Riesgos asociados al “CLOUD”
El Cloud está de moda
Según el último barómetro de IDC España, el mercado de software como
servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un
incremento del 48 por ciento respecto a 2009.
IDC prevé que este crecimiento del mercado de SaaS se mantenga,
llegando a facturar 475 millones de euros en 2014.
La tendencia hacia la compra de SaaS está desplazando a los modelos
tradicionales de venta de software.
El Cloud y sus ventajas
Existen múltiples ventajas
• Escalabilidad y Flexibilidad.
• Ahorro de costes de implantación y mantenimiento.
• Aumenta las posibilidades de las empresas sin incurrir en más costes de
estructura ni adquisición de conocimiento.
Todo ello está llevando al Cloud Computing a ser cada vez más popular.
El Cloud y sus riesgos
A cambio, el nivel de riesgo sube exponencialmente:
• Los datos viajan constantemente por internet.
• Los datos se almacenan en entornos compartidos.
• Acceso remoto de varias empresas a la vez.
• Disponibilidad/Dependencia de la red.
• Interviene más software => hay más vulnerabilidades.
• Pérdida parcial de la capacidad de gestión del servicio.
• Se pierde capacidad de intervención en los sistemas.
• Riesgos asociados directamente al tercero: desaparición de la
empresa, transferencia del servicio en caso de terminar el contrato, etc.
Y muchos más…
Riesgos asociados al Cloud Computing
¿Qué diferencias hay si se cae el servicio de correo electrónico?
@
Servidor de correo “In House” Correo en la nube
El problema se acota rápidamente.
Tenemos el servidor accesible físicamente para cualquier inspección o intervención.
Hay más capacidad para resolver nosotros mismos el problema.
Más velocidad de respuesta.
Debe ser el proveedor del servicio quien te informe sobre el incidente.
Las capacidades de inspección e intervención son limitadas.
Debes confiar en el buen hacer del proveedor.
A priori no conoces ni puedes estimar el tiempo de resolución
Riesgos asociados al Cloud Computing
¿Cuáles son los desafíos a conseguir en cuanto a riesgos?
• Asegurar la confidencialidad e integridad de la información.
• Asegurar la disponibilidad del servicio.
• Cumplimiento exhaustivo de la Ley de Protección de Datos.
• Ofrecer niveles de gestión más altos a los clientes del Cloud => acabar
con la opacidad de los servicios en Cloud.
• Asegurar la transferencia del servicio de forma transparente al cliente.
• Aportar una resolución de incidentes rápida, eficaz y eficiente.
• Aportar continuidad a los servicios.
Riesgos asociados al Cloud Computing
¿Por dónde empezar?
Establecer una política de seguridad actualizada y acorde a la naturaleza
de los servicios a prestar, en este caso, basados en Cloud Computing.
Desarrollar un análisis de riesgos sobre los servicios (y los sistemas que lo
soportan) que estarán en la nube.
Tendremos que pensar en 3 conceptos:
• Amenazas y vulnerabilidades.
• Probabilidades de ocurrencia de las amenazas.
• Impactos en caso de materialización de las amenazas.
Diferencias con un análisis de riesgos sobre servicios “No Cloud”.
• Las amenazas aumentan y los controles cambian en cuanto a su forma
de implantación.
Riesgos asociados al Cloud Computing
Amenazas y vulnerabilidades
• Acceso no autorizado.
• Intercepción de la información.
• Pérdida de la información.
• Degradación de la información.
• Denegación de servicio.
• Suplantación de la identidad del usuario.
• Análisis de tráfico.
• Averías.
• Caída de servicios de soporte.
• Vulnerabilidades propias del software que da servicio.
• Desastres industriales
Y un largo etcétera.
Riesgos asociados al Cloud Computing
Con el Cloud Computing introducimos más infraestructura TI dentro de
nuestro servicio => añadimos amenazas.
El servicio se opera parcialmente en entornos compartidos con otras
organizaciones y a través de internet => aumentamos las probabilidades de
ocurrencia de las amenazas.
Los impactos son en cualquier caso, iguales o mayores.
Riesgos asociados al Cloud Computing
¿Cómo reducir esos riesgos?
• La implantación tradicional de controles queda obsoleta, al no poder
implantar físicamente la gran mayoría de controles de seguridad como
se haría en entornos “No Cloud”.
• La regulación mediante contratos de los requisitos de seguridad que
debe tener el servicio y la infraestructura que lo soporta se convierte en
un aspecto de vital importancia.
• Reservarse el derecho de hacerle auditorías al proveedor de servicios
en la nube.
• Monitorizando el servicio.
Riesgos asociados al Cloud Computing
¿Cómo reducir esos riesgos?
• Establecer una capa de gestión, no sólo una capa técnica de
medidas, se convierte en una necesidad.
• Incluir en los planes de continuidad de negocio la naturaleza Cloud del
servicio hace plantearse rediseños en la forma de abordar la
implantación y pruebas de los planes.
• Ya no sólo habrá que tener en cuenta nuestras amenazas, si no que
habrá que contar con que parte de nuestros servicios dependen de un
tercero => implicaciones a la hora de aportar seguridad y continuidad al
servicio.
Riesgos asociados al Cloud Computing
Riesgos asociados al Cloud Computing
Global SGSI permite realizar el análisis de riesgos de manera ágil y sencilla
Riesgos asociados al Cloud Computing
Riesgos asociados al Cloud Computing
Riesgos asociados al Cloud Computing
Riesgos asociados al Cloud Computing
Pensemos en un servicio que tengamos en modo Cloud Computing, bajo
una aplicación en modelo “Software como Servicio” o ‘SaaS’
Riesgos asociados al Cloud Computing
Proyecto para reducir riesgos: ¿Qué deberíamos hacer primero?
Riesgos asociados al Cloud Computing
¿Qué deberíamos hacer primero?
Asegurar el servicio y los activos de los que depende
ISO ISO ISO ISO
27001270012700127001
Riesgos asociados al Cloud Computing
Una vez asegurado el servicio y sus activos….
Debemos establecer una correcta gestión del servicio, haciéndolo más
eficaz y eficiente.
ISO ISO ISO ISO
27001270012700127001
ISO 20000ISO 20000ISO 20000ISO 20000
Riesgos asociados al Cloud Computing
Ya tenemos el servicio asegurado y gestionado. ¿Qué nos falta?
Aportar continuidad al servicio
ISO ISO ISO ISO
27001270012700127001
ISO 20000ISO 20000ISO 20000ISO 20000
UNE 71599 / Bs 25999UNE 71599 / Bs 25999UNE 71599 / Bs 25999UNE 71599 / Bs 25999
Riesgos asociados al Cloud Computing
Dificultades
� Gran parte de las medidas de seguridad a implantar tendrán que ser
llevadas a cabo por el proveedor de servicios.
� La gestión del servicio puede ser complicada al tener dificultades para
obtener ciertos datos útiles para gestionar correctamente el servicio.
� A la hora de elaborar los planes de continuidad de negocio tendremos
que contar con el escenario de que la infraestructura en producción queda
inaccesible, pero no ha sido destruida ni rodaba. Tesitura Coste vs Beneficio.
Riesgos asociados al Cloud Computing
Dificultades
� Problemas a la hora de obtener acuerdos contractuales, dada la lejanía
del proveedor en algunos casos.
� Problemas derivados de la Ley de Protección de Datos, al existir la
posibilidad de realizar transferencias internacionales de datos.
� Dependencia total de internet => carencias de ancho de banda.
Riesgos asociados al Cloud Computing
Soluciones
� Exigir niveles de seguridad equivalentes, pero asumiendo
responsabilidades.
� El Esquema Nacional de Seguridad dice lo siguiente sobre
servicios externalizados:
“La organización sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la información manejada y los servicios finales prestados por la organización.La organización dispondrá las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento.
Un sistema rutinario para medir el cumplimiento de las obligaciones de servicio.
Las Administraciones públicas exigirán, de manera objetiva y no discriminatoria, que las organizaciones que les presten servicios de seguridad cuenten con unos niveles idóneos de gestión y madurez en los servicios prestados.”
Riesgos asociados al Cloud Computing
Soluciones
� Asegurar, desde la base, cada activo y cada servicio
� Reducir al mínimo las posibilidades de ocurrencia de amenazas, vía ISO
27001 / ENS.
� Gestionar el servicio, vía ISO 20000.
� Aportar continuidad a los servicios, vía UNE 71599 / BS 25999.
� Negociar la posibilidad de realizar auditorías al proveedor, o al menos
exigirle ciertas certificaciones.
� Todo ello, reflejado en los pertinentes contratos
Riesgos asociados al Cloud Computing
Conclusiones
¿Se consolidará el Cloud Computing y llegaremos a niveles de seguridad y
madurez suficientes?, sólo el tiempo lo dirá…
Conclusiones
Gracias por su atención
Top Related