Implicaciones de seguridad al migrar un entorno de TI a la nube

826 views
686 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
826
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
25
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Implicaciones de seguridad al migrar un entorno de TI a la nube

  1. 1. Implicaciones de seguridad al migrar un entorno de TI a la nube Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013
  2. 2. Victoriano Gómez Garrido Socio fundador y CEO de ITeratum, S.L., empresa dedicada a la consultoría, formación y actividad editorial en temas de ITSM. Más de 30 años de experiencia laboral repartida entre Dirección de Proyectos nacionales e internacionales y Gestión del Servicio: Business Area Manager sector Industria en Atos Origin Steering Committee Member en el proyecto de la Comisión Europea “Mediating and Monitoring Electronic Commerce” Responsable de Comercio Electrónico B2B para España y Portugal en Philips ITIL® Expert, Consultant/Manager ISO/IEC 20000, Certified Integrator in Secure Cloud Services, Certificado en ISO/IEC 27002 Autor del Workbook oficial de EXIN “Fundamentos de ITSM de EXIN basado en ISO/IEC 20000” Conferencista ITeratum, S.L. c/ Ribera del Loira, 46 - 28042 Madrid – España Telf.: +34 915 030 020 / Fax: +34 916 201 777 vgomez@iteratum.es http://www.iteratum.es/ http://www.editorial.iteratum.com/
  3. 3. ¿Qué es el Cloud Computing? ¿Migrar o no migrar…? ¿Cómo elijo proveedor? ¿Es segura la Nube? Recomendaciones finales
  4. 4. Diapositiva 4 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Qué es el Cloud Computing? “Cloud Computing es un modelo para hacer posible el acceso ubicuo, conveniente y bajo demanda a través de la red a un conjunto compartido de recursos informáticos configurables (p.e., redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser rápidamente aprovisionados y liberados con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios.” NIST - National Institute of Standards and Technology (2011) Definición
  5. 5. Diapositiva 5 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Qué es el Cloud Computing? Características Esenciales Autoservicio bajo demanda Conjunto de recursos (multicliente) Rapidez y elasticidad (flexibilidad, escalabilidad) Servicio medido (pago por uso) Amplio acceso a la red ( “cualquier momento, cualquier lugar, cualquier dispositivo”) Los servicios en la nube se basan en cinco características esenciales:
  6. 6. Diapositiva 6 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Qué es el Cloud Computing? Modelos de Servicio SoftwareasaService PlatformasaService InfrastructureasaService Permite utilizar las aplicaciones del proveedor que se ejecutan en la nube El consumidor no gestiona ni controla la infraestructura de la nube Ejemplos de SaaS: Facebook Twitter Gmail Dropbox Skype Microsoft Office 365 Adobe Creative Cloud
  7. 7. Diapositiva 7 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Qué es el Cloud Computing? Modelos de Servicio SoftwareasaService PlatformasaService InfrastructureasaService Permite al consumidor utilizar lenguajes y herramientas de pro- gramación soportados por el proveedor para desarrollar aplica- ciones que se pueden ejecutar en la nube El consumidor no gestiona ni controla la infraestructura de la nube pero tiene el control sobre las aplicaciones desplegadas Ejemplos de PaaS: Windows Azure Amazon Elastic Compute Cloud (Amazon EC2) Google App Engine
  8. 8. Diapositiva 8 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Qué es el Cloud Computing? Modelos de Servicio SoftwareasaService PlatformasaService InfrastructureasaService Permite al consumidor abastecerse de procesamiento, almacenamien- to, redes y otros recursos de forma que pueda desplegar y ejecutar software, incluyendo sistemas operativos y aplicaciones El consumidor no gestiona ni controla la infraestructura de la nube pero tiene control sobre los sistemas operativos, almacena- miento, aplicaciones desplegadas Ejemplos de IaaS: Rackspace Cloud VMware vCloud
  9. 9. Diapositiva 9 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Qué es el Cloud Computing? Responsabilidad vs. Control SoftwareasaService PlatformasaService InfrastructureasaService ResponsabilidaddelProveedor Controldelclientesobrelainfraestructura
  10. 10. Diapositiva 10 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Qué es el Cloud Computing? Modelos de Despliegue
  11. 11. Diapositiva 11 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Es segura la Nube? Riesgos en la Nube
  12. 12. Diapositiva 12 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Es segura la Nube? Riesgos en la Nube Fuente y Copyright: Cloud Security Alliance (CSA), documento: ‘Cloud Security Alliance “Top Threats to Cloud Computing” Versión 1.0 (2010)’ Riesgos Medidas de Mitigación Pérdida / desaparición de datos Autenticación, Auditorías Vulnerabilidades de la tecnología compartida Procedimientos y prácticas operativas de seguridad Interfaces de aplicación inseguros Diseño de seguridad Personas maliciosas con información privilegiada Investigación del personal Abuso y uso malicioso del Cloud Computing Validación de credenciales, monitorización activa del tráfico Riesgos desconocidos en perfiles y cuentas Buenos SLA y auditorías Secuestro de cuentas, servicio y tráfico de información Sólida autenticación, monitorización activa
  13. 13. Diapositiva 13 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Es segura la Nube? La norma ISO/IEC 27002 La Organización Internacional de Normalización (ISO, International Organization for Standardization) es el mayor desarrollador mundial de estándares voluntarios internacionales. La Comisión Electrotécnica Internacional (IEC, International Electrotechnical Commission) es líder mundial en preparación y publicación de estándares internacionales para temas eléctricos, electrónicos y tecnologías relacionadas. Ambas organizaciones cooperan desarrollando estándares relacionados con las Tecnologías de la Información y las Comunicaciones La ISO/IEC 27000 es una familia de normas destinadas al establecimiento de técnicas de seguridad en las Tecnologías de la Información de las organizaciones. Está compuesta por múltiples documentos: ISO/IEC 27000 – Visión general y terminología ISO/IEC 27001 – Requisitos del Sistema de Gestión de la Seguridad de la Información (SGSI) ISO/IEC 27002 – Código de Prácticas (anteriormente conocida como ISO/IEC 17799) …
  14. 14. Diapositiva 14 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Es segura la Nube? Secciones de la Norma 0. Introducción 8. Seguridad de los Recursos Humanos 1. Alcance 9. Seguridad Física y del Entorno 2. Términos y Definiciones 10. Gestión de las Operaciones y de las Comunicaciones 3. Estructura de la norma 11. Control de Accesos 4. Evaluación y Tratamiento de Riesgos 12. Adquisición, Desarrollo y Manteni- miento de Sistemas de Información 5. Política de Seguridad 13. Gestión de Incidencias de Seguridad de la Información 6. Organización de la Seguridad de la Información 14. Gestión de la Continuidad de la Información 7. Gestión de Activos 15. Conformidad La norma ISO/IEC 27002
  15. 15. Diapositiva 15 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Es segura la Nube? Especificación ISO/IEC 27002 La Seguridad de la Información se define como la preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no-repudio y confiabilidad. INTEGRIDAD DISPONIBILIDAD SEGURIDAD CONFIDENCIALIDAD Seguridad de la Información
  16. 16. Diapositiva 16 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Es segura la Nube? El propósito de la Gestión de la Continuidad del Negocio es evitar que las actividades del negocio sean detenidas, proteger los procesos críticos contra las consecuencias de interrupciones de gran alcance en los sistemas de información y hacer posible una rápida recuperación de las actividades del negocio. Múltiples razones hacen necesaria la Gestión de la Continuidad: Protección de los procesos de negocio Continuación del servicio Supervivencia de la compañía Evitación de pérdidas económicas Evitación de publicidad negativa Razones Gestión de la Continuidad del Negocio
  17. 17. Diapositiva 17 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Migrar o no migrar…? Análisis previo Servicios proporcionados por TI Gestión de los Servicios de TI Procesos y Procedimientos implementados Estándares y Regulaciones Distribución de los costes Composición y Capacitación del personal ¿Conocemos nuestra propia organización de TI…?
  18. 18. Diapositiva 18 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Migrar o no migrar…? ¿Puede la Nube proporcionar los recursos más rápidamente que cuando están alojados localmente en mi empresa? ¿A qué estamos dispuestos a renunciar? ¿Qué ganamos a cambio? ¿Está mi organización dispuesta a comprometerse? ¿Está mi organización, empleados, personal de TI y otras partes interesadas dispuestos a realizar el cambio? Análisis previo
  19. 19. Diapositiva 19 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Migrar o no migrar…? Beneficios Disminución del Time to Market (TTM) Flexibilidad (arquitectura, prestaciones, escalabilidad) Abaratamiento del TCO (capex vs. opex) Computación más “verde” Generales Servicios gestionados Autoservicio Despliegue de servidores instantáneo Licenciamiento de software sin impacto en el capex Simplificación de actualizaciones y garantías Backups como servicio (siempre fuera de las instalaciones) Operativos Necesidad de menos personal de TI (menos salarios) Disminución en costes de RR.HH. y formación RR.HH.
  20. 20. Diapositiva 20 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Migrar o no migrar…? Coste Total de Propiedad (TCO) ...pero son reemplazados por costes operativos (suscripciones, pago por uso, contratos de soporte más caros, etc.) Los costes de capital (servidor, almacenamiento, infraestructura, etc.) disminuyen significativa- mente... Tenemos que comparar lo que pagamos ahora con lo que pagaremos en la Nube en un escenario a largo plazo
  21. 21. Diapositiva 21 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Cómo elijo proveedor? Cuestiones a formular al proveedor de Cloud ¿Cuál es el tiempo de resolución de incidencias y problemas? ¿Como cuánto de buena es la seguridad del centro de datos Cloud? ¿Cómo es el rendimiento del sistema (p.e., velocidades de conexión y transacción) comparado con su propio centro de datos y red privada? ¿Cómo se realizan las auditorías? ¿Dónde están ubicados los servidores y qué legislación es de aplicación a los datos? ¿Qué está previsto para cuando un servicio cambia o finaliza (ciclo de vida del servicio y fin de vida)? ¿Qué está previsto para el caso de que queramos migrar a otro proveedor (ciclo de vida del contrato y fin de vida)?
  22. 22. Diapositiva 22 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Cómo elijo proveedor? Factores a evaluar Capacidad técnica demostrable Infraestructura de red adecuada Mecanismos de licenciamiento de software Medidas de seguridad física y de seguridad técnica Cumplimiento de estándares y regulaciones así como mecanismos de auditoría interna Buena Gestión del Nivel de Servicio Distintos requerimientos para los distintos modelos de Cloud Acuerdos de Nivel de Servicio (SLA) claros Medidas de seguridad organizativa Informes de rendimiento técnico Informes sobre excepciones Revisiones periódicas de la gestión
  23. 23. Diapositiva 23 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Cómo elijo proveedor? La norma ISO/IEC 20000:2011 La ISO/IEC 20000 es una norma internacional cuyo objetivo es garantizar la provisión de servicios gestionados de acuerdo a un nivel de calidad aceptable por los clientes. El proveedor debería cumplir con los requeri- mientos de la norma y su personal debería estar familiarizado con los procesos
  24. 24. Diapositiva 24 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Cómo elijo proveedor? La norma ISO/IEC 20000:2011Secciones de la norma 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Requisitos generales del Sistema de Gestión de Servicios 4.1 Responsabilidad de la Dirección 4.2 Gobierno de procesos operados por Terceras Partes 4.3 Gestión de la Documentación 4.4 Gestión de los Recursos 4.5 Establecimiento y mejora del SGS 5. Diseño y Transición de servicios nuevos o modificados 6. Procesos de Entrega de Servicios 6.1 Gestión del Nivel de Servicio 6.2 Informes del Servicio 6.3 Gestión de la Continuidad y Disponibilidad 6.4 Presupuestos y contabilidad de servicios 6.5 Gestión de la Capacidad 6.6 Gestión de la Seguridad de la Información 7. Procesos de Relaciones 7.1 Gestión de Relaciones con el Negocio 7.2 Gestión de Suministradores 8. Procesos de Resolución 8.1 Gestión de Incidencias y Peticiones de Servicio 8.2 Gestión de Problemas 9. Procesos de Control 9.1 Gestión de Configuración 9.2 Gestión de Cambios 9.3 Gestión de Entregas y Despliegues
  25. 25. Diapositiva 25 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 ¿Cómo elijo proveedor? La norma ISO/IEC 20000:2011 Sistema de Gestión del Servicio (SGS) Diseño y Transición de Servicios Nuevos o Modificados Procesos de Resolución Procesos de Relaciones Procesos de Entrega de Servicios ● Gestión de la Capacidad ● Gestión de la Continuidad y Disponibilidad del Servicio ● Gestión de la Seguridad de la Información ● Presupuestos y contabilidad de servicios ● Gestión del Nivel de Servicio ● Informes del Servicio Procesos de Control ● Gestión de Configuración ● Gestión de Cambios ● Gestión de Entregas y Despliegues ● Gestión de Incidencias y Peticiones de Servicio ● Gestión de Problemas ● Gestión de Relaciones con el Negocio ● Gestión de Suministradores ● Responsabilidad de la Dirección ● Establecimiento del SGS ● Gobierno de procesos operados por Terceras Partes ● Gestión de la Documentación ● Gestión de los Recursos
  26. 26. Diapositiva 26 Seminario de Seguridad de la Información Tunja (Colombia) - 23 de julio de 2013 Recomendaciones finales Conozca el entorno de TI de su empresa y los servicios que le proporciona antes de plantearse una migración a la Nube. Analice qué estructura de costes es más conveniente para su empresa (capex vs. opex). Tómese su tiempo a la hora de analizar las ofertas de los proveedores. No dude en preguntar todo aquello que no esté suficientemente claro. En lo que respecta a Gestión de la Seguridad, compruebe si su proveedor de servicios Cloud está certificado en ISO/IEC 27001 o, al menos, puede demostrar cumplimiento de la ISO/IEC 27002. En lo que respecta a Gestión del Servicio, compruebe si su proveedor de servicios Cloud está certificado en ISO/IEC 20000:2011 o, al menos, puede demostrar cumplimiento de las especificaciones de la Parte 2 de dicha norma.
  27. 27. Victoriano Gómez Garrido ITeratum, S.L. c/ Ribera del Loira, 46 - 28042 Madrid – España Telf.: +34 915 030 020 / Fax: +34 916 201 777 vgomez@iteratum.es http://www.iteratum.es/ http://www.editorial.iteratum.com/

×