Cxo Seguridad Cloud V2
0 recomendaciones419 vistas
El documento describe los desafíos y consideraciones de seguridad relacionados con el uso de la nube para entornos PCI DSS. Explica que las organizaciones deben entender completamente los servicios en la nube y evaluar los riesgos asociados antes de usarlos. También destaca la importancia de definir claramente las responsabilidades entre el proveedor y el cliente, y seleccionar un marco de evaluación adecuado. Finalmente, enfatiza que el enfoque clave es un análisis y planificación estratégica para lograr un balance entre cont
Cxo Seguridad Cloud V2
- 2. Objetivo … Para saber cuanto hay que acercar los controles a la nube. • Tomando medidas • Definiciones • Acercando responsabilidades • “Tocando” la nube • Aplicando controles
- 3. PCI- PCI-DSS en la Nube "Las entidades que planean usar Cloud Computing para sus entornos de PCI DSS primero debe asegurarse que entiende completamente los detalles de los servicios que se ofrecen, y llevar a cabo una evaluación detallada de los riesgos específicos asociados con cada servicio servicio” Definir claramente y documentar las responsabilidades Proveedor/Cliente asignadas a cada parte. El secreto: Análisis y planificación estratégica.
- 4. Tomando medidas El Cloud y los controles Identificando lo tangible para tomar medidas Conocer las necesidades Identificar los riesgos y de aplicación para el requerimientos de Negocio control Seleccionar plataforma y estándar de evaluación
- 5. Tomando medidas Balance de decisiones = Perfil de riesgo Balance entre Controles vs Economía/Flexibilidad • Estrategia y Objetivos de Negocio • Expectativas e intereses • Ética, Legal y Regulatorio • Compromiso entre las necesidades del negocio y las expectativas del usuario Marco que integre procesos de negocio soportados en tecnología segura
- 6. Tomando medidas Beneficios del Cloud • Acceso a la información y los servicios desde cualquier lugar. • Disponibilidad del servicio y/o aplicación web 24h/7dias/365dias. • Accesibilidad mediante diferentes tecnologías compatibles, tales como: PDAs, móviles, portátiles, blackberrys, netbooks, etc. • Resuelve problemas de falta de capacidad o rendimiento de aplicación, debido a que solo se necesita un navegador web e internet. (Capacidad de procesamiento y almacenamiento sin instalar máquinas localmente) • Empresas con facilidad de escalabilidad
- 7. Tomando medidas Riesgos del Cloud • Pérdida de la gobernabilidad • Desconocimiento de procesos de gestión del proveedor • Bloqueo de las operaciones • Gestión de incidentes deficiente • Riesgos de cumplimiento y conformidad legal • Compromiso en la gestión de interfaces • Deficiente protección de datos o almacenamiento accidental de número de cuenta primaria (PAN) • Inseguro o incompleto borrado de datos • Deficiente gestión de privilegios • Imposibilidad de acceso a la infraestructura • Impedimentos para la auditabilidad y control de registros
- 8. Tomando medidas Hardware Desarrollo Servicio Software Despliegue de Soporte Conectividad Aplicaciones Aplicaciones del Cliente del Proveedor Aplicación Plataforma Infraestructura Virtualización Recursos físicos IaaS PaaS SaaS Garantía del proveedor de no poder descifrar los datos Gestión de riesgos y control al proveedor en la forma continua Gestión de incidentes, verificación de SLA: escalamiento, comunicación y respuesta. Externalizar responsabilidad, no subcontratarla Evitar “Acusaciones cruzadas"
- 9. Definiciones La nube en sí no es insegura Pero las malas prácticas en las operaciones diarias pueden cambiar este estado “controlado” sino aumentamos la conciencia de cada actor. AHORRO Gestión de Gobierno Riesgo Educación Cumplimiento Reinvertir en controles
- 10. Definiciones Alcance de responsabilidad Cliente/Proveedor por tipo de servicio IaaS PaaS SaaS Datos Software y aplicaciones de usuarios Sistemas operativos y bases de datos Infraestructura Virtual Hardware e infraestructura de red Data Center (instalaciones físicas, infraestructura de seguridad, energía)
- 11. Definiciones Extremos de responsabilidad Cliente / Proveedor IaaS PaaS SaaS Datos Hardware e infraestructura de red Data Center (instalaciones físicas, infraestructura de seguridad, energía) Balance de decisiones = Perfil de riesgo Tangibilizar los riesgos asociados a los “extremos” para poder establecer los controles necesarios y adecuados
- 12. Acercando responsabilidades Modelo IaaS • Cliente responsable de la encriptación de los datos y de no compartir la clave con el Proveedor • Proveedor sin responsabilidad, pero de cumplimiento deseable Cliente Proveedor • Todos los controles de PCI • De cumplimiento deseable • Cifrado + gestión de claves • Mantener los sistemas que estén a su alcance Modelo PaaS • Cliente responsable de parte de los controles PCI DSS y asegurar cumplimiento del Proveedor del Requisito 12.8 • Proveedor responsable de parte de los controles PCI DSS, mantener cumplimiento del Requisito 3.4 Cliente Proveedor • Seguridad de aplicaciones • Seguridad en la plataforma de las aplicaciones • Monitoreo • Seguridad física • red y cifrado • Gestión de claves • Seguridad lógica
- 13. Acercando responsabilidades Modelo SaaS • Cliente responsable de controles PCI DSS, asegurando que el Proveedor los cumple • Proveedor responsable de mantener el cumplimiento de PCI Cliente Proveedor • Política de seguridad • Política de seguridad • Seguridad de aplicaciones • Seguridad física • Monitoreo • red y cifrado • Gestión de claves • Seguridad lógica • Partes de seguridad de las aplicaciones Requisitos a tener en cuenta (I) Requisito 1: Arquitectura de firewall ("redes de nube son planas") Requisito 4.1: Criptografía y protocolos de seguridad Requisito 6.1: Gestión de parches compartida Requisito A1: Disponibilidad de los registros para la revisión por el Cliente
- 14. Acercando responsabilidades Requisitos a tener en cuenta (II) Requisito 3.4: Obtener y evaluar documentación relativa al sistema utilizado para proteger el número de cuenta primario (PAN), incluidos el proveedor, el tipo de sistema/proceso y los algoritmos de cifrado Requisito 12.8: Si los datos de titulares de tarjeta se comparten con proveedores de servicios, mantenga e implemente políticas y procedimientos a los fines de que los proveedores de servicio incluyan acuerdo escrito de responsabilidad sobre la seguridad de los datos de titulares de tarjetas que ellos tienen en su poder; obligatoriedad de auditoría previa a la contratación; cronograma de supervisión del cumplimiento del proveedor (propio y del tercero); plan de respuesta ante incidentes y prueba anual Anexo A: Requisitos de PCI DSS adicionales para proveedores hosting: Proteger el entorno y los datos alojados; limitar el acceso y los privilegios sólo al entorno de datos de sus propios titulares de tarjetas; asegurar la habilitación de registros y pistas de auditoría y su exclusividad para el entorno de datos de titulares de tarjetas de cada entidad; habilitar procesos de investigación forense
- 15. “Tocando” la nube Espacio Físico Gestión Gobierno Gestión Proveedor de Riesgo de Riesgo Espacio Físico Cliente IaaS Componentes Enlaces Enlaces Virtuales PaaS Componentes Virtuales SaaS Usuario Componentes Final Componentes Físicos Físicos Educación Educación Cumplimiento
- 16. “Tocando” la nube Dos principales enfoques de cumplimiento SEGURIDAD de los datos BORRADO de los datos Encripción, control de acceso, Organizar el proceso para asegurar monitoreo, autenticación, la eliminación de los datos autorización contenido en cualquier medio • Cifrado de datos en tránsito, • Destrucción de claves utilizadas para estáticos y en backups el cifrado de los datos • Gestión de accesos e identidades • Borrado seguro de discos • Seguridad de las aplicaciones • Destrucción física o (arquitectura, ciclo de vida de desmagnetización de soportes físicos desarrollo, vulnerabilidades) • Verificación de contenido para • Saber ubicación de los datos previo a confirmación de procesos de la firma de contrato de servicios destrucción
- 17. Aplicando controles Gestión del Riesgo Identificación de Solo se conocen las interfaces activos Identificación de No se conocen las instalaciones amenazas físicas ni la infraestructura Identificación de Solo lo relacionado a las interfaces vulnerabilidades Medir el riesgo Desde la visión del negocio y analizando impacto de cada servicio Implementar Nuevas metodologías controles
- 18. Aplicando controles Amenazas y vulnerabilidades IaaS PaaS SaaS Cliente Auditoria externa Solicitud de Evaluación de registros (auditoria vulnerabilidades interna, sobre las certificaciones) interfases Proveedor Auditoria interna e implementación de estándares de seguridad
- 19. Aplicando controles Normativas y regulaciones IaaS PaaS SaaS Cliente Gestión de datos Ubicación del Combinación desarrollo en la integrando modelo nube, de software del SP procesamiento con infraestructura local local del Cliente Proveedor Posibilitar múltiples orígenes de datos; locación física de los activos cumpliendo regulaciones locales; integración del departamento de legales
- 20. Aplicando controles Confidencialidad IaaS PaaS SaaS Cliente Selección de Asignar Utilizar el modelo proveedor responsabilidades de software del SP propietario de la de solo para infraestructura confidencialidad aplicaciones no mediante seguros críticas y acuerdos Proveedor Locaciones y procesos con certificaciones internacionales, sistema de gestión de riesgos, implementación de APIs y protoclos de encripción propios del Cliente
- 21. Aplicando controles Integridad IaaS PaaS SaaS Cliente Control de acceso Separación de Análisis exhaustivo por locación ambientes de integración de probadas servicios con información crítica Proveedor Herramientas de control de acceso centralizadas, emisión de reportes, adecuación de la infraestructura y arquitectura de servicio que optimice las tareas forenses
- 22. Aplicando controles Disponibilidad IaaS PaaS SaaS Cliente Componentes Escalabilidad del Acuerdo de Nivel redundantes y software y de la de Servicio que escalabilidad de arquitectura media garantice la vínculos continuidad de acuerdo a los requerimientos del Negocio Proveedor Garantizar componentes redundantes; incluir métricas de disponibilidad en los SLAs; procesos e instalaciones estandarizadas para todas las locaciones
- 23. Aplicando controles Registros y pistas de auditoria IaaS PaaS SaaS Cliente Almacenar Separación de Ejecutar auditorias localmente ambientes y externas según lo recolección de pactado por SLA evidencias Proveedor Reporte según lo pactado en SLA; dimensionar la capacidad para cubrir requerimiento de pistas de auditoria; disponibilidad de herramientas especificas para análisis de incidentes
- 24. Aplicando controles Gobierno Gestión de Riesgo • Invertir parte del ahorro en controles • SLAs y requisitos contractuales que • Implementar un Programa de reflejen gestión de riesgo Seguridad de la Información • Exigir contractualmente evaluaciones • Evaluar los procesos de gestión de IT de vulnerabilidad y pentest de los Proveedores • Estrategia de gestión de riesgos por • Incorporar en el contrato de servicios parte del proveedor en contratos acciones colaborativas de gestión • Establecer revisiones y auditorias • Métricas de cumplimiento periódicas Educación Cumplimiento • Verificar la capacitación continua del • Verificar periódicamente la gestión de personal de terceras partes terceros del Proveedor • Asegurar la participación de personal • Auditar políticas, procesos y debidamente certificado procedimientos de continuidad del • Verificar la inducción ante cambio o proveedor y sus evaluaciones ingreso de personal realizadas a terceros • Establecer un cronograma anual de • Verificar el Marco Normativo y su capacitación cumplimiento en la gestión del servicio
- 25. Estándares ISO/IEC 27017 Information technology -- Security techniques -- Information security management - Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad para Cloud Computing
- 26. Recomendaciones • Desarrolle escenarios como plantilla para sus proyectos • Desarrolle una matriz de responsabilidad compartida • Incluir en los contratos con el Proveedor la recuperación de los datos al finalizar la relación contractual • Ejecutar los controles y gestión de riesgos en forma continua y mantener el cumplimiento PCI por parte del Proveedor • Orientar la selección a proveedores certificados • Asegurar la intervención interdisciplinaria de diferentes sectores de la Organización en sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
- 27. Conclusiones • Reducción de costos y mayor foco en el Negocio • Robustecer la seguridad en base a las capacidades del proveedor, y así reducir la carga “local” de cumplimiento PCI compartida con el proveedor • Mitigación de riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo
- 28. MUCHAS GRACIAS Nubes Controladas Subiendo los controles a la Nube Universidad del CEMA - Auditorio Principal Buenos Aires – Argentina (2012) Fabián Descalzo Chief Information Security Oficcer – CISO fdescalzo@cidi.com.ar