lançamento csa guide em português
TRANSCRIPT
1
O Papel da CSA no Brasil: Lançamento do CSA Guide em Português
Leonardo Goldim, CCSK
Presidente CSA Brasil
4
CSA: Overview
– Associação sem fins lucrativos – Idealizada durante o ISSA CISO Forum em Novembro de 2008 – Oficializada em Dezembro de 2008 – Primeiro Whitepaper na RSA Conference em 2009 – +12mil Membros – Presente em 06 países através de Chapters locais
5
To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.
CSA: Missão
6
– Promote a common level of understanding between the consumers and providers of cloud computing regarding the necessary security requirements and attestation of assurance – Promote independent research into best practices for cloud computing security – Launch awareness campaigns and educational programs on the appropriate uses of cloud computing and cloud security solutions – Create consensus lists of issues and guidance for cloud security assurance
CSA: Objetivos
8
CSA Brasil: Overview
– Segundo Chapter oficial da CSA – Oficializado em 27 de Maio de 2010 – 97 Membros – Board: Leonardo Goldim; Anchises Moraes, Jaime Ortis y Lugo, Jordan Bonagura, Olympio Renno – Segue Missão e Objetivos da CSA Global
10
– Versão 1.0: Lançada em Abril de 2009
– Versão 2.1: Lançada em Dezembro de 2009
– Início da tradução versão 2.1: Junho 2010
– Lançamento da tradução: 21 de Outubro de 2010
– Disponível gratuitamente online
Security Guidance: Guia de Boas Práticas para Nuvem
11
– Separar guia básico dos domínios principais
– Unir os Domínios 3 e 4 (Legislação e Eletronic Discovery)
– Domínio 6 e 14 (Gerenciamento do Ciclo de Vida da Informação e Armazenamento) foram combinados e renomeados para Gerenciamento do Ciclo de Vida de Dados
– Passamos de 15 domínios para 13
Security Guidance: Versão 1.0 vs 2.1
12
– Computação em Nuvem não é mais ou menos segura
– Cria novos riscos e novas oportunidades
– Oportunidade de reestruturar aplicações antigas
– Não falamos o que, onde ou como migrar para Nuvem
– Fornecemos recomendações práticas para uma migração da forma mais segura possível
Security Guidance: Considerações
13
– Identificar o ativo para implantação na nuvem
– Avaliar o ativo
– Mapear o ativo com modelo de implantação
– Avilar potenciais modelos de serviços
– Esboçar o potencial fluxo de dados
Security Guidance: Framework Reduzido
15
– Seção: Arquitetura
– Compreende em um framework conceitual para os demais domínios do guia
– Foca na descrição de Computação em Nuvem adaptada para profissionais de segurança e de redes
– Define a terminologia usada no guia e requisitos de arquiteturas e desafios para proteção das aplicações e serviços
Security Guidance: Framework da Arquitetura de Computação em Nuvem
16
– Seção: Governança
– Compreende na capacidade de uma organização para governar e medir o risco empresarial introduzido pela Computação em Nuvem
– Responsabilidade para proteger dados sensíveis no caso de provedor e usuário falhar
– Como essas questões são afetadas por fronteiras internacionais
Security Guidance: Governança e Gestão de Riscos Corporativos
17
– Seção: Governança
– Compreende nos problemas legais em potencial ao se utilizar Computação em Nuvem
– Requisitos de proteção da informação
– Requisitos regulatórios
– Leis internacionais
Security Guidance: Aspectos Legais e Electronic Discovery
18
– Seção: Governança
– Compreende na manutenção e comprovação de conformidade ao se fazer uso da Computação em Nuvem
– Como a Computação em Nuvem afeta o cumprimento de políticas de segurança interna e diversos requisitos de conformidade (regulatórios, legislativos, entre outros)
– Orientações para comprovar a conformidade no caso de auditoria
Security Guidance: Conformidade e Auditoria
19
– Seção: Governança
– Compreende no gereciamento dos dados que são colocados na Nuvem
– Controles compensatórios para lidar com a perda de controle físico
– Responsável pela confidencialidade, integridade e disponibilidade
Security Guidance: Gerenciamento do Ciclo de Vida das Informações
20
– Seção: Governança
– Compreende na habilidade de mover dados e/ou serviços de um provedor para outro ou totalmente de volta para a empresa
– Interoperabilidade entre fornecedores
Security Guidance: Portabilidade e Interoperabilidade
21
– Seção: Operações
– Descreve como a Computação em Nuvem afeta os processos e procedimentos operacionais usados atualmente em BCP e DRP
– Aborda sobre como ajudar a identificar onde a Computação em Nuvem pode ajudar a diminuir certos riscos, ou implica em aumento dos riscos
Security Guidance: Segurança Tradicional, Cont. de Negócios e Rec. Desastres
22
– Seção: Operações
– Descreve como avaliar a arquitetura e a operação de um fornecedor de Data Center
– Focado principalmente em ajudar a identificar características de data centers que podem ser prejudiciais e as fundamentais para estabilidade a longo prazo
Security Guidance: Operações e Data Center
23
– Seção: Operações
– Aborda a correta e adequada detecção de incidentes, resposta, notificação e correção
– Aborda itens tanto no nível de prestadores de serviços e consumidores
– Forense computacional
– Ajudar a compreender as diferenças na abordagem do sistema de gestão de incidentes atual
Security Guidance: Resposta a Incidente, Notificação e Remediação
24
– Seção: Operações
– Descreve modos de proteger a aplicação que está sendo executada ou desenvolvida na nuvem
– É apropriado migrar ou projetar uma aplicação na nuvem?
– Qual melhor modelo (SaaS, PaaS ou IaaS) ?
Security Guidance: Segurança de Aplicações
25
– Seção: Operações
– Discutir por que é necessário
– Identificar questões que surgem com a utilização, seja para proteger o acesso aos recursos ou para proteger os dados
Security Guidance: Criptografia e Gerenciamento de Chaves
26
– Seção: Operações
– Foco em questões encontradas quando se estende a identidade de uma organização para Nuvem
– Fornece insights para avaliar a capacidade da organização para realizar a gestão de identidade e acesso baseados na Nuvem
Security Guidance: Gerenciamento de Identidade e Acesso
27
– Seção: Operações
– Descreve o uso da Virtualização em Computação em Nuvem
– Aborda riscos associados com multilocação
– Isolamento de VMs
– Vulnerabilidades em Hypervisor
– Foca nas questões de segurança em torno do sistema/hardware de virtualização
Security Guidance: Virtualização
29
– Voltada para profissionais
– Disponível desde 01 de Setembro
– Realizada online
– US$ 295, até 31 de Dezembro US$ 195
– Baseada no Guia de Boas Práticas da CSA e nos estudos da Enisa sobre gestão de riscos na Nuvem
– CCSK Study Guide
– Relacionada a versão do Guia, não expira
Projetos CCSK
30
– Certificação voltada para fornecedores (organizações)
– Parceria entre a CSA e a Novell
– Critérios de certificação serão definidos pela CSA
– Foco no domínio 12 (Gerenciamento de Identidade e Acesso)
Projetos Trusted Cloud
31
– Complemento ao Security Guidance
– Lançado duas vezes ao ano
– Auxiliar as organizações na decisões de gerenciamento de riscos na sua estratégia de adoção de Computação em Nuvem
– Versão 1.0
– Patrocinado pela HP
Projetos Top Threats
33
– Trazer o Cloud Security Alliance Congress para o Brasil
– Adaptar projetos da CSA para a realidade e necessidade Brasileira
Projetos CSA Brasil
34
Leonardo Goldim Presidente CSA Brasil
http://br.cloudsecurityalliance.org
http://www.cloudsecurityalliance.org
Obrigado