View
291
Download
2
Category
Preview:
Citation preview
Algunos Consejos básicos
Cloud Computing: elegir un proveedor
De qué hablamos: Criterios de ENISA para la elección de un proveedor de servicios de Cloud Computing 1. Oportunidades 2. Riesgos 3. Preguntas claves y términos contractuales Fuentes: www.enisa.europa.eu http://www.amedeomaturo.com/2015/09/15/como-una-pyme-debe-elegir-un-servicio-cloud/
OPORTUNIDADES DE SEGURIDAD
PUNTUACIÓN JUSTIFICACIÓN
O01. Distribución Geográfica GRANDE Ejemplo: Es de gran importancia, porque permite tener la información en un lugar distinto al del servidor local
O02. Elasticidad MEDIA
O03. Portabilidad BAJA
O04. Seguridad Física ETC.
O05. Respuesta a incidentes 24/7
O06. Desarrollo Seguro de Software
O07. Actualizaciones
O08. Copias de Seguridad
O09. Capacidad de almacenamiento
O10. Security As a Service
O11. Certificaciones y Compliance
Leyenda Explicativa: indicar la ventaja de cada oportunidad para el uso del Cloud Service (BAJA, MEDIA o GRANDE)
O01. Distribución Geográfica Ofrece resilencia en casos en los que desastres locales: Importancia BAJA, MEDIA o GRANDE
O02. Elasticidad Mejora en los casos de picos de usos de servidores locales: Importancia BAJA, MEDIA o GRANDE
O03. Portabilidad Más facilidad de uso con distintas plataformas, formatos, etc.: Importancia BAJA, MEDIA o GRANDE
O04. Seguridad Física Mayor seguridad física, proporcionada por el proveedor: Importancia BAJA, MEDIA o GRANDE
O05. Respuesta a incidentes 24/7 Mayor seguridad física, proporcionada por el proveedor: Importancia BAJA, MEDIA o GRANDE
O06. Desarrollo Seguro de Software Supuesta mejora en el desarrollo de software por parte del proveedor: Importancia BAJA, MEDIA o GRANDE
O07. Actualizaciones Proporcionadas por proveedores expertos: Importancia BAJA, MEDIA o GRANDE
O08. Copias de Seguridad Simplificación de las copias de seguridad: Importancia BAJA, MEDIA o GRANDE
O09. Capacidad de almacenamiento Pago por uso: Importancia BAJA, MEDIA o GRANDE
O10. Security As a Service Externalizar la seguridad, con menor coste para la empresa: Importancia BAJA, MEDIA o GRANDE
O11. Certificaciones y Compliance Las certificaciones pueden ayudar a elegir la empresa proveedora de cloud: Importancia BAJA, MEDIA o GRANDE
RISK MANAGEMENT
PROBABILIDAD IMPACTO RIESGO JUSTIFICACIÓN
R01. Vulnerabilidad de la seguridad del Software
BAJA BAJO MENOR Ejemplo: El servicio se usa como copia de seguridad añadida a la local, de manera que una vulnerabilidad del software del proveedor, de escasa probabilidad, tendría un bajo impacto en la organización, que ya tiene copias de seguridad locales. Además, sólo se suben copias de seguridad encriptadas, reduciendo una posible exposición de datos a personas no autorizadas
R02. Ataques de Red
R03. Ataques de Ingeniería Social
R04. Peligros para APIs
R05. Pérdida/Robo de Aparatos
R06. Amenazas Físicas
R07. Sobrecargas
R08. Costes Inesperados
R09. Cautivo del Proveedor
R10. Disputas Legales con el Proveedor
R11. Aplicación de Jurisdicciones Extranjeras
Leyenda Explicativa: indicar la PROBABILIDAD del Riesgo “R”, su IMPACTO en la organización y qué RIESGO supondría
R01. Vulnerabilidad de la seguridad del Software La seguridad NO depende de la solidez del software del cliente, si no del proveedor
R02. Ataques de Red Ataques a los servicios del proveedor (p.e., DDoS), afectan al servicio del cliente, incluso en el caso en el que el cliente no sea directamente atacado
R03. Ataques de Ingeniería Social Riesgo similar al anterior, pero por ataques de Ingeniería Social
R04. Peligros para APIs Verificar que el proveedor tenga por lo menos doble sistema de autenticación. Si el ataque tiene éxito, el cliente pierde toda la información
R05. Pérdida/Robo de Aparatos Las pérdidas/robos de aparatos del cliente, pueden proporcionar acceso directo a la información en el cloud
R06. Amenazas Físicas El proveedor debe asegurar que sus sistemas son replicados en distintas áreas geográficas, de manera que el mismo evento físico (inundación), no afecta a dos o más lugares de almacenamiento
R07. Sobrecargas Sobrecargas de accesos de los distintos clientes pueden afectar a tu servicio
R08. Costes Inesperados Es necesario analizar los costes por sobre uso de los servicios de cloud
R09. Cautivo del Proveedor Es necesario asegurar una estrategia de salida, para no verse atrapado con un proveedor (libertad de formatos para exportar la información, etc.)
R10. Disputas Legales con el Proveedor Es necesario asegurar que, mientras pueda haber disputas (p.e., facturas no pagadas), la información puede ser utilizada
R11. Aplicación de Jurisdicciones Extranjeras Si se almacenan datos personales y los servidores cloud están fuera de la UE, puede haber un problema legal
MATRIZ RIESGO/IMPACTOS (cuando los Riesgos “R” caen en las celdas naranjas o rojas, es necesario actuar)
IMPACTO
5 10 15 20 25
4 8 12 16 20
3 6 9 12 15
2 4 6 8 10
1 2 3 4 5
PROBABILIDAD
Leyenda
MAYOR
SIGNIFICATIVO
MENOR
GRAN IMPACTO, BAJA
PROBABILIDAD
PREGUNTAS SOBRE SEGURIDAD (SQ)
Oportunidad Relacionada
Riesgo Relacionado
INFORMACIÓN SUFICIENTE
RIESGO IMPACTO
SQ01. Seguridad de la Organización, Governance y Risk Management
O4, O5, O6, O11 R6SI MEDIO ALTO
SQ02. Responsabilidades legales
O5, O10 R6
SQ03. Contingencias y Copias de Seguridad
O1, O4, O5, O8 R5, R6, R7
SQ04. Disputas Legales y Administrativas
- R10
SQ05. Seguridad de RRHH
O4 R6
SQ06. Controles de Accesos
O4, O9 R6
PREGUNTAS SOBRE SEGURIDAD
Oportunidad Relacionada
Riesgo Relacionado
INFORMACIÓN SUFICIENTE
RIESGO IMPACTO
SQ07. Seguridad del Software
O6, O7 R1, R4
SQ08. Interfaz de usuarios y aplicaciones
O6, O7, O9 R3, R4, R5
SQ09. Monitorización y logging
O7 R4
SQ10. Interoperabilidad y Portabilidad
O3 R6, R9
SQ11. Costes de Escalado
O2 R7, R8
SQ12. Compliance con legislación nacional e internacional
- R11
Leyenda Explicativa SQ (Security Questions) Preguntas a las que hay que contestar, para decidir sobre la contratación del servicio Cloud
SQ01. Seguridad de la Organización, Governance y Risk Management Criterios de gestión de seguridad y gestión de riesgo del proveedor
SQ02. Responsabilidades legales Qué tareas de seguridad incumben al proveedor y qué hace para mitigar los riesgos
SQ03. Contingencias y Copias de Seguridad Gestión de desastres que afectan al datacenter y/o a las conexiones
SQ04. Disputas Legales y Administrativas Garantías de disponibilidad de la información, incluso en los casos en los que existan disputas legales y/o administrativas (p.e., impago de facturas)
SQ05. Seguridad de RRHH Políticas de seguridad implantadas entre el personal del proveedor
SQ06. Controles de Accesos Quién accede a los datos del cliente y qué medidas existen para accesos no autorizados
SQ07. Seguridad del Software Reparto de responsabilidades por vulnerabilidades del software del proveedor y del cliente
SQ08. Interfaz de usuarios y aplicaciones Sistemas de protección de accesos vía APIs y controles para usuarios con privilegios
SQ09. Monitorización y logging Sistemas de monitorización de las prestaciones pactadas y de los accesos
SQ10. Interoperabilidad y Portabilidad Estándares aplicados para asegurar interoperabilidad y portabilidad de la información del cliente
SQ11. Costes de Escalado Sistemas para el manejo de picos de uso y eventuales costes añadidos
SQ12. Compliance con legislación nacional e internacional Qué legislación es de aplicación
Ruegos y Preguntas
Amedeo Maturo Senra
@AmedeoM