Anàlisi de la ciberseguretat en la migració cap a entorns cloud

Abstract

El món de la ciberseguretat està avançant de forma molt ràpida, i amb l’aplicació de la nova llei europea de protecció de dades (GDPR) i la irrupció del cloud computing com a eina per proporcionar serveis informàtics assegurant una reducció de costos per part de les empreses, sembla queel sector està realitzant una revisió de tot el que hi havia desplegatfins ara per assegurar que els clients segueixen estant coberts a nivell de seguretat de la informació amb els controls que tenen aplicats.D’aquí va sorgir la meva motivació per fer aquest treball. El que em preguntava era: com podem garantir a un client que, amb la migració dels seus sistemes IT al cloud segueix cobert a nivell de seguretat? Apliquen els mateixos controls definits fins al moment o cal incorporar-ne de nous? Realment li suposa una avantatge aquesta migració?L’objectiu principal del projecte, doncs, és analitzar la diferència de nivell de risc de seguretat al què està exposat una empresa del sector financer segons si utilitza una solució cloud o una solució on-premise per desplegar els diferents sistemes IT. Per assolir l’objectiu, s’estudienels següents punts: -Les diferents normatives relacionades amb la seguretat de la informació i la privacitat de les dades. -Els principals òrgans de govern de la ciberseguretat (tanta nivell mundial com europeu com estatal). -Les principals amenaces a tenir en compte (tant a nivell genèric com específiques per les solucions cloud computing). -Els principals incidents de ciberseguretat i costos derivats. -Els diferents marcs de control existents per a la mitigacióde les amenaces identificades. I es planteja la metodologia a seguir per tal de dur a terme l’anàlisi de riscos, que permetrà, en última instància, respondre les preguntes mencionades anteriorment.El cas d’ús es planteja amb lamigració del correu electrònic al cloud amb Office365i s’avaluasi existeixen les eines de seguretat necessàries per mitigar el risc afegit que suposa tenir els sistemes ITde correu electrònical cloud. Per fer-ho, es realitzaun estudi previ de la solució Office 365 i un anàlisidels riscos tenint en compte diferents escenaris. A continuació, s’inclou una comparativa amb la mateixa solució implementada on-premise per extreure pros i contres de la migració a un sistema cloud.

El mundo de la ciberseguridad está avanzando muy rápidamente. Con la aplicación de la nueva ley europea de protección de datos (GDPR) y la irrupción del cloud computing como herramienta para proporcionar servicios informáticos asegurando la reducción de costes por parte de las empresas, parece que el sector está realizando una revisión de todo lo que tenía desplegado hasta el momento para asegurar que siguen estando cubiertas a nivel de seguridad de la información con los controles que tienen implementados.Así surgió la motivación de realizar este trabajo. Mi pregunta era: ¿cómo podemos garantizar a un cliente que, con la migración de sus sistemas IT al cloud sigue cubierto a nivel de riesgos de seguridad? ¿Aplican los mismos controles definidos hasta el momento o se necesita incorporar controles nuevos? ¿Realmente supone una ventaja esta migración?El objetivo principal del proyecto es analizar la diferencia a nivel de riesgo de seguridad al que se expone una entidad del sector financiero según si utiliza una solución cloud o una solución on-premise para desplegar los diferentes sistemas IT.Para alcanzar el objetivo, se estudianlos siguientes puntos:-Las distintas normativas relacionadas con la seguridad de la información y la privacidad de los datos.-Los principales órganos de gobierno de la ciberseguridad (tanto a nivel mundial, como europeo, como estatal)-Las principales amenazas a tener en cuenta (tanto a nivel genérico como específicas de las soluciones cloud computing).-Los principales incidentes de ciberseguridad y costes derivados.-Los distintos marcos de control existentes para la mitigación de las amenazas identificadas.Y se plantea la metodología a seguir para llevar a cabo el análisis de riesgos, que permitirá responder a las preguntas mencionadas anteriormente.El caso de uso se plantea con la migración del correo electrónico al cloud con Office365y evalúa si existen las herramientas de seguridad necesarias para mitigar el riesgo añadido que supone tener los sistemas IT al cloud. Para hacerlo, se realizaun estudio previo de la solución Office 365 y un análisis de riesgosteniendo en cuenta los posibles escenarios. A continuación, se incluye una comparativa con la misma solución implementada on-premise para extraer pros y contras de la migración a un sistema cloud.

Cybersecurity world is growing exponentially. With the application of the new European Data Protection Law (GDPR) and the emergence of cloud computing as a tool to provide cheaper IT services solutions, the sector is reassessing all solutions deployed until today to ensure that they are still covered by the implemented information security controls.That is howI found the motivation to carry out this work. The main question was: how can we guarantee a customer that, with the migration of their IT systems to the cloud they are still covered in terms of information security? Do the same controls defined so far apply or do we need to incorporate new ones? Is the migration to cloud really an advantage?The main goal of the project, therefore, is to analyze the difference in terms of cybersecurity risk level to which an entity in the financial sector is exposed based on whether it uses a cloud solution or an on-premises one to deploy the different IT systems.To reachthe objective,the following points are studied:-Different regulations related to information security and data privacy.-Main cybersecurity governance bodies (both globaland European).-Main threats to be considered(both generic and specific to cloud computing solutions).-Main incidents of cybersecurity and derived costs.-Different existing control frameworks for the mitigation of identified threats.Additionally, themethodology to be followed to carry out the risk analysiswill be explained.Theproposeduse case is the migration of email to cloud with Office365and assesses whether the necessary security tools exist to mitigate the added risk posed by having IT systemsmigratedto the cloud.To do so, a preliminary study of the Office 365 solution and a risk analysis taking into account the possible scenarios is carried out.To end up, a comparison between the cloud solution and the same solution implemented on premise is carried out and conclusions on pros and cons of the migration to a cloud system are extracted.