• Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Jesús Luna

on

  • 701 views

 

Statistics

Views

Total Views
701
Views on SlideShare
701
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Jesús Luna Jesús Luna Presentation Transcript

    • Cloud Security Alliance: Esfuerzos industriales para proveer seguridad al Cloud
      Dr. Jesús Luna
      Investigador en Seguridad
      VII Jornadas de Firma Electrónica
      27-Oct-2010
    • Agenda
      • ¿Quées el Cloud Computing?
      • Firma electrónica ¿as a Service?
      • Principalesproblemas de seguridad en el Cloud.
      • Iniciativasinternacionales y nacionales.
      • Conclusiones.
    • ¿Quées el Cloud Computing?
      • Representa un modelodonde de cómputodonde la asignación y consumo de recursoses “bajodemanda”.
      • Principaleshabilitadores:
      • Ley de Moore: el muybajocosto del cómputo y el almacenamiento.
      • Hiperconectividad: robustosanchos de banda (heredados de la era dotcom).
      • Service Oriented Architecture (SOA)
      • Escala: los grandesproveedoreshancreadocapacidadesmasivas de TIC.
      • Representa un retoinclusoparanuestrasdefiniciones TIC: ¿qué son los datos?
    • No existe “UN” único Cloud
    • Firma Electrónica ¿as a Service?
      • A pesar de las ventajas del Cloud, ¿podemos plantearnos su utilización para un servicio de firma electrónica?
      • ¿Puede dicho servicio ser “compliant” con lo establecido en la “Ley 59/2003, del 19 de diciembre, de Firma Electrónica”?
      • ¿El Cloud introduce nuevos problemas para el despliegue de este tipo de servicios?
    • Principales problemas de seguridad
      • CSA Top Threats Research:
      • Confianza: falta de transparencia en los proveedores, impactos en la ubicación de los datos, gestión del riesgo, compliance.
      • Datos: filtración, pérdida o almacenamiento en geografías “pocoamigables”.
      • Software de Cloud inseguro.
      • Usomalicioso de servicios Cloud.
      • “Secuestro” de cuentas de usuario y servicios Cloud.
      • Atacantesinternos.
      • Ataquesespecíficos al Cloud (p. ej. Hipervisores).
    • ¿Cómo proveer seguridad al Cloud?
      • Debe ser una responsabilidad global y compartida para los sectores públicos y privados.
      • Concientización y educación especializada.
      • Estandarización y mejores prácticas.
      • Certificaciones de proveedores Cloud e individuos.
      • Herramientas: gestión, monitorización, métricas.
      • Ecosistema integrado: TIC, seguridad, legal, auditoria, negocio.
      ¿Qué iniciativas globales y nacionales existen
      para garantizar la utilización segura del Cloud?
    • Cloud Security Alliance: guía de mejores prácticas
      • Mejoresprácticasparabrindarseguridad al Cloud.
      • 13 dominios de interés
      Cloud Architecture
      Governance and Enterprise Risk Management
      Legal and Electronic Discovery
      Governing the Cloud
      Compliance and Audit
      Information Lifecycle Management
      Portability and Interoperability
      Security, Bus. Cont,, and Disaster Recovery
      Data Center Operations
      Incident Response, Notification, Remediation
      Application Security
      Operating in the Cloud
      Encryption and Key Management
      Guidance > 100k downloads: cloudsecurityalliance.org/guidance
      Identity and Access Management
      Virtualization
    • CSA: Cloud controls matrix tool
      Controles de auditoría basado en la Guía de la CSA.
      Aplicados a IaaS, PaaS y SaaS.
      Roles de cliente y proveedor.
      Mapeos a ISO 27001, COBIT, PCI, HIPAA
      Enlace entre TIC y auditores.
      www.cloudsecurityalliance.org/cm.html
    • CSA: Trusted Cloud Initiative
      Identidades en el Cloud seguras e interoperables.
      SaaS y PaaS integrados de forma segura con directorios corporativos.
      Federación de identidades escalable.
      Responsabilidades para proveedores de identidad.
      Integración con estándares existentes.
      Modelos de referencia y pruebas de concepto.
      Criterios y sello de certificación.
      www.cloudsecurityalliance.org/trustedcloud.html
    • ENISA: Gobierno en el Cloud
      Objetivo:
      • Analizar y evaluar el impacto del Cloud en la seguridad de servicios gubernamentales.
      • Proveer recomendaciones y mejores prácticas para los Estados Miembros de la UE con planes de migrar al Cloud.
      El estudio se basa en los escenarios siguientes:
      • Community Cloud para autoridades locales y regionales.
      • eHealth cloud.
      • Gov Cloud: Computing as a Service
      • Cloud supra-nacional (?)
    • CSA-ES: compliance en el Cloud
      ¿Cómo comprobar que un proveedor de servicios de firma en el Cloud cumple con lo establecido en la ley?
      Tal y como lo resalta ENISA, actualmente uno de los principales obstáculos para la adopción del Cloud en los Paises Miembros es el “security compliance”:
      Clasificación de datos y sistemas para entender requisitos de compliance.
      Transferencias de datos entre paises.
      Derecho a auditar bajo demanda a un proveedor Cloud.
      Etc.
      Con el propósito de estudiar la temática de “security compliance para el Cloud” en España hemos creado el capítulo español de la CSA (CSA-ES).
    • CSA-ES: Grupos de trabajo
      • Aprox. 150 miembros trabajando de forma voluntaria (desde Mayo-2010 a la fecha).
      • Participación de Universidades, Gobierno, sector privado, organizaciones relacionadas, etc.
      • Grupos de trabajo:
      Privacidad y cumplimiento normativo.
      SGSI y gestión de riesgos.
      Contratación, evidencias y auditoría.
      • Siguiente evento: 26-Noviembre-2010 / Barcelona.
      www.cloudsecurityalliance.es
    • Conclusiones
      • Cloud: Great big reset button for security.
      • Es nuestraoportunidad de mejorar la seguridad.
      • Uno de los mayores “show stoppers” es la seguridad.
      • Un proveedor de firma electrónica en el Cloud tiene los mismosrequisitos de security compliance.
      • El problemaes:
      Entender lo quesignifica “security compliance en el Cloud”.
      Realizar la I+D+inecesariasparaobtenerdicho compliance:
      • Dispositivos de firma electrónica en el Cloud.
      • Compliance con CWA14169 / CWA14355.
      • Etc.
      • Foroscomo la CSA-ES permiten la participación de todos los implicados.
    • ¡Gracias!
      Si requieren mayor información o desean participar:
      www.cloudsecurityalliance.es
      contacto@cloudsecurityalliance.es
      LinkedIn: http://www.linkedin.com/groups?gid=3072937
      LinkedIn: http://es.linkedin.com/in/jlunagar
      Email: jluna@bdigital.orgjluna@cloudsecurityalliance.es
      Twitter: @jlunagar
    • Según el art. 24 de la Ley 59/2003: " Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías:
      Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.
      Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.
      Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.
      Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma. "