INFORME DE PERCEPCIÓN DE
PROVEEDORES DE CLOUD
COMPUTING
Características Técnicas y de Seguridad
Índice
Objetivo y metodología ... 2
Resumen Ejecutivo ... 2
Resultados (Seguridad) ... 3
Nivel de Madurez (Seguridad) ... 7
Resultados (Técnica) ... 8
Nivel de Madurez (Técnica) ... 12
Acerca de Cloud Security Alliance (CSA) ... 13
Misión del Capítulo ... 13
Grupos de investigación ... 13
Objetivo y metodología
Resumen Ejecutivo
Para muchas organizaciones todavía no es un concepto claro y sus beneficios para la empresa pueden resultar confusos. Atendiendo a la definición dada por el NIST (National Institute of Standards and Technology), el cloud computing o computación en la nube es un modelo tecnológico que permite el acceso ubicuo, adaptado y bajo demanda en red a un conjunto compartido de recursos de computación configurables (por ej. redes, servidores, almacenamiento, aplicaciones y servicios), que pueden ser rápidamente aprovisionados y liberados con un esfuerzo de gestión reducido o interacción mínima con el proveedor del servicio. La tecnología que facilita el desarrollo de este nuevo escenario es la virtualización que permite desacoplar el hardware del software haciendo posible replicar el entorno del usuario sin tener que instalar y configurar todo el software que requiere cada aplicación. Con las máquinas virtuales se consigue distribuir las cargas de trabajo de un modo sencillo dando lugar a un nuevo paradigma, el cloud computing.
Para poder entender de una manera rápida y sencilla cuales son las claves del concepto del cloud computing, se recurre a una serie de características principales que lo diferencian de los sistemas tradicionales de TI:
Pago por uso. Permite la facturación basada en el consumo.
Abstracción. Permite aislar los recursos informáticos contratados al proveedor de los equipos informáticos de la
entidad.
Agilidad en la escalabilidad. Permite aumentar o disminuir de manera dinámica las funcionalidades ofrecidas en
función de las necesidades del propio cliente.
Multiusuario. Permite a todos los usuarios el consumo de un determinado servicio o recurso desde una misma
plataforma tecnológica, adaptándose a sus necesidades.
Autoservicio bajo demanda. Permite al usuario el acceso a las capacidades de computación en la nube de forma
automática sin tener que comunicarse con el proveedor.
Acceso sin restricciones. Hace posible el acceso de forma ubicua a los servicios contratados en cualquier
lugar/momento y con cualquier dispositivo con acceso a la Red.
Las soluciones de cloud computing disponibles en el mercado se clasifican atendiendo a tres dimensiones:
Familias (modelos de servicio): Infrastructure as a Service (IaaS), Software as a Service (SaaS), Platform as a Service (PaaS) y Business Process as a Service (BPaaS).
Formas de implementación (formas de integración y explotación): cloud público, cloud privado, cloud híbrido y cloud de comunidad.
Agentes intervinientes en el negocio: habilitador, proveedor, intermediario, suscriptor y auditor.
OBJETIVO DE LA ENCUESTA
Conocer la percepción de los usuarios y profesionales de IT / Seguridad con respecto a los proveedores de Cloud Computing, con el objetivo de evaluar las características de Seguridad y Técnicas Obtener una visión local con relación a los proveedores externos y locales de Cloud Computing.
METODOLOGIA DE LA ENCUESTA
Encuesta: a 200 profesionales/ usuarios de servicios de Cloud durante los eventos InfoSecurity y CIBER 2015 en Argentina
La encuesta tenía 4 tipos de respuesta:
*Si: Cuando el proveedor cumple con la característica consultada. *Probablemente Si: Cuando el participante no está seguro si el Proveedor cumple con la característica consultada en la pregunta
*Probablemente no: Cuando el participante no está seguro si el Proveedor cumple con la característica consultada en la pregunta.
Resultados (Seguridad)
La primera encuesta relacionada con las características de seguridad obtuvimos los siguientes resultados Característica 1: Manejo de los incidentes de seguridad
Característica 2: Recuperación ante incidentes de seguridad (Resiliencia)
Característica 3: Encriptación de datos y redes
0 20 40 60 80 100 120 140
¿Su Proveedor tiene definido procedimientos de comunicación con los usuarios en caso de algún
incidente?
¿Su Proveedor utiliza controles para mitigar las
técnicas de ataques ya conocidas (por ejemplo, DoS, escaneo de puertos,
etc.)?
¿El proveedor dispone de un canal de comunicación para que los usuarios
puedan reportar anomalías y/o incidentes
de seguridad?
¿Su Proveedor posee controles para prevenir o
minimizar el impacto de actividades maliciosas
(dentro y fuera de la empresa)?
¿Su Proveedor permite participar al prestador de servicios en la mitigación de incidentes de seguridad? Si P/Si P/No No 0 20 40 60 80 100 120 140
¿Su Proveedor cuenta con procedimientos de recuperación de las operaciones ante incidentes y/o desastres?
¿Su Proveedor tiene niveles de prioridad para la recuperación de datos
y/o servicios?
¿Su Proveedor tiene planes de Continuidad de
negocios?
¿Su Proveedor aplica conceptos como RTO (Recovery Time Objective)
y RPO (Recovery Point Objective) en las estrategias de protección
de los datos?
¿Su Proveedor posee procedimientos de análisis post incidentes de
seguridad (análisis forense)? Si P/Si P/No No 0 50 100 150 200
¿Su Proveedor encripta los datos y/o el tráfico de
datos?
¿Su Proveedor posee procedimientos para incidentes en los que se vean comprometidos las
llaves?
¿La renovación de llaves es efectiva simultáneamente en
diferentes sitios?
¿Su Proveedor informa cuál es la solución usada para encriptar los datos y
redes?
¿Su Proveedor posee controles de seguridad para encriptar los datos
y/o tráfico? Si P/Si P/No No
Característica 4: Prevención de incidentes de seguridad
Característica 5: Prueba de vulnerabilidades
Característica 6: Auditorías 0 20 40 60 80 100 120 140 160 180 200
¿Su Proveedor posee procedimientos para detectar, identificar, analizar y responder a los
posibles incidentes de seguridad?
¿Su Proveedor tiene buenas políticas de configuración de equipos
para prevenir ataques o incidentes de seguridad?
¿Su Proveedor tiene definidas las responsabilidades en su equipo para actuar ante
algún incidente?
¿Su Proveedor informa si ya probó anteriormente
los procedimientos de detección, identificación,
análisis y respuesta ante incidentes de seguridad?
¿Su Proveedor muestra información a los clientes de antiguos incidentes de seguridad? Si P/Si P/No No 0 20 40 60 80 100 120 140 160 180
¿Su Proveedor evalúa frecuentemente las posibles vulnerabilidades en los recursos ofrecidos?
¿Su Proveedor verifica que las nuevas versiones
de las soluciones ofrecidas no tienen
vulnerabilidades?
¿Su Proveedor permite al usuario realizar pruebas de vulnerabilidades en sus
recursos?
¿Su Proveedor muestra los resultados de las
evaluaciones de vulnerabilidades en sus
recursos?
¿Su Proveedor realiza los cambios necesarios para mitigar o eliminar las
vulnerabilidades detectadas en las evaluaciones? Si P/Si P/No No 0 20 40 60 80 100 120 140 160
¿Su Proveedor realiza auditorias periódicamente?
¿Su Proveedor informa al usuario si realiza auditorias para evaluar
sus recursos?
¿Su Proveedor muestra los resultados de las auditorías a los usuarios?
¿Su Proveedor realiza los cambios necesarios para mitigar o eliminar las fallas detectadas en las
auditorias?
¿Su Proveedor permite al usuario realizar auditorías
a sus recursos? Si P/Si P/No No
Característica 7: Seguridad mínima ofrecida
Característica 8: Definición de privilegios de los usuarios
Característica 9: Administración de accesos de los usuarios
0 20 40 60 80 100 120 140 160
¿Su Proveedor utiliza estándares de seguridad en los equipos de la red,
dispositivos, infraestructura de redes,
etc. (por ejemplo, ISO 27001)?
¿Usted sabe si los recursos utilizados por su
Proveedor tienen vulnerabilidades ya
conocidas?
¿Su Proveedor exige a los usuarios requerimientos
mínimos de seguridad (por ejemplo, antivirus actualizado, parches en sistemas operativos,
etc.)?
¿Su Proveedor posee procesos o procedimientos para la eliminación o destrucción
de datos?
¿Su Proveedor informa al usuario lo que sucede con los equipos retirados de la
red? Si P/Si P/No No 0 20 40 60 80 100 120 140 160 180
¿Los términos del contrato especifican las políticas de escalamiento
de privilegios de los usuarios?
¿Los niveles de privilegios están definidos por
acciones (lectura, escritura, eliminación)?
¿Su Proveedor ofrece administración, control y seguridad de los accesos de mayores privilegios?
¿Su Proveedor posee políticas de modificación de privilegios en caso de
emergencia?
¿Los términos del contrato especifican las políticas de eliminación de privilegios de los usuarios? Si P/Si P/No No 0 10 20 30 40 50 60 70 80 90 100
¿Su Proveedor informa de las políticas de autenticación y/o autorización de los usuarios en la red?
¿Su Proveedor posee políticas de control de
acceso remoto?
¿Su Proveedor considera las políticas de autorización y autenticación durante un
pedido de escalamiento no planeado?
¿Su Proveedor retira los privilegios otorgados a los
prestadores de servicio luego de finalizar el
trabajo realizado?
¿Su Proveedor revisa frecuentemente los accesos otorgados? Si P/Si P/No No
Característica 10: Compartimiento de recursos
Característica 11: Definición de roles y responsabilidades
Característica 12: Perfil del personal del proveedor
0 20 40 60 80 100 120 140 160
¿Su Proveedor informa de las políticas de autenticación y/o autorización para los usuarios que comparten
recursos?
¿Su Proveedor ofrece control de las actividades de los otros usuarios que comparten recursos con usted (si fuera el caso)?
¿Su Proveedor garantiza la protección de los recursos compartidos por
usuarios de acciones como escaneo de puertos
y vulnerabilidades realizadas por otros
usuarios?
¿Su Proveedor delimita el uso de los recursos entre
los usuarios?
¿Su Proveedor garantiza que los recursos de los
clientes estarán totalmente aislados de otros usuarios? Si P/Si P/No No 0 20 40 60 80 100 120 140 160
¿Los términos del contrato definen claramente los roles y responsabilidades de su Proveedor y del usuario?
¿Los términos del contrato definen la
participación de prestadores de servicios?
¿Su Proveedor detalla las obligaciones y acuerdos de confidencialidad de los
dados?
¿El contrato establece al usuario como propietario
de los datos?
¿El contrato establece penalidades para los participantes, en caso no se cumpla alguna cláusula? Si P/Si P/No No 0 20 40 60 80 100 120
¿Su Proveedor verifica la información del personal
al que contrata (identidad, referencias laborales, antecedentes
policiales, etc.)?
¿El personal de su Proveedor tiene los conocimientos mínimos
de seguridad?
¿El personal de su Proveedor firma algún
acuerdo de confidencialidad de la
información?
¿Su Proveedor revisa frecuentemente los accesos y/o privilegios otorgados al personal de
la empresa?
¿Su Proveedor garantiza que el acceso a los datos y
aplicaciones están restringidos al personal
de la empresa? Si P/Si P/No No
Nivel de Madurez (Seguridad)
Al ser una encuesta de percepción este grafico nos muestra el nivel de madurez que actualmente los encuestados perciben en relación a las características de seguridad de sus proveedores de Cloud Computing.
0 100 200 300 400 500 600 700 800
1: Manejo de los incidentes de seguridad
2: Recuperación ante incidentes de seguridad (Resiliencia)
3: Encriptación de datos y redes
4: Prevención de incidentes de seguridad
5: Prueba de vulnerabilidades
6: Auditorías 7: Seguridad mínima ofrecida
8: Definición de privilegios de los usuarios 9: Administración de accesos de los usuarios 10: Compartimiento de recursos 11: Definición de roles y responsabilidades
12: Perfil del personal del proveedor
Resultados (Técnica)
La segundad encuesta relacionada con las características de Técnicas obtuvimos los siguientes resultados Característica 1: Lock-In / Dependencia de los productos de un Proveedor específico
Característica 2: Aplicación de parches
Característica 3: Recursos ofrecidos
0 20 40 60 80 100 120 140 160
¿Su proveedor ofrece soluciones y/o tecnologías
propias, que son compatibles con otras tecnologías ya existentes
en el mercado?
¿Las soluciones y/o tecnologías usadas por su
Proveedor pueden ser utilizadas por otro
Proveedor?
¿Su Proveedor ofrece portabilidad de los datos y
servicios desarrollados con él?
¿La solución ofrecida por su Proveedor para clasificar los datos se adecúa a la que usted usualmente usa?
¿La solución y/o tecnología ofrecida por su
Proveedor tiene alguna restricción? Si P/Si P/No No 0 20 40 60 80 100 120 140 160 180 200
¿Su proveedor tiene políticas de aplicación de
parches al software y/o sistema operativo que
utiliza?
¿Su proveedor aplica estos parches sólo cuando
el grado de la vulnerabilidad es alto?
¿Su proveedor informa al usuario cuando va a aplicar un parche al software y/o sistema
operativo?
¿Su proveedor informa al usuario los riesgos de la
aplicación del parche?
¿Su proveedor cuenta con procedimientos de rollback en caso la aplicación del parche
tuviera problemas? Si P/Si P/No No 0 20 40 60 80 100 120 140 160 180
¿Su Proveedor ofrece información detallada del Hardware/Software/Sistema
operativo que utiliza?
¿Su Proveedor evalúa inicialmente la compatibilidad de los recursos ofrecidos con los
usuarios, para descartar problemas en la migración?
¿Su Proveedor evalúa los posibles riesgos a ocurrir antes de la implementación?
¿Su Proveedor ofrece capacitaciones técnicas de
los servicios y soluciones ofrecidas al usuario?
¿Su Proveedor usa la hora de un servidor NTP para grabar
los logs?
Característica 4: Desarrollo de soluciones
Característica 5: Migración de datos, procesos y/o servicios
Característica 6: Logs operacionales
0 20 40 60 80 100 120 140 160 180
¿La solución ofrecida por su Proveedor le permite realizar los cambios que requiere para adecuarse a
las políticas de su organización?
¿Su Proveedor ofrece APIs estandarizadas para el
desarrollo de sus soluciones?
¿Su Proveedor evalúa las aplicaciones desarrolladas
por el usuario antes de pasarlas a producción, a fin de verificar si generan
riesgos para los otros usuarios?
¿Es posible que un usuario evalúe las nuevas
versiones de los aplicativos ofrecidos por
el proveedor antes de ponerlas en producción?
¿Su Proveedor utiliza controles o estándares
(por ejemplo OWASP, Sans Checklist, etc.) para proteger la integridad de los datos? Si P/Si P/No No 0 20 40 60 80 100 120 140 160
¿Su Proveedor ofrece APIs para la migración inicial
de sus datos (para un nuevo usuario, desde otro
Proveedor Cloud Computing y/o para mudar a otro Proveedor
Cloud Computing)? ¿Existen APIs y procedimientos documentados para exportar datos en la nube?
En caso no ofrezca estos APIs, los términos del contrato indican si su Proveedor ofrece ayuda técnica para la migración
de los datos?
¿Su Proveedor tiene planes o procedimientos
de migración de datos establecidos?
¿Sabe si el formato usado por sus datos puede ser usado para migrar hacia
otros proveedores? Si P/Si P/No No 0 20 40 60 80 100 120 140 160
¿Su Proveedor ofrece almacenamiento de logs
(operacionales y de seguridad) requeridos por
el usuario?
¿Su Proveedor informa el periodo de tiempo que los
logs son almacenados?
¿Usted sabe donde son almacenados físicamente
los logs?
¿Su Proveedor posee métodos para revisar y proteger la integridad de
los logs?
¿Su Proveedor tiene procedimientos efectivos de recuperación de logs? Si P/Si P/No No
Característica 7: Actualización de versiones
Característica 8: Procesamiento de la información
Característica 9: Almacenamiento de datos
0 20 40 60 80 100 120 140 160 180
¿Su Proveedor informa al usuario de los procedimientos de aplicación de actualización de versiones al software o sistema operativo usado?
¿Su Proveedor informa al usuario cuando va a aplicar una actualización
de versión al software o sistema operativo?
¿Su Proveedor informa al usuario de los riesgos de
la aplicación de la actualización?
¿Su Proveedor cuenta con procedimientos de
rollback en caso la actualización no fuera
exitosa?
¿Su Proveedor se hace responsable si la actualización genera problemas en los usuarios? Si P/Si P/No No 0 10 20 30 40 50 60 70 80 90 100
¿Su Proveedor ofrece prioridades para el
proceso de sus requerimientos?
¿En el caso de recarga en el procesamiento de la información, su Proveedor ofrece prioridades para el proceso de algunas transacciones?
¿En caso de fallas en el procesamiento de la
información, su Proveedor ofrece prioridades para atender
sus requerimientos?
¿Existe un tiempo de espera mínimo para el
atendimiento de sus requerimientos?
¿Su Proveedor ofrece medidas técnicas y organizativas que garantían el correcto funcionamiento del proceso de la información? Si P/Si P/No No 0 20 40 60 80 100 120 140 160
¿Su Proveedor ofrece una gran capacidad de almacenamiento de datos, comparado con otros proveedores del
mercado?
¿Su Proveedor ofrece el servicio de copias de respaldo (backup) de la
información?
¿Su Proveedor ofrece métodos que garanticen la destrucción de medios magnéticos o eliminación de datos, si lo requiere el
usuario?
¿Su Proveedor informa cómo van a ser recolectados, procesados y transmitidos los datos a
los usuarios?
¿Su Proveedor asume responsabilidad alguna si
los datos no están disponibles cuando el
usuario lo requiere? Si P/Si P/No No
Característica 10: Escalamiento de recursos
Característica 11: Tercerización de servicios
0 20 40 60 80 100 120 ¿El escalamiento de recursos ofrecido por su Proveedor es inmediato?
¿El escalamiento de recursos es flexible a los
requerimientos de los usuarios?
¿Su Proveedor informa al usuario de las restricciones aplicadas
para el escalamiento?
¿Su Proveedor posee procedimientos para escalamiento de recursos
no planeados con anticipación?
¿Su Proveedor hace efectivas las políticas de
autorización y autenticación durante un pedido de escalamiento de recursos no planificado? Si P/Si P/No No 0 20 40 60 80 100 120 140 160
¿Su Proveedor tiene servicios administrados
por un prestador de servicios?
De ser el caso, ¿su Proveedor informa al
cliente cuales de sus servicios son administrados por el prestador de servicios?
¿Su Proveedor tiene definidas claramente las actividades que irán a ser
ejecutadas por los prestadores?
¿Su Proveedor tiene definidos los accesos (físicos y lógicos) que serán otorgados a los
prestadores?
¿El usuario puede auditar las actividades de los
prestadores? Si P/Si P/No No
Característica 12: Costos
Nivel de Madurez (Técnica)
Al ser una encuesta de percepción este grafico nos muestra el nivel de madurez que actualmente los encuestados perciben en relación a las características técnicas de sus proveedores de Cloud Computing.
0 20 40 60 80 100 120
¿El contrato establece claramente los precios a pagar al Proveedor por los
servicios/productos adquiridos?
¿El contrato establece algún pago adicional por
la variación de los servicios/productos adquiridos por parte del
Proveedor?
¿El contrato establece algún pago por concepto de licencia de uso de los servicios de los productos
del Proveedor?
¿Su Proveedor estructura los costos de los productos basados en los
tipos de servicios ofrecidos (por ejemplo, en
el caso de almacenamiento de datos, establece un límite
de capacidad de almacenamiento)?
¿Su Proveedor ofrece protección de los precios
(Price Protection)? Si P/Si P/No No 0 100 200 300 400 500 600
1: Lock-In / Dependencia de los productos de un Proveedor
específico
2: Aplicación de parches
3: Recursos ofrecidos
4: Desarrollo de soluciones
5: Migración de datos, procesos y/o servicios 6: Logs operacionales 7: Actualización de versiones 8: Procesamiento de la información 9: Almacenamiento de datos 10: Escalamiento de recursos 11: Tercerización de servicios 12: Costos Si P/Si P/No No
Acerca de Cloud Security Alliance (CSA)
El Cloud Security Alliance es una entidad sin fines de lucro creada para fomentar el uso de las buenas prácticas, reforzar garantías de seguridad, y ofrecer formación en todo lo concerniente a cloud computing. El Cloud Security Alliance está compuesto por expertos de diferentes disciplinas, unidos para promover un nivel común de entendimiento entre los consumidores y proveedores informáticos en relación a los requisitos de seguridad necesarios y al certificado de garantía; impulsar la investigación independiente enfocada a encontrar mejores prácticas para la seguridad informática; lanzar campañas de sensibilización y programas educativos sobre el uso de la red y soluciones seguras; y crear listas de consenso en cuestiones de orientación y garantía de seguridad.
Misión del Capítulo
Promover el uso de buenas prácticas, a fin de ofrecer confianza dentro del ámbito de Cómputo en la Nube y proveer educación sobre los usos de Cómputo en la Nube, ayudando a asegurar todas las otras formas de cómputo.
