112
-
Upload
monicacarolinaacostazambrano -
Category
Documents
-
view
11 -
download
0
description
Transcript of 112
-
AuditandoelAmbientedelaComputacinenlaNube
-
Despusdeterminarestasesinustedtendr los conocimientos bsicos de:tendrlosconocimientosbsicosde:
1. Losconceptosbsicosdelacomputacinenlanube,especialmente,losconceptosdei f t t l t f ftinfraestructura,plataformasysoftwarecomoserviciosdelanube.
2 Los pros y contras de la computacin en la nube2. Losprosycontrasdelacomputacinenlanube.3. Losretosalaseguridaddelainformacinenlanube
y la auditoria de ese ambienteylaauditoriadeeseambiente.
-
Despusdeterminarestasesinustedtendr los conocimientos bsicos de:tendrlosconocimientosbsicosde:
4. Comomoverlosactivosdeinfraestructura,plataformasysoftwaredeunambienteinternodela
bi t d l bempresaaunambientedelanube.5. Hacerunanlisisderiesgoparaayudarenmoverlos
activos y operaciones a la nubeactivosyoperacionesalanube.6. ComoelauditordeITpuedeapoyaren:
identificar acti os a mo er a la n be identificaractivosamoveralanube, monitorear lasoperacionesdelanube, minimizar los riesgos de la nube yminimizar losriesgosdelanube,y mejorar lasoperacionesenlanube.
-
EvolucindelaTecnologadef Informtica
Centros de CmputosCentrosdeCmputos ComputacinDistribuida
d Redes ClienteServidor Internet y ahora Computacin en la Nube (CloudyahoraComputacinenlaNube(CloudComputing)
-
Nube: DefinicinNube:Definicin
-
ConceptosdelaComputacinenlabNube
Definicin deNIST(NationalInstituteofStandards(andTechnology)
LaNubeconsistedelosiguiente:( )1. Tres(3)modelosdeserviciosdecomputacin
1. CadamodeloIdentificaque recursosdecomputacinque se ofrecen como servicioqueseofrecencomoservicio
2. Cuatro(4)modelosdeimplantacin1. CadamodeloIdentificacomo seofrecenlosservicios
3. Cinco(5)caractersticasdelservicioofrecido1. Identificalascaractersticasgenricasdelservicio
que se ofrecequeseofrece
-
QueRecursosdeComputacinSefOfrecenComoServicios
Software Comoservicio(SaaS)( ) AccedelaNubeparausarSoftware(aplicacionesysistemas).Pagasporeltiempodeconexineuso
Pl t f i i (P S) Plataforma comoservicio(PaaS) AccedelaNubeparausarherramientasyrecursosparadesarrollar,probar,administrar,ydesplegaraplicacionesysistemas.Pagasporeltiempoeusodeesosrecursos.
Infraestructura comoservicio(IaaS)Accede la Nube para usar Hardware como servidores AccedelaNubeparausarHardwarecomoservidoresvirtuales,almacenamiento,ydispositivosderedescomofirewalls.Pagasporeltiempoeusodeesosrecursos.
-
QueRecursosdeComputacinSefOfrecenComoServicios
Otras categoras de ServiciosOtrascategorasdeServicios StorageasaServiceDatabase as a Service DatabaseasaService
ProcessasaServiceA li ti S i ApplicationasaService
SecurityasaServiceT i S i TestingasaService
Management/GovernanceasaService
-
CualessonlosMtodosdel d l b dImplantacindelasNubesdeServicios
ElmtododeimplantacindelaNubeindicaquiencontrolalosrecursosdelaNube Quiencontrola,determinaquienpuedeusaresosrecursosdela
Nube NubePublica
TodoelmundopuedeusarlosrecursosdelaNube NubePrivada
SolamenteunainstitucinpuedeusarlosrecursosdelaNube NubeComunitaria
Solamente un grupo (o Comunidad) de instituciones puedenSolamenteungrupo(oComunidad)deinstitucionespuedenusarlosrecursosdelaNube
Hibrido Combinacin de las Nube anterioresCombinacindelasNubeanteriores
-
CualessonlasCaractersticasdeestasb dNubesdeServicios
Sepuedepedircambiosenlacantidaddep precursosoniveldeserviciosdemaneraautomticayalademanda
Se puede tener acceso a la nube de recursos a SepuedeteneraccesoalanubederecursosatravsdecualquierdispositivoconcomunicacinporInternet
SeagrupanlosrecursosparaserviramltiplesclientesS l id l i id d Seproveelarpidaelasticidad
ElServicioesmedidoysepagaporserviciousado
-
The NIST Cloud Definition FrameworkThe NIST Cloud Definition Framework
Hybrid Clouds
CommunityCommunityCloudCloud
Private Private CloudCloud
Public CloudPublic CloudDeploymentModels
ServiceModels
Software as a Service (SaaS)
Platform as a Service (PaaS)
Infrastructure as a Service (IaaS)
On Demand Self-ServiceEssentialCharacteristics
Resource Pooling
Broad Network Access Rapid Elasticity
Measured Service
On Demand Self-Service
Common Homogeneity
Massive Scale Resilient Computing
Geographic Distribution
12
Common Characteristics
Low Cost Software
Virtualization Service Orientation
Advanced Security
-
Top 10 Strategic TechnologyAreas for 2010
Top 10 Strategic Technology Areas for 2009
1. Cloud Computing2. Advanced Analytics3. Client Computing
1. Virtualization 2. Business Intelligence 3. Cloud Computing p g
4. IT for Green5. Reshaping the Data Center6 Social Computing
4. Green IT .5. Unified Communications ..6 Social Software and Social 6. Social Computing
7. Security Activity Monitoring 8. Flash Memory9 Vi li i f A il bili
6. Social Software and Social Networking
7. Web-Oriented Architecture ..8 Enterprise Mashups 9. Virtualization for Availability
10.Mobile Applications
8. Enterprise Mashups ..9. Specialized Systems .10.Servers Beyond Blades .
Dropped for 2010Modified for 2010 New for 2010
-
LosBeneficiosyRetosdelaComputacinenlaNube
-
LosBeneficiosdelaComputacinenlaNubeNube
Reduccin en costo($$$) de adquisicin (Opex vs.Reduccinencosto($$$)deadquisicin(Opexvs.Capex)
Accesomasrpidoacambiosrequeridosenlosp qrecursosdecmputosqueestnenlaNube
Lodebotenercuandoloquiero Mayordisponibilidaddeaccesoalosrecursososervicios.Mnimotiempodeinactividad
/(Downtime)delservicio/recursoenlaNube
-
Beneficios (cont )Beneficios(cont.) Mayorescalabilidad
Quiero ms me das ms; quiero menos me das menoQuieroms,medasms;quieromenos,medasmeno. Eficiencia
Menos tiempo con los problemas de IT; mas tiempoMenostiempoconlosproblemasdeIT;mastiempoconelprogresodelnegocio
Mayorresistenciaainterrupcionesenelservicioofrecido
-
LosretosdelacomputacinenlaNubep RiesgosconelsuplidordelosrecursosdelaNube
ConfiabilidaddelsuplidordelaNube Conocer la reputacin del suplidor que va a dar los servicios de ConocerlareputacindelsuplidorquevaadarlosserviciosdecomputacinenlaNube.
InterrupcinenlosserviciosdesuplidordeNube Acuerdos sobre el Nivel en Servicio (Service Level Agreement AcuerdossobreelNivelenServicio(ServiceLevelAgreementSLA)
Elservicioofrecidopudieraimpactarnegativamentela: Confidencialidad Confidencialidad, Integridad,y DisponibilidaddelainformacindelaempresaquemovistealaNubeNube.
-
Retos (cont )Retos(cont.) ElmismodinamismodelambientedelaNubepuede causar confusin con relacin a que nivelespuedecausarconfusinconrelacinaquenivelesdeservicioorecursosdecmputostienesdisponibleenunmomentodado.
LainformacinestaenlaNubeynoestabajotucontrolestrictoofsico.
Estasituacinpudieracausarriesgosdeaccesodeentidadesnoautorizadosalainformacinprivilegiadade la institucindelainstitucin.
-
Retos (cont )Retos(cont.) ElusodelaNubePublicapuedecausarproblemascon entidades regulatorias y de fiscalizacin por elconentidadesregulatoriasydefiscalizacinporelposiblenocumplimientoconlosaspectosdelaseguridaddelainformacin:
FFIEC FDA HIPAA PCI
-
Retos (cont )Retos(cont.) Ladependenciasobrelaredoconexionesdebanda anchabandaancha
Lalatenciadelared Los riesgos de seguridad en usar el Navegador LosriesgosdeseguridadenusarelNavegador,sea,IE,Chrome,FireFox,etc.
Cumplimento con contratos establecidosCumplimentoconcontratosestablecidos SLAs
-
Retos (cont )Retos(cont.) LosriesgospuedensobrepasarlosbeneficiosHay que hacer un estudio exhaustivo de los Hayquehacerunestudioexhaustivodelosriesgosdeestenuevomodelodecomputacin
-
LosRetosdelaSeguridaddelaInformacinenl blaNube
-
QuientienemsintersenlasNubes?LosHackers,Pillos,yTerroristasolosEmpresarios?
SeguridadenalNubeesprimordial ElCloudSecurityAlliance(CSA)secreparaestablecerestndaresdeseguridadparalasNubes.E d t T Th t t Cl d C ti Ensudocumento:TopThreatstoCloudComputingV1.0GuidanceforCriticalAreasofFocusinCloudComputingV2.1,seidentificanlasprincipalesp g p pamenazasacomputacinenlaNubecomo:
-
PrincipalesAmenazasalaNube
1. Abuso, mal uso, y uso ilegal de la Nube1. Abuso,maluso,yusoilegaldelaNube2. Interfacesyconexionesinseguros3 Empleados maliciosos trabajando para el3. Empleadosmaliciosostrabajandoparael
proveedordelaNube4 Recursos compartidos entre varios clientes4. Recursoscompartidosentrevariosclientes5. Perdidayfugadedatos6 R b d t i i6. Robodecuentasoservicios7. Perfilderiesgodelproveedoresdesconocido
-
Moverinfraestructura,plataformasysoftwared bi t i t d ldeunambienteinternodelaempresaaun
ambientedelanube.
-
Como nos movemos a la Nube?ComonosmovemosalaNube?1. Identificalosactivosamover2. Evalalacriticidaddeesosactivos
1. Hagaunanlisisderiesgospreguntandolosiguiente:1. Quepasarelactivoprivilegiadoyconfidencialsehacepublico2 Que pasar si un empleado del proveedor accede a la data2. Quepasarsiunempleadodelproveedoraccedealadata3. Quepasarsilosprocesoofuncionessonmanipuladospor
terceronoautorizados4 Que pasar si los procesos o funciones dejan de funcionar4. Quepasarsilosprocesosofuncionesdejandefuncionar5. Quepasarsilosdatossonalteradosinesperadamente.6. Quepasarsilosactivosnoestadisponibleporunperiodode
tiempotiempo
-
Como nos movemos a la Nube? (cont )ComonosmovemosalaNube?(cont.)3. Relacionalosactivosconlosdiferentes
d l d N bmodelosdeNubes.4. Evalelospotencialesmodelosylos
proveedoresdeesosmodelos5. Documenteelflojodedatahaciaydesdelaj y
Nube
-
ElAnlisisdeRiesgoySuImpactoenMoverl bOperacionesalaNube
-
CSA ha identificado dominios donde se debeCSAhaidentificadodominiosdondesedebeestudiarlosefectosdelamovidaalaNube.Estos dominios son:Estosdominiosson:1. AchitecturadelaNube2 G bi M j d Ri2. GobiernoyManejodeRiesgo3. AsuntosLegalesyDescubrimientoElectrnica4. CumplimientoyAuditoria5 Manejo del Ciclo de Vida de la Informacin5. ManejodelCiclodeVidadelaInformacin
-
Dominios son(cont ):Dominiosson(cont.):6. PortabilidadyoperatividadentreNubes
S id d C i id d d i l7. Seguridad,ContinuidaddeNegocios,yPlanesdeDesastres
8. OperacionesdelCentrodeCmputos9. RepuestasaIncidentesp10.Seguridaddeaplicaciones
-
Dominios son (cont ):Dominiosson(cont.):11.Encrypcionymanejodellaves2 j d d id d12.ManejodeIdentidadyAcceso
13.Virtualizacin
-
ElRoldelAuditordeITySuAuditoriadelAmbiente de Computacin en la NubeAmbientedeComputacinenlaNube
-
Auditar el uso de la Nube: AuditarelusodelaNube: Planificarlaauditoriaydeterminarreasarevisar( de las 13 mencionadas)(delas13mencionadas)
Recopilaratravsdeentrevistasyrevisindedocumentosdocumentos
HacerpruebasdecumplimentoysubstantivosDocumentar sealamientos y discutir con la Documentarsealamientosydiscutirconlagerencia
Preparar y discutir Informe Final PrepararydiscutirInformeFinal.
-
Recopilacin de informacin Recopilacindeinformacin ObtengaelinformedeauditoriahechaalsuplidordelaNubeporunafirmacalificadop
ReviseelmtododeseleccindelsuplidordelaNubeyloscontratospertinentes
Seanalizaronvariossuplidores? Secompletounanlisisdecostos? Determinar como se mide la calidad del servicio Determinarcomosemidelacalidaddelserviciorecibidooarecibir
AcuerdosenelNiveldeServicio(SLAs)
-
Analice y determine: Analiceydetermine: comosesegregarlosdatosdelainstitucindelosdatos de otras institucionesdatosdeotrasinstituciones
elusodeencrypciondelosdatosenviadosa,recibidosde,yguardadosenlaNube
DeterminesipersonaldelsuplidordelaNubetieneaccesoalainformacindelainstitucinyque
l d icontrolesdeaccesoexisten DeterminesilainformacinestaprotegidaenlaNubesegn las polticas y procedimientos de seguridadsegnlaspolticasyprocedimientosdeseguridad
-
Gracias!
John R Robles CISA CISM CRISCJohnR.Robles,CISA,CISM,CRISCPresident
RoblesandAssociates