Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cloud Computing: Elegir un Proveedor

Taller realizado por Amedeo Maturo sobre Cloud Computing.

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

  • Be the first to like this

Cloud Computing: Elegir un Proveedor

  1. 1. Algunos Consejos básicos Cloud Computing: elegir un proveedor
  2. 2. De qué hablamos: Criterios de ENISA para la elección de un proveedor de servicios de Cloud Computing 1. Oportunidades 2. Riesgos 3. Preguntas claves y términos contractuales Fuentes: www.enisa.europa.eu http://www.amedeomaturo.com/2015/09/15/como-una-pyme-debe-elegir-un-servicio-cloud/
  3. 3. OPORTUNIDADES DE SEGURIDAD PUNTUACIÓN JUSTIFICACIÓN O01. Distribución Geográfica GRANDE Ejemplo: Es de gran importancia, porque permite tener la información en un lugar distinto al del servidor local O02. Elasticidad MEDIA O03. Portabilidad BAJA O04. Seguridad Física ETC. O05. Respuesta a incidentes 24/7 O06. Desarrollo Seguro de Software O07. Actualizaciones O08. Copias de Seguridad O09. Capacidad de almacenamiento O10. Security As a Service O11. Certificaciones y Compliance
  4. 4. Leyenda Explicativa: indicar la ventaja de cada oportunidad para el uso del Cloud Service (BAJA, MEDIA o GRANDE) O01. Distribución Geográfica Ofrece resilencia en casos en los que desastres locales: Importancia BAJA, MEDIA o GRANDE O02. Elasticidad Mejora en los casos de picos de usos de servidores locales: Importancia BAJA, MEDIA o GRANDE O03. Portabilidad Más facilidad de uso con distintas plataformas, formatos, etc.: Importancia BAJA, MEDIA o GRANDE O04. Seguridad Física Mayor seguridad física, proporcionada por el proveedor: Importancia BAJA, MEDIA o GRANDE O05. Respuesta a incidentes 24/7 Mayor seguridad física, proporcionada por el proveedor: Importancia BAJA, MEDIA o GRANDE O06. Desarrollo Seguro de Software Supuesta mejora en el desarrollo de software por parte del proveedor: Importancia BAJA, MEDIA o GRANDE O07. Actualizaciones Proporcionadas por proveedores expertos: Importancia BAJA, MEDIA o GRANDE O08. Copias de Seguridad Simplificación de las copias de seguridad: Importancia BAJA, MEDIA o GRANDE O09. Capacidad de almacenamiento Pago por uso: Importancia BAJA, MEDIA o GRANDE O10. Security As a Service Externalizar la seguridad, con menor coste para la empresa: Importancia BAJA, MEDIA o GRANDE O11. Certificaciones y Compliance Las certificaciones pueden ayudar a elegir la empresa proveedora de cloud: Importancia BAJA, MEDIA o GRANDE
  5. 5. RISK MANAGEMENT PROBABILIDAD IMPACTO RIESGO JUSTIFICACIÓN R01. Vulnerabilidad de la seguridad del Software BAJA BAJO MENOR Ejemplo: El servicio se usa como copia de seguridad añadida a la local, de manera que una vulnerabilidad del software del proveedor, de escasa probabilidad, tendría un bajo impacto en la organización, que ya tiene copias de seguridad locales. Además, sólo se suben copias de seguridad encriptadas, reduciendo una posible exposición de datos a personas no autorizadas R02. Ataques de Red R03. Ataques de Ingeniería Social R04. Peligros para APIs R05. Pérdida/Robo de Aparatos R06. Amenazas Físicas R07. Sobrecargas R08. Costes Inesperados R09. Cautivo del Proveedor R10. Disputas Legales con el Proveedor R11. Aplicación de Jurisdicciones Extranjeras
  6. 6. Leyenda Explicativa: indicar la PROBABILIDAD del Riesgo “R”, su IMPACTO en la organización y qué RIESGO supondría R01. Vulnerabilidad de la seguridad del Software La seguridad NO depende de la solidez del software del cliente, si no del proveedor R02. Ataques de Red Ataques a los servicios del proveedor (p.e., DDoS), afectan al servicio del cliente, incluso en el caso en el que el cliente no sea directamente atacado R03. Ataques de Ingeniería Social Riesgo similar al anterior, pero por ataques de Ingeniería Social R04. Peligros para APIs Verificar que el proveedor tenga por lo menos doble sistema de autenticación. Si el ataque tiene éxito, el cliente pierde toda la información R05. Pérdida/Robo de Aparatos Las pérdidas/robos de aparatos del cliente, pueden proporcionar acceso directo a la información en el cloud R06. Amenazas Físicas El proveedor debe asegurar que sus sistemas son replicados en distintas áreas geográficas, de manera que el mismo evento físico (inundación), no afecta a dos o más lugares de almacenamiento R07. Sobrecargas Sobrecargas de accesos de los distintos clientes pueden afectar a tu servicio R08. Costes Inesperados Es necesario analizar los costes por sobre uso de los servicios de cloud R09. Cautivo del Proveedor Es necesario asegurar una estrategia de salida, para no verse atrapado con un proveedor (libertad de formatos para exportar la información, etc.) R10. Disputas Legales con el Proveedor Es necesario asegurar que, mientras pueda haber disputas (p.e., facturas no pagadas), la información puede ser utilizada R11. Aplicación de Jurisdicciones Extranjeras Si se almacenan datos personales y los servidores cloud están fuera de la UE, puede haber un problema legal
  7. 7. MATRIZ RIESGO/IMPACTOS (cuando los Riesgos “R” caen en las celdas naranjas o rojas, es necesario actuar) IMPACTO 5 10 15 20 25 4 8 12 16 20 3 6 9 12 15 2 4 6 8 10 1 2 3 4 5 PROBABILIDAD Leyenda MAYOR SIGNIFICATIVO MENOR GRAN IMPACTO, BAJA PROBABILIDAD
  8. 8. PREGUNTAS SOBRE SEGURIDAD (SQ) Oportunidad Relacionada Riesgo Relacionado INFORMACIÓN SUFICIENTE RIESGO IMPACTO SQ01. Seguridad de la Organización, Governance y Risk Management O4, O5, O6, O11 R6 SI MEDIO ALTO SQ02. Responsabilidades legales O5, O10 R6 SQ03. Contingencias y Copias de Seguridad O1, O4, O5, O8 R5, R6, R7 SQ04. Disputas Legales y Administrativas - R10 SQ05. Seguridad de RRHH O4 R6 SQ06. Controles de Accesos O4, O9 R6
  9. 9. PREGUNTAS SOBRE SEGURIDAD Oportunidad Relacionada Riesgo Relacionado INFORMACIÓN SUFICIENTE RIESGO IMPACTO SQ07. Seguridad del Software O6, O7 R1, R4 SQ08. Interfaz de usuarios y aplicaciones O6, O7, O9 R3, R4, R5 SQ09. Monitorización y logging O7 R4 SQ10. Interoperabilidad y Portabilidad O3 R6, R9 SQ11. Costes de Escalado O2 R7, R8 SQ12. Compliance con legislación nacional e internacional - R11
  10. 10. Leyenda Explicativa SQ (Security Questions) Preguntas a las que hay que contestar, para decidir sobre la contratación del servicio Cloud SQ01. Seguridad de la Organización, Governance y Risk Management Criterios de gestión de seguridad y gestión de riesgo del proveedor SQ02. Responsabilidades legales Qué tareas de seguridad incumben al proveedor y qué hace para mitigar los riesgos SQ03. Contingencias y Copias de Seguridad Gestión de desastres que afectan al datacenter y/o a las conexiones SQ04. Disputas Legales y Administrativas Garantías de disponibilidad de la información, incluso en los casos en los que existan disputas legales y/o administrativas (p.e., impago de facturas) SQ05. Seguridad de RRHH Políticas de seguridad implantadas entre el personal del proveedor SQ06. Controles de Accesos Quién accede a los datos del cliente y qué medidas existen para accesos no autorizados SQ07. Seguridad del Software Reparto de responsabilidades por vulnerabilidades del software del proveedor y del cliente SQ08. Interfaz de usuarios y aplicaciones Sistemas de protección de accesos vía APIs y controles para usuarios con privilegios SQ09. Monitorización y logging Sistemas de monitorización de las prestaciones pactadas y de los accesos SQ10. Interoperabilidad y Portabilidad Estándares aplicados para asegurar interoperabilidad y portabilidad de la información del cliente SQ11. Costes de Escalado Sistemas para el manejo de picos de uso y eventuales costes añadidos SQ12. Compliance con legislación nacional e internacional Qué legislación es de aplicación
  11. 11. Ruegos y Preguntas Amedeo Maturo Senra @AmedeoM

    Be the first to comment

    Login to see the comments

Taller realizado por Amedeo Maturo sobre Cloud Computing.

Views

Total views

479

On Slideshare

0

From embeds

0

Number of embeds

69

Actions

Downloads

5

Shares

0

Comments

0

Likes

0

×