Cxo Seguridad Cloud V2

ObjetivoObjetivo

… Para saber cuanto hay que acercar los … Para saber cuanto hay que acercar los controles a la nube.controles a la nube.

• Tomando medidas• Definiciones• Acercando responsabilidades• “Tocando” la nube• Aplicando controles

PCIPCI--DSS en la NubeDSS en la Nube

"Las entidades que planean usar Cloud Computing para sus entornos de PCI DSS primero debe asegurarse que entiende completamente los detalles de los servicios entiende completamente los detalles de los servicios que se ofrecen, y llevar a cabo una evaluación detallada que se ofrecen, y llevar a cabo una evaluación detallada de los riesgos específicos asociados con cada serviciode los riesgos específicos asociados con cada servicio”

Definir claramente y documentar las responsabilidades Proveedor/Cliente asignadas

a cada parte.

El secreto: Análisis y planificación estratégica.

Tomando medidasTomando medidas

El Cloud y los controlesIdentificando lo tangible para tomar medidas

Conocer las necesidades Identificar los riesgos y Conocer las necesidades de aplicación para el

Negocio

Seleccionar plataforma y estándar de evaluación

Identificar los riesgos y requerimientos de

control


• Estrategia y Objetivos de Negocio• Expectativas e intereses• Ética, Legal y Regulatorio

Balance de decisiones = Perfil de riesgoBalance de decisiones = Perfil de riesgoBalance entre Controles vs Economía/Flexibilidad

• Ética, Legal y Regulatorio• Compromiso entre las necesidades del negocio

y las expectativas del usuario

Marco que integre procesos de negocio Marco que integre procesos de negocio soportados en tecnología segurasoportados en tecnología segura


• Acceso a la información y los servicios desde cualquier lugar.

• Disponibilidad del servicio y/o aplicación web 24h/7dias/365dias.

• Accesibilidad mediante diferentes tecnologías compatibles,

Beneficios del CloudBeneficios del Cloud

Accesibilidad mediante diferentes tecnologías compatibles, tales como: PDAs, móviles, portátiles, blackberrys, netbooks, etc.

• Resuelve problemas de falta de capacidad o rendimiento de aplicación, debido a que solo se necesita un navegador web e internet. (Capacidad de procesamiento y almacenamiento sin instalar máquinas localmente)

• Empresas con facilidad de escalabilidad


• Pérdida de la gobernabilidad• Desconocimiento de procesos de gestión del proveedor• Bloqueo de las operaciones• Gestión de incidentes deficiente• Riesgos de cumplimiento y conformidad legal• Compromiso en la gestión de interfaces

Riesgos del CloudRiesgos del Cloud

• Compromiso en la gestión de interfaces• Deficiente protección de datos o almacenamiento

accidental de número de cuenta primaria (PAN)• Inseguro o incompleto borrado de datos• Deficiente gestión de privilegios• Imposibilidad de acceso a la infraestructura• Impedimentos para la auditabilidad y control de registros


HardwareSoftware

Conectividad

ServicioSoporte

Aplicaciones del Proveedor

Desarrollo Despliegue de Aplicaciones del Cliente

Aplicación Aplicación Plataforma Plataforma

Infraestructura Infraestructura Virtualización Virtualización

IaaSIaaS SaaSSaaSPaaSPaaSVirtualización Virtualización

Recursos físicos Recursos físicos

Externalizar responsabilidad, no subcontratarlaExternalizar responsabilidad, no subcontratarlaEvitar “Acusaciones cruzadas"Evitar “Acusaciones cruzadas"

Garantía del proveedor de no poder descifrar los datosGestión de riesgos y control al proveedor en la forma continuaGestión de incidentes, verificación de SLA: escalamiento, comunicación y respuesta.

DefinicionesDefiniciones

La nube en sí no es inseguraLa nube en sí no es inseguraPero las malas prácticas en las operaciones diarias pueden

cambiar este estado “controlado” sino aumentamos la

conciencia de cada actor.

AHORRO

GobiernoGestión de

Riesgo

Educación Cumplimiento

Reinvertir en controlesReinvertir en controles


Alcance de responsabilidad Cliente/Proveedor por tipo de servicioAlcance de responsabilidad Cliente/Proveedor por tipo de servicio

IaaSIaaS SaaSSaaSPaaSPaaS

Datos

Software y aplicaciones de usuarios

Sistemas operativos y bases de datosSistemas operativos y bases de datos

Infraestructura Virtual

Hardware e infraestructura de red

Data Center (instalaciones físicas, infraestructura de seguridad, energía)


Extremos de responsabilidad Cliente / ProveedorExtremos de responsabilidad Cliente / Proveedor

IaaSIaaS SaaSSaaSPaaSPaaS

Datos

Hardware e infraestructura de red

Data Center (instalaciones físicas, infraestructura de seguridad, energía)Data Center (instalaciones físicas, infraestructura de seguridad, energía)

Balance de decisiones = Perfil de riesgoBalance de decisiones = Perfil de riesgo

TangibilizarTangibilizar los riesgos asociados a los “extremos” para los riesgos asociados a los “extremos” para poder establecer los controles necesarios y adecuadospoder establecer los controles necesarios y adecuados

Acercando responsabilidadesAcercando responsabilidades

Proveedor

• De cumplimiento deseable

Cliente

• Todos los controles de PCI

• Cifrado + gestión de claves

• Mantener los sistemas que estén a su alcance

Modelo IaaS• Cliente responsable de la encriptación de los datos y de no compartir la clave con el Proveedor

• Proveedor sin responsabilidad, pero de cumplimiento deseable

Modelo PaaS• Cliente responsable de parte de los controles PCI DSS y asegurar cumplimiento del Proveedor

Proveedor

• Seguridad en la plataforma de las aplicaciones

• Seguridad física

• red y cifrado

• Gestión de claves

• Seguridad lógica

Cliente

• Seguridad de aplicaciones

• Monitoreo

• Cliente responsable de parte de los controles PCI DSS y asegurar cumplimiento del Proveedor

del Requisito 12.8

• Proveedor responsable de parte de los controles PCI DSS, mantener cumplimiento del

Requisito 3.4


Proveedor

• Política de seguridad

• Seguridad física

• red y cifrado

• Gestión de claves


Cliente

• Política de seguridad

• Seguridad de aplicaciones

• Monitoreo

Modelo SaaS• Cliente responsable de controles PCI DSS, asegurando que el Proveedor los cumple

• Proveedor responsable de mantener el cumplimiento de PCI

Requisitos a tener en cuenta (I)Requisitos a tener en cuenta (I)

Requisito 1: Arquitectura de firewall ("redes de nube son planas")

Requisito 4.1: Criptografía y protocolos de seguridad

Requisito 6.1: Gestión de parches compartida

Requisito A1: Disponibilidad de los registros para la revisión por el Cliente


• Partes de seguridad de las aplicaciones


Requisito 3.4: Obtener y evaluar documentación relativa al sistema utilizado para

proteger el número de cuenta primario (PAN), incluidos el proveedor, el tipo de

sistema/proceso y los algoritmos de cifrado

Requisito 12.8: Si los datos de titulares de tarjeta se comparten con proveedores de

servicios, mantenga e implemente políticas y procedimientos a los fines de que los

proveedores de servicio incluyan acuerdo escrito de responsabilidad sobre la

seguridad de los datos de titulares de tarjetas que ellos tienen en su poder;

Requisitos a tener en cuenta (II)Requisitos a tener en cuenta (II)

seguridad de los datos de titulares de tarjetas que ellos tienen en su poder;

obligatoriedad de auditoría previa a la contratación; cronograma de supervisión del

cumplimiento del proveedor (propio y del tercero); plan de respuesta ante

incidentes y prueba anual

Anexo A: Requisitos de PCI DSS adicionales para proveedores hosting: Proteger el

entorno y los datos alojados; limitar el acceso y los privilegios sólo al entorno de

datos de sus propios titulares de tarjetas; asegurar la habilitación de registros y

pistas de auditoría y su exclusividad para el entorno de datos de titulares de tarjetas

de cada entidad; habilitar procesos de investigación forense

“Tocando” la nube“Tocando” la nube

IaaSIaaSPaaSPaaSSaaSSaaS

Espacio FísicoProveedor Espacio Físico

Cliente

EnlacesEnlaces

Gobierno Gestión de Riesgo

Gestión de Riesgo

ComponentesVirtuales

ComponentesVirtuales

SaaSSaaS

ComponentesFísicos

ComponentesFísicos

UsuarioFinal

Educación

Cumplimiento

Educación

Virtuales

Dos principales enfoques de cumplimientoDos principales enfoques de cumplimiento

SEGURIDAD de los datos

Encripción, control de acceso,

monitoreo, autenticación,

autorización

BORRADO de los datos

Organizar el proceso para asegurar

la eliminación de los datos

contenido en cualquier medio

“Tocando” la nube“Tocando” la nube

• Cifrado de datos en tránsito,

estáticos y en backups

• Gestión de accesos e identidades

• Seguridad de las aplicaciones

(arquitectura, ciclo de vida de

desarrollo, vulnerabilidades)

• Saber ubicación de los datos previo a

la firma de contrato de servicios

• Destrucción de claves utilizadas para

el cifrado de los datos

• Borrado seguro de discos

• Destrucción física o

desmagnetización de soportes físicos

• Verificación de contenido para

confirmación de procesos de

destrucción

Aplicando controlesAplicando controles

Gestión del RiesgoIdentificación de

activos

Solo se conocen las interfaces

Identificación de

amenazas

No se conocen las instalaciones

físicas ni la infraestructuraamenazas físicas ni la infraestructura

Identificación de

vulnerabilidades

Solo lo relacionado a las interfaces

Medir el riesgo Desde la visión del negocio y

analizando impacto de cada servicio

Implementar

controles

Nuevas metodologías


Amenazas y vulnerabilidades

IaaS PaaS SaaS

Cliente Auditoria externa Solicitud de

registros (auditoria

interna,

Evaluación de

vulnerabilidades

sobre las interna,

certificaciones)

sobre las

interfases

Proveedor Auditoria interna e implementación de estándares de

seguridad


Normativas y regulaciones

IaaS PaaS SaaS

Cliente Gestión de datos Ubicación del

desarrollo en la

nube,

procesamiento

Combinación

integrando modelo

de software del SP

con infraestructura procesamiento

local

con infraestructura

local del Cliente

Proveedor Posibilitar múltiples orígenes de datos; locación física de los

activos cumpliendo regulaciones locales; integración del

departamento de legales


Confidencialidad IaaS PaaS SaaSCliente Selección de

proveedor

propietario de la

infraestructura

Asignar

responsabilidades

de

confidencialidad

Utilizar el modelo

de software del SP

solo para

aplicaciones no infraestructura confidencialidad

mediante seguros

y acuerdos

aplicaciones no

críticas

Proveedor Locaciones y procesos con certificaciones internacionales,

sistema de gestión de riesgos, implementación de APIs y

protoclos de encripción propios del Cliente


Integridad IaaS PaaS SaaSCliente Control de acceso

por locación

Separación de

ambientes

probadas

Análisis exhaustivo

de integración de

servicios con probadas servicios con

información crítica

Proveedor Herramientas de control de acceso centralizadas, emisión de

reportes, adecuación de la infraestructura y arquitectura de

servicio que optimice las tareas forenses


Disponibilidad IaaS PaaS SaaSCliente Componentes

redundantes y

escalabilidad de

vínculos

Escalabilidad del

software y de la

arquitectura media

Acuerdo de Nivel

de Servicio que

garantice la

continuidad de

acuerdo a los acuerdo a los

requerimientos del

Negocio

Proveedor Garantizar componentes redundantes; incluir métricas de

disponibilidad en los SLAs; procesos e instalaciones

estandarizadas para todas las locaciones


Registros y pistas de auditoria

IaaS PaaS SaaS

Cliente Almacenar

localmente

Separación de

ambientes y

recolección de

evidencias

Ejecutar auditorias

externas según lo

pactado por SLA

evidencias

Proveedor Reporte según lo pactado en SLA; dimensionar la capacidad

para cubrir requerimiento de pistas de auditoria;

disponibilidad de herramientas especificas para análisis de

incidentes


Gobierno

• Invertir parte del ahorro en controles

• Implementar un Programa de Seguridad de la Información

• Evaluar los procesos de gestión de IT de los Proveedores

• Incorporar en el contrato de servicios acciones colaborativas de gestión

• Métricas de cumplimiento

Gestión de Riesgo

• SLAs y requisitos contractuales que reflejen gestión de riesgo

• Exigir contractualmente evaluaciones de vulnerabilidad y pentest

• Estrategia de gestión de riesgos por parte del proveedor en contratos

• Establecer revisiones y auditorias periódicas

Educación

• Verificar la capacitación continua del personal de terceras partes

• Asegurar la participación de personaldebidamente certificado

• Verificar la inducción ante cambio o ingreso de personal

• Establecer un cronograma anual de capacitación

Cumplimiento

• Verificar periódicamente la gestión de terceros del Proveedor

• Auditar políticas, procesos y procedimientos de continuidad del proveedor y sus evaluaciones realizadas a terceros

• Verificar el Marco Normativo y su cumplimiento en la gestión del servicio

EstándaresEstándares

ISO/IEC 27017Information technology -- Security techniques -- Information security management -Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002

En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad para Cloud Computing

RecomendacionesRecomendaciones

• Desarrolle escenarios como plantilla para sus proyectos• Desarrolle una matriz de responsabilidad compartida• Incluir en los contratos con el Proveedor la recuperación de

los datos al finalizar la relación contractual• Ejecutar los controles y gestión de riesgos en forma

continua y mantener el cumplimiento PCI por parte del continua y mantener el cumplimiento PCI por parte del Proveedor

• Orientar la selección a proveedores certificados• Asegurar la intervención interdisciplinaria de diferentes

sectores de la Organización en sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)

ConclusionesConclusiones

• Reducción de costos y mayor foco en el Negocio• Robustecer la seguridad en base a las

capacidades del proveedor, y así reducir la carga “local” de cumplimiento PCI compartida con el proveedorproveedor

• Mitigación de riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo

MUCHAS GRACIASMUCHAS GRACIAS

Nubes ControladasNubes ControladasSubiendo los controles a la NubeSubiendo los controles a la Nube

Fabián DescalzoChief Information Security Oficcer – CISO

[email protected]

Universidad del CEMA Universidad del CEMA -- Auditorio PrincipalAuditorio PrincipalBuenos Aires – Argentina (2012)

Documents

Cxo Seguridad Cloud V2