1. Antonio Villalón Director de Seguridad [email_address] Seguridad dentro y fuera de la nube www.securityartwork.es www.s2grupo.es IX Foro de Seguridad RedIRIS
¿Quién se lo ha dicho? IT. No. “Si funciona no lo toques” Jurídico. No nos gusta generarnos trabajo porque sí… gratis. Financiero. Con lo del ahorro de costes y demás… dudo que bajen a ese nivel Comercial. La nube está de moda. Mainframe: sustituyamos la conexión a internet (rj45) por un rs232
SaaS: Usuario final PaaS: Desarrollador IaaS: System Admin Nube comunidad universitaria: si investigo la obra de shakespeare puede ser… si investigo sistemas de detección de minas antipersona basados en redes neuronales me lo pienso…
Confío en un papel con las SLA y unas características de lo bueno que es el SP. Un papel que no para hackers o troyanos, y que no evita fugas de información… El papel me lo da una empresa grande (Amazon, Google, Microsoft) y ya sabemos que las empresas grandes son de fiar y nunca venderían nuestra información no? Ahí tenemos a Telefónica… Antes bastionaba Unix, configuraba FW, parametrizaba IDSes… ahora gestiono…
Puedo tener el nivel de riesgo en tiempo real? Me da acceso el CP a los datos que necesito??
A los internos es más fácil controlarlos… e incluso despedirlos
Inventario desde MI punto de vista: criticidad, servicios ofrecidos, etc. Mis activos le preocupan al CP, pero seguro que no tanto como a mí…
La identidad digital cobra mucha importancia Need to know: Quién del CP puede acceder a MIS datos y de qué forma?
Si soy español aplico jurisdicción española
El AR me lo hace ENISA
Ni mucho menos: p.e. problema del storage
Consejos: No pongas en la nube nada que no quieras que vea la competencia o el gobierno (propio o ajeno). Revisa N veces los acuerdos de servicio. Asegúrate de que no violas ninguna ley poniendo datos en la nube.