Cxo Seguridad Cloud V2

  • Published on
    10-Jun-2015

  • View
    289

  • Download
    0

Embed Size (px)

DESCRIPTION

Disertacion sobre los controles en entornos de servicios de Cloud

Transcript

<ul><li> 1. Objetivo Para saber cuanto hay que acercar los controles a la nube. Tomando medidas Definiciones Acercando responsabilidades Tocando la nube Aplicando controles</li></ul> <p> 2. PCI- PCI-DSS en la Nube"Las entidades que planean usar Cloud Computing parasus entornos de PCI DSS primero debe asegurarse queentiende completamente los detalles de los serviciosque se ofrecen, y llevar a cabo una evaluacin detalladade los riesgos especficos asociados con cada servicioservicio Definir claramente y documentar lasresponsabilidades Proveedor/Cliente asignadasa cada parte. El secreto: Anlisis y planificacin estratgica. 3. Tomando medidasEl Cloud y los controles Identificando lo tangible para tomar medidasConocer las necesidades Identificar los riesgos yde aplicacin para el requerimientos deNegociocontrolSeleccionar plataforma y estndar de evaluacin 4. Tomando medidas Balance de decisiones = Perfil de riesgoBalance entre Controles vs Economa/Flexibilidad Estrategia y Objetivos de Negocio Expectativas e intereses tica, Legal y Regulatorio Compromiso entre las necesidades del negocioy las expectativas del usuarioMarco que integre procesos de negociosoportados en tecnologa segura 5. Tomando medidasBeneficios del Cloud Acceso a la informacin y los servicios desde cualquierlugar. Disponibilidad del servicio y/o aplicacin web24h/7dias/365dias. Accesibilidad mediante diferentes tecnologas compatibles,tales como: PDAs, mviles, porttiles, blackberrys,netbooks, etc. Resuelve problemas de falta de capacidad o rendimiento deaplicacin, debido a que solo se necesita un navegador webe internet. (Capacidad de procesamiento y almacenamientosin instalar mquinas localmente) Empresas con facilidad de escalabilidad 6. Tomando medidasRiesgos del Cloud Prdida de la gobernabilidad Desconocimiento de procesos de gestin del proveedor Bloqueo de las operaciones Gestin de incidentes deficiente Riesgos de cumplimiento y conformidad legal Compromiso en la gestin de interfaces Deficiente proteccin de datos o almacenamientoaccidental de nmero de cuenta primaria (PAN) Inseguro o incompleto borrado de datos Deficiente gestin de privilegios Imposibilidad de acceso a la infraestructura Impedimentos para la auditabilidad y control de registros 7. Tomando medidasHardwareDesarrollo Servicio Software Despliegue deSoporte ConectividadAplicacionesAplicacionesdel Cliente del ProveedorAplicacin Plataforma InfraestructuraVirtualizacin Recursos fsicos IaaS PaaS SaaSGaranta del proveedor de no poder descifrar los datosGestin de riesgos y control al proveedor en la forma continuaGestin de incidentes, verificacin de SLA: escalamiento, comunicacin y respuesta. Externalizar responsabilidad, no subcontratarlaEvitar Acusaciones cruzadas" 8. DefinicionesLa nube en s no es inseguraPero las malas prcticas en las operaciones diarias puedencambiar este estado controlado sino aumentamos laconciencia de cada actor. AHORROGestin deGobierno RiesgoEducacinCumplimientoReinvertir en controles 9. DefinicionesAlcance de responsabilidad Cliente/Proveedor por tipo de servicioIaaS PaaS SaaSDatosSoftware y aplicaciones de usuariosSistemas operativos y bases de datosInfraestructura VirtualHardware e infraestructura de redData Center (instalaciones fsicas, infraestructura de seguridad, energa) 10. DefinicionesExtremos de responsabilidad Cliente / ProveedorIaaS PaaS SaaSDatosHardware e infraestructura de redData Center (instalaciones fsicas, infraestructura de seguridad, energa)Balance de decisiones = Perfil de riesgoTangibilizar los riesgos asociados a los extremos parapoder establecer los controles necesarios y adecuados 11. Acercando responsabilidadesModelo IaaS Cliente responsable de la encriptacin de los datos y de no compartir la clave con el Proveedor Proveedor sin responsabilidad, pero de cumplimiento deseable Cliente Proveedor Todos los controles de PCI De cumplimiento deseable Cifrado + gestin de claves Mantener los sistemas que estn a su alcanceModelo PaaS Cliente responsable de parte de los controles PCI DSS y asegurar cumplimiento del Proveedordel Requisito 12.8 Proveedor responsable de parte de los controles PCI DSS, mantener cumplimiento delRequisito 3.4 Cliente Proveedor Seguridad de aplicaciones Seguridad en la plataforma de las aplicaciones Monitoreo Seguridad fsica red y cifrado Gestin de claves Seguridad lgica 12. Acercando responsabilidadesModelo SaaS Cliente responsable de controles PCI DSS, asegurando que el Proveedor los cumple Proveedor responsable de mantener el cumplimiento de PCI Cliente Proveedor Poltica de seguridad Poltica de seguridad Seguridad de aplicaciones Seguridad fsica Monitoreo red y cifrado Gestin de claves Seguridad lgica Partes de seguridad de las aplicaciones Requisitos a tener en cuenta (I) Requisito 1: Arquitectura de firewall ("redes de nube son planas") Requisito 4.1: Criptografa y protocolos de seguridad Requisito 6.1: Gestin de parches compartida Requisito A1: Disponibilidad de los registros para la revisin por el Cliente 13. Acercando responsabilidadesRequisitos a tener en cuenta (II)Requisito 3.4: Obtener y evaluar documentacin relativa al sistema utilizado paraproteger el nmero de cuenta primario (PAN), incluidos el proveedor, el tipo desistema/proceso y los algoritmos de cifradoRequisito 12.8: Si los datos de titulares de tarjeta se comparten con proveedores deservicios, mantenga e implemente polticas y procedimientos a los fines de que losproveedores de servicio incluyan acuerdo escrito de responsabilidad sobre laseguridad de los datos de titulares de tarjetas que ellos tienen en su poder;obligatoriedad de auditora previa a la contratacin; cronograma de supervisin delcumplimiento del proveedor (propio y del tercero); plan de respuesta anteincidentes y prueba anualAnexo A: Requisitos de PCI DSS adicionales para proveedores hosting: Proteger elentorno y los datos alojados; limitar el acceso y los privilegios slo al entorno dedatos de sus propios titulares de tarjetas; asegurar la habilitacin de registros ypistas de auditora y su exclusividad para el entorno de datos de titulares de tarjetasde cada entidad; habilitar procesos de investigacin forense 14. Tocando la nubeEspacio FsicoGestin GobiernoGestin Proveedor de Riesgo de Riesgo Espacio FsicoClienteIaaSComponentesEnlaces Enlaces VirtualesPaaSComponentesVirtualesSaaS UsuarioComponentes FinalComponentes FsicosFsicosEducacinEducacin Cumplimiento 15. Tocando la nube Dos principales enfoques de cumplimiento SEGURIDAD de los datos BORRADO de los datosEncripcin, control de acceso,Organizar el proceso para asegurarmonitoreo, autenticacin, la eliminacin de los datosautorizacincontenido en cualquier medio Cifrado de datos en trnsito, Destruccin de claves utilizadas paraestticos y en backupsel cifrado de los datos Gestin de accesos e identidades Borrado seguro de discos Seguridad de las aplicaciones Destruccin fsica o(arquitectura, ciclo de vida de desmagnetizacin de soportes fsicosdesarrollo, vulnerabilidades) Verificacin de contenido para Saber ubicacin de los datos previo a confirmacin de procesos dela firma de contrato de servicios destruccin 16. Aplicando controlesGestin del RiesgoIdentificacin de Solo se conocen las interfacesactivosIdentificacin de No se conocen las instalacionesamenazasfsicas ni la infraestructuraIdentificacin de Solo lo relacionado a las interfacesvulnerabilidadesMedir el riesgo Desde la visin del negocio yanalizando impacto de cada servicioImplementar Nuevas metodologascontroles 17. Aplicando controlesAmenazas yvulnerabilidades IaaSPaaSSaaSClienteAuditoria externa Solicitud de Evaluacin de registros (auditoria vulnerabilidades interna, sobre las certificaciones) interfasesProveedorAuditoria interna e implementacin de estndares de seguridad 18. Aplicando controlesNormativas yregulaciones IaaSPaaSSaaSClienteGestin de datosUbicacin del Combinacin desarrollo en laintegrando modelo nube, de software del SP procesamiento con infraestructura local local del ClienteProveedorPosibilitar mltiples orgenes de datos; locacin fsica de los activos cumpliendo regulaciones locales; integracin del departamento de legales 19. Aplicando controlesConfidencialidad IaaS PaaS SaaSClienteSeleccin de AsignarUtilizar el modelo proveedorresponsabilidadesde software del SP propietario de lade solo para infraestructuraconfidencialidad aplicaciones nomediante seguros crticasy acuerdosProveedorLocaciones y procesos con certificaciones internacionales, sistema de gestin de riesgos, implementacin de APIs y protoclos de encripcin propios del Cliente 20. Aplicando controlesIntegridad IaaSPaaS SaaSClienteControl de acceso Separacin deAnlisis exhaustivo por locacinambientesde integracin de probadas servicios coninformacin crticaProveedorHerramientas de control de acceso centralizadas, emisin de reportes, adecuacin de la infraestructura y arquitectura de servicio que optimice las tareas forenses 21. Aplicando controlesDisponibilidad IaaS PaaS SaaSClienteComponentes Escalabilidad delAcuerdo de Nivel redundantes y software y de la de Servicio que escalabilidad dearquitectura media garantice la vnculos continuidad deacuerdo a losrequerimientos delNegocioProveedorGarantizar componentes redundantes; incluir mtricas de disponibilidad en los SLAs; procesos e instalaciones estandarizadas para todas las locaciones 22. Aplicando controlesRegistros y pistasde auditoria IaaSPaaS SaaSClienteAlmacenar Separacin deEjecutar auditorias localmenteambientes yexternas segn lo recoleccin de pactado por SLA evidenciasProveedorReporte segn lo pactado en SLA; dimensionar la capacidad para cubrir requerimiento de pistas de auditoria; disponibilidad de herramientas especificas para anlisis de incidentes 23. Aplicando controlesGobiernoGestin de Riesgo Invertir parte del ahorro en controles SLAs y requisitos contractuales que Implementar un Programa de reflejen gestin de riesgoSeguridad de la Informacin Exigir contractualmente evaluaciones Evaluar los procesos de gestin de ITde vulnerabilidad y pentestde los Proveedores Estrategia de gestin de riesgos por Incorporar en el contrato de servicios parte del proveedor en contratosacciones colaborativas de gestin Establecer revisiones y auditorias Mtricas de cumplimiento peridicas EducacinCumplimiento Verificar la capacitacin continua del Verificar peridicamente la gestin depersonal de terceras partesterceros del Proveedor Asegurar la participacin de personal Auditar polticas, procesos ydebidamente certificadoprocedimientos de continuidad del Verificar la induccin ante cambio o proveedor y sus evaluacionesingreso de personalrealizadas a terceros Establecer un cronograma anual de Verificar el Marco Normativo y sucapacitacin cumplimiento en la gestin del servicio 24. EstndaresISO/IEC 27017Information technology -- Security techniques -- Information security management -Guidelines on information security controls for the use of cloud computing servicesbased on ISO/IEC 27002En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua deseguridad para Cloud Computing 25. Recomendaciones Desarrolle escenarios como plantilla para sus proyectos Desarrolle una matriz de responsabilidad compartida Incluir en los contratos con el Proveedor la recuperacin delos datos al finalizar la relacin contractual Ejecutar los controles y gestin de riesgos en formacontinua y mantener el cumplimiento PCI por parte delProveedor Orientar la seleccin a proveedores certificados Asegurar la intervencin interdisciplinaria de diferentessectores de la Organizacin en sus proyectos (Legales,Tecnologa, Seguridad Informtica, Desarrollo, Facilities,etc.) 26. Conclusiones Reduccin de costos y mayor foco en el Negocio Robustecer la seguridad en base a lascapacidades del proveedor, y as reducir la cargalocal de cumplimiento PCI compartida con elproveedor Mitigacin de riesgos a travs de contratos y SLAsorientados a los Controles y Gestin de Riesgo 27. MUCHAS GRACIAS Nubes Controladas Subiendo los controles a la NubeUniversidad del CEMA - Auditorio PrincipalBuenos Aires Argentina (2012)Fabin Descalzo Chief Information Security Oficcer CISOfdescalzo@cidi.com.ar</p>