Weitere ähnliche Inhalte
Ähnlich wie Seguridad en Cloud Computing (20)
Mehr von Cristian Borghello (20)
Kürzlich hochgeladen (11)
Seguridad en Cloud Computing
- 2. Analista Programador, CISSP, CSSLP, CEH, MCP, QCS, etc.
Miembro del Core Team de ISECOM
ISSAF Key Contributor at OISSG
Colaborador de los proyectos ISSAF, HHS y OSSTMM, entre otros.
Presidente del Capitulo Argentino de la Cloud Security Alliance
Director de Comunicaciones de ISSA Argentina
Security Director at SIClabs
2
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Acerca del Autor
* ISECOM (Institute for Security and Open Methodologies)
* OISSG (Open Information System Security Group)
* ISSA (Internet Systems Security Association)
* ISSAF (Information Systems Security Assessment Framework)
* OSSTMM (Open Source Security Testing Methodology Manual)
* HHS (Hackers Highschool, Security Awareness for Teens)
- 3. Cloud Computing en 5’
Que es Cloud Computing?
Ventajas y Desventajas
Seguridad y Seguridad en la Nube
Principales Amenazas (CSA)
Guía de Seguridad (CSA)
Herramientas de Control y Auditoria (CSA)
Desafíos
Conclusiones
Referencias y Lecturas Complementarias
Apertura de Foro (Preguntas / Exposición de los Asistentes)
Agenda
3
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
- 4. 4
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que he aprendido o confirmado?
El ser humano siempre encontrara una forma de hacer negocios…
Siempre habrá organizaciones pensando en lo que “yo necesito”…
Seguiré teniendo trabajo por algunos años mas…
A excepción de algunas palabras nuevas, el resto es conocido…
En internet hay muchas imágenes de nubes…
- 6. `
6
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Que es Cloud Computing?
Buzzword
Nuevo “Modelo” o “Paradigma” que permite ofrecer servicios a través de
Internet.
“Cloud Computing es un modelo para habilitar acceso conveniente por demanda a un
conjunto compartido de recursos computacionales configurables, por ejemplo, redes,
servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente
aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción
con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está
compuesto por cinco características esenciales, tres modelos de servicio y cuatro
modelos de despliegue.”
- 13. 13
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Principales Amenazas (CSA) (Cont.)
Principales Amenazas
#1: Abuse and Nefarious Use of Cloud Computing
#2: Insecure Interfaces and APIs
#3: Malicious Insiders
#4: Shared Technology Issues
#5: Data Loss or Leakage
#6: Account or Service Hijacking
#7: Unknow Risk Profile
- 14. 14
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Guía de Seguridad (CSA)
Governance and Enterprise Risk Management
Legal and Electronic Discovery
Compliance and Audit
Information Lifecycle Management
Portability and Interoperability
Security, Bus. Cont,, and Disaster Recovery
Data Center Operations
Incident Response, Notification, Remediation
Application Security
Encryption and Key Management
Identity and Access Management
Virtualization
Cloud Architecture
OperatingintheCloud
GoverningtheCloud
- 16. 16
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Herramientas de Control y Auditoria (CSA)
Cloud Control Matrix Tool
Controles derivados de la guía
Ordenados de acuerdo a su
aplicación (SPI)
Ópticas: Customer vs Provider
Mapeado con:
ISO27001
COBIT
PCI
HIPAA
Puente para el gap IT & IT
Auditors
- 18. 18
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Conclusiones
Cloud Computing no necesariamente es mas o menos seguro que su
entorno actual.
Como toda nueva tecnología, esta crea nuevos riesgos y oportunidades.
En algunos casos, moverse a la nube puede proveer una oportunidad para
llevar adelante la re-arquitectura de viejas aplicaciones y/o infraestructura,
de modo tal que esta cumpla con modernos requerimientos de seguridad.
El riesgo de mover datos sensibles y
aplicaciones a una infraestructura
emergente, puede que exceda su
tolerancia (Y esto no esta mal!!)
Si no resolvemos temas de base,
trasladaremos la ineficiencia y falta
de buenas practicas a la nube.
- 19. 19
Cloud Security:Una Introduccion - Buenos Aires, Argentina - Octubre 2010
Copyright © 2010 SIClabs
Referencias y Lectura Complementarias
NIST (National Institute of Standards and Technology)
http://csrc.nist.gov/groups/SNS/cloud-computing/
Cloud Security Alliance
http://www.cloudsecurityalliance.org
CSA Argentina Chapter (Linkedin)
http://www.linkedin.com/groups?home=&gid=3350613
CSA Argentina Chapter (Twitter)
@cloudsa_arg