1

O Papel da CSA no Brasil: Lançamento do CSA Guide em Português

Leonardo Goldim, CCSK

Presidente CSA Brasil

2

– CSA

– Chapter Brasileiro

– Security Guidance

– Projetos

Agenda

3

CSA Apresentação CSA Global

4

CSA: Overview

– Associação sem fins lucrativos – Idealizada durante o ISSA CISO Forum em Novembro de 2008 – Oficializada em Dezembro de 2008 – Primeiro Whitepaper na RSA Conference em 2009 – +12mil Membros – Presente em 06 países através de Chapters locais

5

To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.

CSA: Missão

6

– Promote a common level of understanding between the consumers and providers of cloud computing regarding the necessary security requirements and attestation of assurance – Promote independent research into best practices for cloud computing security – Launch awareness campaigns and educational programs on the appropriate uses of cloud computing and cloud security solutions – Create consensus lists of issues and guidance for cloud security assurance

CSA: Objetivos

7

CHAPTER BRASILEIRO CSA Brasil: histórico

8

CSA Brasil: Overview

– Segundo Chapter oficial da CSA – Oficializado em 27 de Maio de 2010 – 97 Membros – Board: Leonardo Goldim; Anchises Moraes, Jaime Ortis y Lugo, Jordan Bonagura, Olympio Renno – Segue Missão e Objetivos da CSA Global

9

SECURITY GUIDANCE Boas práticas para a Nuvem

10

– Versão 1.0: Lançada em Abril de 2009

– Versão 2.1: Lançada em Dezembro de 2009

– Início da tradução versão 2.1: Junho 2010

– Lançamento da tradução: 21 de Outubro de 2010

– Disponível gratuitamente online

Security Guidance: Guia de Boas Práticas para Nuvem

11

– Separar guia básico dos domínios principais

– Unir os Domínios 3 e 4 (Legislação e Eletronic Discovery)

– Domínio 6 e 14 (Gerenciamento do Ciclo de Vida da Informação e Armazenamento) foram combinados e renomeados para Gerenciamento do Ciclo de Vida de Dados

– Passamos de 15 domínios para 13

Security Guidance: Versão 1.0 vs 2.1

12

– Computação em Nuvem não é mais ou menos segura

– Cria novos riscos e novas oportunidades

– Oportunidade de reestruturar aplicações antigas

– Não falamos o que, onde ou como migrar para Nuvem

– Fornecemos recomendações práticas para uma migração da forma mais segura possível

Security Guidance: Considerações

13

– Identificar o ativo para implantação na nuvem

– Avaliar o ativo

– Mapear o ativo com modelo de implantação

– Avilar potenciais modelos de serviços

– Esboçar o potencial fluxo de dados

Security Guidance: Framework Reduzido

14

03 Macro Seções:

– Arquitetura

– Governança

– Operações

Security Guidance: Seções

15

– Seção: Arquitetura

– Compreende em um framework conceitual para os demais domínios do guia

– Foca na descrição de Computação em Nuvem adaptada para profissionais de segurança e de redes

– Define a terminologia usada no guia e requisitos de arquiteturas e desafios para proteção das aplicações e serviços

Security Guidance: Framework da Arquitetura de Computação em Nuvem

16

– Seção: Governança

– Compreende na capacidade de uma organização para governar e medir o risco empresarial introduzido pela Computação em Nuvem

– Responsabilidade para proteger dados sensíveis no caso de provedor e usuário falhar

– Como essas questões são afetadas por fronteiras internacionais

Security Guidance: Governança e Gestão de Riscos Corporativos

17

– Seção: Governança

– Compreende nos problemas legais em potencial ao se utilizar Computação em Nuvem

– Requisitos de proteção da informação

– Requisitos regulatórios

– Leis internacionais

Security Guidance: Aspectos Legais e Electronic Discovery

18

– Seção: Governança

– Compreende na manutenção e comprovação de conformidade ao se fazer uso da Computação em Nuvem

– Como a Computação em Nuvem afeta o cumprimento de políticas de segurança interna e diversos requisitos de conformidade (regulatórios, legislativos, entre outros)

– Orientações para comprovar a conformidade no caso de auditoria

Security Guidance: Conformidade e Auditoria

19

– Seção: Governança

– Compreende no gereciamento dos dados que são colocados na Nuvem

– Controles compensatórios para lidar com a perda de controle físico

– Responsável pela confidencialidade, integridade e disponibilidade

Security Guidance: Gerenciamento do Ciclo de Vida das Informações

20

– Seção: Governança

– Compreende na habilidade de mover dados e/ou serviços de um provedor para outro ou totalmente de volta para a empresa

– Interoperabilidade entre fornecedores

Security Guidance: Portabilidade e Interoperabilidade

21

– Seção: Operações

– Descreve como a Computação em Nuvem afeta os processos e procedimentos operacionais usados atualmente em BCP e DRP

– Aborda sobre como ajudar a identificar onde a Computação em Nuvem pode ajudar a diminuir certos riscos, ou implica em aumento dos riscos

Security Guidance: Segurança Tradicional, Cont. de Negócios e Rec. Desastres

22

– Seção: Operações

– Descreve como avaliar a arquitetura e a operação de um fornecedor de Data Center

– Focado principalmente em ajudar a identificar características de data centers que podem ser prejudiciais e as fundamentais para estabilidade a longo prazo

Security Guidance: Operações e Data Center

23

– Seção: Operações

– Aborda a correta e adequada detecção de incidentes, resposta, notificação e correção

– Aborda itens tanto no nível de prestadores de serviços e consumidores

– Forense computacional

– Ajudar a compreender as diferenças na abordagem do sistema de gestão de incidentes atual

Security Guidance: Resposta a Incidente, Notificação e Remediação

24

– Seção: Operações

– Descreve modos de proteger a aplicação que está sendo executada ou desenvolvida na nuvem

– É apropriado migrar ou projetar uma aplicação na nuvem?

– Qual melhor modelo (SaaS, PaaS ou IaaS) ?

Security Guidance: Segurança de Aplicações

25

– Seção: Operações

– Discutir por que é necessário

– Identificar questões que surgem com a utilização, seja para proteger o acesso aos recursos ou para proteger os dados

Security Guidance: Criptografia e Gerenciamento de Chaves

26

– Seção: Operações

– Foco em questões encontradas quando se estende a identidade de uma organização para Nuvem

– Fornece insights para avaliar a capacidade da organização para realizar a gestão de identidade e acesso baseados na Nuvem

Security Guidance: Gerenciamento de Identidade e Acesso

27

– Seção: Operações

– Descreve o uso da Virtualização em Computação em Nuvem

– Aborda riscos associados com multilocação

– Isolamento de VMs

– Vulnerabilidades em Hypervisor

– Foca nas questões de segurança em torno do sistema/hardware de virtualização

Security Guidance: Virtualização

28

PROJETOS Atividades em andamento

29

– Voltada para profissionais

– Disponível desde 01 de Setembro

– Realizada online

– US$ 295, até 31 de Dezembro US$ 195

– Baseada no Guia de Boas Práticas da CSA e nos estudos da Enisa sobre gestão de riscos na Nuvem

– CCSK Study Guide

– Relacionada a versão do Guia, não expira

Projetos CCSK

30

– Certificação voltada para fornecedores (organizações)

– Parceria entre a CSA e a Novell

– Critérios de certificação serão definidos pela CSA

– Foco no domínio 12 (Gerenciamento de Identidade e Acesso)

Projetos Trusted Cloud

31

– Complemento ao Security Guidance

– Lançado duas vezes ao ano

– Auxiliar as organizações na decisões de gerenciamento de riscos na sua estratégia de adoção de Computação em Nuvem

– Versão 1.0

– Patrocinado pela HP

Projetos Top Threats

32

– Controls Matrix

– Cloud Metrics

– Cloud Audit

Projetos CSA Global

33

– Trazer o Cloud Security Alliance Congress para o Brasil

– Adaptar projetos da CSA para a realidade e necessidade Brasileira

Projetos CSA Brasil

34

Leonardo Goldim Presidente CSA Brasil

goldim@br.cloudsecurityalliance.org

http://br.cloudsecurityalliance.org

http://www.cloudsecurityalliance.org

Obrigado