• Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Like this? Share it with your network

Share

Jesús Luna

  • 785 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
785
On Slideshare
785
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Cloud Security Alliance: Esfuerzos industriales para proveer seguridad al Cloud
    Dr. Jesús Luna
    Investigador en Seguridad
    VII Jornadas de Firma Electrónica
    27-Oct-2010
  • 2. Agenda
    • ¿Quées el Cloud Computing?
    • 3. Firma electrónica ¿as a Service?
    • 4. Principalesproblemas de seguridad en el Cloud.
    • 5. Iniciativasinternacionales y nacionales.
    • 6. Conclusiones.
  • ¿Quées el Cloud Computing?
    • Representa un modelodonde de cómputodonde la asignación y consumo de recursoses “bajodemanda”.
    • 7. Principaleshabilitadores:
    • 8. Ley de Moore: el muybajocosto del cómputo y el almacenamiento.
    • 9. Hiperconectividad: robustosanchos de banda (heredados de la era dotcom).
    • 10. Service Oriented Architecture (SOA)
    • 11. Escala: los grandesproveedoreshancreadocapacidadesmasivas de TIC.
    • 12. Representa un retoinclusoparanuestrasdefiniciones TIC: ¿qué son los datos?
  • No existe “UN” único Cloud
  • 13. Firma Electrónica ¿as a Service?
    • A pesar de las ventajas del Cloud, ¿podemos plantearnos su utilización para un servicio de firma electrónica?
    • 14. ¿Puede dicho servicio ser “compliant” con lo establecido en la “Ley 59/2003, del 19 de diciembre, de Firma Electrónica”?
    • 15. ¿El Cloud introduce nuevos problemas para el despliegue de este tipo de servicios?
  • Principales problemas de seguridad
    • CSA Top Threats Research:
    • 16. Confianza: falta de transparencia en los proveedores, impactos en la ubicación de los datos, gestión del riesgo, compliance.
    • 17. Datos: filtración, pérdida o almacenamiento en geografías “pocoamigables”.
    • 18. Software de Cloud inseguro.
    • 19. Usomalicioso de servicios Cloud.
    • 20. “Secuestro” de cuentas de usuario y servicios Cloud.
    • 21. Atacantesinternos.
    • 22. Ataquesespecíficos al Cloud (p. ej. Hipervisores).
  • ¿Cómo proveer seguridad al Cloud?
    • Debe ser una responsabilidad global y compartida para los sectores públicos y privados.
    • 23. Concientización y educación especializada.
    • 24. Estandarización y mejores prácticas.
    • 25. Certificaciones de proveedores Cloud e individuos.
    • 26. Herramientas: gestión, monitorización, métricas.
    • 27. Ecosistema integrado: TIC, seguridad, legal, auditoria, negocio.
    ¿Qué iniciativas globales y nacionales existen
    para garantizar la utilización segura del Cloud?
  • 28. Cloud Security Alliance: guía de mejores prácticas
    • Mejoresprácticasparabrindarseguridad al Cloud.
    • 29. 13 dominios de interés
    Cloud Architecture
    Governance and Enterprise Risk Management
    Legal and Electronic Discovery
    Governing the Cloud
    Compliance and Audit
    Information Lifecycle Management
    Portability and Interoperability
    Security, Bus. Cont,, and Disaster Recovery
    Data Center Operations
    Incident Response, Notification, Remediation
    Application Security
    Operating in the Cloud
    Encryption and Key Management
    Guidance > 100k downloads: cloudsecurityalliance.org/guidance
    Identity and Access Management
    Virtualization
  • 30. CSA: Cloud controls matrix tool
    Controles de auditoría basado en la Guía de la CSA.
    Aplicados a IaaS, PaaS y SaaS.
    Roles de cliente y proveedor.
    Mapeos a ISO 27001, COBIT, PCI, HIPAA
    Enlace entre TIC y auditores.
    www.cloudsecurityalliance.org/cm.html
  • 31. CSA: Trusted Cloud Initiative
    Identidades en el Cloud seguras e interoperables.
    SaaS y PaaS integrados de forma segura con directorios corporativos.
    Federación de identidades escalable.
    Responsabilidades para proveedores de identidad.
    Integración con estándares existentes.
    Modelos de referencia y pruebas de concepto.
    Criterios y sello de certificación.
    www.cloudsecurityalliance.org/trustedcloud.html
  • 32. ENISA: Gobierno en el Cloud
    Objetivo:
    • Analizar y evaluar el impacto del Cloud en la seguridad de servicios gubernamentales.
    • 33. Proveer recomendaciones y mejores prácticas para los Estados Miembros de la UE con planes de migrar al Cloud.
    El estudio se basa en los escenarios siguientes:
    • Community Cloud para autoridades locales y regionales.
    • 34. eHealth cloud.
    • 35. Gov Cloud: Computing as a Service
    • 36. Cloud supra-nacional (?)
  • CSA-ES: compliance en el Cloud
    ¿Cómo comprobar que un proveedor de servicios de firma en el Cloud cumple con lo establecido en la ley?
    Tal y como lo resalta ENISA, actualmente uno de los principales obstáculos para la adopción del Cloud en los Paises Miembros es el “security compliance”:
    Clasificación de datos y sistemas para entender requisitos de compliance.
    Transferencias de datos entre paises.
    Derecho a auditar bajo demanda a un proveedor Cloud.
    Etc.
    Con el propósito de estudiar la temática de “security compliance para el Cloud” en España hemos creado el capítulo español de la CSA (CSA-ES).
  • 37. CSA-ES: Grupos de trabajo
    • Aprox. 150 miembros trabajando de forma voluntaria (desde Mayo-2010 a la fecha).
    • 38. Participación de Universidades, Gobierno, sector privado, organizaciones relacionadas, etc.
    • 39. Grupos de trabajo:
    Privacidad y cumplimiento normativo.
    SGSI y gestión de riesgos.
    Contratación, evidencias y auditoría.
    • Siguiente evento: 26-Noviembre-2010 / Barcelona.
    www.cloudsecurityalliance.es
  • 40. Conclusiones
    • Cloud: Great big reset button for security.
    • 41. Es nuestraoportunidad de mejorar la seguridad.
    • 42. Uno de los mayores “show stoppers” es la seguridad.
    • 43. Un proveedor de firma electrónica en el Cloud tiene los mismosrequisitos de security compliance.
    • 44. El problemaes:
    Entender lo quesignifica “security compliance en el Cloud”.
    Realizar la I+D+inecesariasparaobtenerdicho compliance:
    • Dispositivos de firma electrónica en el Cloud.
    • 45. Compliance con CWA14169 / CWA14355.
    • 46. Etc.
    • 47. Foroscomo la CSA-ES permiten la participación de todos los implicados.
  • ¡Gracias!
    Si requieren mayor información o desean participar:
    www.cloudsecurityalliance.es
    contacto@cloudsecurityalliance.es
    LinkedIn: http://www.linkedin.com/groups?gid=3072937
    LinkedIn: http://es.linkedin.com/in/jlunagar
    Email: jluna@bdigital.orgjluna@cloudsecurityalliance.es
    Twitter: @jlunagar
  • 48. Según el art. 24 de la Ley 59/2003: " Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías:
    Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.
    Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.
    Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.
    Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma. "