en sistemas físicos más los propios de la
virtualización
• La “mezcla” de máquinas virtuales de
diferente sensibilidad representa un riesgo
• Se debe analizar la seguridad por capas del
proveedor

33. Gestión de Riesgos
• No se conocen los activos
• No se conocen las amenazas
• Se pueden conocer algunas vulnerabilidades
(a través de la interface)
• No se puede medir el riesgo
• No se puede implementar controles y por lo
tanto se deben fortalecer las medidas
contractuales

34. El modelo de
Gestión de Riesgo
debe cambiar
Si antes no se evaluaba
el Riesgo
¿Ahora lo haremos?

35. Contratos
• Considerar la jurisdicción
• Evaluar la aplicabilidad de disposiciones
nacionales e internacionales
• Recolectar y revisar los requisitos legales y
normativos necesarios para ambas partes
• Evaluar si los términos del proveedor
cumplen los requisitos del cliente
• Estipular todo lo necesario en los SLA
(Service Level Agreement)
• Analizar el sistema de penalizaciones

36. Certificaciones y Compliance
• Los proveedores deberían contar con una
certificación de auditoría (SAS 70) al menos
• Se recomienda un SGSI y la certificación de ISO
27000 (sobre todo en servicios críticos)
• Verificar certificaciones internacionales de
continuidad de negocio como BS 25999
• Existen otras normas que pueden ser requeridas
(NIST, SOX, PCI, FISMA, HIPAA…)
• Próximamente la certificación Trusted Cloud
Initiative (13 dominios de seguridad)

37. Ejemplo de Certificaciones

38. Conclusiones (I)
• Ante la duda pensar estos servicios como
externos porque son más conocidos
(offshoring o outsourcing)
• Evaluar los contratos de servicio
• Evaluar que las políticas actuales de la
empresa coincidan con el proveedor
• Lograr la interacción entre legales y IT
• Parte de lo ahorrado debe invertirse en
examinar las capacidades del servicio de CC

39. Conclusiones (II)
• Lo importante no es el nombre (buzzword)
sino entender la transformación (revolución)
que implica el cambio
• Existen servicios que por su criticidad no
pueden ser trasladados a la nube
• Evaluar que aún no es posible garantizar el
cumplimiento normativo
• Requerir herramientas de administración
centralizadas

40. Conclusiones (III)
• Exigir el uso y aplicación de certificaciones y
estándares
• Se deben evaluar las decisiones de negocio
por sobre las decisiones del IT
• Tomar decisiones en base a la medición de
riesgos previa

41. No debemos permitir que
el “bajo” costo y la
“simplicidad” de CC no
nos permita ver la
tormenta en la nube
Analicemos los riesgos

42. Referencias
• Cloud Computing en Segu-Info
http://bit.ly/segu-cloud
• Cloud Security Alliance (EN - ES)
http://bit.ly/95LKUu - http://bit.ly/9PCnoh
• Gartner: Cloud Computing Security Risks
http://bit.ly/avxvor
http://bit.ly/buJcMa
• ENISA: Cloud Computing: benefits and risks
http://bit.ly/bjlFSY
• NIST: Cloud Computing
http://bit.ly/d6J8pk
• IBM: Cloud Security Guidance
http://bit.ly/bDlhrf

43. Agradecimientos
A la Comunidad de Segu-Info
que todos los días [me] aporta
conocimiento a través de los
distintos grupos de discusión

44. ¡Gracias!
Lic. Cristian Borghello
CISSP – MVP
www.segu-info.com.ar
@seguinfo