Fecha: 08 de mayo de 2013 ISACA Valencia - 2012 / 2013

EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI

Carlos Sahuquillo

Consultor de Seguridad e Infraestructuras

GMV

@csahuqui on Twitter

¿Qué es Cloud?

08/05/2013 2 ISACA Valencia - 2012 / 2013

Qué es cloud?

“Es una simple nube de color amarillo que sirve como medio de transporte

para aquel que pueda utilizarla, tiene como requisito que sólo puede ser

usada por una persona de corazón puro, quien no cumpla el requisito pasará

a través de ella como si fuera una nube normal, la única manera es que viaje

agarrado de una persona que si la pueda utilizar. A esta nube se la puede

llamar desde cualquier espacio abierto, y ésta puede llevar a su viajero a

cualquier lugar”.

08/05/2013 3 ISACA Valencia - 2012 / 2013

Similitudes entre la nube de Son Goku y cloud

Nube Kingdom cloud

• Son un medio de

transporte

• Tienen sus riesgos

• No es para todo el

mundo

• Si sólo no eres capaz...

Hazlo con alguien que

sepa

08/05/2013 4 ISACA Valencia - 2012 / 2013

Preocupación principal

08/05/2013 5 ISACA Valencia - 2012 / 2013

Riesgos reales

08/05/2013 6 ISACA Valencia - 2012 / 2013

De ‘cloud’ a ‘fog’

Falta de claridad en el servicio

Falta de roles y responsabilidades

Desarrollar una gestión del riesgo apropiada

SLA’s y monitores de rendimiento

08/05/2013 7 ISACA Valencia - 2012 / 2013

A tener en cuenta

El cloud se debe considerar como un ‘enabler’ estratégico.

Se debe diferenciar entre cloud y outsourcing.

Dirección debe ser consciente de los nuevos riesgos

introducidos por el cloud.

Estandarización de métricas

08/05/2013 8 ISACA Valencia - 2012 / 2013

La empresa es responsable de:

– Definir apropiadamente los requisitos funcionales y de control.

– Uso adecuado de los servicios automatizados

TI es responsable de:

– Automatizar e implementar los requisitos de las funciones de

negocio y de control

– Establecer controles para mantener la integridad de controles de

aplicación.

08/05/2013 9 ISACA Valencia - 2012 / 2013

1. Principios, Políticas y Marcos

2. Procesos 3. Estructuras Organizacionales

4. Cultura, Ética

y Comportamiento

5. Información

6. Servicios,

Infraestructura

y Aplicaciones

7. Personas,

Habilidades y

Competencias

RECURSOS

Enablers

08/05/2013 10 ISACA Valencia - 2012 / 2013

Requisito: CISO

Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo

de sistemas del negocio, la transición a la computación en la nube

esencialmente requiere que se incluya un oficial o director de seguridad de la

información de la compañía en todos los nuevos procesos de gobierno y ciclo de

vida del desarrollo de sistemas.

08/05/2013 11 ISACA Valencia - 2012 / 2013

GEIT: Business and Governance of Enterprise IT

Estableciendo los objetivos de negocio en un escenario

cloud:

– Identificar los objetivos de negocio más allá de las capacidades

actuales de IT.

– Definir las oportunidades que nos ofrece la nube.

– Cuantificar los beneficios previstos de tener las aplicaciones en

la nube.

– Identificar las regulaciones normativas que aplican.

08/05/2013 12 ISACA Valencia - 2012 / 2013

Estableciendo los objetivos de negocio en un escenario

cloud:

– Verificar cuáles de los puntos anteriores son aplicables a los

stakeholders.

– Comparar los beneficios con los beneficios obtenidos

actualmente.

08/05/2013 13 ISACA Valencia - 2012 / 2013

GEIT: Business and Governance of Enterprise IT

Cómo evolucionan nuestros controles

08/05/2013 14 ISACA Valencia - 2012 / 2013

Cada vez mas dependencia de un tercero

Se requieren cambios para expandir los enfoques y las estructuras de gobierno a

fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los

procesos de negocio.

08/05/2013 15 ISACA Valencia - 2012 / 2013

Modelos de servicio

Infraestructura como Servicio (IaaS)

Plataforma como Servicio (PaaS)

Software como Servicio (SaaS)

08/05/2013 16 ISACA Valencia - 2012 / 2013

Modelos de servicio

08/05/2013 17 ISACA Valencia - 2012 / 2013

¿Qué podemos hacer?

Conocer a nuestro proveedor de cloud

Derecho de auditoria

Asegurar la continuidad

Política de Seguridad

Transparencia de procesos

Right to be forgotten

Creatividad!

08/05/2013 18 ISACA Valencia - 2012 / 2013

Es un camino largo…

08/05/2013 19 ISACA Valencia - 2012 / 2013

No podemos desfallecer

08/05/2013 20 ISACA Valencia - 2012 / 2013

Nuevos riesgos y preocupaciones

El proveedor maneja

la información.

Recuperación de la

información.

Posible acceso de

terceros.

Equipos compartidos

en nubes públicas.

08/05/2013 21 ISACA Valencia - 2012 / 2013

Desafíos para la seguridad de la información

Técnicamente, el cloud no es seguro por su naturaleza

misma, ya que enfrenta desafíos como el control del

acceso, la centralización de los datos y la seguridad de la

información.

08/05/2013 22 ISACA Valencia - 2012 / 2013

Más requisitos

Cumplimiento de leyes,

regulaciones,

normativas, marcos…

Flujo de información

Certificación

08/05/2013 23 ISACA Valencia - 2012 / 2013

¿Está listo el mercado?

Interoperabilidad entre proveedores

08/05/2013 24 ISACA Valencia - 2012 / 2013

Controles IT para el cloud

08/05/2013 25 ISACA Valencia - 2012 / 2013

Referencias

http://www.isaca.org/topic-cloud-computing

http://www.isaca.org/Knowledge-

Center/Research/ResearchDeliverables/Pages/Cloud-Computing-

Business-Benefits-With-Security-Governance-and-Assurance-

Perspective.aspx

http://www.isaca.org/Knowledge-

Center/Research/ResearchDeliverables/Pages/IT-Control-Objectives-

for-Cloud-Computing-Controls-and-Assurance-in-the-Cloud.aspx

https://cloudsecurityalliance.org

08/05/2013 26 ISACA Valencia - 2012 / 2013

08/05/2013 27 / TOTAL DIAPOS ISACA Valencia - 2012 / 2013

GRACIAS POR SU ATENCIÓN csahuquillo@gmv.com @csahuqui on Twitter