Your SlideShare is downloading. ×
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas

1,692

Published on

El presente documento incluye los modelos disponibles de Cloud Computing, las alternativas para su despliegue y una serie de recomendaciones de seguridad que se deberían tener en cuenta al momento de …

El presente documento incluye los modelos disponibles de Cloud Computing, las alternativas para su despliegue y una serie de recomendaciones de seguridad que se deberían tener en cuenta al momento de elegir las distintas alternativas.

Para solicitar una copia del documento, por favor, complete el siguiente formulario:
http://bit.ly/SSclPq

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,692
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Cloud Security AllianceRecomendaciones de Seguridad para Empresas
  • 2. Recomendaciones Cloud Computing Octubre 2012 para EmpresasContenido¿Qué es el Cloud Computing? ................................................................................................ 2Modelos de Servicios .............................................................................................................. 2Modelos de Implementación ................................................................................................. 3Recomendaciones para la adopción del Cloud Computing en Empresas .............................. 4Acerca de Cloud Security Alliance (CSA)................................................................................. 5Referencias ............................................................................................................................. 5Contacto ................................................................................................................................. 5
  • 3. Recomendaciones Cloud Computing Octubre 2012 para Empresas ¿Qué es el Cloud Computing?El Cloud Computing, también conocido como “Nube”, ha sido definido por el NIST como unmodelo de servicios escalables bajo demanda para la asignación y el consumo de recursos decómputo. Describe el uso de infraestructura, aplicaciones, información y una serie de servicioscompuestos por reservas de recursos de computación, redes, información y almacenamiento.Estos componentes pueden orquestarse, abastecerse, implementarse y liberarse rápidamente,con un mínimo esfuerzo de gestión e interacción por parte del proveedor de Cloud Computing yde acuerdo a las necesidades actuales del cliente. Figura 1 – Representación de la definición de Cloud Computing del NIST. Modelos de ServiciosLa prestación de servicios de cloud computing puede asociarse a tres modelos específicos: Modelo DescripciónInfrastructure Ofrece al consumidor la provisión de procesamiento, almacenamiento, redes y cualquier otro recurso de cómputo necesario para poder instalar software, incluyendo el sistema operativo y as a Service aplicaciones. El usuario no tiene control sobre el sistema de nube subyacente pero si del (IaaS) Sistema operativo y aplicaciones. Ejemplo: Amazon Web Services EC2. Platform as Ofrece al consumidor la capacidad de ejecutar aplicaciones por éste desarrolladas o contratadas a terceros, a partir de los lenguajes de programación o interfaces provistas por el a Service proveedor. El usuario no tiene control ni sobre el sistema subyacente ni sobre los recursos de (PaaS) Infraestructura de nube. Ejemplo: Microsoft Azure. Software as Ofrece al consumidor la capacidad de utilizar las aplicaciones del proveedor que se ejecutan sobre la infraestructura en la nube. Las aplicaciones son accedidas desde los dispositivos a Service cliente a través de interfaces, por ejemplo un navegador web. En este caso, el usuario solo (SaaS) tiene acceso a una interfaz de configuración del software provisto. Ejemplo: SalesForce Tabla 1 – Modelos de provisión de servicios de Cloud Computing.
  • 4. Recomendaciones Cloud Computing Octubre 2012 para Empresas Modelos de ImplementaciónDependiendo de cómo se despliegan los servicios en la nube, existen cuatro modelos quecaracterizan la implementación de los servicios de Cloud Computing. Modelo Descripción Es aquel modelo de Nube en el cual la infraestructura y los recursos lógicos que forman parte del Nube entorno se encuentran disponibles para el público en general o un amplio grupo de usuarios. Pública Suele ser propiedad de un proveedor que gestiona la infraestructura y los servicios ofrecidos. Ejemplo: Servicio de GoogleApps. Es aquel modelo en el cual la infraestructura se gestiona únicamente por una organización. La administración de aplicaciones y servicios puede estar a cargo de la misma organización o de un Nube tercero. La infraestructura asociada puede estar dentro de la organización o fuera de ella. Privada Ejemplo: Cualquier servicio de nube propio de la organización o contratado a un proveedor pero cuyos recursos sean exclusivos para dicha organización. Es aquel modelo donde la infraestructura es compartida por diversas organizaciones y su principal objetivo es soportar a una comunidad específica que posea un conjunto de preocupaciones similares (misión, requisitos de seguridad o de cumplimiento normativo, etc). Al Nube igual que la Nube Privada, puede ser gestionada por las organizaciones o bien por un tercero y laComunitaria infraestructura puede estar en las instalaciones propias o fuera de ellas. Ejemplo: El servicio app.goc (www.apps.gov) del gobierno de EEUU, el cual provee servicios de cloud computing a las dependencias gubernamentales. Es aquel modelo donde se combinan dos o más tipos de Nubes (Pública, Privada o Comunitaria) Nube que se mantienen como entidades separadas pero que están unidas por tecnologías Híbrida estandarizadas o propietarias, que permiten la portabilidad de datos y aplicaciones. Ejemplo: Tabla 2 – Modelos de implementación de Cloud Computing.
  • 5. Recomendaciones Cloud Computing Octubre 2012 para Empresas Recomendaciones para la adopción del Cloud Computing en EmpresasA continuación compartimos una serie de recomendaciones que sería importante que setengan en cuenta al momento de evaluar una solución de servicio basado en Cloud Computing: Llevar a cabo la evaluación de riesgos en el marco de un proyecto integral de la Empresa, involucrando a los referentes claves de las distintas áreas que estén involucradas. Incluir los aspectos legales y regulatorios que apliquen al momento de evaluar los riesgos en el marco del proyecto de Cloud Computing. Por ej: Datos Personales, Datos Sensibles (de acuerdo a lo establecido en la Ley 25326). Tener en cuenta los requerimientos de seguridad de la información involucrada en el marco del proyecto de Cloud Computing. Considerarlo un proyecto de la Empresa y no únicamente de IT o Tecnología. Incluir las responsabilidades y requisitos de seguridad de la información en el contrato de servicios de Cloud Computing o Service Level Agreement (SLA) involucrado. Definir los requisitos de seguridad que debe implementar el proveedor de Cloud Computing al momento de gestionar los incidentes de seguridad, en un todo de acuerdo con el proceso de gestión de incidentes de la Empresa. Analizar los términos y condiciones, ofreciendo propuestas sobre aquellos puntos en los que no haya acuerdo. Si los términos y condiciones no cubren los requisitos, no se deberían aceptar, aunque ello signifique no utilizar el servicio. Verificar que existan cláusulas al momento de finalizar el servicio, relacionadas con la seguridad de la información involucrada y los requisitos establecidos para su disposición. Por ej: borrado seguro, devolución, etc. Una buena herramienta para ayudar selección de un proveedor de Cloud Computing es el Consensus Assessments Initiative (CAI) de la Cloud Security Alliance (CSA). Consiste en un cuestionario que, a través de las distintas respuestas, permite identificar la gestión de la seguridad por parte del proveedor de Servicios de Cloud. Verificar si el proveedor de Cloud Computing se encuentra registrado en el proyecto Security, Trust, and Assurance (STAR) de Cloud Security Alliance (CSA), en el mismo se pueden conocer distintos aspectos de seguridad implementados en el servicio de Cloud Computing. Tener en cuenta que aunque se seleccione un determinado proveedor de Cloud Computing, seguimos siendo los responsables por el cuidado de la información. Mantener los controles de seguridad propios que sean adecuados, aunque se seleccione un servicio de Cloud Computing. Por ej: Respaldo de la Información. Estar al tanto de los incidentes de seguridad que se presenten e involucren al proveedor de Cloud Computing seleccionado.
  • 6. Recomendaciones Cloud Computing Octubre 2012 para EmpresasAcerca de Cloud Security Alliance (CSA)El Cloud Security Alliance es una entidad sin fines de lucro creada para fomentar el uso de lasbuenas prácticas, reforzar garantías de seguridad, y ofrecer formación en todo lo concernientea cloud computing. El Cloud Security Alliance está compuesto por expertos de diferentesdisciplinas, unidos para promover un nivel común de entendimiento entre los consumidores yproveedores informáticos en relación a los requisitos de seguridad necesarios y al certificado degarantía; impulsar la investigación independiente enfocada a encontrar mejores prácticas parala seguridad informática; lanzar campañas de sensibilización y programas educativos sobre eluso de la red y soluciones seguras; y crear listas de consenso en cuestiones de orientación ygarantía de seguridad.Misión del CapítuloPromover el uso de buenas prácticas, a fin de ofrecer confianza dentro del ámbito de Computoen la Nube y proveer educación sobre los usos de Computo en la Nube, ayudando a asegurartodas las otras formas de computo.ReferenciasCloud Security Alliance:http://www.cloudsecurityalliance.orgCloud Security Alliance Chapter Argentinahttp://chapters.cloudsecurityalliance.org/argentina/NIST SP800-145: The NIST Definition of Cloud Computinghttp://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdfInfografía sobre Modelos de Implementación de Cloud Computing:http://wikibon.org/blog/wp-content/uploads/2010/12/cloud-computing-landscape-full.htmlGuía para la Seguridad en Áreas Críticas de atención en Cloud Computing (CSG):https://cloudsecurityalliance.org/research/security-guidance/Cloud Assessment Initiative (CAI):https://cloudsecurityalliance.org/research/cai/Security, Trust & Assurance (STAR):https://cloudsecurityalliance.org/research/initiatives/star-registry/Riesgos y Amenazas del Cloud Computing:http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdfContactopress@ar.chapters.cloudsecurityalliance.org@cloudsa_argCSA.Argentina (Facebook page)

×