Post on 30-Apr-2020
ASPECTOS DE
SEGURIDAD EN
CLOUD COMPUTING
MARIEL ARANDACYBER RISK MANAGER – DELOITTE
CCNA – CCNAS – CEH – ISO 27001 LI – ISO 27001 LA
AGENDA
• Definiciones.
• Migrando al Modelo Cloud: Aspectos a
tener en cuenta.
• Modelos de Referencia. Aspectos de
Seguridad y Privacidad.
• Principales Riesgos del Modelo Cloud.
• Tendencias en Servicios de
Seguridad.
• Conclusiones Finales.2
CLOUD COMPUTINGConceptos
3
“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a
shared pool of configurable computing resources (e.g., networks, servers, storage, applications),
provisioned and released with minimal management effort or service provider interaction”
(NIST)
Es un modelo que permite el
acceso desde cualquier lugar y
en cualquier momento, a un
grupo compartido de recursos
informáticos configurables (por
ejemplo, redes, servidores,
almacenamiento, aplicaciones),
aprovisionados y distribuidos
con un mínimo esfuerzo de
gestión o interacción del
proveedor de servicios.
CLOUD COMPUTINGConceptos
4
“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a
shared pool of configurable computing resources (e.g., networks, servers, storage, applications),
provisioned and released with minimal management effort or service provider interaction”
(NIST)
▪ Acceso Ubicuo a los
Datos
▪ Menor Costo
▪ Escalabilidad y
Flexibilidad
▪ Deslocalización
▪ Dependencia de
Terceros
CLOUD COMPUTINGCaracterísticas
5
▪ Cloud Computing cambia
el paradigma actual de la
computación tradicional.
▪ Favorece la innovación y
el desarrollo de nuevos
productos y servicios.
▪ Ofrece mayor
escalabilidad y
flexibilidad que el modelo
tradicional.
¡No existe un modelo único para todos!
HABILITADORES DEL NEGOCIO
CLOUD
Costo Flexible
Escalabilidad
Adaptación al Mercado
Oculta la Complejidad
Varía de acuerdo al contexto
Conectividad del
Ecosistema
CLOUD COMPUTINGContexto Actual
6
Aumento en el uso de servicios
Cloud por todo tipo de
compañías.
Privacidad de
Datos y
Seguridad:
Dependencia de
Terceros.
Poca o nula
participación del
área de SI en los
proyectos de
migración a
Cloud
QUIERO MIGRAR A CLOUD…¿Qué aspectos debo tener en cuenta?
7
1Alineación de los beneficios
de Cloud Computing
con la estrategia de
la organización.
2
Disponibilidad y Madurez de los productos,
servicios y proveedores.
3
Consideraciones reglamentarias,
legales y de cumplimiento.
4
Comprensión de los riesgos
para el negocio y riesgos
tecnológicos.
QUIERO MIGRAR A CLOUD…¿Qué aspectos debo tener en cuenta?
8
Definir una Estrategia
Establecer una Nueva Cultura en las
Personas y los Procesos
Integrar las Tecnologías
Gestionar los Riesgos y el
Cumplimiento
Analizar las ventajas y desventajas,
establecer los objetivos del negocio,
definir los modelos y el proveedor.
Las personas deben comprender y
alinearse al cambio de paradigma.
Desarrollar una cultura de gestión de
los procesos.
Identificar las tecnologías que
permanecerán vigentes y la estrategia
de integración.
Entender el modelo, gestionar las
operaciones, los servicios y la
seguridad. Establecer esquemas de
control adecuados.
MIGRANDO A CLOUDGestionando Los Riesgos
9
▪ Los tres pilares: Disponibilidad, Integridad, Confidencialidad.
▪ Identificar los activos, funcionalidades y procesos.
▪ Identificar el valor para la organización.
CLOUD COMPUTINGModelo De Referencia (NIST)
Fuente: CSA - Cloud Security Alliance
MODELO DE REFERENCIAMODELOS DE SERVICIOS
11
Infraestructura como
servicio (IaaS)
Plataforma como servicio
(PaaS)
Software como servicio
(SaaS):
Acceso a almacenamiento y
capacidad de cómputo.
Permite “alquilar”
infraestructura de IT de un
proveedor de servicios en la
nube.
Ofrece a los desarrolladores
herramientas para crear y
hospedar aplicaciones web.
Está diseñado para dar
acceso a los usuarios a los
componentes que necesitan
para desarrollar y utilizar con
rapidez aplicaciones web o
móviles, sin preocuparse por
configurar y administrar la
infraestructura.
Método de entrega de
aplicaciones de software,
donde los proveedores de
servicios en la nube hospedan
y administran de forma
integral las aplicaciones.
Facilita tener la misma
aplicación en todos sus
dispositivos a la vez porque
toda la inteligencia y datos de
aplicación están alojados en
la nube.
MODELOS DE SERVICIOSGestión de la Seguridad
12
▪ APIs inseguras
▪ Parches no
actualizados
▪ Ausencia de
controles
▪ Separación de
ambientes
▪ Seguridad en la
transmisión y
almacenamiento
▪ Controles de
acceso
▪ Seguridad perimetral
▪ Seguridad en la
transmisión y
almacenamiento
▪ Copias de respaldo
MODELOS DE SERVICIOS¿Quién es el responsable?
13
Infraestructura como servicio (IaaS)
Plataforma como servicio (PaaS)
Software como servicio (SaaS):
Data Data Data
Application Application Application
Runtime Runtime Runtime
Middleware Middleware Middleware
O/S O/S O/S
Virtualization Virtualization Virtualization
Servers Servers Servers
Storage Storage Storage
Networking Networking Networking
Responsabilidad del Cliente
Responsabilidad del Proveedor
MODELO DE REFERENCIAModelos De Despliegue
Nubes Públicas Nubes Privadas Nubes Comunitarias
Nubes Híbridas
Recursos compartidos
entre usuarios de
diferentes
organizaciones.
Menos margen para la
personalización.
Gestionado por el
Proveedor.
Recursos asignados a
una sola organización.
Soluciones de seguridad
avanzadas.
Las organizaciones
administran sus
recursos.
Varias
organizaciones
comparten una
misma nube.
Combinación de
servicios Cloud
Públicos y
Privados.
Administración
más compleja.
Ofrece ventajas
en cuanto a
costos.
Permiten
gestionar parte de
la seguridad.
ASPECTOS DE SEGURIDAD Y
PRIVACIDADModelo Tradicional Vs. Cloud
15
▪ Controles Lógicos y Físicos.
▪ La Seguridad es Gestionada
por la organización.
▪ Los datos se encuentran
resguardados en la
organización.
▪ Controles Lógicos.
▪ La Seguridad es Gestionada por
el
proveedor de Servicios.
▪ Responsabilidad compartida:
90/10
▪ Los datos se encuentran en
servidores remotos. Modelo Cloud
Modelo Tradicional
ASPECTOS DE SEGURIDAD Y
PRIVACIDADAmenazas Principales
16
Entorno Más Complejo
Amenazas Principales:
- Acceso no autorizado a los sistemas y/o información.
- Divulgación, pérdida o robo de información.
- Suplantación de Identidad.
- Denegación de Servicios.
- Ataques de Malware.
¿Cómo podemos evitarlas?
- Análisis de Riesgos.
- Gobierno: Marco Normativo y Controles.
- Asumiendo la responsabilidad sobre la seguridad.
PRINCIPALES RIESGOSEn El Contexto De La Ciberseguridad
17
Modelo
Cliente/Proveedor.
Empresas y
consumidores usando la
nube con o sin controles
de seguridad.
Riesgo concentrado.
Los proveedores de la
nube son el principal
objetivo porque "Ahí es
donde están los datos“.
Nueva Superficie de ataque.
El perímetro físico de seguridad
es reemplazado por un modelo
híbrido. El entorno tecnológico
es más complejo.
Dependencia de Terceros.
Las organizaciones dependen
de controles realizados por los
proveedores.
Análisis GAP de
Controles.
Los controles de
seguridad del modelo
tradicional deben
extenderse a la nube.
PRINCIPALES RIESGOSEl Proveedor Gestiona La Seguridad
18
GESTIÓN ≠ RESPONSABILIDAD
La responsabilidad sobre la
seguridad de la información
corresponde a la organización.
PRINCIPALES RIESGOSEl Proveedor Gestiona La Seguridad
19
PRINCIPALES RIESGOSEl Proveedor Gestiona La Seguridad
20
Los proveedores deben hacer su
parte:
▪ CSA o Acuerdos de Nivel de
Servicio.
▪ Detección de Amenazas.
▪ Respuesta ante Incidentes.
▪ Políticas de Privacidad y
Seguridad.
TENDENCIAS DE SEGURIDAD EN
LA NUBE
21
La industria del software está evolucionando para abordarlos riesgos de ciberseguridad en la nube.
Gestión de identidad
como servicio– IDaaS
Nuevo servicio que permite
gestionar credenciales de
varias aplicaciones, en un
mismo lugar (SSO)
Agentes de Seguridad
para el Acceso a la
Nube (CASB).
La Protección de datos y
Gobernanza están
madurando rápidamente
en un nuevo conjunto de
prestaciones .
Nuevas Prestaciones
A medida que las empresas maduran,
también emergen nuevas prestaciones de
servicios de CABS. Los CASB operan
como intermediarios entre las aplicaciones
de la nube y los usuarios, con el objetivo de
proveer visibilidad y seguridad.
Cloud Access Security Broker (CASB)
Virtualization SIEM
WorkFlow Analytics
Governance
CASBHerramientas y Servicios que residen entre la empresa y el proveedor
22
• Mayor visibilidad
• Mas Prestaciones de
Servicios de
Seguridad
• Reportes y
Estadísticas
(Dashboard)
• Define e implementa
políticas y estándares.
• Monitoreo de Eventos de
Seguridad.
• Identificación y Remediación de
Vulnerabilidades.
• Paneles de Control y Reportes .
• Inteligencia para detectar
amenazas hacia el proveedor o
los servicios.
• Información sobre el
uso de los datos.
• Administración
centralizada de
políticas de protección
de datos.
• Encriptación,
Tokenización, DLP,
etc.
CASB¿El Futuro De La Seguridad En La Nube?
23
• Buscan Proteger la
infraestructura contra ataques
orientados a la información y
los usuarios
• Operan como intermediarios
entre las aplicaciones de la
nube y los usuarios
• Proveen protección en distintas
fases.
• Garantiza una interfaz
unificada de análisis de
eventos.
24
Existen varios marcos normativos
y buenas prácticas de seguridad
en Cloud. Las más reconocidas
son:
- CSA Cloud Controls Matrix
(CMM)
- CSA STAR CERTIFICACIÓN
- ISO/IEC 27017
- Obj. de Control de ISACA
CUMPLIMIENTOEstándares y Buenas Prácticas en Cloud
https://cloudsecurityalliance.org/
SOLUCIONES DE SICloud Security Landscape
25
CONCLUSIONESAspectos A Considerar En Cloud
TOP TEN
26
1. Desafíos de seguridad en cada modelo de servicio y despliegue.
2. Gobierno, Riesgo y Cumplimiento.
3. Monitoreo y Auditorías de Seguridad.
4. Gestión de recursos humanos, roles e identidades (IdAM).
5. Seguridad en las aplicaciones .
6. Seguridad en las redes e interconexiones.
7. Cumplimiento de los estándares de seguridad por parte de losproveedores (certificaciones).
8. Gestión de los CSA (Cloud Service Agreement).
9. Gestión de incidentes de seguridad.
10. Contingencia y Copias de Respaldo.
Gracias
Aguije
Thank youMARIEL ARANDA
maaranda@deloitte.com
www.deloitte.com/ar