Este documento apresenta uma análise de riscos e contramedidas para a adoção de cloud computing. Resume os principais tipos de cloud, analisa os riscos em 12 domínios, compara o custo-benefício de diferentes opções e fornece recomendações como estabelecer políticas e SLA para a escolha de fornecedores.
1. Confidentia IT Solutions
55 11 4063 9717
55 11 98387 6194
paulo.rodrigues@confidentiati.com
Análise de Riscos e Contramedidas
em Cloud-Computing
24/02/2010
2. Paulo César Rodrigues
CGEIT®, CISA®, CISM®
Mais de 20 anos de experiência técnica e executiva nas áreas de TI,
Marketing, Planejamento Estratégico e Auditoria. Foi CIO em empresas
como Goodyear, Harris, Sodexho, Komatsu. Graduado em Tecnologia de
Processamento de Dados pela UNICAMP. Vivência em projetos nos USA,
Argentina, Colômbia, Venezuela e Canadá. Vivência em projetos de
Governança Corporativa e de TI, SOX (Sarbannes & Oxley), ITIL e Cobit,
ISO 17779, CMM e CMMi, Software Factory, Six Sigma, etc. Certificado
Cobit® Foundation, CGEIT®, CISA® e CISM®. Um dos cinco instrutores
oficiais Cobit® Foundations no Brasil. Foi Diretor de Educação e
Certificação do Capítulo ISACA– Brasília.
3. Agenda
•Definições e Tipos de Cloud
•Riscos inerentes a cada tipo de cloud
•Análise de Riscos
•Análise de Custo/Benefício para cada tipo de Cloud,
considerando os riscos
•Contra-medidas para cloud
8. Análise de Riscos
A Cloud Security Alliance estabeleceu 12 domínios divididos nas áreas de
Governança e Operações. São elas:
Governança Operações
Governance and Enterprise Risk
Management
Traditional Security, Business
Continuity and Disaster Recovery
Legal and Electronic Discovery Data Center Operations
Compliance and Audit Incident Response, Notification and
Remediation
Information Lifecycle Management Application Security
Portability and Interoperability Encryption and Key Management
Identity and Access Management
10. Custo/Benefício
Comparativo para um ambiente com mais de 30 servidores, um administrador
Amazon EC2
Linux
Internal Server
Linux
Internal Cloud
Linux
Premissa: Spot
Instance, 8 horas
por dia
Premissa: Server
novo, depreciação
em 3 anos, serviço
incluso (baseado no
TCO Gartner), 8
horas/dia
Premissa: hardware
existente (4 nós),
depreciado, serviço
incluso (baseado no
TCO Gartner), 8
horas/dia
Extra Large
Instance
Equivalent
Processing Power
Extra Large
Instance
Preço
Hora1
0,24 USD 2,05 USD 0,17 USD
Preço
Mês
40,42 USD 353,42 USD 29,45 USD
Preço
Ano
485,04 USD 4.241,10 USD 353,42 USD
11. Custo/Benefício
Comparativo para um ambiente com mais de 30 servidores, um administrador
Amazon EC2
Linux
Internal Server
Linux
Internal Cloud
Linux
Autenticação
Multi-Fator
Não Possível Possível
Pode auditar? Não, SAS-70 tipo
II
Sim Sim
Continuidade e
Disponibilidade
Forte Possível Possível
“Elasticidade” Infinita, custos
adicionais
Só é possível com
novo investimento
Limitada no
investimento atual
12. Contramedidas
Roteiro* (avaliar a possibilidade de usar um modelo de riscos como o RiskIT):
1)Identificar os ativos que irão para a nuvem
2)Avaliar os ativos. Perguntas a fazer:
•Como poderíamos ser prejudicados se o ativo se tornar amplamente público e
amplamente distribuído?
•Como poderíamos ser prejudicados se um funcionário do nosso provedor de cloud
acessar o ativo?
•Como poderíamos ser prejudicados se o processo ou função forem manipulados por
um estranho?
•Como poderíamos ser prejudicados se o processo ou função não apresentar os
resultados esperados?
•Como poderíamos ser prejudicados se as informações / dados forem alterados
inesperadamente?
•Como poderíamos ser prejudicados se o ativo não estiver disponível para um período
de tempo?
3)Mapear o ativo para os potenciais modelos de implantação na nuvem
4)Avaliar potenciais modelos e fornecedores de serviço em nuvem
* Baseado no CSA Guidance 2.16
13. Contramedidas
Talvez o principal risco para a organização seja a facilidade de
contratação!!!!
Para evitar:
✔Criar política restringindo/proibindo a compra destes serviços
✔Realizar a escolha de um fornecedor e estabelecer com ele
regras e SLA's baseados em Risk Assessment, respeitando as
políticas e cultura e apetite ao risco da sua empresa (fontes de
informação/inspiração: RiskIT, CSA Guidance, JerichoForum,
NIST)
✔Nunca deixar de lado a metodologia de gerenciamento de
investimentos e de projetos da sua empresa (fontes de
informação: ValIT, PMBok, Prince2)
14. Contramedidas
Outro risco é considerar o ganho em Opex/Capex de uma solução
específica e esquecer o que já foi investido e mesmo a capacidade
ociosa.
Para evitar:
✔Business Case detalho e realista (não empolgar com a tecnologia)
✔Considerar o ciclo total do investimento (ValIT)
✔Inventários sempre atualizados
✔Gestão de Capacidade e Performance
✔Havendo capacidade ociosa, POC com o mesmo tipo de tecnologia
(para-virtualização, grid, etc.. ver http://open.eucalyptus.com/)
✔Não concentrar as decisões em uma só área, usar finanças, legal,
suprimentos