Este documento trata sobre la seguridad de la información y la transparencia. Discute los principales problemas de confianza en la nube como la falta de estándares completos y transparencia de los proveedores. También analiza las leyes de vigilancia como la Ley Patriota de EE.UU. y la necesidad de un equilibrio entre la seguridad y la privacidad con más transparencia. Finalmente, propone ejemplos como los informes de transparencia de empresas y la certificación CSA STAR para promover la confianza.
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
UNDER THE DOME - SEGURIDAD SI, PERO TRANSPARENTE
1. SEGURIDAD SI, PERO TRANSPARENTE
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
Encuentro de Ciberseguridad y
Ciberdefensa
2. “NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
Leonardo Rosso – Presidente de la CSA Argentina
Luciano Moreira da Cruz - Vice-Presidente de la CSA Argentina
3. Acerca de la Cloud Security Alliance
• Global, sin fines de lucro
• Construyendo las mejores prácticas de seguridad para la próxima generación de TI
• Investigación y Programas Educativos
• Certificación de Proveedores Cloud: CSA STAR
• Certificación de profesionales: SCCR
• Conciencia y Marketing
• La fuente global para la confianza en cloud
www.cloudsecurityalliance.org
“Promover las mejores prácticas a fin de ofrecer confianza dentro del ámbito del Cómputo en
la Nube, educando a la comunidad sobre sus usos y colaborando en asegurar todas las otras
formas de computo.”
3
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
4. CSA Datos rápidos
• Fundada en 2009
• 64,000+ miembros individuales, 70 + capítulos a nivel mundial
• 300 miembros corporativos incluyendo los principales proveedores de
cloud y seguridad, Big 4, Telecoms y muchas otras adentro del Global
2000
• Oficinas en Seattle USA, Singapore, Helsinki Finland
• Más de 40 proyectos de investigación en 30 + grupos de trabajo
• Alianzas estratégicas con los gobiernos, instituciones de investigación,
asociaciones profesionales y la industria
4
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
5. Antes de empezar - Gracias!!!
• Miembros fundadores
• Hernán M. Racciatti
• Mariano M. del Río
• Cristian Borghello
• Ezequiel Sallis
• Héctor Jara
• Facundo M. Peltzer
• Diego San Esteban
• Claudio Avin
• Gustavo Presman
5
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
7. Agenda
• Principales problemas de confianza en la Nube.
• CSA Research Roadmap
• 30 Minutos después…
7
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
9. Principales problemas de confianza en
la Nube
• Estándares incompletos
• Evolucionando hacia verdaderas tecnologías y arquitecturas
multi-tenant
e.g. Identity Brokering
• Concentración de riesgos
• Leyes incompatibles entre jurisdicciones
• Falta de transparencia y visibilidad de los proveedores y
gobierno
9
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
10. La cuestión de confianza en los gobiernos
10
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
11. USA Patriot Act
• Ley Patriota de EE.UU. de 2001 (se volvió a autorizar en 2006 y 2011)
• No es una nueva ley, sino una serie de enmiendas a las leyes existentes en materia de
vigilancia, investigación y persecución del terrorismo (Ley de Vigilancia de Inteligencia
Extranjera)
• La mayoría de las solicitudes de información siguen citaciones / órdenes, pero los registros
se pueden sellar
• La mayoría de los países tienen leyes que permiten la divulgación de información del
usuario sin el consentimiento del usuario relacionadas con la inteligencia exterior y
seguridad nacional
11
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
12. USA Freedom Act
• El ultimo 2 de junio de 2015 el Congreso de EU aprobó el USA Freedom Act, una ley
que, si bien no desmantela al USA Patriot Act la limita un poco.
• La USA Freedom Act por lo menos impone ciertos límites a la capacidad de espiar y
recolectar masivamente información de la NSA y otras agencias de inteligencia.
• Ahora, cuando el gobierno espía a los estadunidenses, debe especificar qué es lo que
busca y de quién, por lo que debe contener su ambición de apropiarse de toda la
información posible.
• Otro punto es que ahora el gobierno debe anunciar cuándo exige archivos a empresas
privadas, y se permite a estas empresas anunciar al público cuándo y cuántas veces
se les ha exigido entregar información al gobierno.
12
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
13. Encuesta CSA: Government Access
to Information
• Realizada en línea desde 25 junio 2013 a 9 julio 2013
• 456 respuestas
• 234 de los Estados Unidos de América
• 138 de Europa
• 36 de Asia y el Pacífico
• Muchas respuestas largas, largas abiertas
https://cloudsecurityalliance.org/wp-content/uploads/2013/07/CSA-govt-access-survey-July-2013.pdf
13
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
14. El uso de proveedores de Cloud de
EE.UU.
• (Para los no residentes en los ESTADOS UNIDOS) ¿el Incidente de
Snowden hace que su empresa sea más o menos proclive a utilizar
proveedores de Cloud estadounidense? (207 Respuestas)
• 56% menos propensos a utilizar proveedores Cloud de EE.UU.
• 31% sin impacto en el uso de los proveedores Cloud de EE.UU.
• 10% canceló un proyecto para utilizar proveedores Cloud de EE.UU.
• 3% más propensos a usar los proveedores Cloud en EE.UU.
14
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
15. El uso de proveedores de Cloud de
EE.UU.
• (Para los residentes de Estados Unidos) ¿El incidente
Snowden hace que sea más difícil para su empresa lograr
negocios fuera de los EE.UU? (220)
• 36% Si
• 64% No
15
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
16. Transparencia de Acceso x Gobierno
• (Para todos los encuestados) ¿Cómo calificaría los procesos de
su país para obtener información de los usuarios con el fin de
las investigaciones criminales y terroristas? (440)
• 47% Baja, no hay transparencia en el proceso
• 32% Regular, hay algo de información pública sobre el proceso
• 11% Desconocido, no tengo suficiente información para hacer un juicio
• 10% Excelente, el proceso está bien documentado
16
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
17. Opinión sobre la Patriot Act
• (Para todos los encuestados) Si tienes dudas sobre las
recientes noticias, cual de las acciones siguientes cree usted
que sería la mejor para mitigar las preocupaciones? (423)
• 41% La Ley Patriota, debe derogarse en su totalidad.
• 45% La Ley Patriota debe ser modificado para ajustar la supervisión
de las actividades permitidas y proporcionar una mayor transparencia
en cuanto a la frecuencia con que se promulgó.
• 13% La Ley Patriota está bien como está.
17
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
18. Requerimientos FISA
• (Para todos los encuestados) En caso de empresas que han
sido citados a través de disposiciones de la Ley Patriota, como
FISA (Foreign Intelligence Surveillance Act) podrán publicar
información resumida sobre la cantidad de respuestas que han
brindado? (438)
• 91% Si
• 9% No
18
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
19. Equilibrio de Seguridad y Privacidad
“…Viviendo en este tipo de democracia, vamos a tener que ser
un poquito menos efectivos para poder ser un poquito más
transparentes al hacer lo que sea por defender al pueblo
americano.”
Michael Hayden, former Director of CIA and NSA
19
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
20. Consideraciones importantes para
Políticas Privadas y Públicas
• La transparencia de los actores
• Los metadatos son importantes
• Principios de minimización de datos
20
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
21. • Solicitudes de tribunales y agencias gubernamentales de todo
el mundo para eliminar información de los productos de
Google.
http://www.google.com/transparencyreport/governmentrequests/
21
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
Ejemplo de transparencia en la industria
AOL http://blog.aol.com/2014/10/28/aol-releases-transparency-report-and-urges-passage-of-the-usa-free/
AT&T http://about.att.com/content/csr/home/frequently-requested-info/governance/transparencyreport.html
Apple https://www.apple.com/privacy/government-information-requests/
Cheezburger http://blog.cheezburger.com/community/cheezburger-inc-2014-transparency-report/
Cloudflare https://www.cloudflare.com/transparency
Comcast http://corporate.comcast.com/comcast-voices?tag=comcast-transparency-report
Credo Mobile http://www.credomobile.com/misc/transparency.aspx
CyberGhost http://www.cyberghostvpn.com/en/transparency-report
Daum Kakao http://privacy.daumkakao.com/en/transparence/report/present
Deutsche Telekom http://www.telekom.com/verantwortung/datenschutz/235758
Dropbox https://www.dropbox.com/transparency
Facebook https://govtrequests.facebook.com/
Hong Kong Transparency Report http://transparency.jmsc.hku.hk/
Kickstarter https://www.kickstarter.com/blog/kickstarter-transparency-report-2014
Korea Internet Transparency Report http://transparency.or.kr/
LeaseWeb http://blog.leaseweb.com/2014/02/25/law-enforcement-transparency-report-2014-july-1-december-31/
LinkedIn https://www.linkedin.com/legal/transparency
Lookout https://www.lookout.com/transparency/report-2013
Microsoft https://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/
Naver https://nid.naver.com/user2/privacycenter/info.nhn?m=viewStatistics
Pinterest http://help.pinterest.com/en/articles/transparency-report-archive
Rogers https://www.rogers.com/web/content/Privacy-CRTC
SaskTel http://www.sasktel.com/wps/wcm/connect/019634af-8378-432a-b6bf-3c47fe2e8d55/Transparency+Report_NR_Sep14.pdf?MOD=AJPERES
Snapchat https://www.snapchat.com/transparency/
Sonic.net https://corp.sonic.net/ceo/2014/04/28/2013-transparency-report/
SpiderOak https://blog.spideroak.com/20150212080057-increasing-transparency-and-privacy-2014-report
TELUS http://about.telus.com/servlet/JiveServlet/previewBody/5544-102-1-6081/TELUS%20Transparency%20Report%202013%20-English.pdf
TekSavvy https://citizenlab.org/wp-content/uploads/2014/06/TekSavvy-to-Citizenlab-2014-06-04.pdf
TeliaSonera https://www.teliasonera.com/en/sustainability/transparency-report-new/
Telstra http://www.telstra.com.au/privacy/transparency/
Time Warner Cable http://help.twcable.com/privacy-safety.html
Tumblr http://transparency.tumblr.com/
Twitter https://transparency.twitter.com/
University of California, Berkeley http://bconnected.berkeley.edu/transparency
Verizon http://transparency.verizon.com/
Vodafone http://www.vodafone.com/content/sustainabilityreport/2014/index/operating_responsibly/privacy_and_security/law_enforcement.html
Wickr https://wickr.com/category/transparency-report/
Wikimedia Foundation https://transparency.wikimedia.org/
WordPress http://transparency.automattic.com/
Yahoo! https://transparency.yahoo.com/
reddit https://www.reddit.com/wiki/transparency/2014
Otros ejemplos
22. ¿Pueden los proveedores ser transparente
sobre temas de seguridad nacional?
“Les pedimos ayuda para hacer posible que Google publique en
nuestro Reporte de Transparencia los números totales de
pedidos de seguridad nacional, incluyendo las revelaciones FISA
– tanto en términos de los números de los pedidos recibidos
como de su alcance. Los números de Google podrían mostrar
claramente que nuestro cumplimiento con esos pedidos son
significativamente menores que los pedidos hechos. Google no
tiene nada que ocultar.”
David Drummond, Chief Legal Counsel, Google
22
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
23. • Normalmente nuestra información sensible o privada, personal o empresarial termina en
las empresas de tecnología como Google, Facebook, Verizon, Microsoft entre otras.
• Si pensamos un poco esas empresas podrían o no estar al día con conversaciones,
fotos, conexiones sociales y datos de localización de casi todos los usuarios en línea del
mundo.
• Las pregunta que deberíamos hacernos es:
• Existe alguna de estas empresas que se a resistido a las demandas de la NSA o de
algún gobierno defendiendo la privacidad de sus usuario en el tribunal?
EFF - Who Has Your Back? 2015
23
https://www.eff.org/who-has-your-back-government-data-requests-2015
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
Who Has Your Back? 2011
Los resultados obtenidos
fueron bastante penosos.
24. CSA Ejemplo de transparencia: STAR
• CSA STAR (Seguridad, confianza y registro del aseguramiento)
• Registro Público de proveedor de cloud auto evaluados
• Basado en las mejores prácticas de CSA (CCM o CAIQ)
• Promoviendo transparencia con acciones voluntarias por industria.
• Seguridad como un diferenciador en el mercado
• www.cloudsecurityalliance.org/star
• Demande STAR a sus proveedores!
24
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
25. Como estamos hoy por hoy 1/2
• Por mas cambios que existieron aún así, la ley USA Freedom y la
transparencia de los proveedores no van suficientemente lejos.
• Recientes informes de los medios muestran la magnitud del problema.
• En agosto de 2015, el New York Times y ProPublica, revelaron que,
entre 2003 y 2013, AT&T proporcionó acceso a la NSA a miles de millones
de correos electrónicos que pasaban por su sistema de red
estadounidense reactivando nuevamente la discusión sobre la vigilancia
masiva.
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
26. • Todavía existen dos disposiciones jurídicas que siguen vigentes que permiten
este tipo de vigilancia masiva.
• la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (Foreign
Intelligence Surveillance – FISA, en inglés) y la Orden Ejecutiva 12333.
• Son incluso más invasivas que la Sección 215 de la Ley Patriota (Patriot Act,)
• Estas dos disposiciones hermanas permiten la recolección del contenido real de
las comunicaciones; incluyendo correos electrónicos, mensajes instantáneos y
mensajes en las redes sociales, sin órdenes judiciales individuales.
Como estamos hoy por hoy 2/2
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
27. Que compromiso global se necesita? 1/3
• Ir a un modelo de actividades tradicionales de auditoría y
certificación
• Requisitos dispares armonizados frente a un único estándar global
• Ejemplo - NIST CSF para la seguridad cibernética
• Monitoreo Continuo
• Vigilancia de la comunidad vía Transparencia
• Énfasis privacidad
27
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
28. Que compromiso global se necesita? 2/3
• Gobierno
• La alineación con los estándares globales para la
garantía
• Industria
• Construir la tecnología para hacer discutibles las
políticas
• Empresa
• Tiempo para participar
• La demanda de rendición de cuentas de los
responsables políticos y los proveedores
• Proteja sus datos y metadatos
28
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
29. Que compromiso global se necesita? 3/3
• Para Todos: La demanda de transparencia y revisión continua
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
• La generación de Internet, junto con los grupos de la sociedad civil y el
sector privado debe exigir una revisión continua de la legislación de
vigilancia de los EE.UU., en concreto la derogación de la Sección 702 y
de la Orden Ejecutiva 12333.
• Al no hacerse los Unos pocos serán quién establezca las normas
globales para las iniciativas de vigilancia y se permitirá que sigan
socavando la privacidad en Internet.
30. “.. Argumentar que no te importa el derecho a la privacidad
porque no tienes nada que esconder es lo mismo que decir
que no te importa la libertad de expresión porque no tienes
nada que decir.”
Edward Snowden
30
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
33. CSA Research Portfolio
• Nuestro centro de investigación
incluye proyectos fundamentales
necesarios para definir y poner en
práctica la confianza en el futuro
de la tecnología de la información
• CSA sigue siendo agresiva en la
producción de investigación
fundamental, educación y
herramientas
• +30 Grupos de Trabajo a nivel
Global
33
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
35. Security Guidance for Critical Areas of
Cloud Computing
• La guía de la CSA busca establecer las mejores
prácticas para las operaciones en la nube.
• Este esfuerzo proporciona un camino práctico para
adoptar la nube de forma segura.
• Los Dominios han sido reescritos para enfatizar la
seguridad, estabilidad y privacidad, garantizando la
privacidad.
• En la tercera edición de la guía se supone una
madurez estructural en paralelo con desarrollos de
estándares de cloud multinacionales tantos en la
estructura y el contenido.
• CSA se ha esforzado por presentar un producto
mesurado y equilibrado entre los intereses de los
proveedores de nube y de los usuarios.
35
https://cloudsecurityalliance.org/research/security-guidance/#_overview
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
36. GRC Stack
• Formado por 4 proyectos
• Cloud Controls Matrix (CCM)
• Consensus Assessments Initiative (CAI)
• Cloud Audit
• Cloud Trust Protocol (CTP)
• Impacto en la industria
• Criterios de evaluación para cumplir
metas de Gobierno, Gestión de Riesgos y
Cumplimiento
• Pilotos técnicos
• Certificación de proveedores a través del
programa STAR
Control
Requirements
Provider
Assertions
Private,
Community &
Public Clouds
30
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
37. Cloud Control Matrix Working Group
• La CSA Cloud Controls Matrix (CCM) está diseñado específicamente para proporcionar los principios
de seguridad para guiar a los proveedores de cloud y para ayudar a los clientes Cloud a evaluar el
riesgo general de seguridad de un proveedor.
• El CSA CCM ofrece un marco de controles que da comprensión detallada de los conceptos de
seguridad y los principios que están alineados con la GUIA CSA en los 14 dominios.
• Investigaciones y actividades del grupo:
• CCM V.3 – Q3 2013
• Internet2 Net+ Initiative Mappings (Higher Education) – Q2 2013
• AICPA Trust Service Principles Mapping – Q4 2013
• ENISA Information Assurance Framework Mapping – Q4 2013
• ODCA Mapping – Q4 2013
• German BSI Mapping – Q4 2013
• NZISM Mapping – Q4 2013
• Unified Compliance Framework Mapping – TBD
• Control Area Gap Analysis – Q4 2013
• COBIT 5 Mapping – Q1 2014
• NIST SP 800-53 Rev 4 – Q4 2013
• Slovenian Information Commissioner on Privacy Guidance for Cloud Computing Mapping – Q1 2014
37
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
38. Consensus Assessment Initiative
• Falta de control de seguridad transparencia es una de las principales de inhibidor de
la adopción de servicios cloud.
• El Consensus Assessment Initiative (CAI) se puso en marcha para llevar a cabo la
investigación, la creación de herramientas y crear asociaciones de la industria para
permitir evaluaciones de cloud computing.
• Estamos enfocados en proveer a la industria métodos aceptados para documentar los
controles de seguridad existentes en IaaS, PaaS y SaaS, proporcionando transparencia a
los mismos.
• Este esfuerzo de diseño está integrado y apoya otros proyectos de nuestros partners.
38
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
39. Cloud Audit
• El objetivo de CloudAudit es ofrecer una interfaz común que
permita a las empresas que estén interesados en el
perfeccionamiento de sus procesos de auditoría (nube o de
otro tipo) así como los proveedores de cloud pueden
automatizar la auditoría, aserción, evaluación y aseguramiento.
• También permitir que los consumidores autorizados de sus
servicios para que hagan lo mismo a través de una abierta y
extensible y segura interfaz.
39
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
40. Cloud Trust Protocol
• El (CTP) es el mecanismo por el cual los consumidores de
servicios cloud (también conocidos como "usuarios de la nube" o
"dueños de servicios cloud") Solicitar y recibir información sobre
los elementos de la transparencia que se aplican a los
proveedores de servicios cloud.
• El propósito principal del CTP y los elementos de la transparencia
es generar la confianza basada en la evidencia de que todo lo
que esta sucediendo en la nube está de hecho sucediendo como
se describe, ..., y nada más.
40
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
41. CSA Enterprise Architecture
(aka Trusted Cloud Initiative)
• Promover la investigación, el
desarrollo y la educación de
las mejores prácticas y
metodologías en torno a una
arquitectura de referencia
para una nube segura y de
confianza.
41
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
42. CCSK – User Certification
• CCSK es un programa de certificación diseñado para asegurar que
los profesionales con responsabilidad relacionada con el Cloud
Computing tengan conocimientos acreditados de las amenazas a la
seguridad y de las mejores prácticas para abordarlas.
• Benchmark para la competencia de Cloud Cecurity
• Examen online.
• www.cloudsecurityalliance.org/certifyme
• Entrenamiento de partners
• Desarrollar nueva curricula para auditoria, desarrollo de software y
arquitectura
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
43. • El propósito de este documento es
proporcionar el contexto necesario para
ayudar a las organizaciones en la toma de
decisiones de gestión de riesgos con
respecto a sus estrategias de adopción de
Cloud.
• En esencia, este documento de investigación
de amenazas debe ser visto como un
complemento de Orientación de seguridad
para áreas críticas en Cloud Computing.
43
CSA Top Threats
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
44. CSA Security as a Service
• Investigación para la obtención de una mayor comprensión
de cómo entregar soluciones de seguridad a través de
modelos de nube.
• Seguridad de la Información de la Industria Re-inventado
• Identificar diez categorías dentro SecaaS
• Guía de Implementación para cada SecaaS Categoría
• Alinear con las normas internacionales y otras
investigaciones CSA
• Impacto de la Industria
• Se Definieron 10 Categorías de Servicio
38 44
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
45. CSA Mobile
45
• Asegurar tiendas de aplicaciones y otras entidades públicas
que implementan software para dispositivos móviles
• Análisis de las capacidades de seguridad móviles y las
características de los principales sistemas operativos móviles
• Directrices para el marco de seguridad de dispositivos móviles
y las arquitecturas de nube móviles
• Soluciones para la resolución de múltiples propósitos
relacionados con BYOD, por ejemplo, uso personal y de
negocios de un dispositivo común
• Las mejores prácticas para el desarrollo seguro de
aplicaciones móviles
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
46. CSA Big Data
46
• Cloud Computing marca la disminución de énfasis
en "sistemas" y el aumento de énfasis en 'datos'.
• Identificar técnicas escalables para los problemas
de seguridad y privacidad centradas en datos
• Conducir a la cristalización de las mejores
prácticas para la seguridad y la privacidad de Big
Data
• Ayudar a la industria y el gobierno en la adopción
de las mejores prácticas
• Establecer enlaces con otras organizaciones con
el fin de coordinar el desarrollo de grandes
estándares de seguridad de datos y privacidad
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
47. CSA Service Level Agreement
• Los Acuerdos de Nivel de Servicio (SLA) son un componente en la
mayoría de los términos y contratos de servicio cloud.
• Sin embargo, hay un consenso de que los clientes y proveedores
por igual tienen preguntas acerca de lo que constituye un SLA, la
suficiencia y adecuación de los SLA y su gestión.
• La CSA SLA, (SLA WG) en un esfuerzo por dar claridad al tema de
los SLAs donde ha desarrollado directrices en las siguientes áreas.
• ¿Cuáles son los componentes de un SLA?
• ¿Qué papel juega el SLA para la CSP y CSU?
• ¿Podemos definir una taxonomía SLA?
• ¿Cuál es el estado actual de SLA?
• SLA mitos, desafíos y obstáculos?
• SLA Orientación y Recomendaciones
47
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
48. Open Certification Framework
• Un modelo para para hacer frente a las preocupaciones de cumplimiento con las
mejores prácticas globales.
• Por ejemplo, se espera que los gobiernos sean adoptantes importantes de este
marco. Alineados con sus propias necesidades como se puede observar en la
parte superior del GRC Stack.
• Es una guía explicita para los proveedores sobre la forma de utilizar las
herramientas GRC Stack para múltiples procesos de certificación.
• Por ejemplo, la documentación de alcance articularía los medios por los cuales un
proveedor puede seguir un camino de certificación ISO/IEC27001 que incorpore la
Matriz de Controles Cloud (CCM).
• Un “esquema de reconocimiento” que permite que apoyemos a ISO, AICPA y
potenciales certificaciones a agregar al marco.
48
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
50. CSA Privacy Level Agreement
50
• El objetivo del grupo es desarrollar plantillas de Privacy Level
Agreements (PLA) basadas en las regulaciones y acuerdos
internacionales sobre Privacidad que funcionen como herramientas de
autorregulación en la materia.
• Un Acuerdo de Nivel de Privacidad tiene un doble objetivo:
• Proporcionar a los clientes en la nube con una herramienta para evaluar el
compromiso de un CSP para abordar la protección de datos personales.
• Ofrecer protección contractual frente a posibles daños económicos debido a la falta
de cumplimiento o el compromiso del CSP con la regulación de la privacidad y
protección de datos.
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
51. Grupos de trabajo por industria 1/2
51
• El Grupo de Trabajo Telecom ha sido designado para proporcionar
una influencia directa sobre la manera de entregar soluciones Cloud
de forma seguras y generar la concientización relacionado a los
aspectos de telecomunicaciones
The Telecom Working Group
• El Grupo de Gestión de Información en Salud, ha sido designado
para proporcionar influencia directa sobre cómo los proveedores de
servicios de información de salud entregan soluciones de nube
seguras (servicios, transporte, aplicaciones y almacenamiento) a
sus clientes, y fomentar conciencia en todos los aspectos de la
asistencia sanitaria y las industrias relacionadas.
Health Information Management
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
52. Grupos de trabajo por industria 2/2
52
• SMB Este grupo de trabajo se centrará en proporcionar orientación
adaptada a la pequeña empresa, cooperará con otros grupos de trabajo
y ayudará a los proveedores de nube a entender los requisitos de
pequeñas y medianas empresas.
Small to Medium Sized Business (SMB)
• El Grupo de Trabajo Financiero tendrá como objetivo identificar retos,
riesgos y mejores prácticas para el desarrollo, despliegue y gestión de
servicios en la nube seguros en la industria financiera. Ayudar a la
industria en la adopción de las mejores prácticas, Establecer enlaces
con organismos reguladores con el fin de fomentar el desarrollo de
regulaciones adecuadas. Acelerar la adopción de servicios cloud
seguros en la Industria Financiera
Financial Working Group
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
53. ISACA Collaboration Project
• Un proyecto de colaboración entre ISACA y CSA,
the Cloud Market Maturity study ofrece al
negocios y líderes de TI cuna visión de la madurez
de la computación en nube y ayuda a identificar
cualquier cambio en el mercado.
• El informe, publicado, ofrece una visión detallada
sobre la adopción de los servicios en la nube en
todos los niveles dentro de las empresas y los
negocios globales de hoy en día.
53
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
54. Internet2 Collaboration Project
48
• Un equipo de +30 CIOs, directores de TI, y
otros ejecutivos miembros del Internet2 (ambas
instituciones de educación superior y
prestadores de servicios industriales)
desarrollaron una versión extendida de la CCM.
• Esta versión incluye las asignaciones de
candidatos para abordar los requisitos de
seguridad y cumplimiento en la educación
superior.
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
55. Enterprise User Council
• Se inició la Enterprise User Council para
proporcionar un equilibrio de poder entre
los proveedores de cloud y los usuarios
empresariales en un mundo de servicios
en la nube, Big Data, y los avances
móviles ha hecho su mayor salto en
negocios. Nuestro objetivo a largo plazo
es entender los mayores problemas que
enfrentan las empresas y ayudar a
resolver estos problemas.
• El Enterprise User Council representará
empresas en estos temas.
55
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
56. International Standardization Council
• Involucrar a los organismos de normalización internacionales en nombre de
CSA
• Proponer en la CSA investigaciones clave para la normalización
• Relacionarse con la ITU-T
• Coordinación y enlace con ISO/IEC SC27 & SC38
• Seguimiento con:
• DMTF
• IEEE
• IETF
• CCSA
• RAISE
56
“NETWORKING Y BUENAS PRACTICAS EN CIBERSEGURIDAD Y
CIBERDEFENSA”
Lo que la gente entiende bajo el concepto de privacidad ha cambiado enormemente desde las revelaciones de Edward Snowden en 2013 sobre los programas de espionaje global indiscriminado de los Estados Unidos. Antes de Snowden, poca gente del ámbito de derechos humanos sabía siquiera lo que eran los metadatos. La privacidad de la comunicación electrónica era un tema prácticamente inexistente en los círculos de derechos humanos. Desde entonces, las cosas han cambiado rápidamente. Cuando los crecientes poderes de vigilancia de EE.UU. pasaron a primer plano, se volvió cada vez más evidente que se tenía que hacer algo para contrarrestar esta situación, poner freno a los abusos en la vigilancia y crear mecanismos para controlar estas prácticas.
PRISM es un programa de vigilancia electrónica considerado confidencial a cargo de la Agencia de Seguridad Nacional (NSA) de los Estados Unidos desde el 2007.1 El alcance de PRISM es tan grande que incluso los Estados Unidos podría haber espiado a más de 35 líderes mundiales.
El Government Communications Headquarters más conocido como GCHQ, es uno de los tres servicios de inteligencia del Reino Unido
FSB de Rusia - Servicio Federal de Seguridad de la Federación Rusa es una agencia de inteligencia de Rusia se estableció en 1995, las principales responsabilidades del FSB son contra-inteligencia, la seguridad interna y fronteriza, lucha contra el terrorismo, y vigilancia, así como la investigación de algunos delitos graves.
El Ejército Popular de Liberación o PLA como es conocido, china ha asumido contar con una unidad de hackers entrenados en tenicas de armas tecnológicas y estrategias de defensa digital.
Nunca fue clara la Sección 215 de la Ley Patriota, y la Sección 702 del FISA.
Jeb Bush El ex gobernador de Florida, uno de los favoritos entre los 17 aspirantes a la nominación presidencial republicana, dijo que el gobierno debería tener autoridad más amplia para espiar a estadounidenses, y que las firmas del sector tecnológico deberían cooperar más con las agencias de espionaje para combatir a "maleantes".
Esta nueva ley exige que se asignen abogados con autorización de seguridad en los casos de privacidad que se juzgan a puerta cerrada y a los que antes no tenía acceso más que el personal del gobierno.
The Foreign Intelligence Surveillance Act (FISA)
“… Viviendo en esta clase de la democracia, vamos a tener que ser un poco menos eficaces a fin de ser un poco más transparentes para ponernos para hacer algo para defender a la gente americana”.
El informe Who Has Your Back? de la EFF investiga las prácticas de las compañías y fundaciones para averiguar cuáles de ellas están protegiendo tus datos de las solicitudes del gobierno. Esta asociación sin ánimo de lucro que lucha por los derechos “digitales” de los usuarios, desde 2011 elabora anualmente dicho informe en el que cada compañía recibe una valoración positiva o negativa en referencia a distintos criterios, tales como:
Siguen las practicas aceptadas de la industria
Informan de las peticiones gubernamentales de información de los usuarios
Informa sobre políticas de retención de información
Informa de las solicitudes de eliminación de información
Se opone al filtrado de información de los gobiernos
STAR plataforma que ofrece un registro público de servicios de cloud computing, en el cual se describen los controles de seguridad implementados en cada uno de ellos.
Aún así, la ley USA Freedom no va suficientemente lejos. Nosotros, en la Unión Americana de Libertades Civiles (American Civil Liberties Union, ACLU, en inglés) llamamos la atención sobre cuál será la siguiente gran batalla contra la vigilancia masiva: desafiar la igualmente extendida recolección de correos electrónicos de ciudadanos estadounidenses, incluyendo su correspondencia con extranjeros. Esta recogida masiva de correos electrónicos, que la Ley de Libertades de EE.UU ha dejado intacta, demuestra que aún nos queda mucho camino por recorrer antes de que la privacidad sea plenamente respetada. Recientes informes de los medios muestran la magnitud del problema. En agosto de 2015, el New York Times y ProPublica, revelaron que, entre 2003 y 2013, AT&T proporcionó acceso a la NSA a miles de millones de correos electrónicos que pasaban por su sistema de red estadounidense.
Hay dos disposiciones jurídicas que siguen vigentes que permiten este tipo de vigilancia masiva de correos electrónicos; la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (Foreign Intelligence Surveillance – FISA, en inglés) de 1978 y la Orden Ejecutiva 12333 de 1981. Son incluso más invasivas que la Sección 215 de la Ley Patriota (Patriot Act, en inglés), que fue finalizada con la Ley de Libertades de los EE.UU. La Sección 215 registraba metadatos; listas de informes telefónicos entrantes y salientes, pero no el contenido auditivo de las llamadas telefónicas mismas. En cambio, estas dos disposiciones hermanas permiten la recolección del contenido real de las comunicaciones; incluyendo correos electrónicos, mensajes instantáneos y mensajes en las redes sociales, sin órdenes judiciales individuales.
La Sección 702 de FISA contempla la recogida de contenido, dentro de los EE.UU., de una persona localizada fuera de los EE.UU. En 2013 había aproximadamente 90,000 casos de ese tipo. En la medida en que la correspondencia de ciudadanos estadounidenses es incluida en una investigación de ese tipo, este contenido también es retenido por la NSA. En 2011, aproximadamente 250 millones de mensajes fueron recogidos basándose en la Sección 702, principalmente de proveedores de servicios tales como Google, Microsoft y Yahoo.
14 dominios:
Gobierno y Gestión de Riesgos en la Empresa
Aspectos legales: Contratos y Descubrimiento Electrónico
Cumplimiento Legal y Auditoría
Gestión de la Seguridad de la Información y de los Datos
Portabilidad e Interoperabilidad
Seguridad Tradicional, Continuidad de Negocio y Recuperación de Desastres
Operaciones de CPD
Respuesta, Notificación y Remediación ante incidentes
Seguridad de las Aplicaciones
Cifrado y Gestión de claves
Gestión de Identidades y de Acceso
Virtualización
Seguridad como Servicio
GRC Stack: criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento (GRC) en nubes privadas, públicas o híbridas
Está diseñado específicamente para proporcionar los principios de seguridad para guiar a los proveedores de la nube y para ayudar a los clientes en la nube a evaluar el riesgo general de seguridad de un proveedor de la nube.
Los cimientos de la Cloud Security Alliance Controles Matrix y su relación personalizada con otros estándares de seguridad aceptados por la industria, los reglamentos, y controla los marcos como la ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Foro y NERC CIP
Los potenciales clientes de servicios de nube enfrentan un difícil problema: ¿Cómo pueden confiar en los proveedores de nube lo suficiente como para contratarlos cuando éstos se rehúsan a revelar importantes detalles de su infraestructura por motivos de seguridad y practicidad?
Con nombre Consensus Assessments Initiative Questionnaire, el documento es un marco bien pensado para medir la seguridad de la nube. “Este conjunto de preguntas es una versión simplificada de los temas, mejores prácticas y control… que apuntan a ayudar a las organizaciones a construir los procesos de evaluación necesarios para comprometerse con los proveedores de nube”, señala la CSA.
Las preguntas fundamentales que se deben hacer:
*¿Realiza su proveedor evaluaciones de penetración y auditorias de seguridad internas y externas que sus clientes puedan ver?
*¿Pueden los clientes realizar sus propias evaluaciones de vulnerabilidad?
*¿Se encuentran los datos segmentados o encriptados lógicamente por cliente de tal forma que los datos de un cliente no sean ‘barridos’ inadvertidamente junto con los de otro, digamos, en respuesta a una citación judicial?
*¿Puede el proveedor recuperar los datos cliente por cliente en caso de alguna pérdida?
*¿Cómo se protegen los derechos de propiedad intelectual?
*¿Etiqueta el proveedor las máquinas virtuales y físicas utilizadas por cada cliente y puede garantizar que los datos son almacenados solo en ciertos países pero no en otros, de acuerdo a las leyes de almacenamiento de datos de algunos países?
*¿Cuáles son las políticas del proveedor en cuanto a la respuesta a las solicitudes del gobierno de los datos del cliente?
*¿Cuáles son las políticas del proveedor en cuanto a retener los datos del cliente y puede seguir éste las políticas para el borrado de los datos de la red del proveedor?
*¿Realiza el proveedor un inventario de sus propios activos y de las relaciones con sus proveedores?
*¿Capacita a su personal, y documenta esa capacitación, sobre los controles de seguridad propios y de sus clientes?
Conocida como “Trusted Cloud Initiative” este proyecto ayudará a los proveedores de cloud computing a desarrollar servicios de identidad, control de acceso y compliance de manera segura, manteniendo la interoperabilidad con los standars de la industria, así como también mejores prácticas. Ahora las organizaciones que estén considerando adoptar tecnología basada en cloud tendrán acceso a standards confiables para aliviar sus preocupaciones acerca de seguridad, governance y control de sus datos y de sus activos de TI.
CCSK cuenta con el fuerte respaldo de una amplia coalición de expertos y organizaciones de todo el mundo. Destaca su colaboración con ENISA, lo cual supone que estas dos organizaciones destacadas en este ámbito han unido sus fuerzas para desarrollar este primer certificado. También cuenta con una amplia participación de la industria y de alianzas estratégicas que están impulsando la necesidad y valor de esta certificación, tanto para los proveedores de Cloud como para los consumidores, consultores y una gran variedad de stakeholders.
El top 9 de las amenazas mas conocidas.
Fuga de Datos (Data breach): Ya sea de manera intencional o por accidente, el que existan este tipo de problemas pone en riesgo la información que no ha sido encriptada que se tiene en Cloud, lo cuál puede traer bastantes problemas.
Pérdida de Datos: este es un factor clave para migrar nuestras soluciones a Cloud. Es importante saber que el proveedor que se tiene es confiable y los acuerdos de niveles de servicio que se tienen.
Falsificación de cuentas: En caso de que un atacante tenga acceso a las credenciales de tu cuenta en un servicio Cloud, puede atacar desde esta a otros usuarios.
Interfaces inseguras y APIs: Los administradores de los servicios Cloud dependen de las interfaces para el provisionamiento de los servicios Cloud, la administración, orquestación y el monitoreo. Las API´s son muy importantes para la seguridad y disponibilidad de los servicios Cloud.
Denegación de servicio: DoS ha sido la amenaza en internet durante años, sin embargo en la era de Cloud toma una importancia mayor por el costo que puede tener un servicio de Cloud no disponible.
Personas maliciosas: Generalmente se pueden encontrar dentro de la empresa o con un proveedor, pueden tener las credenciales a los datos y ocasionar algún daño desde ahí.
Mal uso de la tecnología Cloud: Relacionado al punto 5, los atacantes pueden hacer uso de la tecnología Cloud para realizar ataques del tipo DoS.
Desconocimiento de los aspectos legales: En el caso de que una empresa no este muy familiarizada con Cloud y los riesgos asociados, lo más probable es que no tenga muy claro los temas contractuales que debe tener con sus proveedores.
Infraestructura Compartida: Es importante revisar a detalle como funciona la infraestructura y que sucedería en caso de que se comprometa en seguridad uno de los componentes.
El propósito de esta investigación será identificar las definiciones de consenso de lo que como medio de servicio de seguridad, para clasificar los diferentes tipos de Seguridad como Servicio y proporcionar orientación a las organizaciones sobre las prácticas de implementación razonables.
La informática móvil está experimentando un gran crecimiento y adopción, mientras que los dispositivos están ganando un peso significativo y capacidades dinámicas. Dispositivos móviles de propiedad privada son cada vez más utilizados para acceder a los sistemas empresariales y de datos en la nube alojada - tanto a través de aplicaciones móviles basadas en navegador y nativas. Las nubes de los dispositivos móviles son propensos a ser común. El grupo de trabajo CSA Mobile será responsable de proporcionar la investigación fundamental para ayudar a Secure Computing punto final móvil desde una posición ventajosa en la nube centrada.
Cloud Computing marca la disminución de énfasis en "sistemas" y el aumento de énfasis en 'datos'. Con esta tendencia, los interesados Cloud Computing deben ser conscientes de las mejores prácticas de gobierno y funcionamiento de los datos y la información en la nube.
Se debe identificar técnicas escalables para los problemas de seguridad y privacidad centradas en datos. Se espera que la investigación BDWG para dirigir a la cristalización de las mejores prácticas para la seguridad y la privacidad de BigData, ayude a la industria y el gobierno en materia de adopción de las mejores prácticas,