¿cómo mantener la seguridad en la nube? tendencias y mejores
TRANSCRIPT
26/06/2014
Ignacio Ivorra
Comité Técnico Operativo del CSA-ES
Gerente / Deloitte
¿Cómo mantener la seguridad en la nube?
Tendencias y mejores prácticas
ÍNDICE
Presentación del CSA
Retos seguridad en cloud
Medidas de seguridad en cloud
Herramientas disponibles
Sobre el Cloud Security Alliancewww.cloudsecurityalliance.org
• Global, not-for-profit organisation • Over 40,000 individual members, more than 160
corporate members, over 60 chapters • Building best practices and a trusted cloud ecosystem
“To promote the use of best practices for providing security assurance within Cloud Computing, and
provide education on the uses of Cloud Computing to help secure all other forms of computing.”
CSA ESCapítulo local en España de CSA
Miembros• Fundado por ISMS
Fórum y Barcelona Digital
• Junta Directiva• Comité Técnico
Operativo• Profesionales
Algunas iniciativas• Guía CSA• Cloud Control Matrix• Certificación CCSK• Certificación CSA STAR• Estudio Seguridad
Cloud• Eventos
www.ismsforum.es/iniciativas/index.php?idcategoria=5
www.linkedin.com/groups?gid=1864210 @Cloudsa_spain
ÍNDICE
Presentación del CSA
Retos seguridad en cloud
Medidas de seguridad en cloud
Herramientas disponibles
Relevancia de la seguridad en cloud
Estudio del estado de seguridad en Cloud Computing (Año 2013)
El usuario tipo de CloudAcceso a servicios de almacenamiento
Busca nuevas funcionalidades
Valora fuertemente las funciones de seguridad
Ha llegado al 77% de las organizaciones
Estudio del estado de seguridad en Cloud Computing (Año 2013)
ÍNDICE
Presentación del CSA
Retos seguridad en cloud
Medidas de seguridad en cloud
Herramientas disponibles
Algunos elementos clavePrivacidad
• Diferencia legislación entre países• Ciclo de vida de la información• Política de seguridad. Roles y responsabilidades• Localización (física y lógica)• Acceso a la información• Tratamiento realizado de datos• Controles: Control de acceso, cifrado, DLP…
Algunos elementos claveGestión de riesgos
• Dependen de la implantación y modelo• Responsabilidad del cliente
del cliente
Algunos elementos claveVirtualización
• Elementos clave: Multitenancy /Virtual desktop
• Seguridad:– Hipervisor: bastionado, ataques red, arranque, cifrado– Gestión de datos: mezcla, segregación, destrucción
• Rendimiento
• Recomendaciones– Identificar usos y definir políticas de seguridad– Entornos separados: pruebas, desarrollo, producción…– Bastionado certificado y cifrado– Auditoria de red y datos– Verificación
Algunos elementos claveOtros
• Cumplimiento legal
• Cifrado y gestión de claves
• Respuesta ante incidentes
• Gestión de identidades
• Seguridad en las aplicaciones
• Seguridad tradicional: Física, continuidad negocio
• Contratación y eDiscovery
• Auditoria
Algunos elementos claveSecaaS: Security as a Service
• Servicios: SIEM, IDS/IPS, Gestión identidades, DLP, Seguridad Web, Cifrado, Continuidad,
• Ventajas– Valor añadido
– Gestión experta de terceros
– Cumplimiento
– Colaboración
• Inconvenientes– Dependencias en áreas estratégicas
– Cultura de seguridad
ÍNDICE
Presentación del CSA
Retos seguridad en cloud
Medidas de seguridad en cloud
Herramientas disponibles
CSA GUIDE, versión 3.0Mejores prácticas seguridad cloud
Buenas Práctica
s
1er Documento
CSA
Mejores prácticas
Seguridad Cloud
A nivel Mundial
Creadas por
Expertos
Para la Comunidad
CSA GUIDE, versión 3.0Mejores prácticas seguridad cloud
Arquitectura Cloud
Gobierno
Ges
tión
de R
iesg
os
Cue
stio
nes
Lega
les
Aud
itoría
Seg
urid
ad d
e D
atos
Inte
rope
rabi
lidad
Operaciones
Seg
urid
ad,
Con
tinui
dad
Neg
ocio
Seg
urid
ad C
PD
Seg
urid
ad A
plic
acio
nes
Cifr
ado.
Cla
ves
Iden
tidad
y A
cces
os
Virtu
aliz
ació
n
SE
Caa
S
CCM (Cloud Control Matrix)Matriz controles mejores prácticas
COMPLIANCE DATA GOVERNANCE
FACILITY SECURITY
HUMAN RESOURCES
INFORMATION SECURITY LEGAL OPERATIONS
MANAGEMENT
RISK MANAGEMENT
RELEASE MANAGEMENT
RESILIENCY SECURITY ARCHITECHTURE
• Comparativa: ISO 27001-2005, COBIT 4.1, LOPD, ENS…
CSA STARRegistro público controles proveedor
Obj
etiv
osB
enef
icio
s• Marco común de evaluación.
• Capacidad de decisión y comparación para cliente.
• Evaluación neutral de terceros.
• Independiente de la tecnología.
• Visibilidad y eficiencia gestión seguridad
• Identificación de fortalezas
• Revisión independiente
• Orientación al mercado
CSA STARRegistro público controles proveedor
26/06/2014
Ignacio Ivorra
Comité Técnico Operativo del CSA-ES
Gerente / Deloitte
“¿Cómo mantener la seguridad en la nube?
Tendencias y mejores prácticas