Algunos Consejos básicos

Cloud Computing: elegir un proveedor

De qué hablamos: Criterios de ENISA para la elección de un proveedor de servicios de Cloud Computing 1. Oportunidades 2. Riesgos 3. Preguntas claves y términos contractuales Fuentes: www.enisa.europa.eu http://www.amedeomaturo.com/2015/09/15/como-una-pyme-debe-elegir-un-servicio-cloud/

OPORTUNIDADES DE SEGURIDAD

PUNTUACIÓN JUSTIFICACIÓN

O01. Distribución Geográfica GRANDE Ejemplo: Es de gran importancia, porque permite tener la información en un lugar distinto al del servidor local

O02. Elasticidad MEDIA

O03. Portabilidad BAJA

O04. Seguridad Física ETC.

O05. Respuesta a incidentes 24/7

O06. Desarrollo Seguro de Software

O07. Actualizaciones

O08. Copias de Seguridad

O09. Capacidad de almacenamiento

O10. Security As a Service

O11. Certificaciones y Compliance

Leyenda Explicativa: indicar la ventaja de cada oportunidad para el uso del Cloud Service (BAJA, MEDIA o GRANDE)

O01. Distribución Geográfica Ofrece resilencia en casos en los que desastres locales: Importancia BAJA, MEDIA o GRANDE

O02. Elasticidad Mejora en los casos de picos de usos de servidores locales: Importancia BAJA, MEDIA o GRANDE

O03. Portabilidad Más facilidad de uso con distintas plataformas, formatos, etc.: Importancia BAJA, MEDIA o GRANDE

O04. Seguridad Física Mayor seguridad física, proporcionada por el proveedor: Importancia BAJA, MEDIA o GRANDE

O05. Respuesta a incidentes 24/7 Mayor seguridad física, proporcionada por el proveedor: Importancia BAJA, MEDIA o GRANDE

O06. Desarrollo Seguro de Software Supuesta mejora en el desarrollo de software por parte del proveedor: Importancia BAJA, MEDIA o GRANDE

O07. Actualizaciones Proporcionadas por proveedores expertos: Importancia BAJA, MEDIA o GRANDE

O08. Copias de Seguridad Simplificación de las copias de seguridad: Importancia BAJA, MEDIA o GRANDE

O09. Capacidad de almacenamiento Pago por uso: Importancia BAJA, MEDIA o GRANDE

O10. Security As a Service Externalizar la seguridad, con menor coste para la empresa: Importancia BAJA, MEDIA o GRANDE

O11. Certificaciones y Compliance Las certificaciones pueden ayudar a elegir la empresa proveedora de cloud: Importancia BAJA, MEDIA o GRANDE

RISK MANAGEMENT

PROBABILIDAD IMPACTO RIESGO JUSTIFICACIÓN

R01. Vulnerabilidad de la seguridad del Software

BAJA BAJO MENOR Ejemplo: El servicio se usa como copia de seguridad añadida a la local, de manera que una vulnerabilidad del software del proveedor, de escasa probabilidad, tendría un bajo impacto en la organización, que ya tiene copias de seguridad locales. Además, sólo se suben copias de seguridad encriptadas, reduciendo una posible exposición de datos a personas no autorizadas

R02. Ataques de Red

R03. Ataques de Ingeniería Social

R04. Peligros para APIs

R05. Pérdida/Robo de Aparatos

R06. Amenazas Físicas

R07. Sobrecargas

R08. Costes Inesperados

R09. Cautivo del Proveedor

R10. Disputas Legales con el Proveedor

R11. Aplicación de Jurisdicciones Extranjeras

Leyenda Explicativa: indicar la PROBABILIDAD del Riesgo “R”, su IMPACTO en la organización y qué RIESGO supondría

R01. Vulnerabilidad de la seguridad del Software La seguridad NO depende de la solidez del software del cliente, si no del proveedor

R02. Ataques de Red Ataques a los servicios del proveedor (p.e., DDoS), afectan al servicio del cliente, incluso en el caso en el que el cliente no sea directamente atacado

R03. Ataques de Ingeniería Social Riesgo similar al anterior, pero por ataques de Ingeniería Social

R04. Peligros para APIs Verificar que el proveedor tenga por lo menos doble sistema de autenticación. Si el ataque tiene éxito, el cliente pierde toda la información

R05. Pérdida/Robo de Aparatos Las pérdidas/robos de aparatos del cliente, pueden proporcionar acceso directo a la información en el cloud

R06. Amenazas Físicas El proveedor debe asegurar que sus sistemas son replicados en distintas áreas geográficas, de manera que el mismo evento físico (inundación), no afecta a dos o más lugares de almacenamiento

R07. Sobrecargas Sobrecargas de accesos de los distintos clientes pueden afectar a tu servicio

R08. Costes Inesperados Es necesario analizar los costes por sobre uso de los servicios de cloud

R09. Cautivo del Proveedor Es necesario asegurar una estrategia de salida, para no verse atrapado con un proveedor (libertad de formatos para exportar la información, etc.)

R10. Disputas Legales con el Proveedor Es necesario asegurar que, mientras pueda haber disputas (p.e., facturas no pagadas), la información puede ser utilizada

R11. Aplicación de Jurisdicciones Extranjeras Si se almacenan datos personales y los servidores cloud están fuera de la UE, puede haber un problema legal

MATRIZ RIESGO/IMPACTOS (cuando los Riesgos “R” caen en las celdas naranjas o rojas, es necesario actuar)

IMPACTO

5 10 15 20 25

4 8 12 16 20

3 6 9 12 15

2 4 6 8 10

1 2 3 4 5

PROBABILIDAD

Leyenda

MAYOR

SIGNIFICATIVO

MENOR

GRAN IMPACTO, BAJA

PROBABILIDAD

PREGUNTAS SOBRE SEGURIDAD (SQ)

Oportunidad Relacionada

Riesgo Relacionado

INFORMACIÓN SUFICIENTE

RIESGO IMPACTO

SQ01. Seguridad de la Organización, Governance y Risk Management

O4, O5, O6, O11 R6SI MEDIO ALTO

SQ02. Responsabilidades legales

O5, O10 R6

SQ03. Contingencias y Copias de Seguridad

O1, O4, O5, O8 R5, R6, R7

SQ04. Disputas Legales y Administrativas

- R10

SQ05. Seguridad de RRHH

O4 R6

SQ06. Controles de Accesos

O4, O9 R6

PREGUNTAS SOBRE SEGURIDAD

Oportunidad Relacionada

Riesgo Relacionado

INFORMACIÓN SUFICIENTE

RIESGO IMPACTO

SQ07. Seguridad del Software

O6, O7 R1, R4

SQ08. Interfaz de usuarios y aplicaciones

O6, O7, O9 R3, R4, R5

SQ09. Monitorización y logging

O7 R4

SQ10. Interoperabilidad y Portabilidad

O3 R6, R9

SQ11. Costes de Escalado

O2 R7, R8

SQ12. Compliance con legislación nacional e internacional

- R11

Leyenda Explicativa SQ (Security Questions) Preguntas a las que hay que contestar, para decidir sobre la contratación del servicio Cloud

SQ01. Seguridad de la Organización, Governance y Risk Management Criterios de gestión de seguridad y gestión de riesgo del proveedor

SQ02. Responsabilidades legales Qué tareas de seguridad incumben al proveedor y qué hace para mitigar los riesgos

SQ03. Contingencias y Copias de Seguridad Gestión de desastres que afectan al datacenter y/o a las conexiones

SQ04. Disputas Legales y Administrativas Garantías de disponibilidad de la información, incluso en los casos en los que existan disputas legales y/o administrativas (p.e., impago de facturas)

SQ05. Seguridad de RRHH Políticas de seguridad implantadas entre el personal del proveedor

SQ06. Controles de Accesos Quién accede a los datos del cliente y qué medidas existen para accesos no autorizados

SQ07. Seguridad del Software Reparto de responsabilidades por vulnerabilidades del software del proveedor y del cliente

SQ08. Interfaz de usuarios y aplicaciones Sistemas de protección de accesos vía APIs y controles para usuarios con privilegios

SQ09. Monitorización y logging Sistemas de monitorización de las prestaciones pactadas y de los accesos

SQ10. Interoperabilidad y Portabilidad Estándares aplicados para asegurar interoperabilidad y portabilidad de la información del cliente

SQ11. Costes de Escalado Sistemas para el manejo de picos de uso y eventuales costes añadidos

SQ12. Compliance con legislación nacional e internacional Qué legislación es de aplicación

Ruegos y Preguntas

Amedeo Maturo Senra

@AmedeoM