Implicaciones de seguridad al migrar un entorno de TI a la nube
1. Implicaciones de seguridad al migrar
un entorno de TI a la nube
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
2. Victoriano Gómez Garrido
Socio fundador y CEO de ITeratum, S.L., empresa dedicada a la
consultoría, formación y actividad editorial en temas de ITSM.
Más de 30 años de experiencia laboral repartida entre Dirección
de Proyectos nacionales e internacionales y Gestión del Servicio:
Business Area Manager sector Industria en Atos Origin
Steering Committee Member en el proyecto de la Comisión
Europea “Mediating and Monitoring Electronic Commerce”
Responsable de Comercio Electrónico B2B para España y
Portugal en Philips
ITIL® Expert, Consultant/Manager ISO/IEC 20000, Certified
Integrator in Secure Cloud Services, Certificado en ISO/IEC 27002
Autor del Workbook oficial de EXIN “Fundamentos de ITSM de
EXIN basado en ISO/IEC 20000”
Conferencista
ITeratum, S.L.
c/ Ribera del Loira, 46 - 28042 Madrid – España
Telf.: +34 915 030 020 / Fax: +34 916 201 777
vgomez@iteratum.es
http://www.iteratum.es/
http://www.editorial.iteratum.com/
3. ¿Qué es el Cloud Computing?
¿Migrar o no migrar…?
¿Cómo elijo proveedor?
¿Es segura la Nube?
Recomendaciones finales
4. Diapositiva 4
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Qué es el Cloud Computing?
“Cloud Computing es un modelo para hacer
posible el acceso ubicuo, conveniente y bajo
demanda a través de la red a un conjunto
compartido de recursos informáticos
configurables (p.e., redes, servidores,
almacenamiento, aplicaciones y servicios) que
pueden ser rápidamente aprovisionados y
liberados con un mínimo esfuerzo de gestión o
interacción con el proveedor de servicios.”
NIST - National Institute of Standards and Technology (2011)
Definición
5. Diapositiva 5
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Qué es el Cloud Computing?
Características Esenciales
Autoservicio bajo demanda
Conjunto de recursos (multicliente)
Rapidez y elasticidad (flexibilidad, escalabilidad)
Servicio medido (pago por uso)
Amplio acceso a la red ( “cualquier momento,
cualquier lugar, cualquier dispositivo”)
Los servicios en la nube se basan en cinco características esenciales:
6. Diapositiva 6
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Qué es el Cloud Computing?
Modelos de Servicio
SoftwareasaService
PlatformasaService
InfrastructureasaService
Permite utilizar las aplicaciones del
proveedor que se ejecutan en la
nube
El consumidor no gestiona ni
controla la infraestructura de la
nube
Ejemplos de SaaS:
Facebook
Twitter
Gmail
Dropbox
Skype
Microsoft Office 365
Adobe Creative Cloud
7. Diapositiva 7
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Qué es el Cloud Computing?
Modelos de Servicio
SoftwareasaService
PlatformasaService
InfrastructureasaService
Permite al consumidor utilizar
lenguajes y herramientas de pro-
gramación soportados por el
proveedor para desarrollar aplica-
ciones que se pueden ejecutar en
la nube
El consumidor no gestiona ni
controla la infraestructura de la
nube pero tiene el control sobre las
aplicaciones desplegadas
Ejemplos de PaaS:
Windows Azure
Amazon Elastic Compute Cloud
(Amazon EC2)
Google App Engine
8. Diapositiva 8
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Qué es el Cloud Computing?
Modelos de Servicio
SoftwareasaService
PlatformasaService
InfrastructureasaService
Permite al consumidor abastecerse
de procesamiento, almacenamien-
to, redes y otros recursos de forma
que pueda desplegar y ejecutar
software, incluyendo sistemas
operativos y aplicaciones
El consumidor no gestiona ni
controla la infraestructura de la
nube pero tiene control sobre los
sistemas operativos, almacena-
miento, aplicaciones desplegadas
Ejemplos de IaaS:
Rackspace Cloud
VMware vCloud
9. Diapositiva 9
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Qué es el Cloud Computing?
Responsabilidad vs. Control
SoftwareasaService
PlatformasaService
InfrastructureasaService
ResponsabilidaddelProveedor
Controldelclientesobrelainfraestructura
10. Diapositiva 10
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Qué es el Cloud Computing?
Modelos de Despliegue
11. Diapositiva 11
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Es segura la Nube?
Riesgos en la Nube
12. Diapositiva 12
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Es segura la Nube?
Riesgos en la Nube
Fuente y Copyright: Cloud Security Alliance (CSA), documento: ‘Cloud Security Alliance “Top Threats to Cloud Computing” Versión 1.0 (2010)’
Riesgos Medidas de Mitigación
Pérdida / desaparición de datos Autenticación, Auditorías
Vulnerabilidades de la tecnología
compartida
Procedimientos y prácticas operativas de
seguridad
Interfaces de aplicación inseguros Diseño de seguridad
Personas maliciosas con información
privilegiada
Investigación del personal
Abuso y uso malicioso del Cloud
Computing
Validación de credenciales, monitorización
activa del tráfico
Riesgos desconocidos en perfiles y cuentas Buenos SLA y auditorías
Secuestro de cuentas, servicio y tráfico de
información
Sólida autenticación, monitorización activa
13. Diapositiva 13
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Es segura la Nube?
La norma ISO/IEC 27002
La Organización Internacional de Normalización (ISO,
International Organization for Standardization) es el
mayor desarrollador mundial de estándares voluntarios
internacionales.
La Comisión Electrotécnica Internacional (IEC,
International Electrotechnical Commission) es líder
mundial en preparación y publicación de estándares
internacionales para temas eléctricos, electrónicos y
tecnologías relacionadas.
Ambas organizaciones
cooperan desarrollando
estándares relacionados
con las Tecnologías de la
Información y las
Comunicaciones
La ISO/IEC 27000 es una familia de normas destinadas al establecimiento de técnicas de
seguridad en las Tecnologías de la Información de las organizaciones. Está compuesta por
múltiples documentos:
ISO/IEC 27000 – Visión general y terminología
ISO/IEC 27001 – Requisitos del Sistema de Gestión de la Seguridad de la Información (SGSI)
ISO/IEC 27002 – Código de Prácticas (anteriormente conocida como ISO/IEC 17799)
…
14. Diapositiva 14
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Es segura la Nube?
Secciones de la Norma
0. Introducción 8. Seguridad de los Recursos Humanos
1. Alcance 9. Seguridad Física y del Entorno
2. Términos y Definiciones 10. Gestión de las Operaciones y de las
Comunicaciones
3. Estructura de la norma 11. Control de Accesos
4. Evaluación y Tratamiento de Riesgos 12. Adquisición, Desarrollo y Manteni-
miento de Sistemas de Información
5. Política de Seguridad 13. Gestión de Incidencias de Seguridad
de la Información
6. Organización de la Seguridad de la
Información
14. Gestión de la Continuidad de la
Información
7. Gestión de Activos 15. Conformidad
La norma ISO/IEC 27002
15. Diapositiva 15
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Es segura la Nube?
Especificación
ISO/IEC 27002
La Seguridad de la Información se
define como la preservación de la
confidencialidad, integridad y
disponibilidad de la información;
además, también pueden estar
involucradas otras propiedades
como la autenticidad,
responsabilidad, no-repudio y
confiabilidad.
INTEGRIDAD
DISPONIBILIDAD
SEGURIDAD
CONFIDENCIALIDAD
Seguridad de la Información
16. Diapositiva 16
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Es segura la Nube?
El propósito de la Gestión de la Continuidad del Negocio es evitar que las actividades del
negocio sean detenidas, proteger los procesos críticos contra las consecuencias de
interrupciones de gran alcance en los sistemas de información y hacer posible una rápida
recuperación de las actividades del negocio.
Múltiples razones hacen necesaria la Gestión de la Continuidad:
Protección de los procesos de
negocio
Continuación del servicio
Supervivencia de la compañía
Evitación de pérdidas económicas
Evitación de publicidad negativa
Razones
Gestión de la Continuidad del Negocio
17. Diapositiva 17
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Migrar o no migrar…?
Análisis previo
Servicios proporcionados por TI
Gestión de los Servicios de TI
Procesos y Procedimientos implementados
Estándares y Regulaciones
Distribución de los costes
Composición y Capacitación del personal
¿Conocemos nuestra propia organización de TI…?
18. Diapositiva 18
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Migrar o no migrar…?
¿Puede la Nube proporcionar los recursos más
rápidamente que cuando están alojados
localmente en mi empresa?
¿A qué estamos dispuestos a renunciar?
¿Qué ganamos a cambio?
¿Está mi organización dispuesta a comprometerse?
¿Está mi organización, empleados, personal de TI y
otras partes interesadas dispuestos a realizar el
cambio?
Análisis previo
19. Diapositiva 19
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Migrar o no migrar…?
Beneficios
Disminución del Time to Market (TTM)
Flexibilidad (arquitectura, prestaciones, escalabilidad)
Abaratamiento del TCO (capex vs. opex)
Computación más “verde”
Generales
Servicios gestionados
Autoservicio
Despliegue de servidores instantáneo
Licenciamiento de software sin impacto en el capex
Simplificación de actualizaciones y garantías
Backups como servicio (siempre fuera de las instalaciones)
Operativos
Necesidad de menos personal de TI (menos salarios)
Disminución en costes de RR.HH. y formación
RR.HH.
20. Diapositiva 20
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Migrar o no migrar…?
Coste Total de Propiedad (TCO)
...pero son
reemplazados
por costes
operativos
(suscripciones,
pago por uso,
contratos de
soporte más
caros, etc.)
Los costes de capital (servidor,
almacenamiento, infraestructura,
etc.) disminuyen significativa-
mente...
Tenemos que comparar lo que pagamos
ahora con lo que pagaremos en la Nube
en un escenario a largo plazo
21. Diapositiva 21
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Cómo elijo proveedor?
Cuestiones a formular al proveedor de Cloud
¿Cuál es el tiempo de resolución de incidencias y problemas?
¿Como cuánto de buena es la seguridad del centro de datos Cloud?
¿Cómo es el rendimiento del sistema (p.e., velocidades de conexión y
transacción) comparado con su propio centro de datos y red privada?
¿Cómo se realizan las auditorías?
¿Dónde están ubicados los servidores y qué legislación es de aplicación a los
datos?
¿Qué está previsto para cuando un servicio cambia o finaliza (ciclo de vida del
servicio y fin de vida)?
¿Qué está previsto para el caso de que queramos migrar a otro proveedor
(ciclo de vida del contrato y fin de vida)?
22. Diapositiva 22
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Cómo elijo proveedor?
Factores a evaluar
Capacidad técnica demostrable
Infraestructura de red adecuada
Mecanismos de licenciamiento de software
Medidas de seguridad física y de seguridad técnica
Cumplimiento de estándares y regulaciones así como
mecanismos de auditoría interna
Buena Gestión del Nivel de Servicio
Distintos requerimientos para los distintos modelos
de Cloud
Acuerdos de Nivel de Servicio (SLA) claros
Medidas de seguridad organizativa
Informes de rendimiento técnico
Informes sobre excepciones
Revisiones periódicas de la gestión
23. Diapositiva 23
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Cómo elijo proveedor?
La norma ISO/IEC 20000:2011
La ISO/IEC 20000 es una norma internacional cuyo objetivo es garantizar la
provisión de servicios gestionados de acuerdo a un nivel de calidad aceptable
por los clientes.
El proveedor debería
cumplir con los requeri-
mientos de la norma y su
personal debería estar
familiarizado con los
procesos
24. Diapositiva 24
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Cómo elijo proveedor?
La norma ISO/IEC 20000:2011Secciones de la norma
1. Alcance
2. Referencias normativas
3. Términos y definiciones
4. Requisitos generales del Sistema de Gestión de
Servicios
4.1 Responsabilidad de la Dirección
4.2 Gobierno de procesos operados por Terceras
Partes
4.3 Gestión de la Documentación
4.4 Gestión de los Recursos
4.5 Establecimiento y mejora del SGS
5. Diseño y Transición de servicios nuevos o
modificados
6. Procesos de Entrega de Servicios
6.1 Gestión del Nivel de Servicio
6.2 Informes del Servicio
6.3 Gestión de la Continuidad y Disponibilidad
6.4 Presupuestos y contabilidad de servicios
6.5 Gestión de la Capacidad
6.6 Gestión de la Seguridad de la Información
7. Procesos de Relaciones
7.1 Gestión de Relaciones con el Negocio
7.2 Gestión de Suministradores
8. Procesos de Resolución
8.1 Gestión de Incidencias y Peticiones de
Servicio
8.2 Gestión de Problemas
9. Procesos de Control
9.1 Gestión de Configuración
9.2 Gestión de Cambios
9.3 Gestión de Entregas y Despliegues
25. Diapositiva 25
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
¿Cómo elijo proveedor?
La norma ISO/IEC 20000:2011
Sistema de Gestión del Servicio (SGS)
Diseño y Transición de Servicios Nuevos o Modificados
Procesos de Resolución Procesos de Relaciones
Procesos de Entrega de Servicios
● Gestión de la Capacidad
● Gestión de la Continuidad
y Disponibilidad del
Servicio
● Gestión de la Seguridad
de la Información
● Presupuestos y
contabilidad de servicios
● Gestión del Nivel de Servicio
● Informes del Servicio
Procesos de Control
● Gestión de Configuración
● Gestión de Cambios
● Gestión de Entregas y
Despliegues
● Gestión de Incidencias y Peticiones
de Servicio
● Gestión de Problemas
● Gestión de Relaciones con el
Negocio
● Gestión de Suministradores
● Responsabilidad de la Dirección
● Establecimiento del SGS
● Gobierno de procesos operados por Terceras Partes
● Gestión de la Documentación
● Gestión de los Recursos
26. Diapositiva 26
Seminario de Seguridad de la Información
Tunja (Colombia) - 23 de julio de 2013
Recomendaciones finales
Conozca el entorno de TI de su empresa y los servicios que le proporciona antes
de plantearse una migración a la Nube.
Analice qué estructura de costes es más conveniente para su empresa (capex
vs. opex).
Tómese su tiempo a la hora de analizar las ofertas de los proveedores. No dude
en preguntar todo aquello que no esté suficientemente claro.
En lo que respecta a Gestión de la Seguridad, compruebe si su proveedor de
servicios Cloud está certificado en ISO/IEC 27001 o, al menos, puede demostrar
cumplimiento de la ISO/IEC 27002.
En lo que respecta a Gestión del Servicio, compruebe si su proveedor de
servicios Cloud está certificado en ISO/IEC 20000:2011 o, al menos, puede
demostrar cumplimiento de las especificaciones de la Parte 2 de dicha norma.
27. Victoriano Gómez Garrido
ITeratum, S.L.
c/ Ribera del Loira, 46 - 28042 Madrid – España
Telf.: +34 915 030 020 / Fax: +34 916 201 777
vgomez@iteratum.es
http://www.iteratum.es/
http://www.editorial.iteratum.com/