1. Hernan M. Racciatti / SICLabs

2.  Analista Programador, CISSP, CSSLP, CEH, MCP, QCS, etc.
 Miembro del Core Team de ISECOM
 ISSAF Key Contributor at OISSG
 Colaborador de los proyectos ISSAF, HHS y OSSTMM, entre otros.
 Presidente del Capitulo Argentino de la Cloud Security Alliance
 Director de Comunicaciones de ISSA Argentina
 Security Director at SIClabs
2
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Acerca del Autor
* ISECOM (Institute for Security and Open Methodologies)
* OISSG (Open Information System Security Group)
* ISSA (Internet Systems Security Association)
* ISSAF (Information Systems Security Assessment Framework)
* OSSTMM (Open Source Security Testing Methodology Manual)
* HHS (Hackers Highschool, Security Awareness for Teens)

3.  Cloud Computing en 5’
 Que es Cloud Computing?
 Ventajas y Desventajas
 Seguridad y Seguridad en la Nube
 Principales Amenazas (CSA)
 Guía de Seguridad (CSA)
 Herramientas de Control y Auditoria (CSA)
 Desafíos
 Conclusiones
 Referencias y Lecturas Complementarias
 Apertura de Foro (Preguntas / Exposición de los Asistentes)
Agenda
3
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs

4. 4
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que he aprendido o confirmado?
 El ser humano siempre encontrara una forma de hacer negocios…
 Siempre habrá organizaciones pensando en lo que “yo necesito”…
 Seguiré teniendo trabajo por algunos años mas…
 A excepción de algunas palabras nuevas, el resto es conocido…
 En internet hay muchas imágenes de nubes…

5. 5
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que es Cloud Computing?

6. `
6
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que es Cloud Computing?
 Buzzword
 Nuevo “Modelo” o “Paradigma” que permite ofrecer servicios a través de
Internet.
“Cloud Computing es un modelo para habilitar acceso conveniente por demanda a un
conjunto compartido de recursos computacionales configurables, por ejemplo, redes,
servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente
aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción
con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está
compuesto por cinco características esenciales, tres modelos de servicio y cuatro
modelos de despliegue.”

7. 7
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que es Cloud Computing? (Cont.)

8. 8
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que es Cloud Computing (Cont.)

9. 9
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Ventajas

10. 10
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Desventajas

11. 11
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Seguridad != Seguridad en la Nube?

12. 12
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Principales Amenazas (CSA)

13. 13
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Principales Amenazas (CSA) (Cont.)
Principales Amenazas
 #1: Abuse and Nefarious Use of Cloud Computing
 #2: Insecure Interfaces and APIs
 #3: Malicious Insiders
 #4: Shared Technology Issues
 #5: Data Loss or Leakage
 #6: Account or Service Hijacking
 #7: Unknow Risk Profile

14. 14
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Guía de Seguridad (CSA)
Governance and Enterprise Risk Management
Legal and Electronic Discovery
Compliance and Audit
Information Lifecycle Management
Portability and Interoperability
Security, Bus. Cont,, and Disaster Recovery
Data Center Operations
Incident Response, Notification, Remediation
Application Security
Encryption and Key Management
Identity and Access Management
Virtualization
Cloud Architecture
OperatingintheCloud
GoverningtheCloud

15. 15
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Guía de Seguridad (CSA) (Cont.)

16. 16
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Herramientas de Control y Auditoria (CSA)
Cloud Control Matrix Tool
 Controles derivados de la guía
 Ordenados de acuerdo a su
aplicación (SPI)
 Ópticas: Customer vs Provider
 Mapeado con:
 ISO27001
 COBIT
 PCI
 HIPAA
 Puente para el gap IT & IT
Auditors

17. 17
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Desafíos

18. 18
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Conclusiones
 Cloud Computing no necesariamente es mas o menos seguro que su
entorno actual.
 Como toda nueva tecnología, esta crea nuevos riesgos y oportunidades.
 En algunos casos, moverse a la nube puede proveer una oportunidad para
llevar adelante la re-arquitectura de viejas aplicaciones y/o infraestructura,
de modo tal que esta cumpla con modernos requerimientos de seguridad.
 El riesgo de mover datos sensibles y
aplicaciones a una infraestructura
emergente, puede que exceda su
tolerancia (Y esto no esta mal!!)
 Si no resolvemos temas de base,
trasladaremos la ineficiencia y falta
de buenas practicas a la nube.

19. 19
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Referencias y Lectura Complementarias
 NIST (National Institute of Standards and Technology)
http://csrc.nist.gov/groups/SNS/cloud-computing/
 Cloud Security Alliance
http://www.cloudsecurityalliance.org
 CSA Argentina Chapter (Linkedin)
http://www.linkedin.com/groups?home=&gid=3350613
 CSA Argentina Chapter (Twitter)
@cloudsa_arg

20. 20
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Apertura de Foro, Preguntas, Aportes?