El documento resume las iniciativas de la industria para proveer seguridad al Cloud Computing, incluyendo los esfuerzos de la Cloud Security Alliance para establecer mejores prácticas de seguridad, el Cloud Controls Matrix, la Trusted Cloud Initiative, y el trabajo del capítulo español de la CSA para estudiar el cumplimiento normativo en el Cloud en España.

1. Cloud Security Alliance:
Esfuerzos industriales para
proveer seguridad al Cloud
Dr. Jesús Luna
Investigador en Seguridad
VII Jornadas de Firma Electrónica
27-Oct-2010

2. Agenda
• ¿Qué es el Cloud Computing?
• Firma electrónica ¿as a Service?
• Principales problemas de seguridad en el Cloud.
• Iniciativas internacionales y nacionales.
• Conclusiones.

3. ¿Qué es el Cloud Computing?
• Representa un modelo donde de cómputo donde la asignación y
consumo de recursos es “bajo demanda”.
• Principales habilitadores:
– Ley de Moore: el muy bajo costo del cómputo y el almacenamiento.
– Hiperconectividad: robustos anchos de banda (heredados de la era
dotcom).
– Service Oriented Architecture (SOA)
– Escala: los grandes proveedores han creado capacidades masivas de
TIC.
• Representa un reto incluso para nuestras definiciones TIC:
¿qué son los datos?

4. No existe “UN” único Cloud

5. Firma Electrónica ¿as a Service?
• A pesar de las ventajas del Cloud, ¿podemos
plantearnos su utilización para un servicio de
firma electrónica?
• ¿Puede dicho servicio ser “compliant” con lo
establecido en la “Ley 59/2003, del 19 de
diciembre, de Firma Electrónica”?
• ¿El Cloud introduce nuevos problemas para el
despliegue de este tipo de servicios?

6. Principales problemas de seguridad
• CSA Top Threats Research:
– Confianza: falta de transparencia en los proveedores, impactos en
la ubicación de los datos, gestión del riesgo, compliance.
– Datos: filtración, pérdida o almacenamiento en geografías “poco
amigables”.
– Software de Cloud inseguro.
– Uso malicioso de servicios Cloud.
– “Secuestro” de cuentas de usuario y servicios Cloud.
– Atacantes internos.
– Ataques específicos al Cloud (p. ej. Hipervisores).

7. ¿Cómo proveer seguridad al Cloud?
• Debe ser una responsabilidad global y compartida para los sectores
públicos y privados.
• Concientización y educación especializada.
• Estandarización y mejores prácticas.
• Certificaciones de proveedores Cloud e individuos.
• Herramientas: gestión, monitorización, métricas.
• Ecosistema integrado: TIC, seguridad, legal, auditoria, negocio.
¿Qué iniciativas globales y nacionales existen
para garantizar la utilización segura del Cloud?

8. Cloud Security Alliance: guía de mejores prácticas
Guidance > 100k downloads: cloudsecurityalliance.org/guidance
Governance and Enterprise Risk Management
Legal and Electronic Discovery
Compliance and Audit
Information Lifecycle Management
Portability and Interoperability
Security, Bus. Cont,, and Disaster Recovery
Data Center Operations
Incident Response, Notification, Remediation
Application Security
Encryption and Key Management
Identity and Access Management
Virtualization
Cloud Architecture
OperatingintheCloud
GoverningtheCloud
• Mejores prácticas para
brindar seguridad al Cloud.
• 13 dominios de interés

9. CSA: Cloud controls matrix tool
• Controles de auditoría basado
en la Guía de la CSA.
• Aplicados a IaaS, PaaS y
SaaS.
• Roles de cliente y proveedor.
• Mapeos a ISO 27001, COBIT,
PCI, HIPAA
• Enlace entre TIC y auditores.
www.cloudsecurityalliance.org/cm.html

10. CSA: Trusted Cloud Initiative
• Identidades en el Cloud seguras e interoperables.
• SaaS y PaaS integrados de forma segura con directorios
corporativos.
• Federación de identidades escalable.
• Responsabilidades para proveedores de identidad.
• Integración con estándares existentes.
• Modelos de referencia y pruebas de concepto.
• Criterios y sello de certificación.
www.cloudsecurityalliance.org/trustedcloud.html

11. ENISA: Gobierno en el Cloud
Objetivo:
 Analizar y evaluar el impacto del Cloud en la seguridad de
servicios gubernamentales.
 Proveer recomendaciones y mejores prácticas para los Estados
Miembros de la UE con planes de migrar al Cloud.
El estudio se basa en los escenarios siguientes:
 Community Cloud para autoridades locales y regionales.
 eHealth cloud.
 Gov Cloud: Computing as a Service
 Cloud supra-nacional (?)

12. CSA-ES: compliance en el Cloud
• ¿Cómo comprobar que un proveedor de servicios de firma en el
Cloud cumple con lo establecido en la ley?
• Tal y como lo resalta ENISA, actualmente uno de los principales
obstáculos para la adopción del Cloud en los Paises Miembros
es el “security compliance”:
– Clasificación de datos y sistemas para entender requisitos de compliance.
– Transferencias de datos entre paises.
– Derecho a auditar bajo demanda a un proveedor Cloud.
– Etc.
• Con el propósito de estudiar la temática de “security compliance
para el Cloud” en España hemos creado el capítulo español de
la CSA (CSA-ES).

13. CSA-ES: Grupos de trabajo
• Aprox. 150 miembros trabajando de forma voluntaria (desde
Mayo-2010 a la fecha).
• Participación de Universidades, Gobierno, sector privado,
organizaciones relacionadas, etc.
• Grupos de trabajo:
1. Privacidad y cumplimiento normativo.
2. SGSI y gestión de riesgos.
3. Contratación, evidencias y auditoría.
• Siguiente evento: 26-Noviembre-2010 / Barcelona.
www.cloudsecurityalliance.es

14. Conclusiones
• Cloud: Great big reset button for security.
• Es nuestra oportunidad de mejorar la seguridad.
• Uno de los mayores “show stoppers” es la seguridad.
• Un proveedor de firma electrónica en el Cloud tiene los mismos
requisitos de security compliance.
• El problema es:
1. Entender lo que significa “security compliance en el Cloud”.
2. Realizar la I+D+i necesarias para obtener dicho compliance:
• Dispositivos de firma electrónica en el Cloud.
• Compliance con CWA14169 / CWA14355.
• Etc.
• Foros como la CSA-ES permiten la participación de todos los
implicados.

15. ¡Gracias!
Si requieren mayor información o desean participar:
www.cloudsecurityalliance.es
contacto@cloudsecurityalliance.es
LinkedIn: http://www.linkedin.com/groups?gid=3072937
LinkedIn: http://es.linkedin.com/in/jlunagar
Email: jluna@bdigital.org jluna@cloudsecurityalliance.es
Twitter: @jlunagar