Descargado 12 veces
![www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance
¿Qué es el Cloud Computing? (Cont.)
Modelo de Cómputo en la Nube (Cloud Computing) definido por el NIST SP800-145 [1]
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf](https://image.slidesharecdn.com/csa-seminariodeciberdefensaunasur-140520102809-phpapp01/75/CSA-Seminario-Ciberdefensa-UNASUR-6-2048.jpg)
![www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance
Nube Gubernamental
• Nube Privada adaptada a las necesidades del ámbito
público (eGovernment).
Al menos en un principio, no enviar datos sensibles [2]
Existen requerimientos específicos para el sector público [3]
• Permite simplificar la interacción del ciudadano:
Reduciendo el tiempo de procesamiento de la información.
Disminuyendo los costos de los servicios gubernamentales.
Mejorando la seguridad de sus datos.](https://image.slidesharecdn.com/csa-seminariodeciberdefensaunasur-140520102809-phpapp01/75/CSA-Seminario-Ciberdefensa-UNASUR-8-2048.jpg)
![www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance
Nube Gubernamental (Cont.)
Nube Gubernamental [4][5][6]](https://image.slidesharecdn.com/csa-seminariodeciberdefensaunasur-140520102809-phpapp01/75/CSA-Seminario-Ciberdefensa-UNASUR-11-2048.jpg)
![www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance
Desafíos (Cont.)
• Los principales desafíos son:
Aspectos de Privacidad [7][8]
Aspectos de seguridad entre usuarios
Aspectos regulatorios y de cumplimiento
Selección del modelo y los proveedores [9]
• Para el caso de Organismos de Defensa
Seguridad](https://image.slidesharecdn.com/csa-seminariodeciberdefensaunasur-140520102809-phpapp01/75/CSA-Seminario-Ciberdefensa-UNASUR-15-2048.jpg)
![www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance
Recomendaciones
• Recomendaciones de implementación en el ámbito público [4]
Desarrollar una estrategia local y regional.
Fomentar la definición de un marco regulatorio común.
Desarrollar un marco común de SLAs.
Apoyar investigaciones y estudios académicos.
Desarrollar disposiciones integrales para proteger la Privacidad de
los ciudadanos (Leyes de Protección de Datos Personales) [7][8]
Utilizar estándares y mejores prácticas (CSA, ENISA, etc) [6][10][11]
En etapas iniciales no llevar datos sensibles [2]](https://image.slidesharecdn.com/csa-seminariodeciberdefensaunasur-140520102809-phpapp01/75/CSA-Seminario-Ciberdefensa-UNASUR-17-2048.jpg)
![www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance
Referencias
[1] NIST SP800-145: The NIST Definition of Cloud Computing.
Disponible en: http://goo.gl/EAO7so
[2] Governmental Cloud in the EU - New Agency Report [EN].
Disponible en: http://goo.gl/yc9pK5
[3] Government Clouds: Specific public sector requirem. (Danish
National IT Agency) [EN]. Disponible en: http://goo.gl/z3ty7r
[4] Exploring the Cloud: A global study of Governments Adoption of
Cloud [EN]. Disponible en: http://goo.gl/Me0l1l
[5] Benefits of Cloud Computing [EN]. Disponible en:
http://cloud.cio.gov/topics/benefits-cloud-computing
[6] Good Practices Guide for Secure deploying Governmental Clouds
[EN]. Disponible en: http://goo.gl/CFqVfZ](https://image.slidesharecdn.com/csa-seminariodeciberdefensaunasur-140520102809-phpapp01/75/CSA-Seminario-Ciberdefensa-UNASUR-27-2048.jpg)
![www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance
Referencias (Cont.)
[7] NIST SP800-144: Guidelines on Security and Privacy in Public
Cloud Computing [EN]. Disponible en: http://goo.gl/kxt8VP
[8] CSA Modelo Acuerdo de Nivel de Privacidad (PLA) para la
contratación de servicios en la Nube [ES]. Disponible en:
http://goo.gl/fqOq6z
[9] CSA Cloud Control Matrix [ES]. Disponible en: http://goo.gl/lDsXF3
[10] NIST SP800-146: Cloud Computing Synopsis and
Recommendations [EN]. Disponible en: http://goo.gl/CDJ0hz
[11] ENISA Cloud Computing Risk Assessment [ES]. Disponible en:
http://goo.gl/ThpmVd](https://image.slidesharecdn.com/csa-seminariodeciberdefensaunasur-140520102809-phpapp01/75/CSA-Seminario-Ciberdefensa-UNASUR-28-2048.jpg)
Subido porcloudsa_arg
[CSA] Seminario #Ciberdefensa #UNASUR
El documento presenta un seminario sobre ciberdefensa y cómputo en la nube, abordando la definición de servicios en la nube y su aplicación en el sector gubernamental. Se identifican desafíos como la privacidad y la seguridad, y se ofrecen recomendaciones para la implementación de estas tecnologías en el ámbito público. Además, se discuten nuevas problemáticas en la informática forense relacionadas con la recolección de evidencia en entornos de nube.
![[CSA] Conclusiones Desayuno Ejecutivo](https://cdn.slidesharecdn.com/ss_thumbnails/csaconclusionesdesayunoejecutivov1-2-121210142656-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
![[CSA] Introducción a la Seguridad en Cloud Computing](https://cdn.slidesharecdn.com/ss_thumbnails/csacalpv1-121212201720-phpapp01-thumbnail.jpg?width=640&height=640&fit=bounds)
![[CSA] Recomendaciones de Seguridad en Cloud Computing para Empresas](https://cdn.slidesharecdn.com/ss_thumbnails/csarecomendacionescloudcomputingempresascsav3-121010142820-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
![[CSA] Recomendaciones de Seguridad en Cloud Computing para Usuarios](https://cdn.slidesharecdn.com/ss_thumbnails/csarecomendacionescloudcomputingusuarioscsav3-121010142818-phpapp01-thumbnail.jpg?width=640&height=640&fit=bounds)
![[CSA] Introducción a la Seguridad en Cloud Computing](https://cdn.slidesharecdn.com/ss_thumbnails/csacalpv1-121212201720-phpapp01-150815014814-lva1-app6892-thumbnail.jpg?width=640&height=640&fit=bounds)
[CSA] Seminario #Ciberdefensa #UNASUR
- 1. Lic. Héctor Jara Ing.Gustavo Presman Mayo, 2014 Seminario Regional de Ciberdefensa Ecosistemas de Cómputo en la Nube
- 2. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Agenda • Acerca CSA • ¿Qué es el cómputo en la nube? • Nube Gubernamental • Desafíos • Recomendaciones • Cloud Computing Forensics • Canales de contacto y Preguntas
- 3. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Acerca de CSA “Promover las mejores prácticas a fin de ofrecer confianza dentro del ámbito del Cómputo en la Nube, educando a la comunidad sobre sus usos y colaborando en asegurar todas las otras formas de computo.” ¿Qué es la Cloud Security Alliance (CSA)?
- 4. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Acerca de CSA https://cloudsecurityalliance.org/membership/corporate-members/
- 5. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance ¿Qué es el Cloud Computing?
- 6. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance ¿Qué es el Cloud Computing? (Cont.) Modelo de Cómputo en la Nube (Cloud Computing) definido por el NIST SP800-145 [1] http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
- 7.
- 8. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Nube Gubernamental • Nube Privada adaptada a las necesidades del ámbito público (eGovernment). Al menos en un principio, no enviar datos sensibles [2] Existen requerimientos específicos para el sector público [3] • Permite simplificar la interacción del ciudadano: Reduciendo el tiempo de procesamiento de la información. Disminuyendo los costos de los servicios gubernamentales. Mejorando la seguridad de sus datos.
- 9. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Nube Gubernamental (Cont.)
- 10. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Nube Gubernamental (Cont.) CPD Ministerio de Defensa CPD Ministerio de Salud CPD Ministerio de Educación Un CPD por cada organismo • Recursos desaprovechados. • Equipos de IT heterogéneos. • Medidas de seguridad descentralizadas. • Mayor costo y complejidad CPD Ministerio de Economía
- 11. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Nube Gubernamental (Cont.) Nube Gubernamental [4][5][6]
- 12. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Nube Gubernamental (Cont.)
- 13. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Nube Gubernamental (Cont.)
- 14. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Desafíos
- 15. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Desafíos (Cont.) • Los principales desafíos son: Aspectos de Privacidad [7][8] Aspectos de seguridad entre usuarios Aspectos regulatorios y de cumplimiento Selección del modelo y los proveedores [9] • Para el caso de Organismos de Defensa Seguridad
- 16. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Desafíos (Cont.)
- 17. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Recomendaciones • Recomendaciones de implementación en el ámbito público [4] Desarrollar una estrategia local y regional. Fomentar la definición de un marco regulatorio común. Desarrollar un marco común de SLAs. Apoyar investigaciones y estudios académicos. Desarrollar disposiciones integrales para proteger la Privacidad de los ciudadanos (Leyes de Protección de Datos Personales) [7][8] Utilizar estándares y mejores prácticas (CSA, ENISA, etc) [6][10][11] En etapas iniciales no llevar datos sensibles [2]
- 18.
- 19. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Nuevos desafíos en la informática forense
- 20. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Problemática actual: Ubicuidad de la prueba MEDIO RESULTADO ACCION ¿Dónde recolecto la prueba?
- 21. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Incidentes y delitos informáticos en la Nube La nube como: Sujeto del delito: Robo de identidad en el acceso a la nube. Objeto del delito: Acceso no autorizado o daño Informático a la nube, DDOS. Herramienta delictiva: almacenamiento estático o distribución de material ilegal (PI).
- 22. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Análisis forense informático tradicional Adquisición y preservación (estática) Recolección efectiva Resguardo: La copia bit a bit 5b748e186f622c1bdd6ea9843d1609c1 HASHES USUALES MD5 (128 bits) SHA-1(160 bits) SHA-256 (256 bits)
- 23. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Análisis forense informático tradicional Adquisición y preservación (dinámica) Memoria RAM Celulares Network Forensics Autenticación por hashes no reproducible (foto)
- 24. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Análisis forense informático en la Nube Características Tercerización CSPn Múltiples Tenedores de servicios dependientes Múltiples Jurisdicciones Seguridad/Resguardo---SLA Recolección de Evidencia en la nube Formatos de datos diferentes Zonas de Tiempo diferentes
- 25. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Desafíos de prueba en la Nube No disponemos de los datos No tenemos acceso a la infraestructura física Son sistemas distribuídos y virtuales Tienen espacio de almacenamiento distribuído en ubicaciones cambiantes Pueden compartir espacio físico entre usuarios Frecuentemente transnacionales Con poca o nula colaboración del CSP
- 26. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Obtención de evidencia digital en la Nube La misma puede ser recolectada voluntariamente por la parte* u ordenada por las autoridades legales * Siempre que tenga validez legal y técnica RECOLECCION DE EVIDENCIA EN LA NUBE Por vía indirecta: A través de artefactos locales en almacenamiento masivo o memoria RAM y en Tráfico de red. Por vía directa: Con acceso de “bajo nivel” a la nube.
- 27. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Referencias [1] NIST SP800-145: The NIST Definition of Cloud Computing. Disponible en: http://goo.gl/EAO7so [2] Governmental Cloud in the EU - New Agency Report [EN]. Disponible en: http://goo.gl/yc9pK5 [3] Government Clouds: Specific public sector requirem. (Danish National IT Agency) [EN]. Disponible en: http://goo.gl/z3ty7r [4] Exploring the Cloud: A global study of Governments Adoption of Cloud [EN]. Disponible en: http://goo.gl/Me0l1l [5] Benefits of Cloud Computing [EN]. Disponible en: http://cloud.cio.gov/topics/benefits-cloud-computing [6] Good Practices Guide for Secure deploying Governmental Clouds [EN]. Disponible en: http://goo.gl/CFqVfZ
- 28. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Referencias (Cont.) [7] NIST SP800-144: Guidelines on Security and Privacy in Public Cloud Computing [EN]. Disponible en: http://goo.gl/kxt8VP [8] CSA Modelo Acuerdo de Nivel de Privacidad (PLA) para la contratación de servicios en la Nube [ES]. Disponible en: http://goo.gl/fqOq6z [9] CSA Cloud Control Matrix [ES]. Disponible en: http://goo.gl/lDsXF3 [10] NIST SP800-146: Cloud Computing Synopsis and Recommendations [EN]. Disponible en: http://goo.gl/CDJ0hz [11] ENISA Cloud Computing Risk Assessment [ES]. Disponible en: http://goo.gl/ThpmVd
- 29. www.cloudsecurityalliance.orgCopyright © 2014Cloud Security Alliance Preguntas y Canales de Contacto • ¡Ayúdenos a trabajar por la Seguridad en la Nube! • CSA Argentina • www: https://chapters.cloudsecurityalliance.org/argentina/ • mail: [email protected] • LinkedIn: http://www.linkedin.com/groups?home=&gid=3350613 • twitter: @cloudsa_arg • facebook: CSA.Argentina (página)
- 30.