![](\"https:\/\/1.bp.blogspot.com\/_l_7jiNxwrPk\/S9gc5w6LnaI\/AAAAAAAAAyY\/6of9SZWadfg\/s1600\/Qui%C3%A9n+es+responsable.png\")
<\/a><\/div>\nAs\u00ed que tenemos cuatro tipos de actores<\/p>\n
- \n
- El responsable de seguridad: <\/b>Es quien se encarga de que tengamos una pol\u00edtica de seguridad definida con sus riesgos, controles, e inventario de los diferentes datos a proteger. Sin alguien que se encargue de analizar los riesgos de los diferentes datos almacenados por la compa\u00f1\u00eda, conseguir la aprobaci\u00f3n por las altas instancias (sean lo que sean) de que riesgos se aceptan o asumen y cuales debemos mitigar y por \u00faltimo hacer el seguimiento adecuado de que todo est\u00e1 en orden y no han crecido setas, se han disparado costes o afectamos en demas\u00eda al negocio. Este\/a se\u00f1or\/a no tiene ni porque tocar un Firewall o un Antivirus, pero debe saber que son y para que sirven.<\/li>\n
- El propietario de los datos: <\/b>Este es quien conoce el dato y su funci\u00f3n y sensibilidad en la empresa y por tanto es quien tiene que decir qu\u00e9 nivel de servicio y garant\u00edas requiere cada tipo de datos y cu\u00e1l podr\u00eda ser la afectaci\u00f3n al negocio en caso de perdida (ya sea picar de nuevo todo el archivo en papel o cerrar y a otra cosa). Si existe alguna legislaci\u00f3n al respecto tambi\u00e9n deber\u00eda estar al tanto. Aqu\u00ed podr\u00edamos tener el departamento de Recursos Humanos con los datos relativos a las n\u00f3minas, formaci\u00f3n o cualquier cosa que lleven.<\/li>\n
- El custodio de los datos<\/b>: Este\/a buen\/a se\u00f1or\/a es quien se encarga de aplicar la pol\u00edtica de seguridad en los datos. Ya puede ir desde hacer backup de ellos, a llevar el sistema de gesti\u00f3n de identidades o que las transacciones econ\u00f3micas se hagan cifradas mediante el algoritmo X. Aqu\u00ed tendr\u00edamos gente de IT<\/li>\n
- El usuario de los datos<\/b>: Pues las buenas personas\/equipos que utilizan los datos para su trabajo diario. La persona del call-center que te llama para ofrecerte una super ADSL, el robot de la planta de montaje para saber que despu\u00e9s del tornillo A453j toca el A235t o el acceso contra el API de Facebook para conocer tus amigos. Lo que vulgarmente llamar\u00edamos cliente de los datos<\/li>\n<\/ul>\n
Y luego que quiero decir con datos \u00abseguros\u00bb, pues que dispongan de garant\u00edas para:<\/div>\n\n- \n
- La disponibilidad<\/b>: Los datos deben estar disponibles cuando y donde se necesiten para el negocio<\/li>\n
- La confidencialidad<\/b>: Los datos s\u00f3lo deben ser accesibles para quien tenga acceso autorizado<\/li>\n
- La integridad: <\/b>Debemos poder asegurar que los datos no se han modificado de forma no autorizada (una corrupci\u00f3n de los mismo, tambi\u00e9n lo vulnera)<\/li>\n
- No-Repudio:<\/b> Muy simple,pero delante de cualquier dato (modificado o no) debe existir un ente que se haga responsable de ello y no pueda \u00abescurrir el bulto\u00bb<\/li>\n<\/ul>\n
Por tanto al Responsable de Seguridad<\/b> le toca definir unas pol\u00edticas de seguridad para los datos seg\u00fan lo que le diga el Propietario de los datos<\/b> controlando los riesgos de forma que tengan sentido para el negocio (nadie quiere perder nada,pero hay veces que debemos asumir una posibilidad de perdida del x% para mantener el negocio activo, el tema es proteger por menos coste del que implicar\u00eda recuperar los datos y su afectaci\u00f3n al negocio).<\/div>\n<\/div>\nVamos a ver que consideraciones se har\u00e1 el CISO en cada uno de los tipos de Cloud<\/div>\n
<\/b><\/div>\nSaaS<\/b><\/div>\nAqu\u00ed delegamos completamente el control al proveedor, as\u00ed que si lleva una gesti\u00f3n de identidades conforme a la pol\u00edtica (para depende de qu\u00e9, un password sobra, para otras cosas tocar\u00e1 exigir soluciones en tokens o certificados), si el nivel de servicio ofrecido por el proveedor cuadra con las pol\u00edticas y ya que seguimos siendo los responsables de esos datos (los clientes te los ceden a ti), mejor guardarnos las espaldas y poder exigir al proveedor que nos deje realizar auditorias y\/o acceso a auditorias de terceras partes que sean de nuestra confianza.<\/div>\nSi tenemos todo esto controlado, solo nos queda el riesgo de que tengan un bug en el c\u00f3digo y mis datos se \u00abescapen\u00bb, aqu\u00ed podemos pedir indemnidad, aceptar el riesgo tal cual o cualquier soluci\u00f3n que nos satisfaga. <\/div>\nYa que aqu\u00ed estamos al m\u00e1ximo nivel de abstracci\u00f3n no podremos entrar en el c\u00f3mo <\/b>se hacen las cosas, pero si en el qu\u00e9<\/b> exigimos para nuestros datos.<\/div>\n<\/div>\nPaaS<\/b><\/div>\nEl proveedor en estos casos nos proporciona la infraestructura de servidores de aplicaci\u00f3n y todos los middleware necesarios para que podamos desplegar nuestro c\u00f3digo, as\u00ed que aqu\u00ed nos \u00abcomemos\u00bb los bugs del c\u00f3digo y los debemos tratar como riesgos internos (o pedir indemnidad al proveedor de la aplicaci\u00f3n…)<\/div>\nUna vez asumido que el c\u00f3digo tiene un riesgo de errores que provoquen perdidas en los datos asumible, toca asegurar que la parte del proveedor no nos introduce riesgos no controlados.<\/div>\nNormalmente un PaaS se divide entre servidores de aplicaci\u00f3n y almacenamiento, as\u00ed que vayamos por partes.<\/div>\n\n- \n
- Servidores de aplicaciones:<\/b> Debemos poder acceder a nuestra aplicaci\u00f3n mediante la seguridad que requiramos (si no nos permiten SSL, est\u00e1 complicado…), debemos controlar que hacemos con los ficheros temporales (nunca dejar copias de datos sensibles en sitios donde no se esperan…), si son muy sensibles, gu\u00e1rdalos cifrados, y si permitimos que el proveedor pueda hacer volcados de memoria, controlar que se har\u00e1 con aquello. Si no confiamos en el equipo del proveedor, mejor buscarnos otro, si confiamos, solo tenemos que tener en cuenta el riesgo que alguna manzana podrida pueda entrar, al igual que lo tendr\u00edamos que tener en cuenta en In-house<\/li>\n
- Almacenamiento: <\/b>Otra vez la confianza, si quieres reducir el riesgo hasta niveles aceptables, cifra todo lo que guardes (en fichero o DB), as\u00ed en caso de que se pierda el HW no tiene porque perderse los datos. Por lo que respecta a la disponibilidad de los mismos, aseg\u00farate que se realizan backups y saben restaurarlos (pide cada X tiempo un restore) en el fondo es una auditoria por tu parte<\/li>\n<\/ul>\n
Y como es l\u00f3gico, SLA que cumpla tus necesidades y que sea cre\u00edble, y para evitar problemas futuros, aseg\u00farate poder auditar el entorno que afecta a tu servicio cuando quieras. El papel lo aguanta todo, as\u00ed que si detectas algo que no cuadra te tocar\u00e1 incrementar el riesgo y buscar formas de mitigarlo que sean aceptables para el negocio<\/div>\n<\/div>\nIaaS<\/b><\/div>\nAqu\u00ed el proveedor solo nos da servidores (f\u00edsicos o virtuales) y almacenamiento tonto (ficheros o bloques), en un entorno m\u00e1s o menos compartido. Ya que puede ser que la m\u00e1quina que tengamos al lado sea de otra compa\u00f1\u00eda, mejor asegurar que todas las comunicaciones privilegiadas se realizan entre m\u00e1quinas que se conocen, esto lo podemos hacer mediante herramientas del proveedor, pero si el riesgo es demasiado, podemos utilizar IPSec con una buena PKI y solo se puedan hablar m\u00e1quinas con certificados adecuados, los nuestros.<\/div>\nEs muy t\u00edpico que las m\u00e1quinas se desplieguen sobre hosts y si pasa algo se redesplieguen sobre otro dejando sus datos en esos discos, aqu\u00ed tambi\u00e9n te prometen que se usan herramientas para limpiar los datos, pero si no quieres que alguien venda por eBay los datos de tus clientes, \u00a1cifra!, los temporales, los ficheros, las base de datos, todo lo que sea sensible.<\/div>\nQue est\u00e9n en el Cloud y replicados no implica que no se pueda perder el acceso moment\u00e1neamente (horas o d\u00edas), as\u00ed que si esto te puede afectar al negocio, busca soluciones dentro el mismo proveedor o con otros, si son otros pierdes dinero (volumen de compra, complejidad de gesti\u00f3n, implantaci\u00f3n, etc.) pero reduces el riesgo de errores repetidos en todos los nodos, toca evaluar riesgos \ud83d\ude42<\/div>\nY por \u00faltimo el SLA, qu\u00e9 te ofrece este proveedor y c\u00f3mo lo hago para llegar al nivel del servicio que espera el negocio (que vendr\u00e1 del an\u00e1lisis de riesgos)<\/div>\n<\/div>\nConclusi\u00f3n<\/b><\/div>\nTal y como lo veo, no existe ning\u00fan motivo para considerar el Cloud seguro o inseguro (almenos no m\u00e1s seguro o inseguro que un In-house o un Housing) y todo pasa por analizar claramente las necesidades del negocio, cruzarlo con la oferta de servicios del proveedor Cloud, hacer un an\u00e1lisis de riesgos y confrontarlo con la pol\u00edtica (que se podr\u00eda cambiar si es justificado) y proponer las soluciones para que el riesgo se haga aceptable. Nunca llegaremos a un riesgo 0 en nada, b\u00e1sicamente porque hay el factor humano en todo ello, as\u00ed que si tu negocio se puede aprovechar del Cloud, no lo pares porque si, analiza y p\u00e1ralo con fundamento o impl\u00e1ntalo con garant\u00edas<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"Ya se que el titulo parece prepotente, pero creo que es el que m\u00e1s se ajusta al contenido. Vamos a ello.Ante todo toca montar una base para sentar un lenguaje com\u00fan. As\u00ed que tenemos cuatro tipos de actores El responsable de seguridad: Es quien se encarga de que tengamos una pol\u00edtica de seguridad definida con[…]<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[12,26,27,28,29,30],"tags":[],"_links":{"self":[{"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/posts\/190"}],"collection":[{"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/comments?post=190"}],"version-history":[{"count":1,"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/posts\/190\/revisions"}],"predecessor-version":[{"id":198,"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/posts\/190\/revisions\/198"}],"wp:attachment":[{"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/media?parent=190"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/categories?post=190"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.xpnti.net\/es\/wp-json\/wp\/v2\/tags?post=190"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Almacenamiento: <\/b>Otra vez la confianza, si quieres reducir el riesgo hasta niveles aceptables, cifra todo lo que guardes (en fichero o DB), as\u00ed en caso de que se pierda el HW no tiene porque perderse los datos. Por lo que respecta a la disponibilidad de los mismos, aseg\u00farate que se realizan backups y saben restaurarlos (pide cada X tiempo un restore) en el fondo es una auditoria por tu parte<\/li>\n<\/ul>\n
- La confidencialidad<\/b>: Los datos s\u00f3lo deben ser accesibles para quien tenga acceso autorizado<\/li>\n
- El propietario de los datos: <\/b>Este es quien conoce el dato y su funci\u00f3n y sensibilidad en la empresa y por tanto es quien tiene que decir qu\u00e9 nivel de servicio y garant\u00edas requiere cada tipo de datos y cu\u00e1l podr\u00eda ser la afectaci\u00f3n al negocio en caso de perdida (ya sea picar de nuevo todo el archivo en papel o cerrar y a otra cosa). Si existe alguna legislaci\u00f3n al respecto tambi\u00e9n deber\u00eda estar al tanto. Aqu\u00ed podr\u00edamos tener el departamento de Recursos Humanos con los datos relativos a las n\u00f3minas, formaci\u00f3n o cualquier cosa que lleven.<\/li>\n