efectos del cloud sobre el marco de controles ti...isaca valencia - 2012 / 2013 fecha: 08 de mayo de...
TRANSCRIPT
![Page 1: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/1.jpg)
Fecha: 08 de mayo de 2013 ISACA Valencia - 2012 / 2013
EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI
Carlos Sahuquillo
Consultor de Seguridad e Infraestructuras
GMV
@csahuqui on Twitter
![Page 2: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/2.jpg)
¿Qué es Cloud?
08/05/2013 2 ISACA Valencia - 2012 / 2013
![Page 3: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/3.jpg)
Qué es cloud?
“Es una simple nube de color amarillo que sirve como medio de transporte
para aquel que pueda utilizarla, tiene como requisito que sólo puede ser
usada por una persona de corazón puro, quien no cumpla el requisito pasará
a través de ella como si fuera una nube normal, la única manera es que viaje
agarrado de una persona que si la pueda utilizar. A esta nube se la puede
llamar desde cualquier espacio abierto, y ésta puede llevar a su viajero a
cualquier lugar”.
08/05/2013 3 ISACA Valencia - 2012 / 2013
![Page 4: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/4.jpg)
Similitudes entre la nube de Son Goku y cloud
Nube Kingdom cloud
• Son un medio de
transporte
• Tienen sus riesgos
• No es para todo el
mundo
• Si sólo no eres capaz...
Hazlo con alguien que
sepa
08/05/2013 4 ISACA Valencia - 2012 / 2013
![Page 5: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/5.jpg)
Preocupación principal
08/05/2013 5 ISACA Valencia - 2012 / 2013
![Page 6: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/6.jpg)
Riesgos reales
08/05/2013 6 ISACA Valencia - 2012 / 2013
![Page 7: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/7.jpg)
De ‘cloud’ a ‘fog’
Falta de claridad en el servicio
Falta de roles y responsabilidades
Desarrollar una gestión del riesgo apropiada
SLA’s y monitores de rendimiento
08/05/2013 7 ISACA Valencia - 2012 / 2013
![Page 8: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/8.jpg)
A tener en cuenta
El cloud se debe considerar como un ‘enabler’ estratégico.
Se debe diferenciar entre cloud y outsourcing.
Dirección debe ser consciente de los nuevos riesgos
introducidos por el cloud.
Estandarización de métricas
08/05/2013 8 ISACA Valencia - 2012 / 2013
![Page 9: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/9.jpg)
La empresa es responsable de:
– Definir apropiadamente los requisitos funcionales y de control.
– Uso adecuado de los servicios automatizados
TI es responsable de:
– Automatizar e implementar los requisitos de las funciones de
negocio y de control
– Establecer controles para mantener la integridad de controles de
aplicación.
08/05/2013 9 ISACA Valencia - 2012 / 2013
![Page 10: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/10.jpg)
1. Principios, Políticas y Marcos
2. Procesos 3. Estructuras Organizacionales
4. Cultura, Ética
y Comportamiento
5. Información
6. Servicios,
Infraestructura
y Aplicaciones
7. Personas,
Habilidades y
Competencias
RECURSOS
Enablers
08/05/2013 10 ISACA Valencia - 2012 / 2013
![Page 11: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/11.jpg)
Requisito: CISO
Si aún no forma parte de los procesos de gobierno o ciclo de vida del desarrollo
de sistemas del negocio, la transición a la computación en la nube
esencialmente requiere que se incluya un oficial o director de seguridad de la
información de la compañía en todos los nuevos procesos de gobierno y ciclo de
vida del desarrollo de sistemas.
08/05/2013 11 ISACA Valencia - 2012 / 2013
![Page 12: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/12.jpg)
GEIT: Business and Governance of Enterprise IT
Estableciendo los objetivos de negocio en un escenario
cloud:
– Identificar los objetivos de negocio más allá de las capacidades
actuales de IT.
– Definir las oportunidades que nos ofrece la nube.
– Cuantificar los beneficios previstos de tener las aplicaciones en
la nube.
– Identificar las regulaciones normativas que aplican.
08/05/2013 12 ISACA Valencia - 2012 / 2013
![Page 13: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/13.jpg)
Estableciendo los objetivos de negocio en un escenario
cloud:
– Verificar cuáles de los puntos anteriores son aplicables a los
stakeholders.
– Comparar los beneficios con los beneficios obtenidos
actualmente.
08/05/2013 13 ISACA Valencia - 2012 / 2013
GEIT: Business and Governance of Enterprise IT
![Page 14: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/14.jpg)
Cómo evolucionan nuestros controles
08/05/2013 14 ISACA Valencia - 2012 / 2013
![Page 15: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/15.jpg)
Cada vez mas dependencia de un tercero
Se requieren cambios para expandir los enfoques y las estructuras de gobierno a
fin de manejar apropiadamente las nuevas soluciones de TI y mejorar los
procesos de negocio.
08/05/2013 15 ISACA Valencia - 2012 / 2013
![Page 16: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/16.jpg)
Modelos de servicio
Infraestructura como Servicio (IaaS)
Plataforma como Servicio (PaaS)
Software como Servicio (SaaS)
08/05/2013 16 ISACA Valencia - 2012 / 2013
![Page 17: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/17.jpg)
Modelos de servicio
08/05/2013 17 ISACA Valencia - 2012 / 2013
![Page 18: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/18.jpg)
¿Qué podemos hacer?
Conocer a nuestro proveedor de cloud
Derecho de auditoria
Asegurar la continuidad
Política de Seguridad
Transparencia de procesos
Right to be forgotten
Creatividad!
08/05/2013 18 ISACA Valencia - 2012 / 2013
![Page 19: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/19.jpg)
Es un camino largo…
08/05/2013 19 ISACA Valencia - 2012 / 2013
![Page 20: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/20.jpg)
No podemos desfallecer
08/05/2013 20 ISACA Valencia - 2012 / 2013
![Page 21: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/21.jpg)
Nuevos riesgos y preocupaciones
El proveedor maneja
la información.
Recuperación de la
información.
Posible acceso de
terceros.
Equipos compartidos
en nubes públicas.
08/05/2013 21 ISACA Valencia - 2012 / 2013
![Page 22: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/22.jpg)
Desafíos para la seguridad de la información
Técnicamente, el cloud no es seguro por su naturaleza
misma, ya que enfrenta desafíos como el control del
acceso, la centralización de los datos y la seguridad de la
información.
08/05/2013 22 ISACA Valencia - 2012 / 2013
![Page 23: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/23.jpg)
Más requisitos
Cumplimiento de leyes,
regulaciones,
normativas, marcos…
Flujo de información
Certificación
08/05/2013 23 ISACA Valencia - 2012 / 2013
![Page 24: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/24.jpg)
¿Está listo el mercado?
Interoperabilidad entre proveedores
08/05/2013 24 ISACA Valencia - 2012 / 2013
![Page 25: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/25.jpg)
Controles IT para el cloud
08/05/2013 25 ISACA Valencia - 2012 / 2013
![Page 26: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/26.jpg)
Referencias
http://www.isaca.org/topic-cloud-computing
http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/Cloud-Computing-
Business-Benefits-With-Security-Governance-and-Assurance-
Perspective.aspx
http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/IT-Control-Objectives-
for-Cloud-Computing-Controls-and-Assurance-in-the-Cloud.aspx
https://cloudsecurityalliance.org
08/05/2013 26 ISACA Valencia - 2012 / 2013
![Page 27: Efectos del Cloud sobre el marco de controles TI...ISACA Valencia - 2012 / 2013 Fecha: 08 de mayo de 2013 EFECTOS DEL CLOUD SOBRE EL MARCO DE CONTROLES TI Carlos Sahuquillo Consultor](https://reader034.vdocuments.pub/reader034/viewer/2022042206/5ea831d7f5501e308b0e2499/html5/thumbnails/27.jpg)
08/05/2013 27 / TOTAL DIAPOS ISACA Valencia - 2012 / 2013
GRACIAS POR SU ATENCIÓN [email protected] @csahuqui on Twitter