Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de...
Transcript of Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de...
Fecha: 08 de mayo de 2013 ISACA Valencia - 2012 / 2013
EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI
Carlos Sahuquillo
Consultor de Seguridad e Infraestructuras
GMV
@csahuqui on Twitter
¿Qué es Cloud?
08/05/2013 2 ISACA Valencia - 2012 / 2013
Qué es cloud?
“Es una simple nube de color amarillo que sirve como medio de transporte
para aquel que pueda utilizarla, tiene como requisito que sólo puede ser
usada por una persona de corazón puro, quien no cumpla el requisito pasará
a través de ella como si fuera una nube normal, la única manera es que viaje
agarrado de una persona que si la pueda utilizar. A esta nube se la puede
llamar desde cualquier espacio abierto, y ésta puede llevar a su viajero a
cualquier lugar”.
08/05/2013 3 ISACA Valencia - 2012 / 2013
Similitudes entre la nube de Son Goku y cloud
Nube Kingdom cloud
• Son un medio de
transporte
• Tienen sus riesgos
• No es para todo el
mundo
• Si sólo no eres capaz...
Hazlo con alguien que
sepa
08/05/2013 4 ISACA Valencia - 2012 / 2013
Preocupación principal
08/05/2013 5 ISACA Valencia - 2012 / 2013
Riesgos reales
08/05/2013 6 ISACA Valencia - 2012 / 2013
De ‘cloud’ a ‘fog’
Falta de claridad en el servicio
Falta de roles y responsabilidades
Desarrollar una gestión del riesgo apropiada
SLA’s y monitores de rendimiento
08/05/2013 7 ISACA Valencia - 2012 / 2013
A tener en cuenta
El cloud se debe considerar como un ‘enabler’ estratégico.
Se debe diferenciar entre cloud y outsourcing.
Dirección debe ser consciente de los nuevos riesgos
introducidos por el cloud.
Estandarización de métricas
08/05/2013 8 ISACA Valencia - 2012 / 2013
La empresa es responsable de:
– Definir apropiadamente los requisitos funcionales y de control.
– Uso adecuado de los servicios automatizados
TI es responsable de:
– Automatizar e implementar los requisitos de las funciones de
negocio y de control
– Establecer controles para mantener la integridad de controles de
aplicación.
08/05/2013 9 ISACA Valencia - 2012 / 2013
1. Principios, Políticas y Marcos
2. Procesos 3. Estructuras Organizacionales
4. Cultura, Ética
y Comportamiento
5. Información
6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,
Habilidades y
Competencias
RECURSOS
Enablers
08/05/2013 10 ISACA Valencia - 2012 / 2013
Requisito: CISO
Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo
de sistemas del negocio, la transición a la computación en la nube
esencialmente requiere que se incluya un oficial o director de seguridad de la
información de la compañía en todos los nuevos procesos de gobierno y ciclo de
vida del desarrollo de sistemas.
08/05/2013 11 ISACA Valencia - 2012 / 2013
GEIT: Business and Governance of Enterprise IT
Estableciendo los objetivos de negocio en un escenario
cloud:
– Identificar los objetivos de negocio más allá de las capacidades
actuales de IT.
– Definir las oportunidades que nos ofrece la nube.
– Cuantificar los beneficios previstos de tener las aplicaciones en
la nube.
– Identificar las regulaciones normativas que aplican.
08/05/2013 12 ISACA Valencia - 2012 / 2013
Estableciendo los objetivos de negocio en un escenario
cloud:
– Verificar cuáles de los puntos anteriores son aplicables a los
stakeholders.
– Comparar los beneficios con los beneficios obtenidos
actualmente.
08/05/2013 13 ISACA Valencia - 2012 / 2013
GEIT: Business and Governance of Enterprise IT
Cómo evolucionan nuestros controles
08/05/2013 14 ISACA Valencia - 2012 / 2013
Cada vez mas dependencia de un tercero
Se requieren cambios para expandir los enfoques y las estructuras de gobierno a
fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los
procesos de negocio.
08/05/2013 15 ISACA Valencia - 2012 / 2013
Modelos de servicio
Infraestructura como Servicio (IaaS)
Plataforma como Servicio (PaaS)
Software como Servicio (SaaS)
08/05/2013 16 ISACA Valencia - 2012 / 2013
Modelos de servicio
08/05/2013 17 ISACA Valencia - 2012 / 2013
¿Qué podemos hacer?
Conocer a nuestro proveedor de cloud
Derecho de auditoria
Asegurar la continuidad
Política de Seguridad
Transparencia de procesos
Right to be forgotten
Creatividad!
08/05/2013 18 ISACA Valencia - 2012 / 2013
Es un camino largo…
08/05/2013 19 ISACA Valencia - 2012 / 2013
No podemos desfallecer
08/05/2013 20 ISACA Valencia - 2012 / 2013
Nuevos riesgos y preocupaciones
El proveedor maneja
la información.
Recuperación de la
información.
Posible acceso de
terceros.
Equipos compartidos
en nubes públicas.
08/05/2013 21 ISACA Valencia - 2012 / 2013
Desafíos para la seguridad de la información
Técnicamente, el cloud no es seguro por su naturaleza
misma, ya que enfrenta desafíos como el control del
acceso, la centralización de los datos y la seguridad de la
información.
08/05/2013 22 ISACA Valencia - 2012 / 2013
Más requisitos
Cumplimiento de leyes,
regulaciones,
normativas, marcos…
Flujo de información
Certificación
08/05/2013 23 ISACA Valencia - 2012 / 2013
¿Está listo el mercado?
Interoperabilidad entre proveedores
08/05/2013 24 ISACA Valencia - 2012 / 2013
Controles IT para el cloud
08/05/2013 25 ISACA Valencia - 2012 / 2013
Referencias
http://www.isaca.org/topic-cloud-computing
http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/Cloud-Computing-
Business-Benefits-With-Security-Governance-and-Assurance-
Perspective.aspx
http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/IT-Control-Objectives-
for-Cloud-Computing-Controls-and-Assurance-in-the-Cloud.aspx
https://cloudsecurityalliance.org
08/05/2013 26 ISACA Valencia - 2012 / 2013
08/05/2013 27 / TOTAL DIAPOS ISACA Valencia - 2012 / 2013
GRACIAS POR SU ATENCIÓN [email protected] @csahuqui on Twitter