Luciano Moreira da Cruz Vicepresidente, CSA Argentina

Julio Cesar BalderramaConsejero del Directorio - Capítulo Argentina

Partes interesada en la nube en las organizaciones

Clientes Business managers, CEO/CFO

CIO Legal Security

Están mis datos Seguros?

La satisfacción del cliente, retorno de la inversión, el EBITDA

ROI, Arquitectura del Sistema,migraciones

Tratamiento de datos y sus jurisdicciones, Privacidad

Arquitectura segura, monitoreo, análisis de amenazas

La confianza una de las principales cartas que tiene los proveedores al momento de diferenciarse de sus competidores

TRUST/ Confianza: Definiciones • Esperanza firme que una persona tiene en que algo suceda, sea o funcione de una forma

determinada, o en que otra persona actúe como ella desea.

• Seguridad, especialmente al emprender una acción difícil o comprometida.

• Familiaridad, naturalidad y sencillez en el trato, propias de la amistad o el parentesco.

• Acto que denota mucha familiaridad, a menudo excesiva.

• Se aplica a la persona en quien se puede confiar.

• [cosa] Que inspira confianza o seguridad. sinónimos: fiable

Confianza y la nube ¿que debemos tener en cuenta?

Confianza y la nube ¿que debemos tener en cuenta?

Proveedor CLOUD Cliente CLOUD

• OCF - Estructura del Esquema de Certificación Abierto

• criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento (GRC) en nubes privadas, públicas o híbridas

• https://cloudsecurityalliance.org/research/grc-stack/

• Formado por 4 proyectos• Cloud Controls Matrix (CCM)• Consensus Assessments Initiative (CAI)• Cloud Audit • Cloud Trust Protocol (CTP)

• Impacto en la industria• Criterios de evaluación para cumplir metas de

Gobierno, Gestión de Riesgos y Cumplimiento • Pilotos técnicos• Certificación de proveedores a través del programa

STAR

• Formado por 4 proyectos• Cloud Controls Matrix (CCM)• Consensus Assessments Initiative (CAI)• Cloud Audit • Cloud Trust Protocol (CTP)

• Impacto en la industria• Criterios de evaluación para cumplir metas de

Gobierno, Gestión de Riesgos y Cumplimiento • Pilotos técnicos• Certificación de proveedores a través del programa

STAR

Delivering Stack Pack Descripción

La monitorización continua ... con un propósito

• las técnicas comunes y la nomenclatura para solicitar y recibir evidencia y comprobación de las circunstancias actuales del servicio de nube de los proveedores

Pedidos, ofertas, y la base para la prestación de servicios

de auditoría

• interfaz común y un espacio de nombres para automatizar la auditoría, aserción, evaluación y aseguramiento (A6) de entornos de nube

listas de comprobación previa a la auditoría y cuestionarios para inventariar los controle

• formas aceptadas por la industria para documentar los controles de seguridad existentes

Las bases recomendadas para los controles

• Principios fundamentales de seguridad con las especificaciones de las necesidades globales de seguridad de una nube, para que los consumidores puedan evaluar el riesgo general de seguridad de un proveedor de la nube

CSA GRC ecuación de valor Contribuciones para los consumidores y proveedores

¿Qué requisitos de control debería tener como consumidor de nube o proveedor de la nube?

¿Cómo pregunto acerca de los requisitos de control que están cumpliendo (consumidor) o expresar mi reclamo de respuesta de un control (proveedor)?

¿Cómo puedo anunciar y automatizar mis demandas de auditoría para los diferentes mandatos de cumplimiento y obligaciones de control?

¿Cómo sé que los controles que necesito están trabajando para mí ahora (consumidor)? ¿Cómo puedo proporcionar seguridad real y la transparencia del servicio a todos mis usuarios de la nube (proveedor)?

Demandas estáticas y garantías

Dinámica (continua) monitoreo y la transparencia

Cuestionario para la Documentación de Controles de Seguridad en Servicios de Cloud Computing.

https://cloudsecurityalliance.org/research/cai/

Cuestionario para la Documentación de Controles de Seguridad en Servicios de Cloud Computing.

https://cloudsecurityalliance.org/research/cai/

Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.

Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP

https://cloudsecurityalliance.org/research/ccm/

Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.

Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP

https://cloudsecurityalliance.org/research/ccm/

Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.

Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP

https://cloudsecurityalliance.org/research/ccm/

Application Security AIS-01 Data Focus Risk Assessments GRM-02 VMM Security - Hypervisor Hardening IVS-11Customer Access Requirements AIS-02 Management Oversight GRM-03 Wireless Security IVS-12Data Integrity AIS-03 Management Program GRM-04 Network Architecture IVS-13Data Security / Integrity AIS-04 Management Support/Involvement GRM-05 APIs IPY-01Audit Planning AAC-01 Policy GRM-06 Data Request IPY-02Independent Audits AAC-02 Policy Enforcement GRM-07 Policy & Legal IPY-03Information System Regulatory Mapping AAC-03 Policy Impact on Risk Assessments GRM-08 Standardized Network Protocols IPY-04Business Continuity Planning BCR-01 Policy Reviews GRM-09 Virtualization IPY-05Business Continuity Testing BCR-02 Risk Assessments GRM-10 Anti-Malware MOS-01Datacenter Utilities / Environmental Conditions BCR-03 Risk Management Framework GRM-11 Application Stores MOS-02Documentation BCR-04 Asset Returns HRS-01 Approved Applications MOS-03Environmental Risks BCR-05 Background Screening HRS-02 Approved Software for BYOD MOS-04Equipment Location BCR-06 Employment Agreements HRS-03 Awareness and Training MOS-05Equipment Maintenance BCR-07 Employment Termination HRS-04 Cloud Based Services MOS-06Equipment Power Failures BCR-08 Mobile Device Management HRS-05 Compatibility MOS-07Impact Analysis BCR-09 Non-Disclosure Agreements HRS-06 Device Eligibility MOS-08Policy BCR-10 Roles / Responsibilities HRS-07 Device Inventory MOS-09Retention Policy BCR-11 Technology Acceptable Use HRS-08 Device Management MOS-10New Development / Acquisition CCC-01 Training / Awareness HRS-09 Encryption MOS-11Outsourced Development CCC-02 User Responsibility HRS-10 Jailbreaking and Rooting MOS-12Quality Testing CCC-03 Workspace HRS-11 Legal MOS-13Unauthorized Software Installations CCC-04 Audit Tools Access IAM-01 Lockout Screen MOS-14Production Changes CCC-05 Credential Lifecycle / Provision Management IAM-02 Operating Systems MOS-15Classification DSI-01 Diagnostic / Configuration Ports Access IAM-03 Passwords MOS-16Data Inventory / Flows DSI-02 Policies and Procedures IAM-04 Policy MOS-17eCommerce Transactions DSI-03 Segregation of Duties IAM-05 Remote Wipe MOS-18Handling / Labeling / Security Policy DSI-04 Source Code Access Restriction IAM-06 Security Patches MOS-19Non-Production Data DSI-05 Third Party Access IAM-07 Users MOS-20Ownership / Stewardship DSI-06 Trusted Sources IAM-08 Contact / Authority Maintenance SEF-01Secure Disposal DSI-07 User Access Authorization IAM-09 Incident Management SEF-02Asset Management DCS-01 User Access Reviews IAM-10 Incident Reporting SEF-03Controlled Access Points DCS-02 User Access Revocation IAM-11 Incident Response Legal Preparation SEF-04Equipment Identification DCS-03 User ID Credentials IAM-12 Incident Response Metrics SEF-05Off-Site Authorization DCS-04 Utility Programs Access IAM-13 Data Quality and Integrity STA-01Off-Site Equipment DCS-05 Audit Logging / Intrusion Detection IVS-01 Incident Reporting STA-02Policy DCS-06 Change Detection IVS-02 Network / Infrastructure Services STA-03Secure Area Authorization DCS-07 Clock Synchronization IVS-03 Provider Internal Assessments STA-04Unauthorized Persons Entry DCS-08 Information System Documentation IVS-04 Supply Chain Agreements STA-05User Access DCS-09 Management - Vulnerability Management IVS-05 Supply Chain Governance Reviews STA-06Entitlement EKM-01 Network Security IVS-06 Supply Chain Metrics STA-07Key Generation EKM-02 OS Hardening and Base Conrols IVS-07 Third Party Assessment STA-08Sensitive Data Protection EKM-03 Production / Non-Production Environments IVS-08 Third Party Audits STA-09Storage and Access EKM-04 Segmentation IVS-09 Anti-Virus / Malicious Software TVM-01Baseline Requirements GRM-01 VM Security - vMotion Data Protection IVS-10 Vulnerability / Patch Management TVM-02

Mobile Code TVM-03

STAR plataforma que ofrece un registro público de servicios de cloud computing, en el cual se describen los controles de seguridad implementados en cada uno de ellos.

https://cloudsecurityalliance.org/star/

¿Su organización tiene una política para brindar confianza en la nube?

Requerimientos genéricos• Requisito 1: Detección de servicios en la nube que se utiliza

en la organización

• Requisito 2: Alineación de la organización empresarial

y de seguridad con la nube

Antes de que un aprovisionamiento de servicios de la nube• Requisito 3: Cumplir con los requisitos de clasificación

de datos de la organización

• Requisito 4: Cifrar todos los datos confidenciales procesados en la nube

• Requisito 5: Enlazar el servicio de la nube en la organización de identidad y la arquitectura de acceso y seguimiento de las actividades de los usuarios

Durante una contratación de servicios de la nube• Requisito 6: Realizar actividades de due diligence antes de

firmar el contrato

Durante una contratación de servicios Cloud (cont)• Requisito 7: Requerir cláusula de "derecho de auditar" en el contrato

• Requisito 8: Conocer la ubicación de la información Personal en la nube

• Requisito 9: Evaluar la disponibilidad de los servicios en la nube

• Requisito 10: Evaluar la seguridad de los medios del

proveedor de la nube

• Requisito 11: Evaluar la capacidad del proveedor de nube para cumplir con las investigaciones forenses

El funcionamiento de un servicio de Cloud• Requisito 12: Limitar el uso de datos en tiempo real para fines de prueba

y desarrollo

• Requisito 13: Monitorear a los proveedores de la nube y sus medidas de seguridad

Puesta fuera de servicio un servicio de nube• Requisito 14: Destruir información sensible cuando no es necesario

No se olviden la privacidad es la base de

la Confianza en un servicio Cloud, sobre

todo sobre servicios de Cloud tercerizados o sub-

gestionados.

Conclusión

“human ingenuity could not construct a cipher which human ingenuity could not solve.”

CSA Research Portfolio• Nuestro centro de investigación incluye

proyectos fundamentales necesarios para definir y poner en práctica la confianza en el futuro de la tecnología de la información• CSA sigue siendo agresiva en la producción

de investigación fundamental, educación y herramientas• +30 Grupos de Trabajo a nivel Global

lucianomoreira9@hotmail.com

@luciano_m_cruz

lucianomoreiradacruz

https://ar.linkedin.com/in/lucianomoreiradacruz

juliocesar@balderrama.com.ar

@juliobalderrama

juliocesarbalderrama

https://www.linkedin.com/in/juliocesarbalderrama

Gracias

@CSA_AR

facebook.com/csaargentina

https://chapters.cloudsecurityalliance.org/argentina/

https://www.linkedin.com/grp/home?gid=3350613

contact@ar.chapters.cloudsecurityalliance.org