VII Encuentro Nacional VII Encuentro Nacional de Auditoría Interna de Auditoría Interna

Instituto de Auditores Internos de Argentina

VII Encuentro Nacional de Auditoria Interna

Sobre nosotros

Sobre Cristian Borghello Licenciado en Sistemas y certificado CISSP Es Creador y Director del portal de seguridad Segu-Info Ha dictado congresos, cursos y conferencias sobre

seguridad y auditoria en todo América Latina

Sobre Javier Norberto López Licenciado en Administración, Licenciado en Sistemas de

Información y Certificado CISA Es Analista de Auditoría Interna Sistemas en Puente Miembro de la Comisión de Publicidad y Marketing de

ADACSI – ISACA Buenos Aires Chapter

Licencia de uso Creative Commons 2.5

Copiar, distribuir, exhibir, y ejecutar la obra Hacer obras derivadas

Bajo las siguientes condiciones: Atribución. Debe atribuir la obra en la forma

especificada por el autor No Comercial. No puede usar esta obra con

fines comerciales Compartir Obras Derivadas Igual. Si altera,

transforma, o crea sobre esta obra, sólo podrá distribuir la obra derivada resultante bajo una licencia idénticahttp://creativecommons.org/licenses/by-nc-sa/2.5/ar/

¿Qué es la nube?

Ver video…Telefónica Charla - 0:15 - 5:40

Cloud Computing (CC)

Nuevo modelo o paradigma que permite ofrecer servicios a

través de Internet (la nube)

Buzzword de moda

Es la tendencia a basar las aplicaciones en servicios

alojados de forma externa, en la web

Servicios en la Nube

http://www.opencrowd.com/assets/images/views/views_cloud-tax-lrg.png

Barómetro de ISACA

En 2010 utilizaron CC:• 30% de las organizaciones en LA• 25% de las organizaciones de EE.UU. • 18% de las organizaciones europeas

41% de los profesionales de LA considera que los riesgos de CC superan los beneficios

17% opina lo contrario

42% creen que los beneficios y los riesgos están equilibrados 2010 ISACA IT Risk/Reward Barometer - Latin America Edition

http://bit.ly/aym1KF

“Creemos que CC representa la plataforma para la próxima

generación de negocios”

Microsoft

“CC es una trampa destinada a obligar a la gente a adquirir sistemas

propietarios, bloqueados, que costarán más conforme pase el tiempo”

Richard Stallman

La nube deja en manos del proveedor la responsabilidad del almacenamiento de datos y su control

No se consideran la legislación, las normas y las regulaciones

La cadena de provisión de servicio no es evaluada

Los tres pilares (CID) de la Seguridad de la Información pueden comprometerse

Seguridad en la nube (I)

Existen problemas de Insiders Sistemas compartidos por distintos clientes Fallas “masivas” pueden dañar a múltiples

clientes Servicios compartidos son ¿vulnerabilidades

compartidas? Se conoce al proveedor por una interface No se conocen los activos del proveedor Riesgo del proveedor desconocido para el

cliente

Seguridad en la nube (II)

Definición de riesgosque existen al utilizar la nube por parte de la compañía

¿Todo es color de rosa?

Controles de mitigación

Documentos de la compañía

Manual de ética Política de seguridad organizacional Política de seguridad de la información Clasificación de la Información ABM de Usuarios Política de uso de Internet, correo

electrónico y redes sociales Política de RRHH

Controles internos

Existencia de definición de riesgos Existencia de mapeo de controles vs

riesgos Existencia de normativas y políticas Existencia de evidencia del

cumplimiento de los controles

Controles de los proveedores

Control de contratos y SLAs Verificación de certificaciones Solicitud de normativa interna del

proveedor