¿cómo mantener la seguridad en la nube? tendencias y mejores

26/06/2014

Ignacio Ivorra

Comité Técnico Operativo del CSA-ES

Gerente / Deloitte

iivorra@deloitte.es

¿Cómo mantener la seguridad en la nube?

Tendencias y mejores prácticas

ÍNDICE

Presentación del CSA

Retos seguridad en cloud

Medidas de seguridad en cloud

Herramientas disponibles

Sobre el Cloud Security Alliancewww.cloudsecurityalliance.org

• Global, not-for-profit organisation • Over 40,000 individual members, more than 160

corporate members, over 60 chapters • Building best practices and a trusted cloud ecosystem

“To promote the use of best practices for providing security assurance within Cloud Computing, and

provide education on the uses of Cloud Computing to help secure all other forms of computing.”

CSA ESCapítulo local en España de CSA

Miembros• Fundado por ISMS

Fórum y Barcelona Digital

• Junta Directiva• Comité Técnico

Operativo• Profesionales

Algunas iniciativas• Guía CSA• Cloud Control Matrix• Certificación CCSK• Certificación CSA STAR• Estudio Seguridad

Cloud• Eventos

www.ismsforum.es/iniciativas/index.php?idcategoria=5

www.linkedin.com/groups?gid=1864210 @Cloudsa_spain

ÍNDICE

Presentación del CSA

Retos seguridad en cloud

Medidas de seguridad en cloud

Herramientas disponibles

Relevancia de la seguridad en cloud

Estudio del estado de seguridad en Cloud Computing (Año 2013)

El usuario tipo de CloudAcceso a servicios de almacenamiento

Busca nuevas funcionalidades

Valora fuertemente las funciones de seguridad

Ha llegado al 77% de las organizaciones

Estudio del estado de seguridad en Cloud Computing (Año 2013)

ÍNDICE

Presentación del CSA

Retos seguridad en cloud

Medidas de seguridad en cloud

Herramientas disponibles

Algunos elementos clavePrivacidad

• Diferencia legislación entre países• Ciclo de vida de la información• Política de seguridad. Roles y responsabilidades• Localización (física y lógica)• Acceso a la información• Tratamiento realizado de datos• Controles: Control de acceso, cifrado, DLP…

Algunos elementos claveGestión de riesgos

• Dependen de la implantación y modelo• Responsabilidad del cliente

del cliente

Algunos elementos claveVirtualización

• Elementos clave: Multitenancy /Virtual desktop

• Seguridad:– Hipervisor: bastionado, ataques red, arranque, cifrado– Gestión de datos: mezcla, segregación, destrucción

• Rendimiento

• Recomendaciones– Identificar usos y definir políticas de seguridad– Entornos separados: pruebas, desarrollo, producción…– Bastionado certificado y cifrado– Auditoria de red y datos– Verificación

Algunos elementos claveOtros

• Cumplimiento legal

• Cifrado y gestión de claves

• Respuesta ante incidentes

• Gestión de identidades

• Seguridad en las aplicaciones

• Seguridad tradicional: Física, continuidad negocio

• Contratación y eDiscovery

• Auditoria

Algunos elementos claveSecaaS: Security as a Service

• Servicios: SIEM, IDS/IPS, Gestión identidades, DLP, Seguridad Web, Cifrado, Continuidad,

• Ventajas– Valor añadido

– Gestión experta de terceros

– Cumplimiento

– Colaboración

• Inconvenientes– Dependencias en áreas estratégicas

– Cultura de seguridad

ÍNDICE

Presentación del CSA

Retos seguridad en cloud

Medidas de seguridad en cloud

Herramientas disponibles

CSA GUIDE, versión 3.0Mejores prácticas seguridad cloud

Buenas Práctica

s

1er Documento

CSA

Mejores prácticas

Seguridad Cloud

A nivel Mundial

Creadas por

Expertos

Para la Comunidad

CSA GUIDE, versión 3.0Mejores prácticas seguridad cloud

Arquitectura Cloud

Gobierno

Ges

tión

de R

iesg

os

Cue

stio

nes

Lega

les

Aud

itoría

Seg

urid

ad d

e D

atos

Inte

rope

rabi

lidad

Operaciones

Seg

urid

ad,

Con

tinui

dad

Neg

ocio

Seg

urid

ad C

PD

Seg

urid

ad A

plic

acio

nes

Cifr

ado.

Cla

ves

Iden

tidad

y A

cces

os

Virtu

aliz

ació

n

SE

Caa

S

CCM (Cloud Control Matrix)Matriz controles mejores prácticas

COMPLIANCE DATA GOVERNANCE

FACILITY SECURITY

HUMAN RESOURCES

INFORMATION SECURITY LEGAL OPERATIONS

MANAGEMENT

RISK MANAGEMENT

RELEASE MANAGEMENT

RESILIENCY SECURITY ARCHITECHTURE

• Comparativa: ISO 27001-2005, COBIT 4.1, LOPD, ENS…

CSA STARRegistro público controles proveedor

Obj

etiv

osB

enef

icio

s• Marco común de evaluación.

• Capacidad de decisión y comparación para cliente.

• Evaluación neutral de terceros.

• Independiente de la tecnología.

• Visibilidad y eficiencia gestión seguridad

• Identificación de fortalezas

• Revisión independiente

• Orientación al mercado

CSA STARRegistro público controles proveedor

26/06/2014

Ignacio Ivorra

Comité Técnico Operativo del CSA-ES

Gerente / Deloitte

iivorra@deloitte.es

“¿Cómo mantener la seguridad en la nube?

Tendencias y mejores prácticas