View
652
Download
1
Category
Preview:
DESCRIPTION
Palestra sobre Cloud Computing, focando em alguns dos seus riscos para a Segurança da Informação, apresentada durante o Congresso Brasileiro de Tecnologia da Informação, realizado em São Paulo/SP em Nov/2012.
Citation preview
Avaliação de Riscos de Segurança em Cloud Computing
Marcelo Veloso
Congresso Brasileiro de Tecnologia da Informação
27, 28 e 29/11/2012 – São Paulo/SP
Marcelo Veloso
2012 Cloud Computing Adoption Survey
2 ConItech 2012 – São Paulo/SP 2
Fonte: Cloudtweaks, 2012
2012 Cloud Computing Adoption Survey
3 ConItech 2012 – São Paulo/SP 3
Fonte: Cloudtweaks, 2012
2012 Cloud Computing Adoption Survey
4 ConItech 2012 – São Paulo/SP 4
Fonte: Cloudtweaks, 2012
Ahead in the Cloud
5 ConItech 2012 – São Paulo/SP 5
Fonte: Cloudtweaks, 2012
Ahead in the Cloud
6 ConItech 2012 – São Paulo/SP 6
Fonte: Cloudtweaks, 2012
Apresentação• Marcelo Veloso
� marcelo.veloso@planejamento.mg.gov.br� @MVSecurityBR
• Assessor na SEPLAG/MG• Formação
MBA em Gestão de Segurança da Informação
• Marcelo Veloso� marcelo.veloso@planejamento.mg.gov.br� @MVSecurityBR
• Assessor na SEPLAG/MG• Formação
MBA em Gestão de Segurança da Informação
7 ConItech 2012 – São Paulo/SP 7
� MBA em Gestão de Segurança da Informação� Bacharel em Sistemas de Informação� Certificações: CCSK, Cloud Computing
Foundation, ISO 27002 Foundation, MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation
� MBA em Gestão de Segurança da Informação� Bacharel em Sistemas de Informação� Certificações: CCSK, Cloud Computing
Foundation, ISO 27002 Foundation, MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation
Agenda
Introdução
Definição
8 ConItech 2012 – São Paulo/SP 8
Definição
Benefícios
Considerações Finais
Riscos
Agenda
Introdução
Definição
9 ConItech 2012 – São Paulo/SP 9
Definição
Benefícios
Considerações Finais
Riscos
Introdução
Computação em Nuvem:
• Consolidação de um novo paradigma
• Benefícios claramente identificáveis
• Riscos associados
10 ConItech 2012 – São Paulo/SP 10
• Riscos associados
O objetivo deste estudo é apresentar alguns pontoscríticos a serem considerados ao se fazer a suaimplementação, a fim de evitar ou mesmominimizar possíveis impactos negativos
Agenda
Introdução
Definição
11 ConItech 2012 – São Paulo/SP 11
Definição
Benefícios
Considerações Finais
Riscos
O que é Cloud Computing?Quão familiar você está com relação ao conceito de Cloud Computing?
12 ConItech 2012 – São Paulo/SP 12
Fonte: IDC, 2011
O que é Cloud Computing?
13 ConItech 2012 – São Paulo/SP 13
Fonte: Citrix, 2012
Definição“Computação em nuvem é um modelo para habilitaracesso conveniente, sob demanda, para um conjuntocompartilhado de recursos computacionais configuráveis(por exemplo: redes, servidores, armazenamento,aplicações e serviços) que pode ser provisionado eliberado rapidamente com mínimo esforço de
“Computação em nuvem é um modelo para habilitaracesso conveniente, sob demanda, para um conjuntocompartilhado de recursos computacionais configuráveis(por exemplo: redes, servidores, armazenamento,aplicações e serviços) que pode ser provisionado eliberado rapidamente com mínimo esforço de
14 ConItech 2012 – São Paulo/SP 14
liberado rapidamente com mínimo esforço de
gerenciamento ou interação do provedor de serviço.
Este modelo promove disponibilidade e é composto porcinco características essenciais, três modelos de serviços
e quatro modelos de implementação.”(MELL, P., & GRANCE, 2010)
liberado rapidamente com mínimo esforço de
gerenciamento ou interação do provedor de serviço.
Este modelo promove disponibilidade e é composto porcinco características essenciais, três modelos de serviços
e quatro modelos de implementação.”(MELL, P., & GRANCE, 2010)
Definição
15 ConItech 2012 – São Paulo/SP 15
Fonte: NIST, 2010
Definição
SaaS
PaaS
Software como Serviço
16 ConItech 2012 – São Paulo/SP 16
PaaS
IaaS
Plataforma como Serviço
Infraestrutura como Serviço
Agenda
Introdução
Definição
17 ConItech 2012 – São Paulo/SP 17
Definição
Benefícios
Considerações Finais
Riscos
Benefícios
• Redução de custos
• Pagamento pelo uso
• Transforma CAPEX em OPEX
18 ConItech 2012 – São Paulo/SP 18
• Transforma CAPEX em OPEX
Benefícios
• Transforma CAPEX em OPEX• Transforma CAPEX em OPEX
19 ConItech 2012 – São Paulo/SP 19
Fonte: ROSENBERG, J., & MATEOS, 2011
Case: New York Times
20 ConItech 2012 – São Paulo/SP 20
Fonte: KRISHNAMURTHI, S., 2008
Benefícios
• Redução de custos
• Pagamento pelo uso
• Transforma CAPEX em OPEX
21 ConItech 2012 – São Paulo/SP 21
• Transforma CAPEX em OPEX
• Elasticidade
Benefícios
• Elasticidade• Elasticidade
22 ConItech 2012 – São Paulo/SP 22
Fonte: SOUZA, F., 2010
Benefícios
• Elasticidade• Elasticidade
23 ConItech 2012 – São Paulo/SP 23
Fonte: SOUZA, F., 2010
Case: Animoto.com
24 ConItech 2012 – São Paulo/SP 24
Fonte: KRISHNAMURTHI, S., 2008
Benefícios
• Redução de custos
• Pagamento pelo uso
• Transforma CAPEX em OPEX
25 ConItech 2012 – São Paulo/SP 25
• Transforma CAPEX em OPEX
• Elasticidade
• Agilidade (Vantagem competitiva)
• Cloud é Green
Agenda
Introdução
Definição
26 ConItech 2012 – São Paulo/SP 26
Definição
Benefícios
Considerações Finais
Riscos
Segurança: Principal Preocupação
Preocupações de executivos de TI sobre a adoção de Cloud Computing
27 ConItech 2012 – São Paulo/SP 27
Fonte: IDC, 2009
Segurança: Principal PreocupaçãoFatores mais importantes levados em consideração ao escolher
provedor de Cloud Computing – Brasil
28 ConItech 2012 – São Paulo/SP 28
Fonte: Frost & Sullivan, 2011
Segurança: Principal PreocupaçãoQuais são os 5 principais fatores a se considerar ao decidir
desenvolver/distribuir uma solução de nuvem?
29 ConItech 2012 – São Paulo/SP 29
Fonte: Information Security Media Group, 2012
Segurança: Principal Preocupação
30 ConItech 2012 – São Paulo/SP 30
Fonte: Intel IT Center, 2012
Segurança: Principal Preocupação
Em 2012, num estudo da HP Research, osrespondentes listaram as três principaisbarreiras para adoção de serviços de nuvem:
Em 2012, num estudo da HP Research, osrespondentes listaram as três principaisbarreiras para adoção de serviços de nuvem:
31 ConItech 2012 – São Paulo/SP 31
• Preocupações com segurança
• Preocupações com transformações• Preocupações com conformidade ou
governança
• Preocupações com segurança
• Preocupações com transformações• Preocupações com conformidade ou
governança
Falhas nas Nuvens
32 ConItech 2012 – São Paulo/SP 32
Fonte: WILLIAMS, M., 2010
Falhas nas Nuvens
33 ConItech 2012 – São Paulo/SP 33
Fonte: WILLIAMS, M., 2010
Falhas nas Nuvens
34 ConItech 2012 – São Paulo/SP 34
Fonte: WILLIAMS, M., 2010
Falhas nas Nuvens
35 ConItech 2012 – São Paulo/SP 35
Fonte: KAILA, R., 2012
Falhas nas Nuvens
36 ConItech 2012 – São Paulo/SP 36
Fonte: KAILA, R., 2012
Falhas nas Nuvens
37 ConItech 2012 – São Paulo/SP 37
Fonte: IDG Now, 2011
Falhas nas Nuvens
38 ConItech 2012 – São Paulo/SP 38
Fonte: Decision Report, 2012
Riscos de Segurança
• Aspectos Legais
� Proteção de dados
� Definição de papéis e responsabilidades
• Aspectos Legais
� Proteção de dados
� Definição de papéis e responsabilidades
39 ConItech 2012 – São Paulo/SP 39
� Direito de Auditoria
� Conformidade com leis locais
� Processo unificado para e-discovery
� Direito de Auditoria
� Conformidade com leis locais
� Processo unificado para e-discovery
Riscos de Segurança
• Ciclo de Vida das Informações
� Classificação de dados e direito de acesso
� Mescla de dados com outros clientes
• Ciclo de Vida das Informações
� Classificação de dados e direito de acesso
� Mescla de dados com outros clientes
40 ConItech 2012 – São Paulo/SP 40
� Esquemas de backup e recuperação
� Descarte de dados
� Violação de dados (penalidades)
� Esquemas de backup e recuperação
� Descarte de dados
� Violação de dados (penalidades)
Riscos de Segurança
• Portabilidade e Interoperabilidade
� Inexistência de padrões
� Reações inesperadas dos provedores
• Portabilidade e Interoperabilidade
� Inexistência de padrões
� Reações inesperadas dos provedores
41 ConItech 2012 – São Paulo/SP 41
� Interrupção de serviços
� Lock-in
� Falência ou aquisição do provedor
� Interrupção de serviços
� Lock-in
� Falência ou aquisição do provedor
Riscos de Segurança
• Segurança Tradicional e Continuidade de Negócios
� Centralização de dados
� Funcionários maliciosos
• Segurança Tradicional e Continuidade de Negócios
� Centralização de dados
� Funcionários maliciosos
42 ConItech 2012 – São Paulo/SP 42
� Interpendências físicas do provedor
� RTO insuficiente
� Gestão e revisão do Programa de
Continuidade de Negócios
� Interpendências físicas do provedor
� RTO insuficiente
� Gestão e revisão do Programa de
Continuidade de Negócios
Riscos de Segurança
• Resposta a Incidentes
� Definição de incidentes
� Responsabilidades e canal de comunicação
• Resposta a Incidentes
� Definição de incidentes
� Responsabilidades e canal de comunicação
43 ConItech 2012 – São Paulo/SP 43
� Compatibilidade de ferramentas
� Sobrecarga na detecção
� Estratégias de contenção e remediação
� Compatibilidade de ferramentas
� Sobrecarga na detecção
� Estratégias de contenção e remediação
Riscos de Segurança
• Criptografia e Gerenciamento de Chaves
� Dados em trânsito, em repouso e de backup
� Repositórios de chaves
• Criptografia e Gerenciamento de Chaves
� Dados em trânsito, em repouso e de backup
� Repositórios de chaves
44 ConItech 2012 – São Paulo/SP 44
� Gerenciamento de chaves
� Padrões de criptografia
� Responsabilidades pela criptografia
� Gerenciamento de chaves
� Padrões de criptografia
� Responsabilidades pela criptografia
Cloud Security Alliance
45 ConItech 2012 – São Paulo/SP 45
https://cloudsecurityalliance.org/
ENISA
46 ConItech 2012 – São Paulo/SP 46
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
Agenda
Introdução
Definição
47 ConItech 2012 – São Paulo/SP 47
Definição
Benefícios
Considerações Finais
Riscos
Previsões da Nuvem
48 ConItech 2012 – São Paulo/SP 48
Fonte: CIO, 2012
Previsões da Nuvem
49 ConItech 2012 – São Paulo/SP 49
Fonte: Info Online, 2012
Previsões da Nuvem
50 ConItech 2012 – São Paulo/SP 50
Fonte: CIO, 2012
Considerações FinaisA transformação mais significativa já sofrida pela TI. AComputação em Nuvem é uma realidade que não pode serignorada. Ir contra essa realidade, pode significar perdassignificativas para uma organização. Porém, cautela é umapalavra chave quando da sua adoção
Uma avaliação consistente, que demonstre claramente quais
51 ConItech 2012 – São Paulo/SP 51
É importante conhecer as combinações e os modelos deimplantações e serviços disponíveis e em constantesevolução. A adoção a partir de um piloto, para aquisição dematuridade, é uma boa alternativa
Uma avaliação consistente, que demonstre claramente quaisserão os benefícios a serem alcançado pelo negócio, além detodos os riscos envolvidos é primordial
Obrigado!
Marcelo Veloso
marcelo.veloso@planejamento.mg.gov.br
@MVSecurityBR
52 ConItech 2012 – São Paulo/SP 52
@MVSecurityBR
about.me/marceloveloso
Recommended