cloud security presentación de servicios
TRANSCRIPT
ecurity
loud
ervices
Introducción
Visión
Cloud Security Services
Nuestro equipo
Índice
Antecedentes
Metodología
Necesi
dad
es
Cloud Security ServicesIntroducción
+ C
on
fian
za
Necesi
dad
es
Cloud Security ServicesIntroducción
La transición al modelo de servicios en la nube
ofrece grandes oportunidades para las
organizaciones. Gran escalabilidad, flexibilidad y
rentabilidad pueden lograrse desde un enfoque
basado en la nube. Sin embargo, si no se
administran en forma segura y eficiente, las
consecuencias de una falla en la solución Cloud
pueden ser extremadamente perjudicial.
El desafío de mantener la privacidad, integridad,
confiabilidad y cumplimiento de la información
ha aumentado considerablemente. Por lo tanto
es esencial que su empresa tenga la capacidad
de evaluar el impacto de un movimiento de una
solución Cloud y manejar con éxito plataformas
de software y la infraestructura en la nube.
Cloud Security ServicesIntroducción
La transición al modelo de servicios en la nube
ofrece grandes oportunidades para las
organizaciones. Gran escalabilidad, flexibilidad y
rentabilidad pueden lograrse desde un enfoque
basado en la nube. Sin embargo, si no se
administran en forma segura y eficiente, las
consecuencias de una falla en la solución Cloud
pueden ser extremadamente perjudicial.
El desafío de mantener la privacidad, integridad,
confiabilidad y cumplimiento de la información
ha aumentado considerablemente. Por lo tanto
es esencial que su empresa tenga la capacidad
de evaluar el impacto de un movimiento de una
solución Cloud y manejar con éxito plataformas
de software y la infraestructura en la nube.
Cloud Security ServicesIntroducción
Cloud Security
Services
Ob
jetiv
os
Solución
Consultoría
Necesidades
Cloud Security ServicesIntroducción
Cloud Security ServicesIntroducción
Baufest Cloud Security Services
ofrece la confianza de que su
información está segura en cualquier
despliegue de nube. Nuestro equipo
de consultores expertos trabaja en
conjunto con las empresas para
proporcionar ideas y soluciones que
garantice la seguridad en la nube.
Los consultores de Baufest son
miembros activos de la Cloud
Security Alliance y utiliza muchas de
sus herramientas para asegurar que
nuestros clientes están seguros en su
opción de despliegue de la nube y
también entiendan los riesgos
asociados a su tipo de industria.
Cloud Security ServicesIntroducción
¿Dónde
estoy?¿Dónde quiero
estar?
Cloud Security ServicesVisión
Riesgos Gobernabilidad
¿Dónde
estoy?¿Dónde quiero
estar?
Cloud Security ServicesVisión
Riesgos Gobernabilidad
¿Dónde
estoy?¿Dónde quiero
estar?
Cloud Security Services
Inicial
• Ausencia de políticas
claras de seguridad
en el uso de Cloud,
datos y bloqueo de
servicios conocidos,
sin tener en cuenta su
perfil de riesgo,
respuesta a
incidentes es
incompleto y lento
proceso ad hoc
Repetible
• La organización ha
comenzado a definir
criterios de
aceptación para
seleccionar servicios
de la nube y tiene un
whitelist de servicios
de la nube aprobados
Estandarizado
• whitelist aprobado
para todas las
categorías de CSP por
nivel del
departamento.
Políticas de DLP y
encriptación
claramente definida
con un workflow de
incidentes y roles
definidos
Gestionado
• La lista de CSP
aprobada, las
políticas y los
workflow son
actualizados cada tres
meses por el comité
del gobierno de la
nube usando los
lineamientos del
negocio
Dinámico
• Las políticas de
seguridad están
claramente definidas
se alinearon con
objetivos del negocio,
actualizadas y con un
proceso robusto con
un workflow de
aprobación y
feedback
incorporado.
Visión
Procesos
Herr
am
ien
tas
Pers
on
as
Cloud Security ServicesVisión
Cloud Security ServicesVisión
Llega el momento de terminar con el acuerdo
¿qué considerar al finalizar el contrato con el
proveedor?
Siendo crítico ¿Es el cloud computing
adecuado para mis actividades, tareas,
sistemas y servicios?
¿Qué medidas de seguridad son exigibles?
Cuales existen?
¿Cuáles son los principales riesgos del CLOUD
COMPUTING?
A la hora de elegir proveedor, ¿Qué debo
valorar? ¿Cuál es el proveedor más
apropiado?
¿Qué precauciones tomar antes de
realizar la migracién del servicio?
¿Cómo gestionar los aspectos normativos
y legislativos? ¿Es realmente importante?
¿Cómo asegurar que el proveedor cumpla
con lo establecido? ¿Cómo supervisar el
servicio?
¿Qué compromisos de confidencialidad de los
datos personales debo exigir?
¿Cómo garantizo que puedo recuperar los
datos personales de los que soy
responsable
(portabilidad)?
Cloud Security ServicesVisión
Cloud Security Services
Baufest crea proyectos
personalizados que
evalúan la
implementación y los
niveles de seguridad
basado en normativas y
mejores prácticas tales
como las ISO 27001,
27017 27018 y
herramientas de la CSA -
Cloud Security Alliance
Brindando a los clientes
un informe de
comprobación que puede
ser usado para presentar
el nivel de madurez a sus
usuarios actuales o
nuevos, asegurando que
su solución en la nube es
segura.
Cloud Security Services
Cloud Security Services
Cloud Security Services
Security Migration
Secure Cloud
Design
Cloud Testing and
Audit
Cloud Service
Provider
Assessment
Security Risk
AssessmentCloud Security
Solutions
Cloud Security Services
Cloud Computing presenta riesgos nuevos y evolucionados a las organizaciones.
Security Risk Assessment está diseñado para ayudar a las organizaciones en la evaluación de la conveniencia de migrar servicios para entornos Cloud y también tasar los riesgos existentes en despliegues de la Nube híbridos o completos.
Nuestros consultores tienen mucha experiencia en evaluación del riesgo alineado con las necesidades de una compañía. Entendemos el impacto de la adopción de soluciones de nube para los negocios y tenemos amplia experiencia en auditoría.
Como miembros de la Cloud Security Alliance (CSA) utilizamos sus mejores prácticas, además de NIST, ENISA y las directrices de seguridad de la nube específicos de la industria y regulaciones locales como la ley de protección de datos personales.
Security Risk
Assessment
Cloud Security Services
Cloud Computing presenta desafíos específicos de seguridad en la etapa de diseño de entornos de nube.
Baufest ayuda a las empresas a detectar posibles puntos de exposición de información sensible. Diseñamos, construimos y entregamos los entornos de nube seguras basadas en las consideraciones específicas de seguridad y cumplimiento de nuestros clientes. Nuestros especialistas en seguridad en la nube ofrecen diseños a medida para satisfacer las más altas exigencias de seguridad que garanticen que las organizaciones tengan la certeza que su información está segura en su entorno Cloud.
Diseñamos la seguridad en los entornos de la nube con el rendimiento y los objetivos de negocio en mente.
Somos conscientes de los riesgos asociados con las nubes públicas y privadas. Ayudamos a las empresas a obtener lo máximo de la nube mediante el diseño y la implementación de entornos Cloud que satisfagan las preocupaciones de seguridad y objetivos de negocio. Cuando se trata de conseguir el equilibrio adecuado entre el rendimiento y la seguridad, Los consultores de Baufest ayudarán a las organizaciones a implementar la solución Nube segura.
Secure Cloud
Design
Cloud Security Services
A la Hora de realizar una migración a la nube, las organizaciones pueden enfrentar muchos problemas y obstáculos que si no se logran abordar correctamente pueden traer problemas futuros.
Baufest cuenta con una metodología de adopción de entornos Cloud y también ofrecer asesoría de expertos en migración de software, plataformas e infraestructura tradicionales hacia soluciones en la nube de forma segura.
Ayudamos a las empresas a ahorrar dinero, mejorar la seguridad y aumentan su conocimiento de este campo relativamente nuevo. Como miembros de varias asociaciones relacionadas con la Seguridad, estamos enfocados en la mejora de la postura de seguridad de las organizaciones, tanto en entornos locales como en la nube.
Security
Migration
Cloud Security ServicesComo todos los entornos de una empresa, los entornos Cloud también deben ser evaluados regularmente por expertos. Nuestro servicio Cloud Testing and Audit incluye evaluación de los controles de seguridad existentes en la empresa y mapear estos controles a entornos Cloud.
Como miembros de la Cloud Security Alliance (CSA), nuestros profesionales utilizan las principales herramientas de la industria para asegurar que nuestros clientes están a salvo en la elección de su despliegue Cloud y también entender los riesgos asociados.
Como parte de nuestro proceso de Testing Cloud y Auditoría, examinamos;Cloud Testing and
Audit• Seguridad de Aplicación e Interface
• Auditoría de Aseguramiento y de
Cumplimiento
• Gestión de la Continuidad del
Negocio y Op Resiliencia
• Control de cambio y gestión de la
Configuración
• Seguridad de los datos y gestión del
ciclo de vida de la información
• Seguridad de data center
• Cifrado y gestión de claves
• Gobierno y Administración de Riesgos
• Seguridad de los Recursos Humanos
• Gestión de Identidad y Acceso
• Seguridad de Infraestructura y
Virtualización
• Interoperabilidad y Portabilidad
• Seguridad móvil
Cloud Security Services
Puede ser difícil de obtener visibilidad de un entorno de nube. Los proveedores de servicios Cloud necesitan evaluarse independientemente la seguridad, como un paso necesario en dar a los clientes garantía de que están siguiendo las mejores prácticas.
Como miembros de la Cloud Security Alliance (CSA) nuestros consultores proporcionan las evaluaciones de los proveedores de servicios cloud y evalúan cómo están alineados con la Security, Trust and Assurance Registry (STAR).
Todos los proveedores de servicios de nube deberían tratar de cumplir con los requisitos de la evaluación STAR de la Cloud Security Alliance e ilustrar a los clientes que se toman en serio la protección de datos de los clientes en su entorno Cloud.
Cloud Service
Provider
Assessment
Cloud Security ServicesIncapsula:
Ofrece las prestaciones de seguridad y rendimiento más avanzadas para sitios web de todo tamaño. Por medio de un simple cambio de DNS, el tráfico de su sitio web atraviesa Incapsula perfectamente y sin interrupciones. El tráfico entrante se perfila en tiempo real, bloqueando las amenazas web: desde ataques de inyección de SQL hasta los scrapers, bots maliciosos, spammers con comentarios entrometidos y ataques DDoS. El tráfico saliente se acelera y optimiza con la CDN mundial de Incapsula.
SkyFence:
Ofrece una solución simple, sencilla, flexible y adaptable a cualquier necesidad en tres módulos funcionales que desempeñan tareas bien definidas y complementarias, con todo ello, la solución garantiza:
• La realización de un estudio real y adecuado, que presenta a los administradores la real situación de uso de las aplicaciones (corporativas o de empleo privado) en la nube.
• Una estimación del riesgo – adaptado a la realidad de los peligros de internet en cada momento – en el que se incurre
• Detección de anomalías y peligros, alertas y controles de acceso, incluyendo los dispositivos móviles empleados en la compañía.
• Medios para administrar la infraestructura, monitorizar el uso y disponer de herramientas de reporting y consulta de amplio espectro.
Cloud Security
Solutions
Gestionar una implementación efectiva
Acelerar la curva de aprendizaje
Enfocarse en los asuntos críticos
Ser consciente que las amenazas están
evolucionando
Asegurar capacidades de respuesta efectiva
a incidentes
Crear Estrategia de Seguridad para el
futuro
Comprender en dónde se ubica la empresa
actualmente
Decisiones en seguridad sistemática. Ex:
Optimización de Control
Incrementar el equipo de seguridad en la
nube empresarial
Poner en práctica un programa de
seguridad en entornos Cloud
Revisar amenazas de seguridad, que
impliquen específicamente a este entorno
Proceso y práctica operacional para evaluar
e implementar IR
Establecer y priorizar un plan de seguridad
Evaluaciones, Identificación de Vacíos de
Control, Pruebas de penetración en
entornos Cloud
Assessments
(Evaluaciones)
Estrategia de Seguridad
en Cloud
Cuantificación y manejo
del Riesgo
Soporte CISO (Jefe de
Seguridad)
Remediación de
hallazgos
Cloud
Respuesta a Incidentes
Cloud Security ServicesMetodología
Basado en Riesgo y amenazas
• Top 20 Controles
• Nivel de madurez
• Tendencias
• Mejores Practicas
• Revisión y educación
Basado en Estandares y
recomendaciones
• CSA Controls MAtrix
• ISO/IEC 27000 Serie
• PCI DSS, HIPPA Sec
• Cobit, Coso, Itil
• Nist, Enisa, Otros
directivas,
procedimientos y concienciación
SAAS
PASS
IAAS
Datos
Cloud Security ServicesEl Aseguramiento de la nube Impulsado por Baufest ayuda a nuestros clientes midiendo y asegurando la
capacidad de los proveedores de servicios de la nube midiendo la entrega de los servicios de la nube de acuerdo
con las mejores prácticas de la industria, estándares y conformidad reguladora.
Nuestro equipo
Cloud Security Services
Nuestro responsable de la Práctica
Posee una amplia y variada experiencia en diferentes mercados y posiciones, siempre ligado a las tecnologías informáticas y
comunicaciones. Su experiencia en IT y seguridad informática esta validada por su certificaciones de Auditor Líder ISO 27001,
MSCE + Security, ITIL, Auditor interno ISO 9001:2008, Certified Integrator in Secure Cloud Services, Cloud Computing
Foundation, BIGGER IS BETTER - BIG DATA - CLOUD UNIVERTY, CLODU - CLOUD UNIVERSITY. Participó y lideró proyectos
complejos en grandes empresas.
Especialidades:
Sólidos conocimientos y experiencia en proyectos relacionados con la implementación y mejora de un sistemas de gestión de
la calidad y de seguridad de la información.
Conocimientos:
ISO/IEC 27001, ISO/IEC 27002, 31000, 22301, 9001 Auditoría de Seguridad, COBIT, ITIL v3, SOX, PCI, BCRA.
LUCIANO MOREIRA DA CRUZ
Algunos de nuestros Technical leaders
• ISC2 CISSP
• ISACA CISA
• IRCA Certified Lead Auditor
ISO/IEC 27001
• MCSA Office 365
• Microsoft Specialist: Server
Virtualization 2012
• MCSA Windows Server 2008
• MCITP Virtualization
Administrator 2008R2
• MCITP Enterprise
Administrator 2008
• MCSE + Security 2003
LEONARDO ROSSO
• Certified Information System
Auditor (CISA)
• Lead Auditor ISO 25999-2
• Fundation ITIL v.3
• ISO 20000
• Curso Seguridad Informática
– Aplicación de LOPD
• La Seguridad en los Sistemas
de Información e Internet
(LOPD)
MARCELA MEYORÍN
• IRCA Certified Lead Auditor
ISO/IEC 27001
• VMware vSphere 5: Optimize
& Scale
• VMware Certified
Professional 5 - Data Center
Virtualization (VCP5-DCV)
• Microsoft Windows Server
2012
• MCTS Windows server 2008
• Red Hat Certified System
Administrator (RHCSA)
• CCNA
HECTOR MARTINOTI
• MCSE Communication
• MCSE Private Cloud
• MCSE Server Infrastructure
• MCSA Office 365
• MCTS Administering Office
365 for Small Business
• MCTS Implementing
Microsoft Azure
Infrastructure
• MCTS Server Virtualization
with Windows Server
CHRISTIAN IBIRI
Antecedentes
Cloud Security Services
Assesment de seguridad sobre infraestructura
Cloud:
Tuvo como objetivo la evaluación de los niveles
de seguridad asociados a los servicios y
aplicativos publicados y montados en Cloud
con el objetivo de identificar posibles
vulnerabilidades que pudieran afectar tanto a
su operativa normal como también aquellas
vulnerabilidades que pudieran revelar
información sensible o provocar accesos no
autorizados.
DON MARIO
Como parte de la iniciativa de upgrade de la plataforma de correo, Baufest decidió migrar las cuentas de 310 personas y aproximadamente 50 recursos a Exchange sobre Office365.
Contar con un sistema de filtrado de correo robusto y confiable.
Factores de autenticación y federación con proveedores y clientes.
Grupo Baufest
Desafío
Se implementó la plataforma Exchange en Office 365 para todos los empleados y todas las locaciones, integrando esta solución al Directorio de usuarios de la organización mediante ADFS logrando una integración uniforme de todos los servicios de Baufest.
Adicionalmente se implemento un Servidor Secundario de Active Directory sobre Windows Azure en modalidad IaaS, para garantizar alta disponibilidad de acceso al servicio de correo.
Se realizo las pruebas de seguridad de los entornos levantados en Cloud y se ajustaron todos los parámetros de configuración según las mejores practicas de industria.
Se realizan cada 3 meses revisiones de seguridad en la plataforma.
La Solución
Definición y configuración de los parámetros de seguridad en
plataforma Backend (Azure)
Configuración de VPN con entorno del cliente
Integración entre BBDD en un modelo Hibrido usando ETL
Configuración de SSL Client Autentication
Implementación de IDM logrando un login federado,
integrando con las redes sociales.
Testeo de seguridad sobre la plataforma
Sanitizacion de los servicios de Azure para la mitigación de
ataques de inyección de código en Odata.
Segurizacion del CDN y Storage Cloud
EDENOR – mobile
Definición y configuración de los parámetros de seguridad en
plataforma Backend (Azure)
Configuración de VPN con entorno del cliente
Integración entre BBDD en un modelo Hibrido usando ETL
Configuración de SSL Client Autentication
Implementación de IDM logrando un login federado,
integrando con las redes sociales.
Testeo de seguridad sobre la plataforma
Sanitizacion de los servicios de Azure para la mitigación de
ataques de inyección de código en Odata.
Segurizacion del CDN y Storage Cloud
MI SEGURO MÓVIL
Definición y configuración de los parámetros de seguridad en
plataforma Backend (Azure)
Configuración de VPN con entorno del cliente
Integración entre BBDD en un modelo Hibrido usando ETL
Configuración de SSL Client Autentication
Implementación de IDM logrando un login federado,
integrando con las redes sociales.
Testeo de seguridad sobre la plataforma
Sanitizacion de los servicios de Azure para la mitigación de
ataques de inyección de código en Odata.
Segurizacion del CDN y Storage Cloud
Enersa – mobile
Desde 1991, brindamos servicios de Software & IT para grandes empresas
Oficinas en Argentina, Chile, México, España y USA
+1.000 proyectos en 50 países de América, Europa, Asia y África
+350 personas, +310 dedicadas a servicios e IT
Antigüedad top customers: entre 18 y 5 años
+95% índice de satisfacción de clientes
Desde 2008, entre las mejores empresas para trabajar en la Argentina
ISO 9001 en Gestión de Servicios de Software
Calificación Investment Grade otorgada por Standard & Poor’s
+23 años de innovación
Argentina
Buenos AiresTel.: +54 (11) 4118-8080Fax: +54 (11) 4118-8080Roosevelt 1655C1428BNC, Buenos AiresArgentina
Santa FeTel.: +54 (342) 412-0368San Jerónimo 1838S3000FPP, Santa FeArgentina
Spain
Tel.: +34 91 745-2763Fax: +34 91 561-5626c/ Francisco Giralte, 228002, MadridSpain
Mexico
Tel.: +52 (55) 5531-8878Fax: +52 (55) 5531-8878Avda. Ejército Nacional 678,Col. Polanco Reforma, Distrito Federal C.P. 11550 México D.F.
USA
Tel +1 (617) 275-24201 Broadway 14th floorCambridge, MA 02142USA
¡Muchas Gracias!
Luciano MoreiraIT & Security [email protected]
ChileTel.: +56 (2) 2840-9977General del Canto 526,7500652, Providencia, Santiago de Chile