[CSA] Conclusiones Desayuno Ejecutivo

Cloud Security Alliance Conclusiones del Desayuno Ejecutivo

Conclusiones del Desayuno Ejecutivo Diciembre

2012

Contenido

Resumen de la Jornada ...................................................................................................... 2

Conclusiones: ¿Por qué migraría a la nube? ¿A cuál? (privada, pública, híbrida). ............... 3

Conclusiones: ¿Cuáles son los principales obstáculos que identifica al momento de migrar hacia la nube? .................................................................................................................... 4

Conclusiones: Aspectos Legales y Regulatorios referidos a la nube. ................................... 5

Herramientas Disponibles .................................................................................................. 7

Acerca de Cloud Security Alliance (CSA) ............................................................................. 8

Referencias ........................................................................................................................ 8

Contacto ............................................................................................................................ 8


2012

Resumen de la Jornada

El pasado 22 de Noviembre hemos realizado junto con CXO Community, el primer desayuno ejecutivo sobre Seguridad en Cloud Computing. El mismo tuvo sede en la Universidad Austral, quien confió en nosotros y nos cedió una excelente aula. Dentro de los objetivos planteados para la jornada, se incluyeron principalmente, escuchar a los referentes del mercado respecto de sus problemáticas al momento de trabajar en temas referidos al Cloud Computing, analizar en un formato de debate dichos issues, con el objetivo de identificar algún camino de solución y por último, debatir la situación actual del Cloud Computing en la Argentina. A diferencia de otras jornadas sobre la temática en cuestión, en esta oportunidad se ha podido contar en un mismo lugar con representantes de la Dirección Nacional de Protección de Datos Personales y del Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires, lo que más allá de ser todo un logro, ha sido de un gran valor para todos los asistentes a la jornada. La Jornada se desarrolló bajo el paraguas de una serie de disparadores que se describen a continuación:

• ¿Por qué migraría a la nube? ¿A cuál? (privada, pública, híbrida).

• ¿Cuáles son los principales obstáculos que identifica al momento de migrar hacia la

nube?

• Aspectos Legales y Regulatorios referidos a la nube.

Ante estos mismos disparadores también se realizó una encuesta que permitió conocer la opinión de los asistentes sobre distintos modelos relacionados a la migración a la nube. Finalmente, se presentaron una serie de herramientas de Cloud Security Alliance (CSA), que se encuentran a disposición y que podrían facilitar la gestión de la seguridad de la información, así como la recolección de la información requerida para tomar una decisión respecto a los riesgos que implica una determinada solución o modelo. Esperamos que haya sido de interés el encuentro y agradecemos infinitamente la asistencia y participación de todos.

Cloud Security Alliance, Argentina.


2012

Conclusiones: ¿Por qué migraría a la nube? ¿A cuál? (privada, pública, híbrida).

Sobre este disparador, las primeras opiniones que surgieron entre los asistentes fueron asociadas a la visión de la migración a una solución de Cloud Computing, como un elemento que permitiría reducir costos. Al momento de profundizar sobre los modelos, la mayoría de los asistentes conocía ampliamente el modelo de Nube Pública del tipo Software como Servicio (SaaS) y el resto de los modelos no se consideraban como la primera opción al momento de migrar hacia una solución de Cloud Computing. Los ejemplos que se mencionaban correspondían principalmente a los grandes jugadores del mercado, y en su gran mayoría con Centros de Datos fuera de Argentina. Si bien se mencionaron superficialmente, las opciones locales no eran las más reconocidas, lo cual no colabora a la migración a la Nube Pública dentro de proveedores locales. Bajo estas circunstancias, la mayoría (66% de los asistentes) preferiría migrar a la Nube Privada, por cuestiones relacionadas a la privacidad de la información y el 80% opinó que este era el tema más importante a la hora de la tomar la decisión. Esta respuesta se vio fortalecida ya que la mayoría de los asistentes (60%) no conocía si los proveedores cumplen con las necesidades relacionadas a la seguridad de datos. Si bien se identificaba claramente a la reducción de costos como el principal motivo/beneficio del modelo planteado (80% de las respuestas), a través del debate surgieron algunos “costos ocultos” que podrían cambiar la visión inicial, por ejemplo:

• Ausencia de Documentación de los Sistemas que se van a migrar.

• Ausencia de Procesos Críticos de la Gestión de la Seguridad de la Información: Responsabilidades de Seguridad de la Información, Clasificación de la Información,

Gestión de Activos, Análisis de Riesgos.

• Ausencia de Procesos en la Organización que garanticen una migración ordenada.

• Limitaciones Legales/Regulatorias.

• Acuerdos de Nivel de Servicio poco negociables.

• Entre otros.

Si bien los puntos conversados fueron varios, los aspectos legales y regulatorios ya comenzaron a tomar la mayor relevancia.


2012

Conclusiones: ¿Cuáles son los principales obstáculos que identifica al momento de migrar

hacia la nube?

Sobre este disparador, las primeras opiniones que surgieron entre los asistentes fueron asociadas a las dificultades para identificar qué migrar primero, sistemas críticos (¿cuáles?), sistemas no críticos (¿cuáles?), otros aspectos importantes estaban orientados a conocer el tipo de información que se estaría migrando y que requisitos de seguridad se deberían implementar. Nuevamente surgió el debate acerca del tipo de dato a migrar y si es posible, o bajo que circunstancias debería realizarse, para cumplir con el marco legal de la

Argentina. Otro tema que surgió fue lo referido a los problemas de comunicación en las Organizaciones, el hecho de “enterarse” que debes ir a la nube (o que ya están ahí), sin tomar los recaudos necesarios, así como tampoco contar con el tiempo que garantice en cierta forma el éxito del proyecto. En esta ocasión el debate estuvo orientado a los temas

culturales de las Organizaciones, la falta de apoyo de las autoridades para algunas actividades críticas, y en algunos casos, la falta de diligencia por quienes toman las

decisiones. Dentro las sugerencias que se comentaban, referidas a los problemas planteados, se encontraban los siguientes:

� Trabajar en forma responsable, documentando las decisiones.

� Influenciar positivamente a los miembros del equipo de trabajo.

� Identificar los requerimientos legales involucrados.

� Obtener el apoyo de los referentes de la Organización.

� Aplicar una visión orientada a la gestión del riesgo en cada etapa.

� Documentar nuestras opiniones, sobre todo si implican riesgos que deben gestionarse.

� Buscar otro trabajo ¿? Cerrando el debate sobre este disparador, se pudo concluir en que es muy necesario que desde el lugar en que nos toque participar, siempre debemos hacerlo en forma responsable, documentando los temas críticos, obteniendo respuestas formales y analizando los riesgos involucrados, de forma tal de no afectar a la información y activos asociados a la misma. Claro que en algunos lugares, esto no es nada sencillo.


2012

Conclusiones: Aspectos Legales y Regulatorios referidos a la nube.

Si bien al momento de planificar la jornada, la intención era dejar el tema legal para el final, durante todo el encuentro fue referenciado, lo que hizo que, finalmente, se trate a lo largo de toda la jornada. A diferencia de otras jornadas, en esta oportunidad la temática contó con la opinión de referentes de los organismos más importantes en materia de protección de datos personales, tanto la Dirección Nacional de Protección de Datos Personales, como el Centro de Protección de Datos Personales, ambos en carácter de asistentes a la jornada. Sin dudas, fue un elemento diferenciador y que aportó gran valor para todos. Inicialmente, el 80% de los asistentes mencionó que en forma general que no se conocen cuales son las leyes y/o regulaciones que deben cumplirse en relación al uso de las tecnologías en la nube y al momento de mencionar los principales problemas referidos a los aspectos legales y regulatorios referidos al Cloud Computing, todos los presentes coincidieron en los siguientes lineamientos:

� Existe una falta de conocimiento del marco legal vigente, en materia de datos

personales, a nivel general en las Organizaciones. � Existen aspectos culturales negativos referidos al cumplimiento de la ley. � Se hace visible la ausencia de profesionales que conozcan el marco legal vigente. � A nivel general ejecución de los proyectos referidos a Cloud Computing, no incluye

los aspectos legales. � Existe una sensación de falta de control sobre el cumplimiento del marco legal

vigente. Dentro de las alternativas que se plantearon para resolver las problemáticas, o al menos disminuir la dificultad actual, se incluyen:

� Actualización del Marco Legal vigente, incluyendo por ej: Oficial de Privacidad en las

Organizaciones, Definición concreta sobre legalidad del Cloud Computing, Aclaración

de Conceptos y Requisitos para: tratamiento, cesión, transferencia internacional de

datos personales. � Reporte Obligatorio de Incidentes de Seguridad. � Revisiones Técnicas de Cumplimiento de requerimientos de seguridad. � Inclusión de la Seguridad de la Información (esto incluye los aspectos legales) desde

el inicio de los proyectos. � Ejecución de Auditorias Periódicas de Cumplimiento, a cargo de Profesionales de

Seguridad de la Información. � Realización de campañas de concientización en materia de Protección de Datos

Personales.


2012

Finalmente se pudo concluir en que, si bien la Argentina se encuentra en una posición de liderazgo frente a la región desde lo legal, la implementación del marco legal y su control pone en una situación de riesgo a los datos personales involucrados en soluciones de Cloud Computing. Esto podría significar una situación de riesgo alto al momento de presentarse un incidente de seguridad. De todas formas, entre los asistentes se pudo percibir una gran preocupación por la protección de los datos personales y un espíritu de colaboración para la difusión de buenas prácticas y recomendaciones que permitan, en el mediano plazo, mejorar el escenario actual.


2012

Herramientas Disponibles

Al cerrar la jornada, presentamos una serie de herramientas gratuitas que se encuentran disponibles para, en cierta forma, colaborar con las Organizaciones y Profesionales, al momento de encarar proyectos referidos a Cloud Computing. A continuación y a modo de resumen, se describen las herramientas:

� Guía de Seguridad para las Áreas Críticas de Cloud Computing: https://cloudsecurityalliance.org/research/security-guidance/

o Actualmente en su versión 3 (versión 2 en español). o Formato PDF o 14 Dominios o 3 Secciones:

� Cloud Architecture � Governing The Cloud � Operating The Cloud.

� Iniciativa de Evaluación del Cloud Computing:

https://cloudsecurityalliance.org/research/cai/ o Actualmente en su versión 1.1 o Formato XLS. o Alineado con la Guía de Seguridad (CSG) y la Matriz de Controles de Cloud

Computing (CCM) � Matriz de Controles de Cloud Computing:

https://cloudsecurityalliance.org/research/ccm/ o Actualmente en su versión 1.3 o Formato XLS. o Controles de Seguridad mapeados entre la Guía de Seguridad, ISO27001,

PCIDSS, NIST, HIPAA, Jericho Forum, etc.

� Registro de Seguridad, Confianza y Aseguramiento (STAR): https://cloudsecurityalliance.org/research/initiatives/star-registry/

o Registro Gratuito de Proveedores de Cloud Computing. o Aspectos de Seguridad implantados en el servicio de Cloud Computing,

producto de la respuesta del Cuestionario de Evaluación (CAI) y la Matriz de Controles (CCM).

o Debe actualizarse anualmente.

� Seguridad como Servicio (SecaaS): https://cloudsecurityalliance.org/research/secaas/

o Documentos referidos a las principales soluciones de seguridad basadas en Cloud Computing: DLP, Security Assessments, SIEM, BCP/DRP, etc.

o Corresponde al Dominio 14 de la Guía de Seguridad de Cloud Computing.

o Entregables generados por vendors miembros de CSA.


2012

Acerca de Cloud Security Alliance (CSA) El Cloud Security Alliance es una entidad sin fines de lucro creada para fomentar el uso de las buenas prácticas, reforzar garantías de seguridad, y ofrecer formación en todo lo concerniente a cloud computing. El Cloud Security Alliance está compuesto por expertos de diferentes disciplinas, unidos para promover un nivel común de entendimiento entre los consumidores y proveedores informáticos en relación a los requisitos de seguridad necesarios y al certificado de garantía; impulsar la investigación independiente enfocada a encontrar mejores prácticas para la seguridad informática; lanzar campañas de sensibilización y programas educativos sobre el uso de la red y soluciones seguras; y crear listas de consenso en cuestiones de orientación y garantía de seguridad.

Misión del Capítulo Promover el uso de buenas prácticas, a fin de ofrecer confianza dentro del ámbito de Cómputo en la Nube y proveer educación sobre los usos de Computo en la Nube, ayudando a asegurar todas las otras formas de computo.

Referencias Cloud Security Alliance: http://www.cloudsecurityalliance.org Cloud Security Alliance Chapter Argentina http://chapters.cloudsecurityalliance.org/argentina/ NIST SP800-145: The NIST Definition of Cloud Computing http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf Infografía sobre Modelos de Implementación de Cloud Computing: http://wikibon.org/blog/wp-content/uploads/2010/12/cloud-computing-landscape-full.html Guía para la Seguridad en Áreas Críticas de atención en Cloud Computing (CSG): https://cloudsecurityalliance.org/research/security-guidance/ Cloud Assessment Initiative (CAI): https://cloudsecurityalliance.org/research/cai/ Security, Trust & Assurance (STAR): https://cloudsecurityalliance.org/research/initiatives/star-registry/ Riesgos y Amenazas del Cloud Computing: http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf

Contacto [email protected] @cloudsa_arg CSA.Argentina (Facebook page)

[CSA] Conclusiones Desayuno Ejecutivo

Education

Transcript of [CSA] Conclusiones Desayuno Ejecutivo