luciano moreira da cruz leonardo rosso - … infosecurity 2016... · iso 27001/27002, isaca cobit,...
TRANSCRIPT
Luciano Moreira da Cruz Vicepresidente, CSA Argentina
Leonardo RossoPresidente, CSA Argentina
Partes interesada en la nube en las organizaciones
Clientes Business managers, CEO/CFO
CIO Legal Security
Están mis datos Seguros?
La satisfacción del cliente, retorno de la inversión, el EBITDA
ROI, Arquitectura del Sistema,migraciones
Tratamiento de datos y sus jurisdicciones, Privacidad
Arquitectura segura, monitoreo, análisis de amenazas
La confianza una de las principales cartas que tiene los proveedores al momento de diferenciarse de sus competidores
Confianza y la nube ¿que debemos tener en cuenta?
Proveedor CLOUD Cliente CLOUD
OCF - Estructura del Esquema de Certificación Abierto
• criterios de evaluación para cumplir metas de Gobierno, Gestión de Riesgos y Cumplimiento (GRC) en nubes privadas, públicas o híbridas
• https://cloudsecurityalliance.org/research/grc-stack/
• Formado por 4 proyectos• Cloud Controls Matrix (CCM)• Consensus Assessments Initiative (CAI)• Cloud Audit • Cloud Trust Protocol (CTP)
• Impacto en la industria• Criterios de evaluación para cumplir metas de
Gobierno, Gestión de Riesgos y Cumplimiento • Pilotos técnicos• Certificación de proveedores a través del
programa STAR
Delivering Stack Pack Descripción
La monitorización continua ... con un propósito
• las técnicas comunes y la nomenclatura para solicitar y recibir evidencia y comprobación de las circunstancias actuales del servicio de nube de los proveedores
Pedidos, ofertas, y la base para la prestación de servicios
de auditoría
• interfaz común y un espacio de nombres para automatizar la auditoría, aserción, evaluación y aseguramiento (A6) de entornos de nube
listas de comprobación previa a la auditoría y cuestionarios para inventariar los controle
• formas aceptadas por la industria para documentar los controles de seguridad existentes
Las bases recomendadas para los controles
• Principios fundamentales de seguridad con las especificaciones de las necesidades globales de seguridad de una nube, para que los consumidores puedan evaluar el riesgo general de seguridad de un proveedor de la nube
CSA GRC ecuación de valor Contribuciones para los consumidores y proveedores
¿Qué requisitos de control debería
tener como consumidor de nube o
proveedor de la nube?
¿Cómo pregunto acerca de los requisitos de control que están cumpliendo (consumidor) o expresar mi reclamo de respuesta de un control (proveedor)?
¿Cómo puedo anunciar y automatizar
mis demandas de auditoría para los
diferentes mandatos de cumplimiento
y obligaciones de control?
¿Cómo sé que los controles que
necesito están trabajando para mí
ahora (consumidor)? ¿Cómo puedo
proporcionar seguridad real y la
transparencia del servicio a todos mis
usuarios de la nube (proveedor)?
Demandas
estáticas y
garantías
Dinámica
(continua)
monitoreo y la
transparencia
Cuestionario para la Documentación de Controles de Seguridad en Servicios de Cloud Computing.
https://cloudsecurityalliance.org/research/cai/
Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.
Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP
https://cloudsecurityalliance.org/research/ccm/
Application Security AIS-01 Data Focus Risk Assessments GRM-02 VMM Security - Hypervisor Hardening IVS-11
Customer Access Requirements AIS-02 Management Oversight GRM-03 Wireless Security IVS-12
Data Integrity AIS-03 Management Program GRM-04 Network Architecture IVS-13
Data Security / Integrity AIS-04 Management Support/Involvement GRM-05 APIs IPY-01
Audit Planning AAC-01 Policy GRM-06 Data Request IPY-02
Independent Audits AAC-02 Policy Enforcement GRM-07 Policy & Legal IPY-03
Information System Regulatory Mapping AAC-03 Policy Impact on Risk Assessments GRM-08 Standardized Network Protocols IPY-04
Business Continuity Planning BCR-01 Policy Reviews GRM-09 Virtualization IPY-05
Business Continuity Testing BCR-02 Risk Assessments GRM-10 Anti-Malware MOS-01
Datacenter Utilities / Environmental Conditions BCR-03 Risk Management Framework GRM-11 Application Stores MOS-02
Documentation BCR-04 Asset Returns HRS-01 Approved Applications MOS-03
Environmental Risks BCR-05 Background Screening HRS-02 Approved Software for BYOD MOS-04
Equipment Location BCR-06 Employment Agreements HRS-03 Awareness and Training MOS-05
Equipment Maintenance BCR-07 Employment Termination HRS-04 Cloud Based Services MOS-06
Equipment Power Failures BCR-08 Mobile Device Management HRS-05 Compatibility MOS-07
Impact Analysis BCR-09 Non-Disclosure Agreements HRS-06 Device Eligibility MOS-08
Policy BCR-10 Roles / Responsibilities HRS-07 Device Inventory MOS-09
Retention Policy BCR-11 Technology Acceptable Use HRS-08 Device Management MOS-10
New Development / Acquisition CCC-01 Training / Awareness HRS-09 Encryption MOS-11
Outsourced Development CCC-02 User Responsibility HRS-10 Jailbreaking and Rooting MOS-12
Quality Testing CCC-03 Workspace HRS-11 Legal MOS-13
Unauthorized Software Installations CCC-04 Audit Tools Access IAM-01 Lockout Screen MOS-14
Production Changes CCC-05 Credential Lifecycle / Provision Management IAM-02 Operating Systems MOS-15
Classification DSI-01 Diagnostic / Configuration Ports Access IAM-03 Passwords MOS-16
Data Inventory / Flows DSI-02 Policies and Procedures IAM-04 Policy MOS-17
eCommerce Transactions DSI-03 Segregation of Duties IAM-05 Remote Wipe MOS-18
Handling / Labeling / Security Policy DSI-04 Source Code Access Restriction IAM-06 Security Patches MOS-19
Non-Production Data DSI-05 Third Party Access IAM-07 Users MOS-20
Ownership / Stewardship DSI-06 Trusted Sources IAM-08 Contact / Authority Maintenance SEF-01
Secure Disposal DSI-07 User Access Authorization IAM-09 Incident Management SEF-02
Asset Management DCS-01 User Access Reviews IAM-10 Incident Reporting SEF-03
Controlled Access Points DCS-02 User Access Revocation IAM-11 Incident Response Legal Preparation SEF-04
Equipment Identification DCS-03 User ID Credentials IAM-12 Incident Response Metrics SEF-05
Off-Site Authorization DCS-04 Utility Programs Access IAM-13 Data Quality and Integrity STA-01
Off-Site Equipment DCS-05 Audit Logging / Intrusion Detection IVS-01 Incident Reporting STA-02
Policy DCS-06 Change Detection IVS-02 Network / Infrastructure Services STA-03
Secure Area Authorization DCS-07 Clock Synchronization IVS-03 Provider Internal Assessments STA-04
Unauthorized Persons Entry DCS-08 Information System Documentation IVS-04 Supply Chain Agreements STA-05
User Access DCS-09 Management - Vulnerability Management IVS-05 Supply Chain Governance Reviews STA-06
Entitlement EKM-01 Network Security IVS-06 Supply Chain Metrics STA-07
Key Generation EKM-02 OS Hardening and Base Conrols IVS-07 Third Party Assessment STA-08
Sensitive Data Protection EKM-03 Production / Non-Production Environments IVS-08 Third Party Audits STA-09
Storage and Access EKM-04 Segmentation IVS-09 Anti-Virus / Malicious Software TVM-01
Baseline Requirements GRM-01 VM Security - vMotion Data Protection IVS-10 Vulnerability / Patch Management TVM-02
Mobile Code TVM-03
STAR plataforma que ofrece un registro público de servicios de cloud computing, en el cual se describen los controles de seguridad implementados en cada uno de ellos.
https://cloudsecurityalliance.org/star/
No se olviden que la privacidad es la base de
la Confianza en un servicio Cloud, sobre
todo sobre servicios de Cloud tercerizados o sub-
gestionados.
Conclusión
“human ingenuity could not construct a cipher which human ingenuity could not solve.”
CSA Research Portfolio
• Nuestro centro de investigación incluyeproyectos fundamentales necesarios paradefinir y poner en práctica la confianza enel futuro de la tecnología de la información
• CSA sigue siendo agresiva en la producciónde investigación fundamental, educación yherramientas
• +30 Grupos de Trabajo a nivel Global
@luciano_m_cruz
lucianomoreiradacruz
https://ar.linkedin.com/in/lucianomoreiradacruz
leonardo.rosso
https://www.linkedin.com/in/lrosso/es
Gracias
@CSA_AR
facebook.com/csaargentina
https://chapters.cloudsecurityalliance.org/argentina/
https://www.linkedin.com/grp/home?gid=3350613