riesgos asociados al “cloud”riesgos asociados al cloud computing ¿cuáles son los desafíos a...

Riesgos asociados al “CLOUD”

El Cloud está de moda

Según el último barómetro de IDC España, el mercado de software como

servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un

incremento del 48 por ciento respecto a 2009.

IDC prevé que este crecimiento del mercado de SaaS se mantenga,

llegando a facturar 475 millones de euros en 2014.

La tendencia hacia la compra de SaaS está desplazando a los modelos

tradicionales de venta de software.

El Cloud y sus ventajas

Existen múltiples ventajas

• Escalabilidad y Flexibilidad.

• Ahorro de costes de implantación y mantenimiento.

• Aumenta las posibilidades de las empresas sin incurrir en más costes de

estructura ni adquisición de conocimiento.

Todo ello está llevando al Cloud Computing a ser cada vez más popular.

El Cloud y sus riesgos

A cambio, el nivel de riesgo sube exponencialmente:

• Los datos viajan constantemente por internet.

• Los datos se almacenan en entornos compartidos.

• Acceso remoto de varias empresas a la vez.

• Disponibilidad/Dependencia de la red.

• Interviene más software => hay más vulnerabilidades.

• Pérdida parcial de la capacidad de gestión del servicio.

• Se pierde capacidad de intervención en los sistemas.

• Riesgos asociados directamente al tercero: desaparición de la

empresa, transferencia del servicio en caso de terminar el contrato, etc.

Y muchos más…

Riesgos asociados al Cloud Computing

¿Qué diferencias hay si se cae el servicio de correo electrónico?

@

Servidor de correo “In House” Correo en la nube

El problema se acota rápidamente.

Tenemos el servidor accesible físicamente para cualquier inspección o intervención.

Hay más capacidad para resolver nosotros mismos el problema.

Más velocidad de respuesta.

Debe ser el proveedor del servicio quien te informe sobre el incidente.

Las capacidades de inspección e intervención son limitadas.

Debes confiar en el buen hacer del proveedor.

A priori no conoces ni puedes estimar el tiempo de resolución


¿Cuáles son los desafíos a conseguir en cuanto a riesgos?

• Asegurar la confidencialidad e integridad de la información.

• Asegurar la disponibilidad del servicio.

• Cumplimiento exhaustivo de la Ley de Protección de Datos.

• Ofrecer niveles de gestión más altos a los clientes del Cloud => acabar

con la opacidad de los servicios en Cloud.

• Asegurar la transferencia del servicio de forma transparente al cliente.

• Aportar una resolución de incidentes rápida, eficaz y eficiente.

• Aportar continuidad a los servicios.


¿Por dónde empezar?

Establecer una política de seguridad actualizada y acorde a la naturaleza

de los servicios a prestar, en este caso, basados en Cloud Computing.

Desarrollar un análisis de riesgos sobre los servicios (y los sistemas que lo

soportan) que estarán en la nube.

Tendremos que pensar en 3 conceptos:

• Amenazas y vulnerabilidades.

• Probabilidades de ocurrencia de las amenazas.

• Impactos en caso de materialización de las amenazas.

Diferencias con un análisis de riesgos sobre servicios “No Cloud”.

• Las amenazas aumentan y los controles cambian en cuanto a su forma

de implantación.


Amenazas y vulnerabilidades

• Acceso no autorizado.

• Intercepción de la información.

• Pérdida de la información.

• Degradación de la información.

• Denegación de servicio.

• Suplantación de la identidad del usuario.

• Análisis de tráfico.

• Averías.

• Caída de servicios de soporte.

• Vulnerabilidades propias del software que da servicio.

• Desastres industriales

Y un largo etcétera.


Con el Cloud Computing introducimos más infraestructura TI dentro de

nuestro servicio => añadimos amenazas.

El servicio se opera parcialmente en entornos compartidos con otras

organizaciones y a través de internet => aumentamos las probabilidades de

ocurrencia de las amenazas.

Los impactos son en cualquier caso, iguales o mayores.


¿Cómo reducir esos riesgos?

• La implantación tradicional de controles queda obsoleta, al no poder

implantar físicamente la gran mayoría de controles de seguridad como

se haría en entornos “No Cloud”.

• La regulación mediante contratos de los requisitos de seguridad que

debe tener el servicio y la infraestructura que lo soporta se convierte en

un aspecto de vital importancia.

• Reservarse el derecho de hacerle auditorías al proveedor de servicios

en la nube.

• Monitorizando el servicio.


¿Cómo reducir esos riesgos?

• Establecer una capa de gestión, no sólo una capa técnica de

medidas, se convierte en una necesidad.

• Incluir en los planes de continuidad de negocio la naturaleza Cloud del

servicio hace plantearse rediseños en la forma de abordar la

implantación y pruebas de los planes.

• Ya no sólo habrá que tener en cuenta nuestras amenazas, si no que

habrá que contar con que parte de nuestros servicios dependen de un

tercero => implicaciones a la hora de aportar seguridad y continuidad al

servicio.



Global SGSI permite realizar el análisis de riesgos de manera ágil y sencilla

Pensemos en un servicio que tengamos en modo Cloud Computing, bajo

una aplicación en modelo “Software como Servicio” o ‘SaaS’


Proyecto para reducir riesgos: ¿Qué deberíamos hacer primero?


¿Qué deberíamos hacer primero?

Asegurar el servicio y los activos de los que depende

ISO ISO ISO ISO

27001270012700127001


Una vez asegurado el servicio y sus activos….

Debemos establecer una correcta gestión del servicio, haciéndolo más

eficaz y eficiente.

ISO ISO ISO ISO

27001270012700127001

ISO 20000ISO 20000ISO 20000ISO 20000


Ya tenemos el servicio asegurado y gestionado. ¿Qué nos falta?

Aportar continuidad al servicio

ISO ISO ISO ISO

27001270012700127001

ISO 20000ISO 20000ISO 20000ISO 20000

UNE 71599 / Bs 25999UNE 71599 / Bs 25999UNE 71599 / Bs 25999UNE 71599 / Bs 25999


Dificultades

� Gran parte de las medidas de seguridad a implantar tendrán que ser

llevadas a cabo por el proveedor de servicios.

� La gestión del servicio puede ser complicada al tener dificultades para

obtener ciertos datos útiles para gestionar correctamente el servicio.

� A la hora de elaborar los planes de continuidad de negocio tendremos

que contar con el escenario de que la infraestructura en producción queda

inaccesible, pero no ha sido destruida ni rodaba. Tesitura Coste vs Beneficio.


Dificultades

� Problemas a la hora de obtener acuerdos contractuales, dada la lejanía

del proveedor en algunos casos.

� Problemas derivados de la Ley de Protección de Datos, al existir la

posibilidad de realizar transferencias internacionales de datos.

� Dependencia total de internet => carencias de ancho de banda.


Soluciones

� Exigir niveles de seguridad equivalentes, pero asumiendo

responsabilidades.

� El Esquema Nacional de Seguridad dice lo siguiente sobre

servicios externalizados:

“La organización sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la información manejada y los servicios finales prestados por la organización.La organización dispondrá las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento.

Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio.

Las Administraciones públicas exigirán, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con unos niveles idóneos de gestión y madurez en los servicios prestados.”


Soluciones

� Asegurar, desde la base, cada activo y cada servicio

� Reducir al mínimo las posibilidades de ocurrencia de amenazas, vía ISO

27001 / ENS.

� Gestionar el servicio, vía ISO 20000.

� Aportar continuidad a los servicios, vía UNE 71599 / BS 25999.

� Negociar la posibilidad de realizar auditorías al proveedor, o al menos

exigirle ciertas certificaciones.

� Todo ello, reflejado en los pertinentes contratos


Conclusiones

¿Se consolidará el Cloud Computing y llegaremos a niveles de seguridad y

madurez suficientes?, sólo el tiempo lo dirá…

Conclusiones

Gracias por su atención

riesgos asociados al “cloud”riesgos asociados al cloud computing ¿cuáles son los desafíos a...

Documents