Your SlideShare is downloading. ×

Jesús Luna

542

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
542
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Según el art. 24 de la Ley 59/2003: " Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías: A. Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto. B. Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento. C. Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros. D. Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma. " El Instituto Nacional de Técnica Aeroespacial (INTA), a través del Centro de Evaluación de la Seguridad de las Tecnologías de la Información (CESTI), evalúa las propiedades de seguridad de cualquier producto o sistema de las TIC. Se utiliza el estándar CWA 14169, "Secure signature-creation devices "EAL 4+"", de certificación de dispositivos seguros de creación de firma. Es una especificación del Comité Europeo de Normalización (CEN), y se encuentra disponible en: ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14169-00-2004-Mar.pdf Para implementar este tipo de dispositivos, se siguen las recomendaciones del CWA 14355, "Guidelines for the implementation of Secure Signature-Creation Devices", disponible en: ftp://ftp.cenorm.be/PUBLIC/CWAs/e-Europe/eSign/cwa14355-00-2004-Mar.pdf
  • Transcript

    • 1. Cloud Security Alliance: Esfuerzos industriales para proveer seguridad al Cloud Dr. Jesús Luna Investigador en Seguridad VII Jornadas de Firma Electrónica 27-Oct-2010
    • 2. Agenda • ¿Qué es el Cloud Computing? • Firma electrónica ¿as a Service? • Principales problemas de seguridad en el Cloud. • Iniciativas internacionales y nacionales. • Conclusiones.
    • 3. ¿Qué es el Cloud Computing? • Representa un modelo donde de cómputo donde la asignación y consumo de recursos es “bajo demanda”. • Principales habilitadores: – Ley de Moore: el muy bajo costo del cómputo y el almacenamiento. – Hiperconectividad: robustos anchos de banda (heredados de la era dotcom). – Service Oriented Architecture (SOA) – Escala: los grandes proveedores han creado capacidades masivas de TIC. • Representa un reto incluso para nuestras definiciones TIC: ¿qué son los datos?
    • 4. No existe “UN” único Cloud
    • 5. Firma Electrónica ¿as a Service? • A pesar de las ventajas del Cloud, ¿podemos plantearnos su utilización para un servicio de firma electrónica? • ¿Puede dicho servicio ser “compliant” con lo establecido en la “Ley 59/2003, del 19 de diciembre, de Firma Electrónica”? • ¿El Cloud introduce nuevos problemas para el despliegue de este tipo de servicios?
    • 6. Principales problemas de seguridad • CSA Top Threats Research: – Confianza: falta de transparencia en los proveedores, impactos en la ubicación de los datos, gestión del riesgo, compliance. – Datos: filtración, pérdida o almacenamiento en geografías “poco amigables”. – Software de Cloud inseguro. – Uso malicioso de servicios Cloud. – “Secuestro” de cuentas de usuario y servicios Cloud. – Atacantes internos. – Ataques específicos al Cloud (p. ej. Hipervisores).
    • 7. ¿Cómo proveer seguridad al Cloud? • Debe ser una responsabilidad global y compartida para los sectores públicos y privados. • Concientización y educación especializada. • Estandarización y mejores prácticas. • Certificaciones de proveedores Cloud e individuos. • Herramientas: gestión, monitorización, métricas. • Ecosistema integrado: TIC, seguridad, legal, auditoria, negocio. ¿Qué iniciativas globales y nacionales existen para garantizar la utilización segura del Cloud?
    • 8. Cloud Security Alliance: guía de mejores prácticas Guidance > 100k downloads: cloudsecurityalliance.org/guidance Governance and Enterprise Risk Management Legal and Electronic Discovery Compliance and Audit Information Lifecycle Management Portability and Interoperability Security, Bus. Cont,, and Disaster Recovery Data Center Operations Incident Response, Notification, Remediation Application Security Encryption and Key Management Identity and Access Management Virtualization Cloud Architecture OperatingintheCloud GoverningtheCloud • Mejores prácticas para brindar seguridad al Cloud. • 13 dominios de interés
    • 9. CSA: Cloud controls matrix tool • Controles de auditoría basado en la Guía de la CSA. • Aplicados a IaaS, PaaS y SaaS. • Roles de cliente y proveedor. • Mapeos a ISO 27001, COBIT, PCI, HIPAA • Enlace entre TIC y auditores. www.cloudsecurityalliance.org/cm.html
    • 10. CSA: Trusted Cloud Initiative • Identidades en el Cloud seguras e interoperables. • SaaS y PaaS integrados de forma segura con directorios corporativos. • Federación de identidades escalable. • Responsabilidades para proveedores de identidad. • Integración con estándares existentes. • Modelos de referencia y pruebas de concepto. • Criterios y sello de certificación. www.cloudsecurityalliance.org/trustedcloud.html
    • 11. ENISA: Gobierno en el Cloud Objetivo:  Analizar y evaluar el impacto del Cloud en la seguridad de servicios gubernamentales.  Proveer recomendaciones y mejores prácticas para los Estados Miembros de la UE con planes de migrar al Cloud. El estudio se basa en los escenarios siguientes:  Community Cloud para autoridades locales y regionales.  eHealth cloud.  Gov Cloud: Computing as a Service  Cloud supra-nacional (?)
    • 12. CSA-ES: compliance en el Cloud • ¿Cómo comprobar que un proveedor de servicios de firma en el Cloud cumple con lo establecido en la ley? • Tal y como lo resalta ENISA, actualmente uno de los principales obstáculos para la adopción del Cloud en los Paises Miembros es el “security compliance”: – Clasificación de datos y sistemas para entender requisitos de compliance. – Transferencias de datos entre paises. – Derecho a auditar bajo demanda a un proveedor Cloud. – Etc. • Con el propósito de estudiar la temática de “security compliance para el Cloud” en España hemos creado el capítulo español de la CSA (CSA-ES).
    • 13. CSA-ES: Grupos de trabajo • Aprox. 150 miembros trabajando de forma voluntaria (desde Mayo-2010 a la fecha). • Participación de Universidades, Gobierno, sector privado, organizaciones relacionadas, etc. • Grupos de trabajo: 1. Privacidad y cumplimiento normativo. 2. SGSI y gestión de riesgos. 3. Contratación, evidencias y auditoría. • Siguiente evento: 26-Noviembre-2010 / Barcelona. www.cloudsecurityalliance.es
    • 14. Conclusiones • Cloud: Great big reset button for security. • Es nuestra oportunidad de mejorar la seguridad. • Uno de los mayores “show stoppers” es la seguridad. • Un proveedor de firma electrónica en el Cloud tiene los mismos requisitos de security compliance. • El problema es: 1. Entender lo que significa “security compliance en el Cloud”. 2. Realizar la I+D+i necesarias para obtener dicho compliance: • Dispositivos de firma electrónica en el Cloud. • Compliance con CWA14169 / CWA14355. • Etc. • Foros como la CSA-ES permiten la participación de todos los implicados.
    • 15. ¡Gracias! Si requieren mayor información o desean participar: www.cloudsecurityalliance.es contacto@cloudsecurityalliance.es LinkedIn: http://www.linkedin.com/groups?gid=3072937 LinkedIn: http://es.linkedin.com/in/jlunagar Email: jluna@bdigital.org jluna@cloudsecurityalliance.es Twitter: @jlunagar

    ×