palestra conitech 2012 - avaliação de riscos de segurança em cloud computing

Avaliação de Riscos de Segurança em Cloud Computing

Marcelo Veloso

Congresso Brasileiro de Tecnologia da Informação

27, 28 e 29/11/2012 – São Paulo/SP

Marcelo Veloso

2012 Cloud Computing Adoption Survey

2 ConItech 2012 – São Paulo/SP 2

Fonte: Cloudtweaks, 2012

Ahead in the Cloud



Apresentação• Marcelo Veloso

� [email protected]� @MVSecurityBR

• Assessor na SEPLAG/MG• Formação

MBA em Gestão de Segurança da Informação

• Marcelo Veloso� [email protected]� @MVSecurityBR

• Assessor na SEPLAG/MG• Formação

MBA em Gestão de Segurança da Informação


� MBA em Gestão de Segurança da Informação� Bacharel em Sistemas de Informação� Certificações: CCSK, Cloud Computing

Foundation, ISO 27002 Foundation, MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation

� MBA em Gestão de Segurança da Informação� Bacharel em Sistemas de Informação� Certificações: CCSK, Cloud Computing

Foundation, ISO 27002 Foundation, MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation

Agenda

Introdução

Definição


Definição

Benefícios

Considerações Finais

Riscos

Agenda

Introdução

Definição


Definição

Benefícios


Riscos

Introdução

Computação em Nuvem:

• Consolidação de um novo paradigma

• Benefícios claramente identificáveis

• Riscos associados


• Riscos associados

O objetivo deste estudo é apresentar alguns pontoscríticos a serem considerados ao se fazer a suaimplementação, a fim de evitar ou mesmominimizar possíveis impactos negativos

Agenda

Introdução

Definição


Definição

Benefícios


Riscos

O que é Cloud Computing?Quão familiar você está com relação ao conceito de Cloud Computing?


Fonte: IDC, 2011

O que é Cloud Computing?


Fonte: Citrix, 2012

Definição“Computação em nuvem é um modelo para habilitaracesso conveniente, sob demanda, para um conjuntocompartilhado de recursos computacionais configuráveis(por exemplo: redes, servidores, armazenamento,aplicações e serviços) que pode ser provisionado eliberado rapidamente com mínimo esforço de

“Computação em nuvem é um modelo para habilitaracesso conveniente, sob demanda, para um conjuntocompartilhado de recursos computacionais configuráveis(por exemplo: redes, servidores, armazenamento,aplicações e serviços) que pode ser provisionado eliberado rapidamente com mínimo esforço de


liberado rapidamente com mínimo esforço de

gerenciamento ou interação do provedor de serviço.

Este modelo promove disponibilidade e é composto porcinco características essenciais, três modelos de serviços

e quatro modelos de implementação.”(MELL, P., & GRANCE, 2010)

liberado rapidamente com mínimo esforço de

gerenciamento ou interação do provedor de serviço.

Este modelo promove disponibilidade e é composto porcinco características essenciais, três modelos de serviços

e quatro modelos de implementação.”(MELL, P., & GRANCE, 2010)

Definição


Fonte: NIST, 2010

Definição

SaaS

PaaS

Software como Serviço


PaaS

IaaS

Plataforma como Serviço

Infraestrutura como Serviço

Agenda

Introdução

Definição


Definição

Benefícios


Riscos

Benefícios

• Redução de custos

• Pagamento pelo uso

• Transforma CAPEX em OPEX



Benefícios

• Transforma CAPEX em OPEX• Transforma CAPEX em OPEX


Fonte: ROSENBERG, J., & MATEOS, 2011

Case: New York Times


Fonte: KRISHNAMURTHI, S., 2008

Benefícios






• Elasticidade

Benefícios

• Elasticidade• Elasticidade


Fonte: SOUZA, F., 2010

Case: Animoto.com


Fonte: KRISHNAMURTHI, S., 2008

Benefícios






• Elasticidade

• Agilidade (Vantagem competitiva)

• Cloud é Green

Agenda

Introdução

Definição


Definição

Benefícios


Riscos

Segurança: Principal Preocupação

Preocupações de executivos de TI sobre a adoção de Cloud Computing


Fonte: IDC, 2009

Segurança: Principal PreocupaçãoFatores mais importantes levados em consideração ao escolher

provedor de Cloud Computing – Brasil


Fonte: Frost & Sullivan, 2011

Segurança: Principal PreocupaçãoQuais são os 5 principais fatores a se considerar ao decidir

desenvolver/distribuir uma solução de nuvem?


Fonte: Information Security Media Group, 2012



Fonte: Intel IT Center, 2012


Em 2012, num estudo da HP Research, osrespondentes listaram as três principaisbarreiras para adoção de serviços de nuvem:

Em 2012, num estudo da HP Research, osrespondentes listaram as três principaisbarreiras para adoção de serviços de nuvem:


• Preocupações com segurança

• Preocupações com transformações• Preocupações com conformidade ou

governança

• Preocupações com segurança

• Preocupações com transformações• Preocupações com conformidade ou

governança

Falhas nas Nuvens


Fonte: WILLIAMS, M., 2010

Falhas nas Nuvens



Falhas nas Nuvens


Fonte: KAILA, R., 2012

Falhas nas Nuvens


Fonte: IDG Now, 2011

Falhas nas Nuvens


Fonte: Decision Report, 2012

Riscos de Segurança

• Aspectos Legais

� Proteção de dados

� Definição de papéis e responsabilidades

• Aspectos Legais

� Proteção de dados

� Definição de papéis e responsabilidades


� Direito de Auditoria

� Conformidade com leis locais

� Processo unificado para e-discovery

� Direito de Auditoria

� Conformidade com leis locais

� Processo unificado para e-discovery


• Ciclo de Vida das Informações

� Classificação de dados e direito de acesso

� Mescla de dados com outros clientes

• Ciclo de Vida das Informações

� Classificação de dados e direito de acesso

� Mescla de dados com outros clientes


� Esquemas de backup e recuperação

� Descarte de dados

� Violação de dados (penalidades)

� Esquemas de backup e recuperação

� Descarte de dados

� Violação de dados (penalidades)


• Portabilidade e Interoperabilidade

� Inexistência de padrões

� Reações inesperadas dos provedores

• Portabilidade e Interoperabilidade

� Inexistência de padrões

� Reações inesperadas dos provedores


� Interrupção de serviços

� Lock-in

� Falência ou aquisição do provedor

� Interrupção de serviços

� Lock-in

� Falência ou aquisição do provedor


• Segurança Tradicional e Continuidade de Negócios

� Centralização de dados

� Funcionários maliciosos

• Segurança Tradicional e Continuidade de Negócios

� Centralização de dados

� Funcionários maliciosos


� Interpendências físicas do provedor

� RTO insuficiente

� Gestão e revisão do Programa de

Continuidade de Negócios

� Interpendências físicas do provedor

� RTO insuficiente

� Gestão e revisão do Programa de

Continuidade de Negócios


• Resposta a Incidentes

� Definição de incidentes

� Responsabilidades e canal de comunicação

• Resposta a Incidentes

� Definição de incidentes

� Responsabilidades e canal de comunicação


� Compatibilidade de ferramentas

� Sobrecarga na detecção

� Estratégias de contenção e remediação

� Compatibilidade de ferramentas

� Sobrecarga na detecção

� Estratégias de contenção e remediação


• Criptografia e Gerenciamento de Chaves

� Dados em trânsito, em repouso e de backup

� Repositórios de chaves

• Criptografia e Gerenciamento de Chaves

� Dados em trânsito, em repouso e de backup

� Repositórios de chaves


� Gerenciamento de chaves

� Padrões de criptografia

� Responsabilidades pela criptografia

� Gerenciamento de chaves

� Padrões de criptografia

� Responsabilidades pela criptografia

Cloud Security Alliance


https://cloudsecurityalliance.org/

ENISA


http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

Agenda

Introdução

Definição


Definição

Benefícios


Riscos

Previsões da Nuvem


Fonte: CIO, 2012

Previsões da Nuvem


Fonte: Info Online, 2012

Previsões da Nuvem


Fonte: CIO, 2012

Considerações FinaisA transformação mais significativa já sofrida pela TI. AComputação em Nuvem é uma realidade que não pode serignorada. Ir contra essa realidade, pode significar perdassignificativas para uma organização. Porém, cautela é umapalavra chave quando da sua adoção

Uma avaliação consistente, que demonstre claramente quais


É importante conhecer as combinações e os modelos deimplantações e serviços disponíveis e em constantesevolução. A adoção a partir de um piloto, para aquisição dematuridade, é uma boa alternativa

Uma avaliação consistente, que demonstre claramente quaisserão os benefícios a serem alcançado pelo negócio, além detodos os riscos envolvidos é primordial

Obrigado!

Marcelo Veloso

[email protected]

@MVSecurityBR


@MVSecurityBR

about.me/marceloveloso

palestra conitech 2012 - avaliação de riscos de segurança em cloud computing

Technology