Transcript
Seguridad en la Nube Continuidad Operacional Julio Balderrama – Director FSA LATAM @juliobalderrama
/fsalatam @fsalatam /company/fsalatam
Bogot[a 30/09/2016
¿Quieness realmente utilizan la nube? ¿Quiene
Cloud
Todos poseemos una gran cantidad de información en la nube
Los ciudadanos
Con conocimiento
o
Sin conocimiento - tipo y cantidad o como llego!
o
Google, WhatsApp, Dropbox, OneDrive, Drive, iCloud, iCloud, Facebook, …
Utilización de la nube a diario
Utilización en forma rutinaria
Conectados en forma permanente
Hoy en día se puede saber todo lo que hacemos diariamente
Preguntas: Están en la nube? Poseen sus móviles conectados? Poseen claves en el móvil? Que tipo de clave? Se encuentra cifrado? Disponen de una tarjeta de memoria adicional? Se encuentra cifrada la tarjeta de memoria?
Conocimiento de los ciudadanos para con la protección
Como configuramos la privacidad? Que información se sincroniza? Bakups automáticos de “toda la información” Fotos, archivos, resguardo de la conversaciones conversacion es de WhatsApp, sms, logs de llamadas
Secreto de la configuración
Como prevenir el resguardo de la información sensible?
Preguntas incomodas
Como se protege
Doble factor de autenticación?
Que de medio / forma?
Cifrado de los datos en la nube?
Antvirus / antimalware en el dispositivo?
Como te proteges?
Personal / Laboral
Los servicios en la nube para la utilización personal y laboral
Que motiva?
Comunicaciones unificadas
Acceso remoto
Aplicaciones Cloud
Monitorización
Servicios de correo
Continuidad del negocio (RDP)
Backup
Foco en el negocio
Y la seguridad?
En las empresas
Seguimos …
Falta de personal especializado Sistemas locales muy costosos Dependencia local Obsolescencia tecnológica Falta de equipamiento Mayor movilidad
Riesgos de estar en la nube
Riesgos Personal
Privacidad
Confidencialidad
La letra pequeña, enemiga de la privacidad, como por ejemplo compartir “algunos” servicios “algunos” servicios de fotos o archivos con otros usuarios Términos de servicio: “..podría compartir sus fotografías en su servicio …. Les da el derecho de “usar “usar o o distribuir”
Nuevos riesgos
Ejemplo: Sitio web Aplicaciones Base de datos Contenedores Contenedo res de información
Riesgos Organización
Recurrimos a las empresas que brindan Recurrimos “mágicas” soluciones”
“marketing” “marke ting” sobre soluciones en la nube
Promovedores de servicios
Los conocen realmente? Donde resguardan la información? Cómo la resguardan? Los visitaron? Que controles físicos y lógicos disponen? Cual es el nivel mínimo aceptable de seguridad
Cumplimiento
Quienes controlan?
Realizan controles a sus proveedores proveedores??
Cual es el criterio que se aplica?
Formación del personal?
Alcance de los controles
Cada cuanto tiempo se realiza?
Como se comunica los hallazgos a los proveedores
Para mantener los datos en la nube de forma segura es:
El mayor desafío
CONCIENTIZACION Redacción de estándares de aseguramiento a nivel organizacional o adherirse a los existentes en el mercado
CSA
Cloud Security Alliance Alliance es una organización sin fines de lucro que se encarga de generar documentos, prácticas y recomendaciones, políticas para el uso seguro del Cloud Computing
Normas dedicadas a la privacidad de Cloud Cloud Computing
Familia ISO 27001
ISO/EC 27017
ISO/IEC 27018
Establecen prácticas y códigos de conducta para la protección de la información en redes públicas
La nube avanza pero no su seguridad Ultimo informe de amenazas
Según el informe informe de datos ocultos (Shadow (Shadow Data Theart Report) Report)
12%
95%
63%
documentos y archivos que se comparten en forma generalizada contienen información regulada y datos confidenciales como información legal y código fuente. aplicaciones de nube de clase empresarial no cumplen con SOC2. actividad riesgosa de usuarios en la nube indica intentos de transferir datos sin autorización.
La nube avanza pero no su seguridad Según el informe informe de datos ocultos (Shadow ( Shadow Data Theart Report) Report)
Ultimo informe de amenazas
37% actividad sospechosa en la nube indica intentos de hackear cuentas de usuarios en la nube.
71%
aplicaciones empresariales de nube no provee autenticación de factores múltiples.
11%
aplicaciones empresariales de nube aún son vulnerables a uno o más de los exploits principales, como FREAK, Logjam, Heartbleed, Poodle SSLv3, Poodle TLS y CRIME.
¿Qué estándares existen? CSA Cloud Controls Matrix v3.0.1 (CMM)
Estándares de seguridad en la nube
CSA STAR Certification
ISO/IEC 27017 Código de buenas prácticas de controles de servicios basados en computación en la nube
Matriz de Controles de Cloud
CCM v3.0.1
https://cloudsecurityallian https://cloudsecurityalliance.org/down ce.org/download/cloud-contr load/cloud-controls-matrix-v3 ols-matrix-v3-0-1/ -0-1/
CCM v3.0.1 vs ISO 27001
100
100
100
Aplicación y seguridad en la interfaz (AIS)
Aseguramiento de la auditoria y cumplimiento (ACC)
Gestión de continuidad del negocio y resiliencia operacional (BCR) Control de cambios y gestión de configuración (CCC)
100
CCM v3.0.1 vs ISO 27001
100
88.9
100
Seguridad de los datos y ciclo de vida de la gestión de información (DSI)
Seguridad en el centro de datos (DCS)
Encriptación y gestión de claves (EKM)
Gobernanza y gestión de riesgos (GRM)
100
CCM v3.0.1 vs ISO 27001
100
92.3
92.3
Recursos humanos (HRS)
Gestión de acceso y identidad (IAM)
Seguridad de la virtualización y infraestructura (IVS) (IVS)
Portabilidad y Interoperabilidad (IPY)
100
CCM v3.0.1 vs ISO 27001
100
100
100
Seguridad móvil (MOS) Gestión de incidentes de seguridad, E-Discovery y forense en la nube (SEF) Gestión de la cadena de suministro, la transparencia y rendición de cuentas (STA) Gestión de vulnerabilidades y amenazas (TVM)
100
98,3% alienado
ISO 27001 Esfuerzo con Cloud Control Matrix!!
Esfuerzo 1,66%
¿Qué estándares existen?
CSA Cloud Controls Matrix v3.0.1 (CMM)
Estándares de seguridad en la nube
CSA STAR Certification
ISO/IEC 27017 Código de buenas prácticas de controles de servicios basados en computación en la nube
CSA Security, Trust Trust & Assurance Registry Regis try (STAR)
CSA STAR
El registro de evaluación, confianza y seguridad CSA STAR (Security, Trust & Assurance Registry) Registry) de la organización Cloud Security Alliance es un mecanismo de evaluación de la seguridad de los proveedores de servicios en la nube, aunando principios de transparencia, rigor en la auditoría, armonización de estándares y monitorización continua.
https://cloudsecurityallian https://cloudsecurityalliance.org/star ce.org/star//
Para la evaluación ofrece una matriz de controles cloud ( Cloud Controls Matrix (CCM)) (CCM)) con correspondencias con distintos estándares, mejores prácticas y normativas (COBIT, HIPPA, ISO27001, ISO 27017, ISO 27018, ISO 27036, NIST SP800-53, Fed RAMP, PCI DSS, BITS, GAPP, entre otras) La matriz de controles cloud cubre las áreas de:
CSA STAR
Cumplimiento Gobernanza de datos Seguridad de las instalaciones Recursos humanos Seguridad de la información Legal Gestión de operaciones Gestión de riesgos Gestión de versiones Resiliencia Arquitectura de seguridad.
¿Qué estándares existen? CSA Cloud Controls Matrix v3.0.1 (CMM)
Estándares de seguridad en la nube
CSA STAR Certification
ISO/IEC 27017 Código de buenas prácticas de controles de servicios basados en computación en la nube
ISO/IEC 27017
Código de práctica para los controles de seguridad de la información según la norma ISO 27002 para los servicios en la nube”, nube”, lo que implica que la norma está basada en los controles de seguridad que recoge la norma ISO 27002
ISO/IEC 27017
Los más importante
Cada uno de nosotros y las organizaciones debemos tomar la responsabilidad que la protección de la información es responsabilidad responsabilida d de cada uno de nosotros, es nuestra información información,, nosotros somos los dueños dueños de los los datos y cada día nos encontramos más expuestos, pero si uno toma todos los recaudos puede mantener la continuidad operacional
Muchas gracias!! Contacto
Julio Balderrama
[email protected] +54911 3271 2639 @juliobalderrama