loud ecurity
ervices
Índice Introducción Visión Cloud Security Services Metodología Nuestro equipo Antecedentes
Cloud Security Services
Necesidades
Introducción
Cloud Security Services
+ Confianza
Necesidades
Introducción
Cloud Security Services Introducción
La transición al modelo de servicios en la nube ofrece grandes oportunidades para las organizaciones. Gran escalabilidad, flexibilidad y rentabilidad pueden lograrse desde un enfoque basado en la nube. Sin embargo, si no se administran en forma segura y eficiente, las consecuencias de una falla en la solución Cloud pueden ser extremadamente perjudicial. El desafío de mantener la privacidad, integridad, confiabilidad y cumplimiento de la información ha aumentado considerablemente. Por lo tanto es esencial que su empresa tenga la capacidad de evaluar el impacto de un movimiento de una solución Cloud y manejar con éxito plataformas de software y la infraestructura en la nube.
Cloud Security Services Introducción
La transición al modelo de servicios en la nube ofrece grandes oportunidades para las organizaciones. Gran escalabilidad, flexibilidad y rentabilidad pueden lograrse desde un enfoque basado en la nube. Sin embargo, si no se administran en forma segura y eficiente, las consecuencias de una falla en la solución Cloud pueden ser extremadamente perjudicial. El desafío de mantener la privacidad, integridad, confiabilidad y cumplimiento de la información ha aumentado considerablemente. Por lo tanto es esencial que su empresa tenga la capacidad de evaluar el impacto de un movimiento de una solución Cloud y manejar con éxito plataformas de software y la infraestructura en la nube.
Cloud Security Services Introducción Consultoría
Necesidades
Cloud Security Services
Objetivos
Solución
Cloud Security Services Introducción
Cloud Security Services Introducción
Baufest Cloud Security Services ofrece la confianza de que su información está segura en cualquier despliegue de nube. Nuestro equipo de consultores expertos trabaja en conjunto con las empresas para proporcionar ideas y soluciones que garantice la seguridad en la nube.
Los consultores de Baufest son miembros activos de la Cloud Security Alliance y utiliza muchas de sus herramientas para asegurar que nuestros clientes están seguros en su opción de despliegue de la nube y también entiendan los riesgos asociados a su tipo de industria.
Cloud Security Services Visión
¿Dónde estoy?
¿Dónde quiero estar?
Cloud Security Services Visión
¿Dónde estoy?
Riesgos
¿Dónde quiero estar?
Gobernabilidad
Cloud Security Services Visión
¿Dónde estoy?
¿Dónde quiero estar?
Inicial
Repetible
Estandarizado
Gestionado
Dinámico
• Ausencia de políticas claras de seguridad en el uso de Cloud, datos y bloqueo de servicios conocidos, sin tener en cuenta su perfil de riesgo, respuesta a incidentes es incompleto y lento proceso ad hoc
• La organización ha comenzado a definir criterios de aceptación para seleccionar servicios de la nube y tiene un whitelist de servicios de la nube aprobados
• whitelist aprobado para todas las categorías de CSP por nivel del departamento. Políticas de DLP y encriptación claramente definida con un workflow de incidentes y roles definidos
• La lista de CSP aprobada, las políticas y los workflow son actualizados cada tres meses por el comité del gobierno de la nube usando los lineamientos del negocio
• Las políticas de seguridad están claramente definidas se alinearon con objetivos del negocio, actualizadas y con un proceso robusto con un workflow de aprobación y feedback incorporado.
Riesgos
Gobernabilidad
Cloud Security Services
Procesos
Herramientas
Personas
Visión
Cloud Security Services Visión
Cloud Security Services Visión ¿Cuáles son los principales riesgos del CLOUD COMPUTING?
Llega el momento de terminar con el acuerdo ¿qué considerar al finalizar el contrato con el proveedor?
A la hora de elegir proveedor, ¿Qué debo valorar? ¿Cuál es el proveedor más apropiado?
Siendo crítico ¿Es el cloud computing adecuado para mis actividades, tareas, sistemas y servicios?
¿Qué precauciones tomar antes de realizar la migracién del servicio?
¿Qué medidas de seguridad son exigibles? Cuales existen?
¿Cómo gestionar los aspectos normativos y legislativos? ¿Es realmente importante?
¿Qué compromisos de confidencialidad de los datos personales debo exigir?
¿Cómo asegurar que el proveedor cumpla con lo establecido? ¿Cómo supervisar el servicio?
¿Cómo garantizo que puedo recuperar los datos personales de los que soy responsable (portabilidad)?
Cloud Security Services
Cloud Security Services Baufest crea proyectos personalizados que evalúan la implementación y los niveles de seguridad basado en normativas y mejores prácticas tales como las ISO 27001, 27017 27018 y herramientas de la CSA Cloud Security Alliance
Brindando a los clientes un informe de comprobación que puede ser usado para presentar el nivel de madurez a sus usuarios actuales o nuevos, asegurando que su solución en la nube es segura.
Cloud Security Services
Cloud Security Services
Security Risk Assessment
Secure Cloud Design
Security Migration
Cloud Testing and Audit
Cloud Service Provider Assessment
Cloud Security Solutions
Cloud Security Services Cloud Computing presenta riesgos nuevos y evolucionados a las organizaciones.
Security Risk Assessment
Security Risk Assessment está diseñado para ayudar a las organizaciones en la evaluación de la conveniencia de migrar servicios para entornos Cloud y también tasar los riesgos existentes en despliegues de la Nube híbridos o completos. Nuestros consultores tienen mucha experiencia en evaluación del riesgo alineado con las necesidades de una compañía. Entendemos el impacto de la adopción de soluciones de nube para los negocios y tenemos amplia experiencia en auditoría. Como miembros de la Cloud Security Alliance (CSA) utilizamos sus mejores prácticas, además de NIST, ENISA y las directrices de seguridad de la nube específicos de la industria y regulaciones locales como la ley de protección de datos personales.
Cloud Security Services Cloud Computing presenta desafíos específicos de seguridad en la etapa de diseño de entornos de nube.
Secure Cloud Design
Baufest ayuda a las empresas a detectar posibles puntos de exposición de información sensible. Diseñamos, construimos y entregamos los entornos de nube seguras basadas en las consideraciones específicas de seguridad y cumplimiento de nuestros clientes. Nuestros especialistas en seguridad en la nube ofrecen diseños a medida para satisfacer las más altas exigencias de seguridad que garanticen que las organizaciones tengan la certeza que su información está segura en su entorno Cloud. Diseñamos la seguridad en los entornos de la nube con el rendimiento y los objetivos de negocio en mente. Somos conscientes de los riesgos asociados con las nubes públicas y privadas. Ayudamos a las empresas a obtener lo máximo de la nube mediante el diseño y la implementación de entornos Cloud que satisfagan las preocupaciones de seguridad y objetivos de negocio. Cuando se trata de conseguir el equilibrio adecuado entre el rendimiento y la seguridad, Los consultores de Baufest ayudarán a las organizaciones a implementar la solución Nube segura.
Cloud Security Services A la Hora de realizar una migración a la nube, las organizaciones pueden enfrentar muchos problemas y obstáculos que si no se logran abordar correctamente pueden traer problemas futuros.
Security Migration
Baufest cuenta con una metodología de adopción de entornos Cloud y también ofrecer asesoría de expertos en migración de software, plataformas e infraestructura tradicionales hacia soluciones en la nube de forma segura. Ayudamos a las empresas a ahorrar dinero, mejorar la seguridad y aumentan su conocimiento de este campo relativamente nuevo. Como miembros de varias asociaciones relacionadas con la Seguridad, estamos enfocados en la mejora de la postura de seguridad de las organizaciones, tanto en entornos locales como en la nube.
Cloud Security Services Como todos los entornos de una empresa, los entornos Cloud también deben ser evaluados regularmente por expertos. Nuestro servicio Cloud Testing and Audit incluye evaluación de los controles de seguridad existentes en la empresa y mapear estos controles a entornos Cloud.
Cloud Testing and Audit
Como miembros de la Cloud Security Alliance (CSA), nuestros profesionales utilizan las principales herramientas de la industria para asegurar que nuestros clientes están a salvo en la elección de su despliegue Cloud y también entender los riesgos asociados. Como parte de nuestro proceso de Testing Cloud y Auditoría, examinamos; • Seguridad de Aplicación e Interface • Auditoría de Aseguramiento y de Cumplimiento • Gestión de la Continuidad del Negocio y Op Resiliencia • Control de cambio y gestión de la Configuración • Seguridad de los datos y gestión del ciclo de vida de la información • Seguridad de data center
Cifrado y gestión de claves Gobierno y Administración de Riesgos Seguridad de los Recursos Humanos Gestión de Identidad y Acceso Seguridad de Infraestructura y Virtualización • Interoperabilidad y Portabilidad • Seguridad móvil • • • • •
Cloud Security Services Puede ser difícil de obtener visibilidad de un entorno de nube. Los proveedores de servicios Cloud necesitan evaluarse independientemente la seguridad, como un paso necesario en dar a los clientes garantía de que están siguiendo las mejores prácticas.
Cloud Service Provider Assessment
Como miembros de la Cloud Security Alliance (CSA) nuestros consultores proporcionan las evaluaciones de los proveedores de servicios cloud y evalúan cómo están alineados con la Security, Trust and Assurance Registry (STAR). Todos los proveedores de servicios de nube deberían tratar de cumplir con los requisitos de la evaluación STAR de la Cloud Security Alliance e ilustrar a los clientes que se toman en serio la protección de datos de los clientes en su entorno Cloud.
Cloud Security Services Incapsula: Ofrece las prestaciones de seguridad y rendimiento más avanzadas para sitios web de todo tamaño. Por medio de un simple cambio de DNS, el tráfico de su sitio web atraviesa Incapsula perfectamente y sin interrupciones. El tráfico entrante se perfila en tiempo real, bloqueando las amenazas web: desde ataques de inyección de SQL hasta los scrapers, bots maliciosos, spammers con comentarios entrometidos y ataques DDoS. El tráfico saliente se acelera y optimiza con la CDN mundial de Incapsula.
Cloud Security Solutions
SkyFence: Ofrece una solución simple, sencilla, flexible y adaptable a cualquier necesidad en tres módulos funcionales que desempeñan tareas bien definidas y complementarias, con todo ello, la solución garantiza: • La realización de un estudio real y adecuado, que presenta a los administradores la real situación de uso de las aplicaciones (corporativas o de empleo privado) en la nube. • Una estimación del riesgo – adaptado a la realidad de los peligros de internet en cada momento – en el que se incurre • Detección de anomalías y peligros, alertas y controles de acceso, incluyendo los dispositivos móviles empleados en la compañía. • Medios para administrar la infraestructura, monitorizar el uso y disponer de herramientas de reporting y consulta de amplio espectro.
Cloud Security Services Metodología
Comprender en dónde se ubica la empresa actualmente
Assessments (Evaluaciones)
Evaluaciones, Identificación de Vacíos de Control, Pruebas de penetración en entornos Cloud
Crear Estrategia de Seguridad para el futuro
Estrategia de Seguridad en Cloud
Establecer y priorizar un plan de seguridad
Gestionar una implementación efectiva
Cuantificación y manejo del Riesgo
Decisiones en seguridad sistemática. Ex: Optimización de Control
Acelerar la curva de aprendizaje
Soporte CISO (Jefe de Seguridad)
Incrementar el equipo de seguridad en la nube empresarial
Enfocarse en los asuntos críticos
Remediación de hallazgos
Ser consciente que las amenazas están evolucionando Asegurar capacidades de respuesta efectiva a incidentes
Poner en práctica un programa de seguridad en entornos Cloud
Cloud
Revisar amenazas de seguridad, que impliquen específicamente a este entorno
Respuesta a Incidentes
Proceso y práctica operacional para evaluar e implementar IR
Cloud Security Services El Aseguramiento de la nube Impulsado por Baufest ayuda a nuestros clientes midiendo y asegurando la capacidad de los proveedores de servicios de la nube midiendo la entrega de los servicios de la nube de acuerdo con las mejores prácticas de la industria, estándares y conformidad reguladora.
Basado en Riesgo y amenazas
directivas, procedimientos y concienciación
SAAS
• • • • •
Top 20 Controles Nivel de madurez Tendencias Mejores Practicas Revisión y educación
PASS IAAS Datos
Basado en Estandares y recomendaciones • • • • •
CSA Controls MAtrix ISO/IEC 27000 Serie PCI DSS, HIPPA Sec Cobit, Coso, Itil Nist, Enisa, Otros
Cloud Security Services Nuestro equipo
Nuestro responsable de la Práctica LUCIANO MOREIRA DA CRUZ Posee una amplia y variada experiencia en diferentes mercados y posiciones, siempre ligado a las tecnologías informáticas y comunicaciones. Su experiencia en IT y seguridad informática esta validada por su certificaciones de Auditor Líder ISO 27001, MSCE + Security, ITIL, Auditor interno ISO 9001:2008, Certified Integrator in Secure Cloud Services, Cloud Computing Foundation, BIGGER IS BETTER - BIG DATA - CLOUD UNIVERTY, CLODU - CLOUD UNIVERSITY. Participó y lideró proyectos complejos en grandes empresas. Especialidades: Sólidos conocimientos y experiencia en proyectos relacionados con la implementación y mejora de un sistemas de gestión de la calidad y de seguridad de la información. Conocimientos: ISO/IEC 27001, ISO/IEC 27002, 31000, 22301, 9001 Auditoría de Seguridad, COBIT, ITIL v3, SOX, PCI, BCRA.
Algunos de nuestros Technical leaders LEONARDO ROSSO • ISC2 CISSP • ISACA CISA • IRCA Certified Lead Auditor ISO/IEC 27001 • MCSA Office 365 • Microsoft Specialist: Server Virtualization 2012 • MCSA Windows Server 2008 • MCITP Virtualization Administrator 2008R2 • MCITP Enterprise Administrator 2008 • MCSE + Security 2003
MARCELA MEYORÍN • Certified Information System Auditor (CISA) • Lead Auditor ISO 25999-2 • Fundation ITIL v.3 • ISO 20000 • Curso Seguridad Informática – Aplicación de LOPD • La Seguridad en los Sistemas de Información e Internet (LOPD)
HECTOR MARTINOTI • IRCA Certified Lead Auditor ISO/IEC 27001 • VMware vSphere 5: Optimize & Scale • VMware Certified Professional 5 - Data Center Virtualization (VCP5-DCV) • Microsoft Windows Server 2012 • MCTS Windows server 2008 • Red Hat Certified System Administrator (RHCSA) • CCNA
CHRISTIAN IBIRI MCSE Communication MCSE Private Cloud MCSE Server Infrastructure MCSA Office 365 MCTS Administering Office 365 for Small Business • MCTS Implementing Microsoft Azure Infrastructure • MCTS Server Virtualization with Windows Server • • • • •
Cloud Security Services Antecedentes
DON MARIO Assesment de seguridad sobre infraestructura Cloud: Tuvo como objetivo la evaluación de los niveles de seguridad asociados a los servicios y aplicativos publicados y montados en Cloud con el objetivo de identificar posibles vulnerabilidades que pudieran afectar tanto a su operativa normal como también aquellas vulnerabilidades que pudieran revelar información sensible o provocar accesos no autorizados.
Grupo Baufest Desafío
Como parte de la iniciativa de upgrade de la plataforma de correo, Baufest decidió migrar las cuentas de 310 personas y aproximadamente 50 recursos a Exchange sobre Office365. Contar con un sistema de filtrado de correo robusto y confiable. Factores de autenticación y federación con proveedores y clientes.
La Solución Se implementó la plataforma Exchange en Office 365 para todos los empleados y todas las locaciones, integrando esta solución al Directorio de usuarios de la organización mediante ADFS logrando una integración uniforme de todos los servicios de Baufest.
Adicionalmente se implemento un Servidor Secundario de Active Directory sobre Windows Azure en modalidad IaaS, para garantizar alta disponibilidad de acceso al servicio de correo. Se realizo las pruebas de seguridad de los entornos levantados en Cloud y se ajustaron todos los parámetros de configuración según las mejores practicas de industria. Se realizan cada 3 meses revisiones de seguridad en la plataforma.
EDENOR – mobile Definición y configuración de los parámetros de seguridad en plataforma Backend (Azure) Configuración de VPN con entorno del cliente Integración entre BBDD en un modelo Hibrido usando ETL Configuración de SSL Client Autentication Implementación de IDM logrando un login federado, integrando con las redes sociales. Testeo de seguridad sobre la plataforma Sanitizacion de los servicios de Azure para la mitigación de ataques de inyección de código en Odata. Segurizacion del CDN y Storage Cloud
MI SEGURO MÓVIL Definición y configuración de los parámetros de seguridad en plataforma Backend (Azure) Configuración de VPN con entorno del cliente Integración entre BBDD en un modelo Hibrido usando ETL Configuración de SSL Client Autentication Implementación de IDM logrando un login federado, integrando con las redes sociales. Testeo de seguridad sobre la plataforma Sanitizacion de los servicios de Azure para la mitigación de ataques de inyección de código en Odata.
Segurizacion del CDN y Storage Cloud
Enersa – mobile Definición y configuración de los parámetros de seguridad en plataforma Backend (Azure) Configuración de VPN con entorno del cliente Integración entre BBDD en un modelo Hibrido usando ETL Configuración de SSL Client Autentication Implementación de IDM logrando un login federado, integrando con las redes sociales. Testeo de seguridad sobre la plataforma Sanitizacion de los servicios de Azure para la mitigación de ataques de inyección de código en Odata. Segurizacion del CDN y Storage Cloud
+23 años de innovación Desde 1991, brindamos servicios de Software & IT para grandes empresas Oficinas en Argentina, Chile, México, España y USA +1.000 proyectos en 50 países de América, Europa, Asia y África +350 personas, +310 dedicadas a servicios e IT Antigüedad top customers: entre 18 y 5 años +95% índice de satisfacción de clientes Desde 2008, entre las mejores empresas para trabajar en la Argentina ISO 9001 en Gestión de Servicios de Software Calificación Investment Grade otorgada por Standard & Poor’s
Argentina Buenos Aires Tel.: +54 (11) 4118-8080 Fax: +54 (11) 4118-8080 Roosevelt 1655 C1428BNC, Buenos Aires Argentina
Santa Fe Tel.: +54 (342) 412-0368 San Jerónimo 1838 S3000FPP, Santa Fe Argentina
¡Muchas Gracias!
Chile Tel.: +56 (2) 2840-9977 General del Canto 526, 7500652, Providencia, Santiago de Chile
Mexico
Luciano Moreira IT & Security PracticeUnitManager
[email protected]
Tel.: +52 (55) 5531-8878 Fax: +52 (55) 5531-8878 Avda. Ejército Nacional 678, Col. Polanco Reforma, Distrito Federal C.P. 11550 México D.F.
USA Tel +1 (617) 275-2420 1 Broadway 14th floor Cambridge, MA 02142 USA
Spain Tel.: +34 91 745-2763 Fax: +34 91 561-5626 c/ Francisco Giralte, 2 28002, Madrid Spain