PDF de programación - Computación en la nube - decisión de negocio: un enfoque basado en riesgos

Computación en la nube -

decisión de negocio: un enfoque

basado en riesgos

Wilmar Arturo Castellanos Morales

[email protected]

Agenda

 Cloud computing
 Retos de seguridad
 Análisis de riesgos
 Recomendaciones
 Referencias
 Preguntas

Computación en la nube - decisión de negocio: un enfoque basado en
riesgos
CLOUD COMPUTING

Cloud computing

Cloud Computing

“Un modelo que posibilita el acceso conveniente y por
demanda, a través de la red, a recursos de
computación que pueden ser rápidamente asignados y
liberados con un esfuerzo mínimo de la gerencia o del
proveedor”
NIST SP800-145

Cloud computing

IaaS
•

Infraestructura de servidores,
software y equipos de red por
demanda.

• Reduce costos de hardware y

software base (compra,
almacenamiento y administración).
• Cliente escoge sistemas operativos.
•

La seguridad diferente a
infraestructura es administrada por
el cliente.

Cloud computing

PaaS
•
•

Plataforma provista por demanda.
Sobre la plataforma el cliente
puede desarrollar e implementar
sus aplicaciones.

• Reduce costos de hardware,

software base, incluyendo
utilidades y bases de datos.
Infraestructura administrada por
el proveedor. Aplicaciones y
entorno aplicativo administrados
por el cliente.
Seguridad se administra de forma
compartida.

•

•

Cloud computing

SaaS
• Aplicaciones por demanda.
• Reduce costos de hardware,

software base, desarrollo,
mantenimiento y operación de
aplicaciones.
Infraestructura y aplicaciones
administradas por el proveedor.

•

Cloud computing

Cloud computing

Privada

Comunitaria

Nube

Pública

Híbrida

Computación en la nube - decisión de negocio: un enfoque basado en
riesgos
RETOS DE SEGURIDAD

Retos de seguridad

Los retos de seguridad son
reales, pero no imposibles…

Los enfoques tradicionales de evaluación de riesgos aplican,
sin embargo, la aceptación del riesgo debe ser bien
entendida.

Varios modelos diferentes de
servicio en nubes híbridas…

Lo que debe abordarse como diferentes riesgos y
requerimientos de control.

Las aplicaciones de bajo riesgo
con cargas de trabajo estándar
conforman la primera ola…

Esto incluye herramientas de colaboración, computación del
alto desempeño. No incluye aplicaciones clave del negocio.

Los proveedores de Cloud
computing están escuchando a
sus clientes…

Las soluciones tienden a personalizarse por industria y según
la necesidad de cumplimiento regulatorio (p.e. retención y
archivo de correos electrónicos)

La estrategia de Cloud
computing y el caso de
negocio son el primer paso en
la ruta de adopción…

Los cambios en el modelo de negocios y de servicio de los
proveedores de TI obligan la adopción de cloud computing.
Los modelos de TCO deben tener como factor el costo del
riesgo y de los requerimientos de cumplimiento.

Retos de seguridad

Complejidad

• Infraestructura muy compleja comparada con un datacenter.
• La superficie de ataque es muy grande dada la gran cantidad de

componentes de la nube.

• Además de la infraestructura de servicio están los componentes del

proveedor necesarios para el servicio (balanceo, medición de recursos).

• Toda la infraestructura está sujeta a actualizaciones y cambios.
• Las interacciones aumentan de manera cuadrática frente a la cantidad de

componentes, incrementando la complejidad cada vez más.
• La complejidad es inversamente proporcional a la seguridad.

Retos de seguridad

Múltiples suscriptores

• Un suscriptor usualmente comparte recursos con suscriptores que no

conoce. Esto puede ser inaceptable para cierta información o aplicaciones
que requieran altos niveles de aseguramiento.

• La separación lógica que suele ser ofrecida no es un asunto trivial y se

hace más difícil en la nube dado su crecimiento.

• Un error humano o una configuración errada puede exponer información

de la empresa a otros suscriptores, algunos de los cuales pueden
encontrar de mucho valor dicha información.

• Incluso un atacante puede suplantar a un suscriptor legítimo y acceder a

información de otros suscriptores.

Retos de seguridad

Servicios provistos en Internet

• Las interfaces de administración, autoservicio, de usuario y aplicaciones

están expuestas a Internet.

• Las aplicaciones y datos que solían accederse dentro de una intranet,

protegida por una seguridad perimetral construida y afinada durante años,
ahora se acceden a través de Internet.

• El acceso directo a los servidores ya no es en un datacenter controlado por

la empresa, sino que es a través de la nube.

Retos de seguridad

Control

• Los riesgos y controles son similares a los de un datacenter tradicional,
solo ahora el control directo lo ejerce un externo, surgiendo el riesgo de
un manejo inadecuado por parte del proveedor.

• Esto dificulta que la organización pueda saber el estado real de sus riesgos,
establecer prioridades y actuar oportunamente en el mejor interés para la
empresa.

Retos de seguridad

Actividades ilícitas

• Botnets: tienen muchas semejanzas con cloud computing, reducción de

costos, uso dinámico de recursos, redundancia, etc. También pueden
usarse para infiltrar la infraestructura de proveedores de cloud computing.
Ya se han detectado casos de hackers adquiriendo servicios de cloud
computing para generar ataques de negación de servicio, malware y
phising

• Cracking: los servicios de cloud computing también se han usado para

quebrar algoritmos de cifrado, haciendo que los algoritmos seguros dejen
de serlo rápidamente ante la posibilidad de usar servicios en la nube para
quebrarlos.

• “Con cloud computing una tarea que tomaría 5 días en un computador
toma solo 20 minutos en un cluster de 400 máquinas virtuales”. Ragan

Computación en la nube - decisión de negocio: un enfoque basado en
riesgos
ANÁLISIS DE RIESGOS

Análisis de riesgos

Requerimientos
del negocio

• ¿Cuáles son los requerimientos del negocio?
• ¿Qué activos / recursos serían migrados?
• ¿Qué datos son de interés del negocio?
• ¿Quién administra qué y cómo?
• ¿Qué controles existen y operan?

SaaS

PaaS

IaaS


Modelo de
servicio



Modelo de
implementación

Evaluación y

aceptación del riesgo

Gobierno

Operación Arquitectura

Política de seguridad

Organización de seguridad

Gestión de activos

Seguridad de RRHH

Seguridad física

i

D
o
m
n
o
s

I

i

Control de acceso

Seguridad Adq, Dllo, Mto Aplic

Comunicaciones y Operaciones
S
O

2
7
0
0
2


Gestión de incidentes

Continuidad

Cumplimiento

Público

Privado

Híbrido

Comunitario

Dominios del Cloud Security Alliance

¿Los beneficios superan los riesgos? Es el negocio quien lo decide.

Análisis de riesgos

• 43% of enterprises have security issues with cloud service

providers.



Global cloud security survey by Trend Micro.

• Sixty-two percent of you have little to no confidence in your

ability to secure any assets that you put in the cloud. Even
among the 49 percent of respondents who have ventured into
cloud computing, more than a third (39 percent) have major
qualms about security.

CSO Eighth Annual Global Information Security Survey.



Análisis de riesgos

•

•

“The majority of cloud computing providers surveyed do not believe their
organization views the security of their cloud services as a competitive
advantage. Further, they do not consider cloud computing security as one
of their most important responsibilities and do not believe their products
or services substantially protect and secure the confidential or sensitive
information of their customers.
The majority of cloud providers believe it is their customer’s responsibility
to secure the cloud and not their responsibility. They also say their
systems and applications are not always evaluated for security threats
prior to deployment to customers.

• Buyer beware – on average providers of cloud computing technologies
allocate10 percent or less of their operational resources to security and
most do not have confidence that customers’ security requirements are
being met.

Análisis de riesgos

• Cloud providers in our study say the primary reasons why customers

purchase cloud resources are lower cost and faster deployment of
applications. In contrast, improved security or compliance with regulations
is viewed as an unlikely reason for choosing cloud services.
The majority of cloud providers in our study admit they do not have
dedicated security personnel to oversee the security of cloud applications,
infrastructure or platforms.

•

• Providers of private cloud resources appear to attach more importance

and have a higher level of confidence in their organization’s ability to meet
security objectives than providers of public and hybrid cloud solutions”.

Ponemon Institute, Security of Cloud Computing Providers Study, 2011

Análisis de riesgos

¿Qué controla, qué
puede influir, qué no
puede controlar?

• El contrato es la única estrategia de mitigación del riesgo? Sirve?
• Quién maneja los procesos operativos?
• Qué control tengo de que las prácticas son adecuadas?

Cómo controla los retos
en la protección de
datos?

Cómo puede
asegurarse de la
eficacia y operación de
los controles?

• Propiedad, retención, respaldo, recuperación, cifrado, destrucción?
• La gestión de datos cumple con mis políticas y satisface el

cumplimiento?

• SAS 70, SSAE16, ISAE3402. Son suficientes los objetivos de control?
• Pruebas independientes?
• Gestión de vulnerabilidades, ciclo de vida del software, incidentes de

seguridad, registro y monitoreo?

• Otros clientes pueden impactar nuestro desempeño o seguridad?
• Qué métricas de seguridad pone el proveedor a mi disposición? Son

auditables?

Análisis de riesgos

Cómo puede manejar
las zonas grises legales
y regulatorias?

• Una brecha del proveedor de cloud computing que a