Post on 10-Jun-2015
description
ObjetivoObjetivo
… Para saber cuanto hay que acercar los … Para saber cuanto hay que acercar los controles a la nube.controles a la nube.
• Tomando medidas• Definiciones• Acercando responsabilidades• “Tocando” la nube• Aplicando controles
PCIPCI--DSS en la NubeDSS en la Nube
"Las entidades que planean usar Cloud Computing para sus entornos de PCI DSS primero debe asegurarse que entiende completamente los detalles de los servicios entiende completamente los detalles de los servicios que se ofrecen, y llevar a cabo una evaluación detallada que se ofrecen, y llevar a cabo una evaluación detallada de los riesgos específicos asociados con cada serviciode los riesgos específicos asociados con cada servicio”
Definir claramente y documentar las responsabilidades Proveedor/Cliente asignadas
a cada parte.
El secreto: Análisis y planificación estratégica.
Tomando medidasTomando medidas
El Cloud y los controlesIdentificando lo tangible para tomar medidas
Conocer las necesidades Identificar los riesgos y Conocer las necesidades de aplicación para el
Negocio
Seleccionar plataforma y estándar de evaluación
Identificar los riesgos y requerimientos de
control
Tomando medidasTomando medidas
• Estrategia y Objetivos de Negocio• Expectativas e intereses• Ética, Legal y Regulatorio
Balance de decisiones = Perfil de riesgoBalance de decisiones = Perfil de riesgoBalance entre Controles vs Economía/Flexibilidad
• Ética, Legal y Regulatorio• Compromiso entre las necesidades del negocio
y las expectativas del usuario
Marco que integre procesos de negocio Marco que integre procesos de negocio soportados en tecnología segurasoportados en tecnología segura
Tomando medidasTomando medidas
• Acceso a la información y los servicios desde cualquier lugar.
• Disponibilidad del servicio y/o aplicación web 24h/7dias/365dias.
• Accesibilidad mediante diferentes tecnologías compatibles,
Beneficios del CloudBeneficios del Cloud
Accesibilidad mediante diferentes tecnologías compatibles, tales como: PDAs, móviles, portátiles, blackberrys, netbooks, etc.
• Resuelve problemas de falta de capacidad o rendimiento de aplicación, debido a que solo se necesita un navegador web e internet. (Capacidad de procesamiento y almacenamiento sin instalar máquinas localmente)
• Empresas con facilidad de escalabilidad
Tomando medidasTomando medidas
• Pérdida de la gobernabilidad• Desconocimiento de procesos de gestión del proveedor• Bloqueo de las operaciones• Gestión de incidentes deficiente• Riesgos de cumplimiento y conformidad legal• Compromiso en la gestión de interfaces
Riesgos del CloudRiesgos del Cloud
• Compromiso en la gestión de interfaces• Deficiente protección de datos o almacenamiento
accidental de número de cuenta primaria (PAN)• Inseguro o incompleto borrado de datos• Deficiente gestión de privilegios• Imposibilidad de acceso a la infraestructura• Impedimentos para la auditabilidad y control de registros
Tomando medidasTomando medidas
HardwareSoftware
Conectividad
ServicioSoporte
Aplicaciones del Proveedor
Desarrollo Despliegue de Aplicaciones del Cliente
Aplicación Aplicación Plataforma Plataforma
Infraestructura Infraestructura Virtualización Virtualización
IaaSIaaS SaaSSaaSPaaSPaaSVirtualización Virtualización
Recursos físicos Recursos físicos
Externalizar responsabilidad, no subcontratarlaExternalizar responsabilidad, no subcontratarlaEvitar “Acusaciones cruzadas"Evitar “Acusaciones cruzadas"
Garantía del proveedor de no poder descifrar los datosGestión de riesgos y control al proveedor en la forma continuaGestión de incidentes, verificación de SLA: escalamiento, comunicación y respuesta.
DefinicionesDefiniciones
La nube en sí no es inseguraLa nube en sí no es inseguraPero las malas prácticas en las operaciones diarias pueden
cambiar este estado “controlado” sino aumentamos la
conciencia de cada actor.
AHORRO
GobiernoGestión de
Riesgo
Educación Cumplimiento
Reinvertir en controlesReinvertir en controles
DefinicionesDefiniciones
Alcance de responsabilidad Cliente/Proveedor por tipo de servicioAlcance de responsabilidad Cliente/Proveedor por tipo de servicio
IaaSIaaS SaaSSaaSPaaSPaaS
Datos
Software y aplicaciones de usuarios
Sistemas operativos y bases de datosSistemas operativos y bases de datos
Infraestructura Virtual
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)
DefinicionesDefiniciones
Extremos de responsabilidad Cliente / ProveedorExtremos de responsabilidad Cliente / Proveedor
IaaSIaaS SaaSSaaSPaaSPaaS
Datos
Hardware e infraestructura de red
Data Center (instalaciones físicas, infraestructura de seguridad, energía)Data Center (instalaciones físicas, infraestructura de seguridad, energía)
Balance de decisiones = Perfil de riesgoBalance de decisiones = Perfil de riesgo
TangibilizarTangibilizar los riesgos asociados a los “extremos” para los riesgos asociados a los “extremos” para poder establecer los controles necesarios y adecuadospoder establecer los controles necesarios y adecuados
Acercando responsabilidadesAcercando responsabilidades
Proveedor
• De cumplimiento deseable
Cliente
• Todos los controles de PCI
• Cifrado + gestión de claves
• Mantener los sistemas que estén a su alcance
Modelo IaaS• Cliente responsable de la encriptación de los datos y de no compartir la clave con el Proveedor
• Proveedor sin responsabilidad, pero de cumplimiento deseable
Modelo PaaS• Cliente responsable de parte de los controles PCI DSS y asegurar cumplimiento del Proveedor
Proveedor
• Seguridad en la plataforma de las aplicaciones
• Seguridad física
• red y cifrado
• Gestión de claves
• Seguridad lógica
Cliente
• Seguridad de aplicaciones
• Monitoreo
• Cliente responsable de parte de los controles PCI DSS y asegurar cumplimiento del Proveedor
del Requisito 12.8
• Proveedor responsable de parte de los controles PCI DSS, mantener cumplimiento del
Requisito 3.4
Acercando responsabilidadesAcercando responsabilidades
Proveedor
• Política de seguridad
• Seguridad física
• red y cifrado
• Gestión de claves
• Seguridad lógica
Cliente
• Política de seguridad
• Seguridad de aplicaciones
• Monitoreo
Modelo SaaS• Cliente responsable de controles PCI DSS, asegurando que el Proveedor los cumple
• Proveedor responsable de mantener el cumplimiento de PCI
Requisitos a tener en cuenta (I)Requisitos a tener en cuenta (I)
Requisito 1: Arquitectura de firewall ("redes de nube son planas")
Requisito 4.1: Criptografía y protocolos de seguridad
Requisito 6.1: Gestión de parches compartida
Requisito A1: Disponibilidad de los registros para la revisión por el Cliente
• Seguridad lógica
• Partes de seguridad de las aplicaciones
Acercando responsabilidadesAcercando responsabilidades
Requisito 3.4: Obtener y evaluar documentación relativa al sistema utilizado para
proteger el número de cuenta primario (PAN), incluidos el proveedor, el tipo de
sistema/proceso y los algoritmos de cifrado
Requisito 12.8: Si los datos de titulares de tarjeta se comparten con proveedores de
servicios, mantenga e implemente políticas y procedimientos a los fines de que los
proveedores de servicio incluyan acuerdo escrito de responsabilidad sobre la
seguridad de los datos de titulares de tarjetas que ellos tienen en su poder;
Requisitos a tener en cuenta (II)Requisitos a tener en cuenta (II)
seguridad de los datos de titulares de tarjetas que ellos tienen en su poder;
obligatoriedad de auditoría previa a la contratación; cronograma de supervisión del
cumplimiento del proveedor (propio y del tercero); plan de respuesta ante
incidentes y prueba anual
Anexo A: Requisitos de PCI DSS adicionales para proveedores hosting: Proteger el
entorno y los datos alojados; limitar el acceso y los privilegios sólo al entorno de
datos de sus propios titulares de tarjetas; asegurar la habilitación de registros y
pistas de auditoría y su exclusividad para el entorno de datos de titulares de tarjetas
de cada entidad; habilitar procesos de investigación forense
“Tocando” la nube“Tocando” la nube
IaaSIaaSPaaSPaaSSaaSSaaS
Espacio FísicoProveedor Espacio Físico
Cliente
EnlacesEnlaces
Gobierno Gestión de Riesgo
Gestión de Riesgo
ComponentesVirtuales
ComponentesVirtuales
SaaSSaaS
ComponentesFísicos
ComponentesFísicos
UsuarioFinal
Educación
Cumplimiento
Educación
Virtuales
Dos principales enfoques de cumplimientoDos principales enfoques de cumplimiento
SEGURIDAD de los datos
Encripción, control de acceso,
monitoreo, autenticación,
autorización
BORRADO de los datos
Organizar el proceso para asegurar
la eliminación de los datos
contenido en cualquier medio
“Tocando” la nube“Tocando” la nube
• Cifrado de datos en tránsito,
estáticos y en backups
• Gestión de accesos e identidades
• Seguridad de las aplicaciones
(arquitectura, ciclo de vida de
desarrollo, vulnerabilidades)
• Saber ubicación de los datos previo a
la firma de contrato de servicios
• Destrucción de claves utilizadas para
el cifrado de los datos
• Borrado seguro de discos
• Destrucción física o
desmagnetización de soportes físicos
• Verificación de contenido para
confirmación de procesos de
destrucción
Aplicando controlesAplicando controles
Gestión del RiesgoIdentificación de
activos
Solo se conocen las interfaces
Identificación de
amenazas
No se conocen las instalaciones
físicas ni la infraestructuraamenazas físicas ni la infraestructura
Identificación de
vulnerabilidades
Solo lo relacionado a las interfaces
Medir el riesgo Desde la visión del negocio y
analizando impacto de cada servicio
Implementar
controles
Nuevas metodologías
Aplicando controlesAplicando controles
Amenazas y vulnerabilidades
IaaS PaaS SaaS
Cliente Auditoria externa Solicitud de
registros (auditoria
interna,
Evaluación de
vulnerabilidades
sobre las interna,
certificaciones)
sobre las
interfases
Proveedor Auditoria interna e implementación de estándares de
seguridad
Aplicando controlesAplicando controles
Normativas y regulaciones
IaaS PaaS SaaS
Cliente Gestión de datos Ubicación del
desarrollo en la
nube,
procesamiento
Combinación
integrando modelo
de software del SP
con infraestructura procesamiento
local
con infraestructura
local del Cliente
Proveedor Posibilitar múltiples orígenes de datos; locación física de los
activos cumpliendo regulaciones locales; integración del
departamento de legales
Aplicando controlesAplicando controles
Confidencialidad IaaS PaaS SaaSCliente Selección de
proveedor
propietario de la
infraestructura
Asignar
responsabilidades
de
confidencialidad
Utilizar el modelo
de software del SP
solo para
aplicaciones no infraestructura confidencialidad
mediante seguros
y acuerdos
aplicaciones no
críticas
Proveedor Locaciones y procesos con certificaciones internacionales,
sistema de gestión de riesgos, implementación de APIs y
protoclos de encripción propios del Cliente
Aplicando controlesAplicando controles
Integridad IaaS PaaS SaaSCliente Control de acceso
por locación
Separación de
ambientes
probadas
Análisis exhaustivo
de integración de
servicios con probadas servicios con
información crítica
Proveedor Herramientas de control de acceso centralizadas, emisión de
reportes, adecuación de la infraestructura y arquitectura de
servicio que optimice las tareas forenses
Aplicando controlesAplicando controles
Disponibilidad IaaS PaaS SaaSCliente Componentes
redundantes y
escalabilidad de
vínculos
Escalabilidad del
software y de la
arquitectura media
Acuerdo de Nivel
de Servicio que
garantice la
continuidad de
acuerdo a los acuerdo a los
requerimientos del
Negocio
Proveedor Garantizar componentes redundantes; incluir métricas de
disponibilidad en los SLAs; procesos e instalaciones
estandarizadas para todas las locaciones
Aplicando controlesAplicando controles
Registros y pistas de auditoria
IaaS PaaS SaaS
Cliente Almacenar
localmente
Separación de
ambientes y
recolección de
evidencias
Ejecutar auditorias
externas según lo
pactado por SLA
evidencias
Proveedor Reporte según lo pactado en SLA; dimensionar la capacidad
para cubrir requerimiento de pistas de auditoria;
disponibilidad de herramientas especificas para análisis de
incidentes
Aplicando controlesAplicando controles
Gobierno
• Invertir parte del ahorro en controles
• Implementar un Programa de Seguridad de la Información
• Evaluar los procesos de gestión de IT de los Proveedores
• Incorporar en el contrato de servicios acciones colaborativas de gestión
• Métricas de cumplimiento
Gestión de Riesgo
• SLAs y requisitos contractuales que reflejen gestión de riesgo
• Exigir contractualmente evaluaciones de vulnerabilidad y pentest
• Estrategia de gestión de riesgos por parte del proveedor en contratos
• Establecer revisiones y auditorias periódicas
Educación
• Verificar la capacitación continua del personal de terceras partes
• Asegurar la participación de personaldebidamente certificado
• Verificar la inducción ante cambio o ingreso de personal
• Establecer un cronograma anual de capacitación
Cumplimiento
• Verificar periódicamente la gestión de terceros del Proveedor
• Auditar políticas, procesos y procedimientos de continuidad del proveedor y sus evaluaciones realizadas a terceros
• Verificar el Marco Normativo y su cumplimiento en la gestión del servicio
EstándaresEstándares
ISO/IEC 27017Information technology -- Security techniques -- Information security management -Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002
En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad para Cloud Computing
RecomendacionesRecomendaciones
• Desarrolle escenarios como plantilla para sus proyectos• Desarrolle una matriz de responsabilidad compartida• Incluir en los contratos con el Proveedor la recuperación de
los datos al finalizar la relación contractual• Ejecutar los controles y gestión de riesgos en forma
continua y mantener el cumplimiento PCI por parte del continua y mantener el cumplimiento PCI por parte del Proveedor
• Orientar la selección a proveedores certificados• Asegurar la intervención interdisciplinaria de diferentes
sectores de la Organización en sus proyectos (Legales, Tecnología, Seguridad Informática, Desarrollo, Facilities, etc.)
ConclusionesConclusiones
• Reducción de costos y mayor foco en el Negocio• Robustecer la seguridad en base a las
capacidades del proveedor, y así reducir la carga “local” de cumplimiento PCI compartida con el proveedorproveedor
• Mitigación de riesgos a través de contratos y SLAs orientados a los Controles y Gestión de Riesgo
MUCHAS GRACIASMUCHAS GRACIAS
Nubes ControladasNubes ControladasSubiendo los controles a la NubeSubiendo los controles a la Nube
Fabián DescalzoChief Information Security Oficcer – CISO
fdescalzo@cidi.com.ar
Universidad del CEMA Universidad del CEMA -- Auditorio PrincipalAuditorio PrincipalBuenos Aires – Argentina (2012)