2. De qué hablamos:
Criterios de ENISA para la elección de un proveedor de servicios de Cloud Computing
1. Oportunidades
2. Riesgos
3. Preguntas claves y términos contractuales
Fuentes: www.enisa.europa.eu
http://www.amedeomaturo.com/2015/09/15/como-una-pyme-debe-elegir-un-servicio-cloud/
3. OPORTUNIDADES DE SEGURIDAD
PUNTUACIÓN JUSTIFICACIÓN
O01. Distribución Geográfica GRANDE Ejemplo: Es de gran importancia, porque permite tener la información en un lugar distinto al del
servidor local
O02. Elasticidad MEDIA
O03. Portabilidad BAJA
O04. Seguridad Física ETC.
O05. Respuesta a incidentes 24/7
O06. Desarrollo Seguro de Software
O07. Actualizaciones
O08. Copias de Seguridad
O09. Capacidad de almacenamiento
O10. Security As a Service
O11. Certificaciones y Compliance
4. Leyenda Explicativa: indicar la ventaja de cada oportunidad para el uso del Cloud Service (BAJA, MEDIA o GRANDE)
O01. Distribución Geográfica Ofrece resilencia en casos en los que desastres locales: Importancia BAJA, MEDIA o GRANDE
O02. Elasticidad Mejora en los casos de picos de usos de servidores locales: Importancia BAJA, MEDIA o GRANDE
O03. Portabilidad Más facilidad de uso con distintas plataformas, formatos, etc.: Importancia BAJA, MEDIA o GRANDE
O04. Seguridad Física Mayor seguridad física, proporcionada por el proveedor: Importancia BAJA, MEDIA o GRANDE
O05. Respuesta a incidentes 24/7 Mayor seguridad física, proporcionada por el proveedor: Importancia BAJA, MEDIA o GRANDE
O06. Desarrollo Seguro de Software Supuesta mejora en el desarrollo de software por parte del proveedor: Importancia BAJA, MEDIA o
GRANDE
O07. Actualizaciones Proporcionadas por proveedores expertos: Importancia BAJA, MEDIA o GRANDE
O08. Copias de Seguridad Simplificación de las copias de seguridad: Importancia BAJA, MEDIA o GRANDE
O09. Capacidad de almacenamiento Pago por uso: Importancia BAJA, MEDIA o GRANDE
O10. Security As a Service Externalizar la seguridad, con menor coste para la empresa: Importancia BAJA, MEDIA o GRANDE
O11. Certificaciones y Compliance Las certificaciones pueden ayudar a elegir la empresa proveedora de cloud: Importancia BAJA, MEDIA o
GRANDE
5. RISK MANAGEMENT
PROBABILIDAD IMPACTO RIESGO JUSTIFICACIÓN
R01. Vulnerabilidad
de la seguridad del
Software
BAJA BAJO MENOR Ejemplo: El servicio se usa como copia de seguridad añadida a la local, de manera que una
vulnerabilidad del software del proveedor, de escasa probabilidad, tendría un bajo impacto en
la organización, que ya tiene copias de seguridad locales. Además, sólo se suben copias de
seguridad encriptadas, reduciendo una posible exposición de datos a personas no autorizadas
R02. Ataques de Red
R03. Ataques de
Ingeniería Social
R04. Peligros para
APIs
R05. Pérdida/Robo de
Aparatos
R06. Amenazas
Físicas
R07. Sobrecargas
R08. Costes
Inesperados
R09. Cautivo del
Proveedor
R10. Disputas
Legales con el
Proveedor
R11. Aplicación de
Jurisdicciones
Extranjeras
6. Leyenda Explicativa: indicar la PROBABILIDAD del Riesgo “R”, su IMPACTO en la organización y qué RIESGO supondría
R01. Vulnerabilidad de la seguridad del Software La seguridad NO depende de la solidez del software del cliente, si no del proveedor
R02. Ataques de Red Ataques a los servicios del proveedor (p.e., DDoS), afectan al servicio del cliente, incluso en el caso en el
que el cliente no sea directamente atacado
R03. Ataques de Ingeniería Social Riesgo similar al anterior, pero por ataques de Ingeniería Social
R04. Peligros para APIs Verificar que el proveedor tenga por lo menos doble sistema de autenticación. Si el ataque tiene éxito, el
cliente pierde toda la información
R05. Pérdida/Robo de Aparatos Las pérdidas/robos de aparatos del cliente, pueden proporcionar acceso directo a la información en el cloud
R06. Amenazas Físicas El proveedor debe asegurar que sus sistemas son replicados en distintas áreas geográficas, de manera que
el mismo evento físico (inundación), no afecta a dos o más lugares de almacenamiento
R07. Sobrecargas Sobrecargas de accesos de los distintos clientes pueden afectar a tu servicio
R08. Costes Inesperados Es necesario analizar los costes por sobre uso de los servicios de cloud
R09. Cautivo del Proveedor Es necesario asegurar una estrategia de salida, para no verse atrapado con un proveedor (libertad de
formatos para exportar la información, etc.)
R10. Disputas Legales con el Proveedor Es necesario asegurar que, mientras pueda haber disputas (p.e., facturas no pagadas), la información puede
ser utilizada
R11. Aplicación de Jurisdicciones Extranjeras Si se almacenan datos personales y los servidores cloud están fuera de la UE, puede haber un problema
legal
7. MATRIZ RIESGO/IMPACTOS (cuando los Riesgos “R” caen en las celdas naranjas o rojas, es necesario actuar)
IMPACTO
5 10 15 20 25
4 8 12 16 20
3 6 9 12 15
2 4 6 8 10
1 2 3 4 5
PROBABILIDAD
Leyenda
MAYOR
SIGNIFICATIVO
MENOR
GRAN IMPACTO,
BAJA
PROBABILIDAD
8. PREGUNTAS SOBRE SEGURIDAD (SQ)
Oportunidad
Relacionada
Riesgo
Relacionado
INFORMACIÓN
SUFICIENTE
RIESGO IMPACTO
SQ01. Seguridad de la
Organización,
Governance y Risk
Management
O4, O5, O6, O11 R6
SI MEDIO ALTO
SQ02.
Responsabilidades
legales
O5, O10 R6
SQ03. Contingencias
y Copias de
Seguridad
O1, O4, O5, O8 R5, R6, R7
SQ04. Disputas
Legales y
Administrativas
- R10
SQ05. Seguridad de
RRHH
O4 R6
SQ06. Controles de
Accesos
O4, O9 R6
9. PREGUNTAS SOBRE SEGURIDAD
Oportunidad
Relacionada
Riesgo
Relacionado
INFORMACIÓN
SUFICIENTE
RIESGO IMPACTO
SQ07. Seguridad del
Software
O6, O7 R1, R4
SQ08. Interfaz de
usuarios y
aplicaciones
O6, O7, O9 R3, R4, R5
SQ09. Monitorización
y logging
O7 R4
SQ10.
Interoperabilidad y
Portabilidad
O3 R6, R9
SQ11. Costes de
Escalado
O2 R7, R8
SQ12. Compliance
con legislación
nacional e
internacional
- R11
10. Leyenda Explicativa SQ (Security Questions) Preguntas a las que hay que contestar, para decidir sobre la contratación del servicio Cloud
SQ01. Seguridad de la Organización, Governance y Risk Management Criterios de gestión de seguridad y gestión de riesgo del proveedor
SQ02. Responsabilidades legales Qué tareas de seguridad incumben al proveedor y qué hace para mitigar los riesgos
SQ03. Contingencias y Copias de Seguridad Gestión de desastres que afectan al datacenter y/o a las conexiones
SQ04. Disputas Legales y Administrativas Garantías de disponibilidad de la información, incluso en los casos en los que existan disputas
legales y/o administrativas (p.e., impago de facturas)
SQ05. Seguridad de RRHH Políticas de seguridad implantadas entre el personal del proveedor
SQ06. Controles de Accesos Quién accede a los datos del cliente y qué medidas existen para accesos no autorizados
SQ07. Seguridad del Software Reparto de responsabilidades por vulnerabilidades del software del proveedor y del cliente
SQ08. Interfaz de usuarios y aplicaciones Sistemas de protección de accesos vía APIs y controles para usuarios con privilegios
SQ09. Monitorización y logging Sistemas de monitorización de las prestaciones pactadas y de los accesos
SQ10. Interoperabilidad y Portabilidad Estándares aplicados para asegurar interoperabilidad y portabilidad de la información del cliente
SQ11. Costes de Escalado Sistemas para el manejo de picos de uso y eventuales costes añadidos
SQ12. Compliance con legislación nacional e internacional Qué legislación es de aplicación