Luciano Moreira da Cruz Leonardo RossoCloud Security Alliance Argentina

Contenido

¿Qué es la CSA?¿Qué es CSA-STAR?

El esquema de Certificación Abierto (OCF)La Matriz de Control de Nube (CCM)

Modelo de Capacidad de GestiónProceso de Certificación CSA-STAR

¿Por qué certificar?Los 10 Tips para implementar CSA-STAR

Novedades de CSA-STAR

¿Qué es la CSA?

• Global, sin fines de lucro, Fundada en 2008

• 73,000+ miembros individuales, 70+ capítulos a nivel mundial

• Más de 40 proyectos de investigación en 30+ grupos de trabajo

• Alianzas estratégicas con los gobiernos, instituciones de investigación, asociaciones profesionales y la industria

• Construyendo las mejores prácticas de seguridad para la próxima generación de TI

• Investigación y Programas Educativos

• Certificación de Proveedores Cloud: CSA STAR

• Certificación de profesionales: CCSK

• La fuente global para la confianza en cloud

www.cloudsecurityalliance.org

“Promover las mejores prácticas a fin de ofrecer confianza dentro del ámbito del Cómputo en la Nube, educando a la comunidad sobre sus usos y colaborando en asegurar todas las

otras formas de computo.”

¿Qué es CSA-STAR?

• CSA STAR (Security, Trust and Assurance Registry)

• Lanzado en 2011, el CSA STAR es el primer paso para mejorar la transparencia y la seguridad en la nube.

• Registro Público de proveedor de cloud auto evaluados

• Basado en las mejores prácticas de CSA (CCM o CAIQ)

• Promoviendo transparencia con acciones voluntarias por industria.

• Seguridad como un diferenciador en el mercado

www.cloudsecurityalliance.org/star

Demande STAR a sus proveedores cloud!

¿Qué es CSA-STAR?

• La certificación CSA STAR es única en su especie en cuanto que se desarrolló como una mejora a los objetivos de la norma SIO/IEC 27001 para atacar el foco de los aspectos específicos de seguridad de entornos de cómputo en nube.

• Para responder a la creciente preocupación de las organizaciones y negocios, CSA, una organización sin fines de lucro que tiene como misión el promover las mejores prácticas de seguridad en cómputo en la nube, creó la la Matriz de Controles en la Nube (Cloud Controls Matrix –CCM– ). Esta matriz de controles que fuera desarrollada en conjunto con un grupo de trabajo específico a la industria, especifica los controles comunes que son relevantes a la seguridad para el computo en la nube.

• La certificación CSA Star, tiene como objetivo validar el nivel de adopción de los controles de la matriz. El reporte de desalida indica cuan bien el sistema bajo revisión ha sido embebido en la organización asignando diferentes niveles de cumplimiento.

• Se basa en una estructura multicapa definida por el Open Certification Framework

¿Qué es CSA-STAR?

Nivel actual de adopción

Actualmente 161 Proveedores / Servicios de Cloud Word Wide han decidido formar parte de la CSA STAR Eso incluye:

• Autoevaluación STAR (123)

• Certificación STAR (31)

• Certificado STAR (3)

• Evaluación C-STAR (4)

¿Qué es CSA-STAR?

ÓRGANOS DE CERTIFICACIÓN ACREDITADOS

El esquema de Certificación Abierto (OCF)

• El Esquema de Certificación Abierto (Open Certification Framework, en adelante OCF) de CSA en una iniciativa de la industria para permitir una certificación global, acreditada y basada en la confianza para proveedores de servicios en la nube.

• OCF de CSA es un programa flexible, incremental y con diferentes niveles para una certificación de proveedores de servicios en la nube, de acuerdo con los objetivos de control y guías de seguridad de liderazgo de la industria que aporta CSA.

• El programa se integrará con las reconocidas auditorías de tercera parte y con los requisitos de informe desarrollados dentro de la comunidad para evitar duplicar costes y esfuerzos.

• OCF de CSA está basado en los objetivos de control y estructuras de control continuo definidas dentro del proyecto de investigación STACK GRC (Gobernance, Risk and Compliance) de CSA.

El esquema de Certificación Abierto (OCF)

El OCF se estructura en 3 NIVELES de CONFIANZA, cada uno de los cuales proporciona un incremento gradual en los niveles de visibilidad y transparencia en las operaciones del Proveedor de Servicios en la Nube y un nivel mayor de seguridad en el cliente de servicios en la Nube.

El esquema de Certificación Abierto (OCF)

Nivel 1: Autoevaluación: CSA STAR

• Los proveedores de servicios en la nube pueden presentar dos tipos diferentes de informes para indicar su cumplimiento con las mejores prácticas de CSA.

• El Cuestionario CAIQ (Consensus Assessment Initiative Questionnaire)

• Matriz CSA-CCM

Proporciona a las partes interesadas en la nube - CSC (Cloud Service Client), Cloud Service Providers (CSP), Cloud Auditors, Cloud Brokers, etc. - con un repositorio público donde los CSP pueden publicar información sobre sus evaluaciones de seguridad relativas a CSA Cloud Control Matrix (CCM) y CSA Consensus Assessment InitiativeQuestionnaire (CAIQ).

https://cloudsecurityalliance.org/star/self-assessment/

El esquema de Certificación Abierto (OCF)

Nivel 2: CERTIFICACION STAR (Auditoría de Tercera Parte)

El concepto del esquema es utilizar los requerimientos de la norma de sistemas de gestiónISO 27001 integrado con la CCM de CSA y los propios requisitos internos o las especificaciones de la organización para evaluar la madurez de sus sistemas. Las respuestas son registradas y posteriormente analizadas por su nivel de madurez. A esta madurez se le asigna una puntuación. Todas las puntuaciones son evaluadas conjuntamente para puntuar los diferentes dominios del sistema de gestión y una puntuación global de todo el sistema de gestión.

Además de lo anterior, también existe la posibilidad para los clientes de tener su propio criterio de rendimiento interno incluido en el proceso para su examen y puntuación por los auditores.

https://cloudsecurityalliance.org/star/certification/

El esquema de Certificación Abierto (OCF)

Nivel 2: Testeo STAR (Auditoría de Terceros)

El concepto del esquema es utilizar los requerimientos para testeos AICPA SOC2, ejecutados de acuerdo con la sección AT 101, de los test estándar AICPA, ampliados con la CSA-CCM. Puede encontrarse información adicional en el posicionamiento de CSA sobre este tema disponible en: https://downloads.cloudsecurityalliance.org/initiatives/collaborate/aicpa/CSA_Position_Paper_on_AICPA_Service_Organization_Control_Reports.pdf

https://cloudsecurityalliance.org/star/attestation/

El esquema de Certificación Abierto (OCF)

Nivel 3: La certificación basada en el seguimiento continuo

Permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube.

CSA STAR Continuous se basa en una auditoría / evaluación continua de las propiedades de seguridad relevantes.

Se construye en base a las siguientes prácticas / estándares de CSA:

Cloud Controls Matrix (CCM)

Cloud Trust Protocol (CTP)

CloudAudit (A6)

https://cloudsecurityalliance.org/star/continuous/

El esquema de Certificación Abierto (OCF)

Relación actual entre niveles

La Matriz de Control de Nube (CCM)

Matriz de Controles para evaluar la gestión de la seguridad de los servicios de Cloud Computing.

Alineamiento con los principales estándares y regulaciones en materia de seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, JerichoForum and NERC CIP

https://cloudsecurityalliance.org/research/ccm/

La Matriz de Control de Nube (CCM)

Está diseñado específicamente para proporcionar los principios de seguridad para guiar a los proveedores de la nube y para ayudar a los clientes en la nube a evaluar el riesgo general de seguridad de un proveedor de la nube.

CSA Cloud Controls Matrix (CCM) mapea con otros estándares de seguridad aceptados por la industria, los reglamentos, y controla los marcos como la ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho, NERC CIP, ENISA, COPPA, HIPAA/HITECH, AICPA 2014 Trust Services Criteria, etc.

El Modelo de Capacidad de Gestión

• Modelo de Madurez• Pero también incorpora características de Hoja de Ruta (Roadmap)

• Evaluación Matricial• (5 niveles x 3 estadíos = 15 grados de “cumplimiento”)

• Permite categorizar el nivel de “cumplimiento” del sistema bajo auditoría• Pero mas importante, permite identificar cual es el esfuerzo y el criterio necesarios para avanzar.

El Modelo de Capacidad de Gestión

Los niveles de puntaje

Puntaje Descripción

1 a 3 Sin perspectiva o marco formal definido

4 a 6 Visión Reactiva

7 a 9 Visión Proactiva

10 a 12 Perspectiva de Mejora Continua

13 a 15 Perspectiva Optimizada o de Innovación

El Modelo de Capacidad de Gestión

Puntajes

1 a 3 4 a 6 7 a 9 10 a 12 13 a 15

Sin PerspectivaFormal

Reactivo Proactivo Mejorado Optimizado

Definido1. No ha evidencia de sistema para gestionar el área de control

4. Existe evidencia de un sistema que cubre los aspectos claves del área de control

7. Existe evidencia de un sistema robusto que cubre las operaciones de rutina en el área de control

10. Existe Evidencia de queel sistema es capaz de manejar eventos y contingencias además de la operación de rutina

13. Los responsables pueden demostrar que verifican de manera activa las mejores practicas de la industria para aplicarlas al área de control

Administrado2. Existe evidencia de un sistema documenta o una forma aceptada de trabajo

5. Existe un dueño identificado para el área de control que comprende el alcance de su responsabilidad

8. Existe evidencia de que el área de control se monitorea de manera activa, con acciones de respuesta

11. Se considera la información de diferentes fuentes a los efectos de decidir la mejor manera de gestionar el riesgo.

14. Los responsables del área de control comparten de manera activa las mejores practicas para soportar la mejora en otras áreas

Efectivo3. Existe evidencia de que la forma de trabajo se sigue de manera consistente

6. Existe evidencia de que el sistema se comprende y ejecuta de manera habitual

9. Existe evidencia que el personal critico se encuentra entrenada para operar de manera efectiva el área de control

12. Existe evidencia de que las información de diferentes orígenes es monitoreada y medida y se toma en cuenta para la mejora en el área de control

15. Los cambios en el área de control se evalúan contra los objetivos estratégicos de la organización.

El Proceso de Certificación CSA-STAR

• Alcance variable• Se auditan los controles definidos por la entidad auditada

• Evaluación sobre los 16 dominios de la CCM

• Acumulativo• Para llegar a un nivel, todos los anteriores deben cumplirse (concepto de madurez)

• Estado de Cumplimiento Granular• PASS/FAIL vs Puntaje (en una escala de 15 puntos)

• La letra chica• El puntaje mas bajo para cada uno de los dominios se representa en el puntaje final

• El promedio de todos los puntajes provee el puntaje del nivel de madurez

Ejemplo de “Niveles de Premios”

El Proceso de Certificación CSA-STAR

REQUERIMIENTOS

• Es necesario que la entidad auditada se encuentre certificada en ISO27001• Para que la auditoría de CSA-STAR resulte en una certificación, el certificado ISO27001 debe estar vigente

• El alcance de la certificación de CSA-STAR puede diferir del alcance de ISO27001• Pero es imprescindible que sea un subconjunto del mismo del alcance del anterior

• Los requerimientos de auditoría de CSA-STAR son los mismos que para ISO27001• Esto es, que si para la auditoría de ISO27001 se necesitan 5 días, se necesitarán 5 días MÁS para auditar CSA-STAR

• Para llegar a un nivel, todos los anteriores deben cumplirse (concepto de madurez)

• Los certificados pueden tener ciclos diferentes• De nuevo, ¿Es necesario decir que el certificado debe encontrarse vigente?

¿Por qué y para qué certificar?

… Tengo que explicarlo?

Los 10 Tips para implementar CSA-STAREl compromiso de la alta dirección

es vital para que el sistema sea introducido con éxito. Asegúrese de

que los altos directivos sean activamente responsables,

participen, aprueben los recursos y estén de acuerdo con los procesos

clave.

Asegúrese de que toda su empresa está comprometida y entienda la importancia de la seguridad en la

nube y comprométala con una estrategia de comunicaciones

sólida.

Establecer un equipo de implementación competente y bien informado para obtener los mejores

resultados, compartiendo roles y responsabilidades.

Descargue la matriz de control de la nube (CCM) de la CSA.

Revise los sistemas y procesos que tiene en su lugar en este momento.

A continuación, compararlos con los requisitos de la CCM. Obtenga comentarios de los clientes sobre sus procesos y servicios actuales.

Asegúrese de que su alcance esté alineado con los procesos críticos

del cliente e implementar todos los controles relevantes dentro de la

matriz.

Benchmark su capacidad actual contra el modelo de madurez y ver

dónde hay oportunidades para mejorar.

Definir claramente un plan bien comunicado de actividades y

plazos. Estar seguro que todos los entienden y su papel para lograrlos.

Capacitar a su personal para llevar a cabo auditorías internas, lo que

puede proporcionar información valiosa y oportunidades de mejora.

Revise regularmente sus controles para asegurarse de que siguen siendo apropiados, eficaces y ofrecen mejoras continuas.

Novedades CSA - STAR

Conclusión

“human ingenuity could not construct a cipher which human ingenuity could not solve.”

lucianomoreira9@hotmail.com

@luciano_m_cruz

lucianomoreiradacruz

https://ar.linkedin.com/in/lucianomoreiradacruz

leonardo.federico.rosso@gmail.com

leonardo.rosso

https://www.linkedin.com/in/lrosso/es

Gracias

@CSA_AR

facebook.com/csaargentina

https://chapters.cloudsecurityalliance.org/argentina/

https://www.linkedin.com/grp/home?gid=3350613

contact@ar.chapters.cloudsecurityalliance.org