ASPECTOS DE

SEGURIDAD EN

CLOUD COMPUTING

MARIEL ARANDACYBER RISK MANAGER – DELOITTE

CCNA – CCNAS – CEH – ISO 27001 LI – ISO 27001 LA

AGENDA

• Definiciones.

• Migrando al Modelo Cloud: Aspectos a

tener en cuenta.

• Modelos de Referencia. Aspectos de

Seguridad y Privacidad.

• Principales Riesgos del Modelo Cloud.

• Tendencias en Servicios de

Seguridad.

• Conclusiones Finales.2

CLOUD COMPUTINGConceptos

3

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a

shared pool of configurable computing resources (e.g., networks, servers, storage, applications),

provisioned and released with minimal management effort or service provider interaction”

(NIST)

Es un modelo que permite el

acceso desde cualquier lugar y

en cualquier momento, a un

grupo compartido de recursos

informáticos configurables (por

ejemplo, redes, servidores,

almacenamiento, aplicaciones),

aprovisionados y distribuidos

con un mínimo esfuerzo de

gestión o interacción del

proveedor de servicios.

CLOUD COMPUTINGConceptos

4

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a

shared pool of configurable computing resources (e.g., networks, servers, storage, applications),

provisioned and released with minimal management effort or service provider interaction”

(NIST)

▪ Acceso Ubicuo a los

Datos

▪ Menor Costo

▪ Escalabilidad y

Flexibilidad

▪ Deslocalización

▪ Dependencia de

Terceros

CLOUD COMPUTINGCaracterísticas

5

▪ Cloud Computing cambia

el paradigma actual de la

computación tradicional.

▪ Favorece la innovación y

el desarrollo de nuevos

productos y servicios.

▪ Ofrece mayor

escalabilidad y

flexibilidad que el modelo

tradicional.

¡No existe un modelo único para todos!

HABILITADORES DEL NEGOCIO

CLOUD

Costo Flexible

Escalabilidad

Adaptación al Mercado

Oculta la Complejidad

Varía de acuerdo al contexto

Conectividad del

Ecosistema

CLOUD COMPUTINGContexto Actual

6

Aumento en el uso de servicios

Cloud por todo tipo de

compañías.

Privacidad de

Datos y

Seguridad:

Dependencia de

Terceros.

Poca o nula

participación del

área de SI en los

proyectos de

migración a

Cloud

QUIERO MIGRAR A CLOUD…¿Qué aspectos debo tener en cuenta?

7

1Alineación de los beneficios

de Cloud Computing

con la estrategia de

la organización.

2

Disponibilidad y Madurez de los productos,

servicios y proveedores.

3

Consideraciones reglamentarias,

legales y de cumplimiento.

4

Comprensión de los riesgos

para el negocio y riesgos

tecnológicos.

QUIERO MIGRAR A CLOUD…¿Qué aspectos debo tener en cuenta?

8

Definir una Estrategia

Establecer una Nueva Cultura en las

Personas y los Procesos

Integrar las Tecnologías

Gestionar los Riesgos y el

Cumplimiento

Analizar las ventajas y desventajas,

establecer los objetivos del negocio,

definir los modelos y el proveedor.

Las personas deben comprender y

alinearse al cambio de paradigma.

Desarrollar una cultura de gestión de

los procesos.

Identificar las tecnologías que

permanecerán vigentes y la estrategia

de integración.

Entender el modelo, gestionar las

operaciones, los servicios y la

seguridad. Establecer esquemas de

control adecuados.

MIGRANDO A CLOUDGestionando Los Riesgos

9

▪ Los tres pilares: Disponibilidad, Integridad, Confidencialidad.

▪ Identificar los activos, funcionalidades y procesos.

▪ Identificar el valor para la organización.

CLOUD COMPUTINGModelo De Referencia (NIST)

Fuente: CSA - Cloud Security Alliance

MODELO DE REFERENCIAMODELOS DE SERVICIOS

11

Infraestructura como

servicio (IaaS)

Plataforma como servicio

(PaaS)

Software como servicio

(SaaS):

Acceso a almacenamiento y

capacidad de cómputo.

Permite “alquilar”

infraestructura de IT de un

proveedor de servicios en la

nube.

Ofrece a los desarrolladores

herramientas para crear y

hospedar aplicaciones web.

Está diseñado para dar

acceso a los usuarios a los

componentes que necesitan

para desarrollar y utilizar con

rapidez aplicaciones web o

móviles, sin preocuparse por

configurar y administrar la

infraestructura.

Método de entrega de

aplicaciones de software,

donde los proveedores de

servicios en la nube hospedan

y administran de forma

integral las aplicaciones.

Facilita tener la misma

aplicación en todos sus

dispositivos a la vez porque

toda la inteligencia y datos de

aplicación están alojados en

la nube.

MODELOS DE SERVICIOSGestión de la Seguridad

12

▪ APIs inseguras

▪ Parches no

actualizados

▪ Ausencia de

controles

▪ Separación de

ambientes

▪ Seguridad en la

transmisión y

almacenamiento

▪ Controles de

acceso

▪ Seguridad perimetral

▪ Seguridad en la

transmisión y

almacenamiento

▪ Copias de respaldo

MODELOS DE SERVICIOS¿Quién es el responsable?

13

Infraestructura como servicio (IaaS)

Plataforma como servicio (PaaS)

Software como servicio (SaaS):

Data Data Data

Application Application Application

Runtime Runtime Runtime

Middleware Middleware Middleware

O/S O/S O/S

Virtualization Virtualization Virtualization

Servers Servers Servers

Storage Storage Storage

Networking Networking Networking

Responsabilidad del Cliente

Responsabilidad del Proveedor

MODELO DE REFERENCIAModelos De Despliegue

Nubes Públicas Nubes Privadas Nubes Comunitarias

Nubes Híbridas

Recursos compartidos

entre usuarios de

diferentes

organizaciones.

Menos margen para la

personalización.

Gestionado por el

Proveedor.

Recursos asignados a

una sola organización.

Soluciones de seguridad

avanzadas.

Las organizaciones

administran sus

recursos.

Varias

organizaciones

comparten una

misma nube.

Combinación de

servicios Cloud

Públicos y

Privados.

Administración

más compleja.

Ofrece ventajas

en cuanto a

costos.

Permiten

gestionar parte de

la seguridad.

ASPECTOS DE SEGURIDAD Y

PRIVACIDADModelo Tradicional Vs. Cloud

15

▪ Controles Lógicos y Físicos.

▪ La Seguridad es Gestionada

por la organización.

▪ Los datos se encuentran

resguardados en la

organización.

▪ Controles Lógicos.

▪ La Seguridad es Gestionada por

el

proveedor de Servicios.

▪ Responsabilidad compartida:

90/10

▪ Los datos se encuentran en

servidores remotos. Modelo Cloud

Modelo Tradicional

ASPECTOS DE SEGURIDAD Y

PRIVACIDADAmenazas Principales

16

Entorno Más Complejo

Amenazas Principales:

- Acceso no autorizado a los sistemas y/o información.

- Divulgación, pérdida o robo de información.

- Suplantación de Identidad.

- Denegación de Servicios.

- Ataques de Malware.

¿Cómo podemos evitarlas?

- Análisis de Riesgos.

- Gobierno: Marco Normativo y Controles.

- Asumiendo la responsabilidad sobre la seguridad.

PRINCIPALES RIESGOSEn El Contexto De La Ciberseguridad

17

Modelo

Cliente/Proveedor.

Empresas y

consumidores usando la

nube con o sin controles

de seguridad.

Riesgo concentrado.

Los proveedores de la

nube son el principal

objetivo porque "Ahí es

donde están los datos“.

Nueva Superficie de ataque.

El perímetro físico de seguridad

es reemplazado por un modelo

híbrido. El entorno tecnológico

es más complejo.

Dependencia de Terceros.

Las organizaciones dependen

de controles realizados por los

proveedores.

Análisis GAP de

Controles.

Los controles de

seguridad del modelo

tradicional deben

extenderse a la nube.

PRINCIPALES RIESGOSEl Proveedor Gestiona La Seguridad

18

GESTIÓN ≠ RESPONSABILIDAD

La responsabilidad sobre la

seguridad de la información

corresponde a la organización.

PRINCIPALES RIESGOSEl Proveedor Gestiona La Seguridad

19

PRINCIPALES RIESGOSEl Proveedor Gestiona La Seguridad

20

Los proveedores deben hacer su

parte:

▪ CSA o Acuerdos de Nivel de

Servicio.

▪ Detección de Amenazas.

▪ Respuesta ante Incidentes.

▪ Políticas de Privacidad y

Seguridad.

TENDENCIAS DE SEGURIDAD EN

LA NUBE

21

La industria del software está evolucionando para abordarlos riesgos de ciberseguridad en la nube.

Gestión de identidad

como servicio– IDaaS

Nuevo servicio que permite

gestionar credenciales de

varias aplicaciones, en un

mismo lugar (SSO)

Agentes de Seguridad

para el Acceso a la

Nube (CASB).

La Protección de datos y

Gobernanza están

madurando rápidamente

en un nuevo conjunto de

prestaciones .

Nuevas Prestaciones

A medida que las empresas maduran,

también emergen nuevas prestaciones de

servicios de CABS. Los CASB operan

como intermediarios entre las aplicaciones

de la nube y los usuarios, con el objetivo de

proveer visibilidad y seguridad.

Cloud Access Security Broker (CASB)

Virtualization SIEM

WorkFlow Analytics

Governance

CASBHerramientas y Servicios que residen entre la empresa y el proveedor

22

• Mayor visibilidad

• Mas Prestaciones de

Servicios de

Seguridad

• Reportes y

Estadísticas

(Dashboard)

• Define e implementa

políticas y estándares.

• Monitoreo de Eventos de

Seguridad.

• Identificación y Remediación de

Vulnerabilidades.

• Paneles de Control y Reportes .

• Inteligencia para detectar

amenazas hacia el proveedor o

los servicios.

• Información sobre el

uso de los datos.

• Administración

centralizada de

políticas de protección

de datos.

• Encriptación,

Tokenización, DLP,

etc.

CASB¿El Futuro De La Seguridad En La Nube?

23

• Buscan Proteger la

infraestructura contra ataques

orientados a la información y

los usuarios

• Operan como intermediarios

entre las aplicaciones de la

nube y los usuarios

• Proveen protección en distintas

fases.

• Garantiza una interfaz

unificada de análisis de

eventos.

24

Existen varios marcos normativos

y buenas prácticas de seguridad

en Cloud. Las más reconocidas

son:

- CSA Cloud Controls Matrix

(CMM)

- CSA STAR CERTIFICACIÓN

- ISO/IEC 27017

- Obj. de Control de ISACA

CUMPLIMIENTOEstándares y Buenas Prácticas en Cloud

https://cloudsecurityalliance.org/

SOLUCIONES DE SICloud Security Landscape

25

CONCLUSIONESAspectos A Considerar En Cloud

TOP TEN

26

1. Desafíos de seguridad en cada modelo de servicio y despliegue.

2. Gobierno, Riesgo y Cumplimiento.

3. Monitoreo y Auditorías de Seguridad.

4. Gestión de recursos humanos, roles e identidades (IdAM).

5. Seguridad en las aplicaciones .

6. Seguridad en las redes e interconexiones.

7. Cumplimiento de los estándares de seguridad por parte de losproveedores (certificaciones).

8. Gestión de los CSA (Cloud Service Agreement).

9. Gestión de incidentes de seguridad.

10. Contingencia y Copias de Respaldo.

Gracias

Aguije

Thank youMARIEL ARANDA

maaranda@deloitte.com

www.deloitte.com/ar