Upload File

112

37
 Auditando el Ambiente de la Computación en la Nube

Upload: monicacarolinaacostazambrano

Post on 07-Oct-2015

11 views

Category:

Documents


0 download

Report

DESCRIPTION

112

TRANSCRIPT

  • AuditandoelAmbientedelaComputacinenlaNube

  • Despusdeterminarestasesinustedtendr los conocimientos bsicos de:tendrlosconocimientosbsicosde:

    1. Losconceptosbsicosdelacomputacinenlanube,especialmente,losconceptosdei f t t l t f ftinfraestructura,plataformasysoftwarecomoserviciosdelanube.

    2 Los pros y contras de la computacin en la nube2. Losprosycontrasdelacomputacinenlanube.3. Losretosalaseguridaddelainformacinenlanube

    y la auditoria de ese ambienteylaauditoriadeeseambiente.

  • Despusdeterminarestasesinustedtendr los conocimientos bsicos de:tendrlosconocimientosbsicosde:

    4. Comomoverlosactivosdeinfraestructura,plataformasysoftwaredeunambienteinternodela

    bi t d l bempresaaunambientedelanube.5. Hacerunanlisisderiesgoparaayudarenmoverlos

    activos y operaciones a la nubeactivosyoperacionesalanube.6. ComoelauditordeITpuedeapoyaren:

    identificar acti os a mo er a la n be identificaractivosamoveralanube, monitorear lasoperacionesdelanube, minimizar los riesgos de la nube yminimizar losriesgosdelanube,y mejorar lasoperacionesenlanube.

  • EvolucindelaTecnologadef Informtica

    Centros de CmputosCentrosdeCmputos ComputacinDistribuida

    d Redes ClienteServidor Internet y ahora Computacin en la Nube (CloudyahoraComputacinenlaNube(CloudComputing)

  • Nube: DefinicinNube:Definicin

  • ConceptosdelaComputacinenlabNube

    Definicin deNIST(NationalInstituteofStandards(andTechnology)

    LaNubeconsistedelosiguiente:( )1. Tres(3)modelosdeserviciosdecomputacin

    1. CadamodeloIdentificaque recursosdecomputacinque se ofrecen como servicioqueseofrecencomoservicio

    2. Cuatro(4)modelosdeimplantacin1. CadamodeloIdentificacomo seofrecenlosservicios

    3. Cinco(5)caractersticasdelservicioofrecido1. Identificalascaractersticasgenricasdelservicio

    que se ofrecequeseofrece

  • QueRecursosdeComputacinSefOfrecenComoServicios

    Software Comoservicio(SaaS)( ) AccedelaNubeparausarSoftware(aplicacionesysistemas).Pagasporeltiempodeconexineuso

    Pl t f i i (P S) Plataforma comoservicio(PaaS) AccedelaNubeparausarherramientasyrecursosparadesarrollar,probar,administrar,ydesplegaraplicacionesysistemas.Pagasporeltiempoeusodeesosrecursos.

    Infraestructura comoservicio(IaaS)Accede la Nube para usar Hardware como servidores AccedelaNubeparausarHardwarecomoservidoresvirtuales,almacenamiento,ydispositivosderedescomofirewalls.Pagasporeltiempoeusodeesosrecursos.

  • QueRecursosdeComputacinSefOfrecenComoServicios

    Otras categoras de ServiciosOtrascategorasdeServicios StorageasaServiceDatabase as a Service DatabaseasaService

    ProcessasaServiceA li ti S i ApplicationasaService

    SecurityasaServiceT i S i TestingasaService

    Management/GovernanceasaService

  • CualessonlosMtodosdel d l b dImplantacindelasNubesdeServicios

    ElmtododeimplantacindelaNubeindicaquiencontrolalosrecursosdelaNube Quiencontrola,determinaquienpuedeusaresosrecursosdela

    Nube NubePublica

    TodoelmundopuedeusarlosrecursosdelaNube NubePrivada

    SolamenteunainstitucinpuedeusarlosrecursosdelaNube NubeComunitaria

    Solamente un grupo (o Comunidad) de instituciones puedenSolamenteungrupo(oComunidad)deinstitucionespuedenusarlosrecursosdelaNube

    Hibrido Combinacin de las Nube anterioresCombinacindelasNubeanteriores

  • CualessonlasCaractersticasdeestasb dNubesdeServicios

    Sepuedepedircambiosenlacantidaddep precursosoniveldeserviciosdemaneraautomticayalademanda

    Se puede tener acceso a la nube de recursos a SepuedeteneraccesoalanubederecursosatravsdecualquierdispositivoconcomunicacinporInternet

    SeagrupanlosrecursosparaserviramltiplesclientesS l id l i id d Seproveelarpidaelasticidad

    ElServicioesmedidoysepagaporserviciousado

  • The NIST Cloud Definition FrameworkThe NIST Cloud Definition Framework

    Hybrid Clouds

    CommunityCommunityCloudCloud

    Private Private CloudCloud

    Public CloudPublic CloudDeploymentModels

    ServiceModels

    Software as a Service (SaaS)

    Platform as a Service (PaaS)

    Infrastructure as a Service (IaaS)

    On Demand Self-ServiceEssentialCharacteristics

    Resource Pooling

    Broad Network Access Rapid Elasticity

    Measured Service

    On Demand Self-Service

    Common Homogeneity

    Massive Scale Resilient Computing

    Geographic Distribution

    12

    Common Characteristics

    Low Cost Software

    Virtualization Service Orientation

    Advanced Security

  • Top 10 Strategic TechnologyAreas for 2010

    Top 10 Strategic Technology Areas for 2009

    1. Cloud Computing2. Advanced Analytics3. Client Computing

    1. Virtualization 2. Business Intelligence 3. Cloud Computing p g

    4. IT for Green5. Reshaping the Data Center6 Social Computing

    4. Green IT .5. Unified Communications ..6 Social Software and Social 6. Social Computing

    7. Security Activity Monitoring 8. Flash Memory9 Vi li i f A il bili

    6. Social Software and Social Networking

    7. Web-Oriented Architecture ..8 Enterprise Mashups 9. Virtualization for Availability

    10.Mobile Applications

    8. Enterprise Mashups ..9. Specialized Systems .10.Servers Beyond Blades .

    Dropped for 2010Modified for 2010 New for 2010

  • LosBeneficiosyRetosdelaComputacinenlaNube

  • LosBeneficiosdelaComputacinenlaNubeNube

    Reduccin en costo($$$) de adquisicin (Opex vs.Reduccinencosto($$$)deadquisicin(Opexvs.Capex)

    Accesomasrpidoacambiosrequeridosenlosp qrecursosdecmputosqueestnenlaNube

    Lodebotenercuandoloquiero Mayordisponibilidaddeaccesoalosrecursososervicios.Mnimotiempodeinactividad

    /(Downtime)delservicio/recursoenlaNube

  • Beneficios (cont )Beneficios(cont.) Mayorescalabilidad

    Quiero ms me das ms; quiero menos me das menoQuieroms,medasms;quieromenos,medasmeno. Eficiencia

    Menos tiempo con los problemas de IT; mas tiempoMenostiempoconlosproblemasdeIT;mastiempoconelprogresodelnegocio

    Mayorresistenciaainterrupcionesenelservicioofrecido

  • LosretosdelacomputacinenlaNubep RiesgosconelsuplidordelosrecursosdelaNube

    ConfiabilidaddelsuplidordelaNube Conocer la reputacin del suplidor que va a dar los servicios de ConocerlareputacindelsuplidorquevaadarlosserviciosdecomputacinenlaNube.

    InterrupcinenlosserviciosdesuplidordeNube Acuerdos sobre el Nivel en Servicio (Service Level Agreement AcuerdossobreelNivelenServicio(ServiceLevelAgreementSLA)

    Elservicioofrecidopudieraimpactarnegativamentela: Confidencialidad Confidencialidad, Integridad,y DisponibilidaddelainformacindelaempresaquemovistealaNubeNube.

  • Retos (cont )Retos(cont.) ElmismodinamismodelambientedelaNubepuede causar confusin con relacin a que nivelespuedecausarconfusinconrelacinaquenivelesdeservicioorecursosdecmputostienesdisponibleenunmomentodado.

    LainformacinestaenlaNubeynoestabajotucontrolestrictoofsico.

    Estasituacinpudieracausarriesgosdeaccesodeentidadesnoautorizadosalainformacinprivilegiadade la institucindelainstitucin.

  • Retos (cont )Retos(cont.) ElusodelaNubePublicapuedecausarproblemascon entidades regulatorias y de fiscalizacin por elconentidadesregulatoriasydefiscalizacinporelposiblenocumplimientoconlosaspectosdelaseguridaddelainformacin:

    FFIEC FDA HIPAA PCI

  • Retos (cont )Retos(cont.) Ladependenciasobrelaredoconexionesdebanda anchabandaancha

    Lalatenciadelared Los riesgos de seguridad en usar el Navegador LosriesgosdeseguridadenusarelNavegador,sea,IE,Chrome,FireFox,etc.

    Cumplimento con contratos establecidosCumplimentoconcontratosestablecidos SLAs

  • Retos (cont )Retos(cont.) LosriesgospuedensobrepasarlosbeneficiosHay que hacer un estudio exhaustivo de los Hayquehacerunestudioexhaustivodelosriesgosdeestenuevomodelodecomputacin

  • LosRetosdelaSeguridaddelaInformacinenl blaNube

  • QuientienemsintersenlasNubes?LosHackers,Pillos,yTerroristasolosEmpresarios?

    SeguridadenalNubeesprimordial ElCloudSecurityAlliance(CSA)secreparaestablecerestndaresdeseguridadparalasNubes.E d t T Th t t Cl d C ti Ensudocumento:TopThreatstoCloudComputingV1.0GuidanceforCriticalAreasofFocusinCloudComputingV2.1,seidentificanlasprincipalesp g p pamenazasacomputacinenlaNubecomo:

  • PrincipalesAmenazasalaNube

    1. Abuso, mal uso, y uso ilegal de la Nube1. Abuso,maluso,yusoilegaldelaNube2. Interfacesyconexionesinseguros3 Empleados maliciosos trabajando para el3. Empleadosmaliciosostrabajandoparael

    proveedordelaNube4 Recursos compartidos entre varios clientes4. Recursoscompartidosentrevariosclientes5. Perdidayfugadedatos6 R b d t i i6. Robodecuentasoservicios7. Perfilderiesgodelproveedoresdesconocido

  • Moverinfraestructura,plataformasysoftwared bi t i t d ldeunambienteinternodelaempresaaun

    ambientedelanube.

  • Como nos movemos a la Nube?ComonosmovemosalaNube?1. Identificalosactivosamover2. Evalalacriticidaddeesosactivos

    1. Hagaunanlisisderiesgospreguntandolosiguiente:1. Quepasarelactivoprivilegiadoyconfidencialsehacepublico2 Que pasar si un empleado del proveedor accede a la data2. Quepasarsiunempleadodelproveedoraccedealadata3. Quepasarsilosprocesoofuncionessonmanipuladospor

    terceronoautorizados4 Que pasar si los procesos o funciones dejan de funcionar4. Quepasarsilosprocesosofuncionesdejandefuncionar5. Quepasarsilosdatossonalteradosinesperadamente.6. Quepasarsilosactivosnoestadisponibleporunperiodode

    tiempotiempo

  • Como nos movemos a la Nube? (cont )ComonosmovemosalaNube?(cont.)3. Relacionalosactivosconlosdiferentes

    d l d N bmodelosdeNubes.4. Evalelospotencialesmodelosylos

    proveedoresdeesosmodelos5. Documenteelflojodedatahaciaydesdelaj y

    Nube

  • ElAnlisisdeRiesgoySuImpactoenMoverl bOperacionesalaNube

  • CSA ha identificado dominios donde se debeCSAhaidentificadodominiosdondesedebeestudiarlosefectosdelamovidaalaNube.Estos dominios son:Estosdominiosson:1. AchitecturadelaNube2 G bi M j d Ri2. GobiernoyManejodeRiesgo3. AsuntosLegalesyDescubrimientoElectrnica4. CumplimientoyAuditoria5 Manejo del Ciclo de Vida de la Informacin5. ManejodelCiclodeVidadelaInformacin

  • Dominios son(cont ):Dominiosson(cont.):6. PortabilidadyoperatividadentreNubes

    S id d C i id d d i l7. Seguridad,ContinuidaddeNegocios,yPlanesdeDesastres

    8. OperacionesdelCentrodeCmputos9. RepuestasaIncidentesp10.Seguridaddeaplicaciones

  • Dominios son (cont ):Dominiosson(cont.):11.Encrypcionymanejodellaves2 j d d id d12.ManejodeIdentidadyAcceso

    13.Virtualizacin

  • ElRoldelAuditordeITySuAuditoriadelAmbiente de Computacin en la NubeAmbientedeComputacinenlaNube

  • Auditar el uso de la Nube: AuditarelusodelaNube: Planificarlaauditoriaydeterminarreasarevisar( de las 13 mencionadas)(delas13mencionadas)

    Recopilaratravsdeentrevistasyrevisindedocumentosdocumentos

    HacerpruebasdecumplimentoysubstantivosDocumentar sealamientos y discutir con la Documentarsealamientosydiscutirconlagerencia

    Preparar y discutir Informe Final PrepararydiscutirInformeFinal.

  • Recopilacin de informacin Recopilacindeinformacin ObtengaelinformedeauditoriahechaalsuplidordelaNubeporunafirmacalificadop

    ReviseelmtododeseleccindelsuplidordelaNubeyloscontratospertinentes

    Seanalizaronvariossuplidores? Secompletounanlisisdecostos? Determinar como se mide la calidad del servicio Determinarcomosemidelacalidaddelserviciorecibidooarecibir

    AcuerdosenelNiveldeServicio(SLAs)

  • Analice y determine: Analiceydetermine: comosesegregarlosdatosdelainstitucindelosdatos de otras institucionesdatosdeotrasinstituciones

    elusodeencrypciondelosdatosenviadosa,recibidosde,yguardadosenlaNube

    DeterminesipersonaldelsuplidordelaNubetieneaccesoalainformacindelainstitucinyque

    l d icontrolesdeaccesoexisten DeterminesilainformacinestaprotegidaenlaNubesegn las polticas y procedimientos de seguridadsegnlaspolticasyprocedimientosdeseguridad

  • Gracias!

    John R Robles CISA CISM CRISCJohnR.Robles,CISA,CISM,CRISCPresident

    RoblesandAssociates


ejemplo 112

Edición 112

Bitacora 112

Secundèria 112

112 - OPITEC

Humanes 112

112 Madrid, 2018. ISSN: 1134-2277 112

112 ekintza

Modelos 112

MÁRTIRES CLARETIANOS BARBASTRON. 112 - abril - 2018 · 5 N. 112 Abril 218

Buinense 112

Numero 112

Informat 112

Gaceta 112

Cingles 112

Flash #112

VisionMagazine | 112

Visita 112

112 - UNICEF

REVISTA 112

Presentation1adil 112

112 compresores

Enfasis 112

Getafe 112

Edicion 112

Palabra 112

AcademiaTV 112

Jarras y decantadores 110 - 111 Degustación 112 - 112 ... · 88 89 Copas de mesa 90 - 109 CRISTAL Jarras y decantadores 110 - 111 Degustación 112 - 112 Coñac 113 - 113 Cócteles

Autonomia 112

Ballestrinque 112

112 Salmo 112

Kgosni 112

112. escuela verde

112 Madrid, 2018. ISSN: 1134-2277 112 - Ayer | Ayer

Mensajero 112