Luciano Moreira da Cruz Vicepresidente, CSA Argentina

Leonardo RossoPresidente, CSA Argentina

Partes interesada en la nube en las organizaciones

Clientes Business managers, CEO/CFO

CIO Legal Security

Están mis datos Seguros?

La satisfacción del cliente, retorno de la inversión, el EBITDA

ROI, Arquitectura del Sistema,migraciones

Tratamiento de datos y sus jurisdicciones, Privacidad

Arquitectura segura, monitoreo, análisis de amenazas

La confianza una de las principales cartas que tiene los proveedores al momento de diferenciarse de sus competidores

Confianza y la nube ¿que debemos tener en cuenta?

Proveedor CLOUD Cliente CLOUD

OCF - Estructura del Esquema de Certificación Abierto

• criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento (GRC) en nubes privadas, públicas o híbridas

• https://cloudsecurityalliance.org/research/grc-stack/

• Formado por 4 proyectos• Cloud Controls Matrix (CCM)• Consensus Assessments Initiative (CAI)• Cloud Audit • Cloud Trust Protocol (CTP)

• Impacto en la industria• Criterios de evaluación para cumplir metas de

Gobierno, Gestión de Riesgos y Cumplimiento • Pilotos técnicos• Certificación de proveedores a través del

programa STAR

Delivering Stack Pack Descripción

La monitorización continua ... con un propósito

• las técnicas comunes y la nomenclatura para solicitar y recibir evidencia y comprobación de las circunstancias actuales del servicio de nube de los proveedores

Pedidos, ofertas, y la base para la prestación de servicios

de auditoría

• interfaz común y un espacio de nombres para automatizar la auditoría, aserción, evaluación y aseguramiento (A6) de entornos de nube

listas de comprobación previa a la auditoría y cuestionarios para inventariar los controle

• formas aceptadas por la industria para documentar los controles de seguridad existentes

Las bases recomendadas para los controles

• Principios fundamentales de seguridad con las especificaciones de las necesidades globales de seguridad de una nube, para que los consumidores puedan evaluar el riesgo general de seguridad de un proveedor de la nube

CSA GRC ecuación de valor Contribuciones para los consumidores y proveedores

¿Qué requisitos de control debería

tener como consumidor de nube o

proveedor de la nube?

¿Cómo pregunto acerca de los requisitos de control que están cumpliendo (consumidor) o expresar mi reclamo de respuesta de un control (proveedor)?

¿Cómo puedo anunciar y automatizar

mis demandas de auditoría para los

diferentes mandatos de cumplimiento

y obligaciones de control?

¿Cómo sé que los controles que

necesito están trabajando para mí

ahora (consumidor)? ¿Cómo puedo

proporcionar seguridad real y la

transparencia del servicio a todos mis

usuarios de la nube (proveedor)?

Demandas

estáticas y

garantías

Dinámica

(continua)

monitoreo y la

transparencia

Cuestionario para la Documentación de Controles de Seguridad en Servicios de Cloud Computing.

https://cloudsecurityalliance.org/research/cai/

Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.

Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP

https://cloudsecurityalliance.org/research/ccm/

Application Security AIS-01 Data Focus Risk Assessments GRM-02 VMM Security - Hypervisor Hardening IVS-11

Customer Access Requirements AIS-02 Management Oversight GRM-03 Wireless Security IVS-12

Data Integrity AIS-03 Management Program GRM-04 Network Architecture IVS-13

Data Security / Integrity AIS-04 Management Support/Involvement GRM-05 APIs IPY-01

Audit Planning AAC-01 Policy GRM-06 Data Request IPY-02

Independent Audits AAC-02 Policy Enforcement GRM-07 Policy & Legal IPY-03

Information System Regulatory Mapping AAC-03 Policy Impact on Risk Assessments GRM-08 Standardized Network Protocols IPY-04

Business Continuity Planning BCR-01 Policy Reviews GRM-09 Virtualization IPY-05

Business Continuity Testing BCR-02 Risk Assessments GRM-10 Anti-Malware MOS-01

Datacenter Utilities / Environmental Conditions BCR-03 Risk Management Framework GRM-11 Application Stores MOS-02

Documentation BCR-04 Asset Returns HRS-01 Approved Applications MOS-03

Environmental Risks BCR-05 Background Screening HRS-02 Approved Software for BYOD MOS-04

Equipment Location BCR-06 Employment Agreements HRS-03 Awareness and Training MOS-05

Equipment Maintenance BCR-07 Employment Termination HRS-04 Cloud Based Services MOS-06

Equipment Power Failures BCR-08 Mobile Device Management HRS-05 Compatibility MOS-07

Impact Analysis BCR-09 Non-Disclosure Agreements HRS-06 Device Eligibility MOS-08

Policy BCR-10 Roles / Responsibilities HRS-07 Device Inventory MOS-09

Retention Policy BCR-11 Technology Acceptable Use HRS-08 Device Management MOS-10

New Development / Acquisition CCC-01 Training / Awareness HRS-09 Encryption MOS-11

Outsourced Development CCC-02 User Responsibility HRS-10 Jailbreaking and Rooting MOS-12

Quality Testing CCC-03 Workspace HRS-11 Legal MOS-13

Unauthorized Software Installations CCC-04 Audit Tools Access IAM-01 Lockout Screen MOS-14

Production Changes CCC-05 Credential Lifecycle / Provision Management IAM-02 Operating Systems MOS-15

Classification DSI-01 Diagnostic / Configuration Ports Access IAM-03 Passwords MOS-16

Data Inventory / Flows DSI-02 Policies and Procedures IAM-04 Policy MOS-17

eCommerce Transactions DSI-03 Segregation of Duties IAM-05 Remote Wipe MOS-18

Handling / Labeling / Security Policy DSI-04 Source Code Access Restriction IAM-06 Security Patches MOS-19

Non-Production Data DSI-05 Third Party Access IAM-07 Users MOS-20

Ownership / Stewardship DSI-06 Trusted Sources IAM-08 Contact / Authority Maintenance SEF-01

Secure Disposal DSI-07 User Access Authorization IAM-09 Incident Management SEF-02

Asset Management DCS-01 User Access Reviews IAM-10 Incident Reporting SEF-03

Controlled Access Points DCS-02 User Access Revocation IAM-11 Incident Response Legal Preparation SEF-04

Equipment Identification DCS-03 User ID Credentials IAM-12 Incident Response Metrics SEF-05

Off-Site Authorization DCS-04 Utility Programs Access IAM-13 Data Quality and Integrity STA-01

Off-Site Equipment DCS-05 Audit Logging / Intrusion Detection IVS-01 Incident Reporting STA-02

Policy DCS-06 Change Detection IVS-02 Network / Infrastructure Services STA-03

Secure Area Authorization DCS-07 Clock Synchronization IVS-03 Provider Internal Assessments STA-04

Unauthorized Persons Entry DCS-08 Information System Documentation IVS-04 Supply Chain Agreements STA-05

User Access DCS-09 Management - Vulnerability Management IVS-05 Supply Chain Governance Reviews STA-06

Entitlement EKM-01 Network Security IVS-06 Supply Chain Metrics STA-07

Key Generation EKM-02 OS Hardening and Base Conrols IVS-07 Third Party Assessment STA-08

Sensitive Data Protection EKM-03 Production / Non-Production Environments IVS-08 Third Party Audits STA-09

Storage and Access EKM-04 Segmentation IVS-09 Anti-Virus / Malicious Software TVM-01

Baseline Requirements GRM-01 VM Security - vMotion Data Protection IVS-10 Vulnerability / Patch Management TVM-02

Mobile Code TVM-03

STAR plataforma que ofrece un registro público de servicios de cloud computing, en el cual se describen los controles de seguridad implementados en cada uno de ellos.

https://cloudsecurityalliance.org/star/

No se olviden que la privacidad es la base de

la Confianza en un servicio Cloud, sobre

todo sobre servicios de Cloud tercerizados o sub-

gestionados.

Conclusión

“human ingenuity could not construct a cipher which human ingenuity could not solve.”

CSA Research Portfolio

• Nuestro centro de investigación incluyeproyectos fundamentales necesarios paradefinir y poner en práctica la confianza enel futuro de la tecnología de la información

• CSA sigue siendo agresiva en la producciónde investigación fundamental, educación yherramientas

• +30 Grupos de Trabajo a nivel Global

lucianomoreira9@hotmail.com

@luciano_m_cruz

lucianomoreiradacruz

https://ar.linkedin.com/in/lucianomoreiradacruz

leonardo.federico.rosso@gmail.com

leonardo.rosso

https://www.linkedin.com/in/lrosso/es

Gracias

@CSA_AR

facebook.com/csaargentina

https://chapters.cloudsecurityalliance.org/argentina/

https://www.linkedin.com/grp/home?gid=3350613

contact@ar.chapters.cloudsecurityalliance.org