Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Os melhores documentos à venda: Trabalhos de alunos formados
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Comunidade
Peça ajuda à comunidade e tire suas dúvidas relacionadas ao estudo
Descubra as melhores universidades em seu país de acordo com os usuários da Docsity
Guias grátis
Baixe gratuitamente nossos guias de estudo, métodos para diminuir a ansiedade, dicas de TCC preparadas pelos professores da Docsity
Guia para la seguridade en áreas críticas de atencion em cloud computing - Resumen ejecutivo Versíon 2 - Noviembre 2009
Tipologia: Notas de estudo
1 / 53
Esta página não é visível na pré-visualização
Não perca as partes importantes!
Realizada por los expertos de:
Traducción al castellano coordinada y patrocinada por:
ASOCIACIÓN ESPAÑOLA PARA EL FOMENTO DE LA SEGURIDAD DE LA INFORMACIÓN
Presentación
Es motivo de gran satisfacción para ISMS Forum Spain poder presentar en lengua española este amplio Resumen Ejecutivo de la Guía para la Seguridad en áreas críticas de atención en Cloud Computing de Cloud Security Alliance (CSA). En la línea ya iniciada con otras publicaciones, la Asociación tiene como objetivo acercar a los profesionales de la seguridad de la información herramientas de trabajo útiles y accesibles, sin ninguna barrera idiomática que dificulte su comprensión.
Quisiera agradecer, en nombre de todos los asociados de ISMS Forum Spain, a CSA (Cloud Security Alliance), a su director Jim Reavis y a su cofundador Nils Puhlmann, por habernos autorizado cortésmente a traducir y editar en castellano la presente Obra. Es para nosotros un reconocimiento más a la labor de divulgación y fomento del conocimiento de las herramientas y Sistemas de Gestión de la Seguridad de la Información que nuestra Asociación está llevando a cabo. Seguimos, pues, consolidando la labor informativa que ISMS Forum Spain viene desarrollando desde su fundación en favor de todos sus asociados.
El presente documento es el preludio de la segunda versión de esta Guía. La primera data de abril de 2009, y el volumen de contenidos de la misma se triplicará en la segunda edición, tal es la rápida evolución de la materia que nos ocupa, y que gana terreno por momentos a otras formas de trabajo que están quedando obsoletas frente a ella. Preparada por un amplio conjunto de expertos de CSA, la guía completa está aún en fase de corrección y edición final. Así, los distintos dominios que contiene el presente resumen ejecutivo –desarrollados en profundidad- se irán publicando a lo largo de los próximos meses hasta completar un manual que tendrá más de 350 páginas. Sin embargo, esto no es un mero aperitivo, sino una herramienta de trabajo verdaderamente útil: contiene perfectamente sintetizadas las claves a tener en cuenta para comprender los principios y procesos que rigen el Cloud Computing, los modelos a los que podemos adherirnos, y sobre todo, las áreas críticas que debemos tener en cuenta y las medidas que deberíamos tomar los responsables de seguridad de la información para que nuestras organizaciones puedan trabajar “en la nube” con la máxima garantía y confianza y los mínimos riesgos posibles.
Este resumen ofrece, pues, un claro marco contextual y un conjunto de orientaciones, consejos y buenas prácticas indispensables para aquellos profesionales y empresas que están trabajando o pensando en trabajar en un futuro próximo en la modalidad de Cloud Computing. Basada en los conocimientos y en la experiencia práctica de un amplio equipo de miembros de Cloud Security Alliance, estamos seguros de que esta Guía constituirá un válido soporte para todos los profesionales de nuestro sector.
Una vez más, nos vemos reforzados en nuestro compromiso de seguir siendo un foro plural e independiente donde los profesionales de la Seguridad de la Información pueden compartir ideas y experiencias.
Gianluca D’Antonio Presidente de ISMS Forum Spain Noviembre de 2009
Dominio 1: Marco de la arquitectura de Cloud Computing
Este dominio, Marco de la arquitectura de cloud computing, proporciona un marco conceptual para el resto de material informativo relativo a Cloud Security Alliance. Comprender el cloud computing es fundamental para conseguir su buena utilización, y por ello éste es el apartado más extenso del resumen ejecutivo.
Los contenidos de este dominio se centrarán en una descripción de cloud computing que está específicamente concebida desde la perspectiva de los profesionales de redes informáticas y seguridad. Las siguientes áreas clave deben tenerse en cuenta dentro del Marco de la arquitectura de cloud computing:
La nube es un modelo a la carta para la asignación y el consumo de computación. La nube describe el uso de una serie de servicios, aplicaciones, información e infraestructura compuesta por reservas de recursos de computación, redes, información y almacenamiento. Estos componentes pueden orquestarse,
abastecerse, implementarse y desmantelarse rápidamente, y escalarse en función de las dimensiones para ofrecer unos servicios de tipo utilidad.
La CSA ha decidido asumir la definición del NIST de cloud computing (versión 15 en el momento de redactar este texto) para aportar coherencia y consenso alrededor de un idioma común que nos permita en última instancia centrarnos más en los casos prácticos que en los matices semánticos.
Los servicios en la nube se basan en cinco características esenciales que ejemplifican sus similitudes y diferencias con las estrategias de computación tradicionales:
Tres modelos arquetípicos y sus combinaciones derivadas describen la prestación de los servicios en la nube. A menudo se hace referencia a los tres modelos individuales como el “Modelo SPI,” donde “SPI” hace referencia a Software, Plataforma e Infraestructura (as a Service, o como Servicio) respectivamente y se definen del siguiente modo:
Aunque no es una característica esencial del cloud computing en el modelo del NIST, la CSA lo ha identificado como un elemento importante de la nube.
Desde el punto de vista del consumidor, la definición de multiposesión en los modelos de servicio en la nube implica la necesidad de permitir unos modelos de aplicación, segmentación, aislamiento, gobierno, niveles de servicio y devolución de cargos/facturación para diferentes consumidores constituyentes de servicios. Estos consumidores de servicios podrían utilizar una oferta de servicio de proveedor en la nube pública o ser de hecho de la misma organización como una unidad de negocio y no se requiere que sean entidades organizativas distintas, pero que utilicen infraestructuras compartidas.
Desde el punto de vista del proveedor, la multiposesión sugiere un acercamiento arquitectónico y de diseño que permita economías de escala, disponibilidad, gestión, segmentación, aislamiento, eficacia operativa y el apalancamiento de la infraestructura compartida, datos, metadatos, servicios y aplicaciones para muchos consumidores constituyentes.
Comprender la relación y las dependencias entre los modelos de cloud computing es crucial para comprender los riesgos de seguridad del cloud computing. La IaaS es la base de todos los servicios en la nube, de modo que la PaaS se basará en la IaaS, y el SaaS, por su lado, se basará en la PaaS tal como se describe en el diagrama del marco. De este modo, a medida que se heredan capacidades, también se heredan cuestiones y riesgos relacionados con la seguridad de la información.
La IaaS incluye toda la capa de recursos de infraestructura desde las instalaciones hasta las plataformas de hardware que hay en ellas. La IaaS incorpora la capacidad de extraer recursos (o no) así como entregar conectividad física y lógica a dichos recursos. En última instancia, la IaaS proporciona un conjunto de APIs que permiten la gestión y otras formas de interacción con la infraestructura por parte del consumidor del servicio.
La PaaS se sitúa por encima de la IaaS y añade un nivel adicional de integración con los marcos de desarrollo de aplicaciones, capacidades de middleware y funciones como base de datos, mensajes y puesta en cola que permite a los desarrolladores crear aplicaciones que se agregan a la plataforma y cuyos lenguajes y herramientas de programación son soportados por la capa.
El SaaS, a su vez, se crea a partir de las capas de la IaaS y la PaaS subyacentes y proporciona un entorno operativo completo que se utiliza para proporcionar toda la experiencia del usuario que incluye el contenido, cómo se presenta, las aplicaciones y las capacidades de gestión.
Debería quedar claro, de este modo, que existen importantes elementos de decisión en cada uno de los modelos en cuanto a funciones integradas, abertura (extensibilidad) y seguridad se refiere; algunos de los elementos a tener en cuenta para cada uno los tres modelos de despliegue de nube, son:
Dominio 2: Gobierno y gestión de riesgos de las empresas
El gobierno y la gestión de riesgos efectivos en las empresas en los entornos de cloud computing son consecuencia de unos procesos de gobierno de la seguridad de la información bien desarrollados en el marco de las obligaciones de gobierno corporativo de una organización relacionadas con la atención debida. Unos procesos de seguridad de la información bien desarrollados deberían dar lugar a unos programas de gestión de la seguridad de la información escalables con el negocio, repetibles en toda la organización, mesurables, sostenibles, defendibles, en mejora continua y rentables en todo momento.
Los problemas fundamentales del gobierno y la gestión de riesgos de las empresas en el cloud computing hacen referencia a la identificación e implementación de las estructuras, procesos y controles organizativos adecuados que se requieren para mantener un gobierno de la seguridad y la información, así como una gestión de riesgos y un cumplimiento normativo efectivos. También deberían garantizar una información de seguridad efectiva en toda la cadena de suministro de la información, incluyendo a proveedores y usuarios de servicios de cloud computing y sus distribuidores terceros en cualquier modelo de despliegue de la nube dentro de un entorno de negocio definido.
√ Una parte de los ahorros obtenidos por los servicios de cloud computing deben invertirse en un examen más profundo de las capacidades de seguridad del proveedor, controles de seguridad de la aplicación, y evaluaciones y auditorías detalladas constantes para garantizar que los requisitos se cumplen en todo momento.
√ Tanto los clientes de servicios de cloud computing como los proveedores deberían desarrollar un sólido gobierno de seguridad de la información, con independencia del modelo de servicio o de despliegue. El gobierno de la seguridad de la información debería considerarse como colaborativo entre los clientes y los proveedores para alcanzar los objetivos de alineación entre la misión del negocio y el programa de seguridad de la información. El modelo de servicio puede ajustar las funciones y responsabilidades definidas en el gobierno de seguridad de la información y la gestión de riesgos (basado en el respectivo alcance de control para usuarios y proveedores), mientras el modelo de despliegue puede definir las responsabilidades y las expectativas (basado en las conclusiones de la evaluación de riesgos).
√ Las organizaciones de usuarios deberían incluir la revisión de las estructuras y procesos de gobierno de seguridad de la información específicas dentro de su due diligence de las posibles organizaciones proveedoras. Los procesos de los proveedores deberían evaluarse para conocer la madurez de sus capacidades además de su presencia, así como la conformidad con los procesos de gestión de la seguridad de la información del usuario. Los controles de seguridad de la información del Proveedor deberían ser compatibles con estos procesos.
√ Deberían identificarse como necesarias unas estructuras y procesos de gobierno colaborativo, en el marco del diseño y el desarrollo de la prestación
de servicios, así como unos protocolos de evaluación de riesgos del servicio y de gestión de riesgos, e incorporarlos en los contratos de servicio.
√ Los departamentos de seguridad deberían implicarse durante el establecimiento de los Contratos de Nivel de Servicios y las obligaciones contractuales, para garantizar que los requisitos de seguridad se pueden aplicar contractualmente.
√ Establecer métricas y estándares para medir los resultados y la efectividad de la gestión de la seguridad antes de trasladarse a la nube. Como mínimo, las organizaciones deberían comprender y documentar sus métricas actuales y cómo éstas cambiarán cuando se trasladen las operaciones a la nube cuando un proveedor pueda utilizar unas métricas distintas y potencialmente incompatibles.
√ Siempre que sea posible, los estándares y métricas de seguridad (especialmente las relacionadas con los requisitos legales y de cumplimiento normativo) deberían incluirse en los Contratos de Nivel de Servicio y en los acuerdos. Estos estándares y métricas deberían estar documentados y ser demostrables (auditables).
Como ocurre con cualquier proceso de negocio, es importante seguir las mejores prácticas para la gestión de riesgos. Las prácticas deberían ser proporcionales a tus usos particulares de los servicios en la nube, que pueden ir desde el procesamiento de datos inocuos y efímeros hasta unos procesos de negocio críticos para la misión que impliquen información muy sensible. Una discusión completa de la gestión de riesgos de las empresas y de la gestión de los riesgos de información queda fuera del alcance de este material orientativo, pero hay algunas recomendaciones específicas de la nube que puedes incorporar en tus procesos de gestión de riesgos actuales.
√ Debido a la falta de control físico sobre la infraestructura en muchos despliegues de cloud computing, los Contratos de Nivel de Servicio, los requisitos contractuales, y la documentación del proveedor desempeñan un papel más importante en la gestión de riesgos que en la infraestructura tradicional propiedad de la empresa.
√ Debido a los aspectos del abastecimiento a la carta y la multiposesión del cloud computing, las formas tradicionales de auditoría y evaluación puede que no estén disponibles, o pueden ser modificadas. Por ejemplo, algunos proveedores restringen las evaluaciones de vulnerabilidad y los testeos de penetración, mientras que otros limitan los registros de auditoría disponibles y el seguimiento de la actividad. En caso de que éstos sean requeridos por tus políticas internas, puede que debas buscar opciones de evaluación alternativas, excepciones contractuales específicas u otro proveedor que se alinee mejor con tus requisitos de gestión de riesgos.
√ La estrategia de gestión de riesgos debería incluir la identificación y valoración de activos, la identificación y el análisis de amenazas y vulnerabilidades y su impacto potencial sobre los activos (escenarios de riesgo e incidencias), análisis de la probabilidad de eventos/escenarios, niveles y criterios de aceptación aprobados por la gestión, y el desarrollo de
√ El plan de continuidad del negocio del usuario y de recuperación de catástrofes debería incluir escenarios de la pérdida de los servicios del proveedor y de la pérdida por parte del proveedor de servicios de terceros y capacidades dependientes de terceros. El testeo de esta parte del plan debería coordinarse con el proveedor de la nube.
√ Las estructuras y procesos de gobierno de la seguridad de la información, de gestión de riesgos y cumplimiento normativo del proveedor deberían evaluarse de forma exhaustiva:
o Solicitar una documentación clara sobre cómo se evalúan las instalaciones y los servicios en cuanto al riesgo y cómo se auditan las debilidades de control, la frecuencia de las evaluaciones y cómo las debilidades de control se mitigan de forma oportuna. o Requerir la definición de qué considera el proveedor como factores clave de éxito para la seguridad de la información y los servicios, los indicadores clave de rendimiento y cómo éstos se miden en relación con la Gestión de la Seguridad de la Información y los Servicios Informáticos. o Revisar el recabado, evaluación y proceso de comunicación de los requisitos legales, normativos, sectoriales y contractuales del proveedor de forma exhaustiva. o Celebrar una due diligence completa del contrato o términos de uso para determinar funciones y responsabilidades. Garantizar la revisión de la representación legal, incluyendo una evaluación de la aplicabilidad de las disposiciones de contratos locales y leyes en jurisdicciones extranjeras o de otros estados. o Determinar si los requisitos de due diligence incluyen todos los aspectos relevantes de la relación del proveedor de la nube, como la situación financiera del proveedor, su reputación (p.ej., comprobación de las referencias), controles, personal clave, planes y tests de recuperación de catástrofes, seguros, capacidades de comunicaciones y uso de subcontratistas.
Colaboradores: Patrick F. Sullivan, Ph.D., Nadeem Bukhari, Donald Blumenthal, J.D.
Dominio 3: Cuestiones legales y eDiscovery
El cloud computing crea nuevas dinámicas en la relación entre una organización y su información que implican la presencia de un tercero, el proveedor de la nube. Esto crea nuevos retos a la hora de comprender las leyes que se aplican a una amplia variedad de escenarios de gestión de la información.
Un análisis completo de las cuestiones legales relacionadas con el cloud computing requiere la consideración de dimensiones funcionales, jurisdiccionales y contractuales.
El cloud computing en general puede distinguirse de la externalización tradicional de tres formas: el momento del servicio (a la carta e intermitente), el anonimato de la identidad de los proveedores de servicio y el anonimato de la localización de los servidores implicados. Al considerar la IaaS y la PaaS específicamente, gran parte de la orquestación, configuración y desarrollo de software la lleva a cabo el cliente y mucha de la responsabilidad no puede transferirse al proveedor en la nube.
El cumplimiento de las recientes promulgaciones legislativas y administrativas en todo el mundo obliga a una mayor colaboración entre abogados y profesionales de la tecnología. Esto es especialmente cierto en el cloud computing debido al potencial de nuevas áreas de riesgos legales que crea la naturaleza distribuida de la nube en comparación con la infraestructura interna o externalizada tradicional.
Una gran cantidad de leyes y normativas de los Estados Unidos y de la Unión Europea bien imputan la responsabilidad a los subcontratistas de la nube o bien requieren a las entidades del negocio que les impongan la responsabilidad a través de un contrato.
Los tribunales actualmente se están dando cuenta de que la gestión de los servicios de la seguridad de la información son críticos a la hora de tomar decisiones en cuanto a si la información puede aceptarse como prueba. Aunque ya suponía un problema en la infraestructura informática tradicional, es una cuestión especialmente acuciante en el cloud computing debido a su falta de historial legal establecido en el caso de la nube.
√ Los clientes y proveedores de la nube deben comprender mutuamente las funciones y responsabilidades de cada uno en relación con el eDiscovery (o investigación electrónica), incluyendo actividades como la preservación de
Dominio 4: Cumplimiento normativo y auditorías
Con el desarrollo del cloud computing como medio viable y rentable de externalizar sistemas enteros o incluso procesos de negocio enteros, mantener el cumplimiento con tu política de seguridad y los diversos requisitos normativos y legislativos de los cuales tu organización tiene conocimiento puede ser más difícil de lograr e incluso más difícil de demostrar a los auditores y asesores.
Es justo decir que muchas de las normativas relacionadas con la informática que las organizaciones deben cumplir no se redactaron pensando en el cloud computing. Es posible que los auditores y asesores no estén familiarizados con el cloud computing en general y con un servicio en la nube en particular. Así las cosas, corresponde al cliente de la nube comprender:
√ Implicar a los equipos Legales y Contractuales. Los términos de servicio estándar del proveedor de la nube es posible que no cubran tus necesidades de cumplimiento, y por ello se recomienda que el personal Legal y de Contratos se implique pronto para garantizar que las disposiciones de los contratos de servicios en la nube tratan las obligaciones de cumplimiento normativo y auditoría.
√ Cláusula de derecho a auditoría. Los clientes a menudo necesitarán la capacidad de auditar al proveedor de la nube, habida cuenta de la naturaleza dinámica tanto de la nube como del entorno normativo. La cláusula contractual del derecho a auditar debería obtenerse siempre que sea posible, especialmente cuando se utiliza un proveedor en la nube para un servicio ante el cual el cliente tiene responsabilidades de cumplimiento normativo. A lo largo del tiempo, la necesidad para este derecho debería reducirse y en muchos casos sustituirse por las certificaciones de proveedor en la nube adecuadas, relacionadas con nuestra recomendación para el dimensionado del alcance de la certificación ISO 27001 que se comenta más adelante en este apartado.
√ Analizar el alcance del cumplimiento normativo. Analizar el alcance del cumplimiento normativo significa determinar si las normativas de cumplimiento a las que está sujeta la organización se verán afectadas por la utilización de servicios en la nube, para un conjunto determinado de aplicaciones y datos.
√ Analizar el impacto de las normativas en la seguridad de los datos. Los usuarios finales potenciales de los servicios de cloud computing deberían considerar qué aplicaciones y datos están considerando trasladar a los
servicios en la nube, y la medida en que están sujetas a las normativas de cumplimiento.
√ Revisar los socios y los proveedores de servicios relevantes. Se trata de un consejo general para garantizar que las relaciones con los proveedores de servicios no afectan negativamente al cumplimiento normativo. Evaluar qué proveedores de servicios están procesando datos que están sujetos a normativas de cumplimiento, y a continuación evaluar los controles de seguridad que proporciona el proveedor de servicios es fundamental. Diversas normativas de cumplimiento tienen un lenguaje específico sobre cómo evaluar y gestionar los riesgos de distribuidores terceros. Al igual que con los servicios de negocios e informática que no son de nube, las organizaciones deberán comprender cuáles de sus socios de negocio de nube están procesando datos sujetos a normativas de cumplimiento.
√ Comprender las responsabilidades contractuales de protección de datos y los contratos relacionados. El tipo de servicio en la nube en cierta medida dictará si el cliente o el proveedor de servicios en la nube es responsable de desplegar los controles de seguridad. En un escenario de despliegue de la IaaS, el cliente tiene un mayor grado de control y responsabilidad que en un escenario SaaS. Desde el punto de vista del control de la seguridad, esto significa que los clientes de la IaaS deberán desplegar muchos de los controles de seguridad que exigen los requisitos de cumplimiento normativo. En un escenario con el SaaS, el proveedor de servicios en la nube debe proporcionar los controles necesarios. Desde una perspectiva contractual, es clave comprender los requisitos específicos y garantizar que el contrato de servicios en la nube y los contratos de nivel de servicio lo cubren debidamente.
√ Analizar el impacto de las normativas sobre la infraestructura del proveedor. En el campo de las infraestructuras, trasladarse a los servicios en la nube también requerirá un análisis detenido. Algunos requisitos normativos pueden especificar controles que son difíciles o imposibles de alcanzar en un servicio en la nube, dependiendo del tipo de servicio en la nube.
√ Analizar el impacto de las normativas en las políticas y los procedimientos. Trasladar datos y aplicaciones a los servicios en la nube es probable que tenga consecuencias en las políticas y en los procedimientos. Los clientes deberían evaluar qué políticas y procedimientos relacionados con las normativas deberán cambiar. Algunos ejemplos de las políticas y procedimientos que se ven afectados incluyen los informes de actividad, el registro, la retención de datos, respuesta a incidencias, testeo de controles y políticas de privacidad.
√ Preparar evidencias sobre cómo se cumple cada requisito. Recabar evidencias del cumplimiento entre la gran cantidad de normativas y requisitos de cumplimiento supone un reto importante. Los clientes de los servicios en la nube deberían desarrollar procesos para recabar y almacenar evidencias del cumplimiento normativo, incluyendo los registros de auditoría e informes de actividad, copias de las configuraciones del sistema, informes de gestión de cambios, y otros resultados de los procedimientos de testeo. Dependiendo del tipo de servicio en la nube, el proveedor en la nube puede necesitar proporcionar mucha de esta información.
