SlideShare a Scribd company logo

Análise riscos cloud

Paulo Rodrigues
Paulo Rodrigues

Este documento apresenta uma análise de riscos e contramedidas para a adoção de cloud computing. Resume os principais tipos de cloud, analisa os riscos em 12 domínios, compara o custo-benefício de diferentes opções e fornece recomendações como estabelecer políticas e SLA para a escolha de fornecedores.

Internet
1 of 15
Download to read offline
Confidentia IT Solutions 55 11 4063 9717 55 11 98387 6194 paulo.rodrigues@confidentiati.com Análise de Riscos e Contramedidas em Cloud-Computing 24/02/2010
Paulo César Rodrigues CGEIT®, CISA®, CISM® Mais de 20 anos de experiência técnica e executiva nas áreas de TI, Marketing, Planejamento Estratégico e Auditoria. Foi CIO em empresas como Goodyear, Harris, Sodexho, Komatsu. Graduado em Tecnologia de Processamento de Dados pela UNICAMP. Vivência em projetos nos USA, Argentina, Colômbia, Venezuela e Canadá. Vivência em projetos de Governança Corporativa e de TI, SOX (Sarbannes & Oxley), ITIL e Cobit, ISO 17779, CMM e CMMi, Software Factory, Six Sigma, etc. Certificado Cobit® Foundation, CGEIT®, CISA® e CISM®. Um dos cinco instrutores oficiais Cobit® Foundations no Brasil. Foi Diretor de Educação e Certificação do Capítulo ISACA– Brasília.
Agenda •Definições e Tipos de Cloud •Riscos inerentes a cada tipo de cloud •Análise de Riscos •Análise de Custo/Benefício para cada tipo de Cloud, considerando os riscos •Contra-medidas para cloud
Definições e Tipos de Cloud The Cloud Cube Model – The Jericho Forum
Definições e Tipos de Cloud
Análise de Riscos Fonte: CSA Guide 2.16 – Cloud Security Alliance
Análise de Riscos Fonte: CSA Guide 2.16 – Cloud Security Alliance
Análise de Riscos A Cloud Security Alliance estabeleceu 12 domínios divididos nas áreas de Governança e Operações. São elas: Governança Operações Governance and Enterprise Risk Management Traditional Security, Business Continuity and Disaster Recovery Legal and Electronic Discovery Data Center Operations Compliance and Audit Incident Response, Notification and Remediation Information Lifecycle Management Application Security Portability and Interoperability Encryption and Key Management Identity and Access Management
Análise de Riscos - RiskIT
Custo/Benefício Comparativo para um ambiente com mais de 30 servidores, um administrador Amazon EC2 Linux Internal Server Linux Internal Cloud Linux Premissa: Spot Instance, 8 horas por dia Premissa: Server novo, depreciação em 3 anos, serviço incluso (baseado no TCO Gartner), 8 horas/dia Premissa: hardware existente (4 nós), depreciado, serviço incluso (baseado no TCO Gartner), 8 horas/dia Extra Large Instance Equivalent Processing Power Extra Large Instance Preço Hora1 0,24 USD 2,05 USD 0,17 USD Preço Mês 40,42 USD 353,42 USD 29,45 USD Preço Ano 485,04 USD 4.241,10 USD 353,42 USD
Custo/Benefício Comparativo para um ambiente com mais de 30 servidores, um administrador Amazon EC2 Linux Internal Server Linux Internal Cloud Linux Autenticação Multi-Fator Não Possível Possível Pode auditar? Não, SAS-70 tipo II Sim Sim Continuidade e Disponibilidade Forte Possível Possível “Elasticidade” Infinita, custos adicionais Só é possível com novo investimento Limitada no investimento atual
Contramedidas Roteiro* (avaliar a possibilidade de usar um modelo de riscos como o RiskIT): 1)Identificar os ativos que irão para a nuvem 2)Avaliar os ativos. Perguntas a fazer: •Como poderíamos ser prejudicados se o ativo se tornar amplamente público e amplamente distribuído? •Como poderíamos ser prejudicados se um funcionário do nosso provedor de cloud acessar o ativo? •Como poderíamos ser prejudicados se o processo ou função forem manipulados por um estranho? •Como poderíamos ser prejudicados se o processo ou função não apresentar os resultados esperados? •Como poderíamos ser prejudicados se as informações / dados forem alterados inesperadamente? •Como poderíamos ser prejudicados se o ativo não estiver disponível para um período de tempo? 3)Mapear o ativo para os potenciais modelos de implantação na nuvem 4)Avaliar potenciais modelos e fornecedores de serviço em nuvem * Baseado no CSA Guidance 2.16
Contramedidas Talvez o principal risco para a organização seja a facilidade de contratação!!!! Para evitar: ✔Criar política restringindo/proibindo a compra destes serviços ✔Realizar a escolha de um fornecedor e estabelecer com ele regras e SLA's baseados em Risk Assessment, respeitando as políticas e cultura e apetite ao risco da sua empresa (fontes de informação/inspiração: RiskIT, CSA Guidance, JerichoForum, NIST) ✔Nunca deixar de lado a metodologia de gerenciamento de investimentos e de projetos da sua empresa (fontes de informação: ValIT, PMBok, Prince2)
Contramedidas Outro risco é considerar o ganho em Opex/Capex de uma solução específica e esquecer o que já foi investido e mesmo a capacidade ociosa. Para evitar: ✔Business Case detalho e realista (não empolgar com a tecnologia) ✔Considerar o ciclo total do investimento (ValIT) ✔Inventários sempre atualizados ✔Gestão de Capacidade e Performance ✔Havendo capacidade ociosa, POC com o mesmo tipo de tecnologia (para-virtualização, grid, etc.. ver http://open.eucalyptus.com/) ✔Não concentrar as decisões em uma só área, usar finanças, legal, suprimentos
? DÚVIDAS ? Paulo César Rodrigues – CGEIT®, CISA®, CISM® paulo.rodrigues@confidentiati.com http://www.confidentiati.com 11-4063-9717 11-98387-6194

Recommended

Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
FIESP - Custo de Crédito - 08/03/2012
FIESP - Custo de Crédito - 08/03/2012FIESP - Custo de Crédito - 08/03/2012
FIESP - Custo de Crédito - 08/03/2012Fiesp Federação das Indústrias do Estado de SP
 
Pesquisa Sensor - Julho/2016
Pesquisa Sensor - Julho/2016Pesquisa Sensor - Julho/2016
Pesquisa Sensor - Julho/2016Fiesp Federação das Indústrias do Estado de SP
 
Apresentação Indicador de Nível de Emprego - Setembro de 2015
Apresentação Indicador de Nível de Emprego - Setembro de 2015Apresentação Indicador de Nível de Emprego - Setembro de 2015
Apresentação Indicador de Nível de Emprego - Setembro de 2015Fiesp Federação das Indústrias do Estado de SP
 
Apresentação conjuntura junho/2016
Apresentação conjuntura junho/2016Apresentação conjuntura junho/2016
Apresentação conjuntura junho/2016Fiesp Federação das Indústrias do Estado de SP
 
Análise de Custo-Efetividade do Exercício na Insuficiência Cardíaca
Análise de Custo-Efetividade do Exercício na Insuficiência CardíacaAnálise de Custo-Efetividade do Exercício na Insuficiência Cardíaca
Análise de Custo-Efetividade do Exercício na Insuficiência CardíacaEduardo Kühr
 
Custos 06
Custos 06Custos 06
Custos 06zeramento contabil
 
Analise de Ponto de Equilibrio
Analise de Ponto de EquilibrioAnalise de Ponto de Equilibrio
Analise de Ponto de EquilibrioFilipe Mello
 

Recommended

Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
FIESP - Custo de Crédito - 08/03/2012
FIESP - Custo de Crédito - 08/03/2012FIESP - Custo de Crédito - 08/03/2012
FIESP - Custo de Crédito - 08/03/2012Fiesp Federação das Indústrias do Estado de SP
 
Pesquisa Sensor - Julho/2016
Pesquisa Sensor - Julho/2016Pesquisa Sensor - Julho/2016
Pesquisa Sensor - Julho/2016Fiesp Federação das Indústrias do Estado de SP
 
Apresentação Indicador de Nível de Emprego - Setembro de 2015
Apresentação Indicador de Nível de Emprego - Setembro de 2015Apresentação Indicador de Nível de Emprego - Setembro de 2015
Apresentação Indicador de Nível de Emprego - Setembro de 2015Fiesp Federação das Indústrias do Estado de SP
 
Apresentação conjuntura junho/2016
Apresentação conjuntura junho/2016Apresentação conjuntura junho/2016
Apresentação conjuntura junho/2016Fiesp Federação das Indústrias do Estado de SP
 
Análise de Custo-Efetividade do Exercício na Insuficiência Cardíaca
Análise de Custo-Efetividade do Exercício na Insuficiência CardíacaAnálise de Custo-Efetividade do Exercício na Insuficiência Cardíaca
Análise de Custo-Efetividade do Exercício na Insuficiência CardíacaEduardo Kühr
 
Custos 06
Custos 06Custos 06
Custos 06zeramento contabil
 
Analise de Ponto de Equilibrio
Analise de Ponto de EquilibrioAnalise de Ponto de Equilibrio
Analise de Ponto de EquilibrioFilipe Mello
 
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...Amazon Web Services LATAM
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfLucianoDejesus15
 
Digital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityDigital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityGustavo de Boer
 
Big Data Analytics - Data Engineer, Arquitetura, AWS e Mais
Big Data Analytics - Data Engineer, Arquitetura, AWS e MaisBig Data Analytics - Data Engineer, Arquitetura, AWS e Mais
Big Data Analytics - Data Engineer, Arquitetura, AWS e MaisCicero Joasyo Mateus de Moura
 
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rjCloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rjAlfredo Saad
 
E-book Business Case de SAM
E-book Business Case de SAME-book Business Case de SAM
E-book Business Case de SAMAlan Canuto
 
001ebook_Business Case de SAM.pdf
001ebook_Business Case de SAM.pdf001ebook_Business Case de SAM.pdf
001ebook_Business Case de SAM.pdfFernanda Ramos
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
 
Apresentação (resumido) oxti
Apresentação (resumido) oxtiApresentação (resumido) oxti
Apresentação (resumido) oxtiOXTI
 
Kaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdf
Kaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdfKaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdf
Kaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdfJardimSecretoCoelho
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Wiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsWiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsLeonardo Couto
 
Governança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTIGovernança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTICEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
tdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdftdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdfDouglas Siviotti
 
governanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptxgovernanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptxValbertoSilva5
 
Sistemas de Informação 2 - Aula04 - Sistemas de informação nas organizações p...
Sistemas de Informação 2 - Aula04 - Sistemas de informação nas organizações p...Sistemas de Informação 2 - Aula04 - Sistemas de informação nas organizações p...
Sistemas de Informação 2 - Aula04 - Sistemas de informação nas organizações p...CEULJI/ULBRA Centro Universitário Luterano de Ji-Paraná
 
Evento Entrega Ágil de Processos Digitais - Magic Software
Evento Entrega Ágil de Processos Digitais - Magic SoftwareEvento Entrega Ágil de Processos Digitais - Magic Software
Evento Entrega Ágil de Processos Digitais - Magic SoftwareLecom Tecnologia
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede Reginaldo José Silva
 
8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina ManoCNseg
 
Pré agenda para o CMG Impact 2019
Pré agenda para o CMG Impact 2019Pré agenda para o CMG Impact 2019
Pré agenda para o CMG Impact 2019Joao Galdino Mello de Souza
 

More Related Content

Similar to Análise riscos cloud

Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...Amazon Web Services LATAM
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfLucianoDejesus15
 
Digital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityDigital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityGustavo de Boer
 
Big Data Analytics - Data Engineer, Arquitetura, AWS e Mais
Big Data Analytics - Data Engineer, Arquitetura, AWS e MaisBig Data Analytics - Data Engineer, Arquitetura, AWS e Mais
Big Data Analytics - Data Engineer, Arquitetura, AWS e MaisCicero Joasyo Mateus de Moura
 
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rjCloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rjAlfredo Saad
 
E-book Business Case de SAM
E-book Business Case de SAME-book Business Case de SAM
E-book Business Case de SAMAlan Canuto
 
001ebook_Business Case de SAM.pdf
001ebook_Business Case de SAM.pdf001ebook_Business Case de SAM.pdf
001ebook_Business Case de SAM.pdfFernanda Ramos
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Tenchi Security
 
Apresentação (resumido) oxti
Apresentação (resumido) oxtiApresentação (resumido) oxti
Apresentação (resumido) oxtiOXTI
 
Kaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdf
Kaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdfKaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdf
Kaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdfJardimSecretoCoelho
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Wiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsWiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsLeonardo Couto
 
tdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdftdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdfDouglas Siviotti
 
governanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptxgovernanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptxValbertoSilva5
 
Evento Entrega Ágil de Processos Digitais - Magic Software
Evento Entrega Ágil de Processos Digitais - Magic SoftwareEvento Entrega Ágil de Processos Digitais - Magic Software
Evento Entrega Ágil de Processos Digitais - Magic SoftwareLecom Tecnologia
 
8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina ManoCNseg
 

Similar to Análise riscos cloud (20)

Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
 
Analista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdfAnalista de Defesa Cibernética (link).pdf
Analista de Defesa Cibernética (link).pdf
 
Digital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber SecurityDigital Summit Brasil 2016 - Tech Trends + Cyber Security
Digital Summit Brasil 2016 - Tech Trends + Cyber Security
 
Big Data Analytics - Data Engineer, Arquitetura, AWS e Mais
Big Data Analytics - Data Engineer, Arquitetura, AWS e MaisBig Data Analytics - Data Engineer, Arquitetura, AWS e Mais
Big Data Analytics - Data Engineer, Arquitetura, AWS e Mais
 
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rjCloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
 
E-book Business Case de SAM
E-book Business Case de SAME-book Business Case de SAM
E-book Business Case de SAM
 
001ebook_Business Case de SAM.pdf
001ebook_Business Case de SAM.pdf001ebook_Business Case de SAM.pdf
001ebook_Business Case de SAM.pdf
 
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
Aprendizados da Gestão de Riscos e Conformidade Regulatória de sua Organizaçã...
 
Apresentação (resumido) oxti
Apresentação (resumido) oxtiApresentação (resumido) oxti
Apresentação (resumido) oxti
 
Kaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdf
Kaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdfKaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdf
Kaspersky Endpoint Security Cloud Presentation Partner 0222_pt-BR.pdf
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
Wiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & AnalyticsWiseminer Data Blending, Data Preparation & Analytics
Wiseminer Data Blending, Data Preparation & Analytics
 
Governança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTIGovernança de TI - Aula05 - compliance, PETI e PDTI
Governança de TI - Aula05 - compliance, PETI e PDTI
 
tdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdftdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdf
 
governanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptxgovernanc3a7a-de-ti.pptx
governanc3a7a-de-ti.pptx
 
Sistemas de Informação 2 - Aula04 - Sistemas de informação nas organizações p...
Sistemas de Informação 2 - Aula04 - Sistemas de informação nas organizações p...Sistemas de Informação 2 - Aula04 - Sistemas de informação nas organizações p...
Sistemas de Informação 2 - Aula04 - Sistemas de informação nas organizações p...
 
Evento Entrega Ágil de Processos Digitais - Magic Software
Evento Entrega Ágil de Processos Digitais - Magic SoftwareEvento Entrega Ágil de Processos Digitais - Magic Software
Evento Entrega Ágil de Processos Digitais - Magic Software
 
Planejamento rede
Planejamento rede Planejamento rede
Planejamento rede
 
8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano8ª Conseguro - Cristina Mano
8ª Conseguro - Cristina Mano
 
Pré agenda para o CMG Impact 2019
Pré agenda para o CMG Impact 2019Pré agenda para o CMG Impact 2019
Pré agenda para o CMG Impact 2019
 

Análise riscos cloud

  • 1. Confidentia IT Solutions 55 11 4063 9717 55 11 98387 6194 paulo.rodrigues@confidentiati.com Análise de Riscos e Contramedidas em Cloud-Computing 24/02/2010
  • 2. Paulo César Rodrigues CGEIT®, CISA®, CISM® Mais de 20 anos de experiência técnica e executiva nas áreas de TI, Marketing, Planejamento Estratégico e Auditoria. Foi CIO em empresas como Goodyear, Harris, Sodexho, Komatsu. Graduado em Tecnologia de Processamento de Dados pela UNICAMP. Vivência em projetos nos USA, Argentina, Colômbia, Venezuela e Canadá. Vivência em projetos de Governança Corporativa e de TI, SOX (Sarbannes & Oxley), ITIL e Cobit, ISO 17779, CMM e CMMi, Software Factory, Six Sigma, etc. Certificado Cobit® Foundation, CGEIT®, CISA® e CISM®. Um dos cinco instrutores oficiais Cobit® Foundations no Brasil. Foi Diretor de Educação e Certificação do Capítulo ISACA– Brasília.
  • 3. Agenda •Definições e Tipos de Cloud •Riscos inerentes a cada tipo de cloud •Análise de Riscos •Análise de Custo/Benefício para cada tipo de Cloud, considerando os riscos •Contra-medidas para cloud
  • 4. Definições e Tipos de Cloud The Cloud Cube Model – The Jericho Forum
  • 6. Análise de Riscos Fonte: CSA Guide 2.16 – Cloud Security Alliance
  • 7. Análise de Riscos Fonte: CSA Guide 2.16 – Cloud Security Alliance
  • 8. Análise de Riscos A Cloud Security Alliance estabeleceu 12 domínios divididos nas áreas de Governança e Operações. São elas: Governança Operações Governance and Enterprise Risk Management Traditional Security, Business Continuity and Disaster Recovery Legal and Electronic Discovery Data Center Operations Compliance and Audit Incident Response, Notification and Remediation Information Lifecycle Management Application Security Portability and Interoperability Encryption and Key Management Identity and Access Management
  • 10. Custo/Benefício Comparativo para um ambiente com mais de 30 servidores, um administrador Amazon EC2 Linux Internal Server Linux Internal Cloud Linux Premissa: Spot Instance, 8 horas por dia Premissa: Server novo, depreciação em 3 anos, serviço incluso (baseado no TCO Gartner), 8 horas/dia Premissa: hardware existente (4 nós), depreciado, serviço incluso (baseado no TCO Gartner), 8 horas/dia Extra Large Instance Equivalent Processing Power Extra Large Instance Preço Hora1 0,24 USD 2,05 USD 0,17 USD Preço Mês 40,42 USD 353,42 USD 29,45 USD Preço Ano 485,04 USD 4.241,10 USD 353,42 USD
  • 11. Custo/Benefício Comparativo para um ambiente com mais de 30 servidores, um administrador Amazon EC2 Linux Internal Server Linux Internal Cloud Linux Autenticação Multi-Fator Não Possível Possível Pode auditar? Não, SAS-70 tipo II Sim Sim Continuidade e Disponibilidade Forte Possível Possível “Elasticidade” Infinita, custos adicionais Só é possível com novo investimento Limitada no investimento atual
  • 12. Contramedidas Roteiro* (avaliar a possibilidade de usar um modelo de riscos como o RiskIT): 1)Identificar os ativos que irão para a nuvem 2)Avaliar os ativos. Perguntas a fazer: •Como poderíamos ser prejudicados se o ativo se tornar amplamente público e amplamente distribuído? •Como poderíamos ser prejudicados se um funcionário do nosso provedor de cloud acessar o ativo? •Como poderíamos ser prejudicados se o processo ou função forem manipulados por um estranho? •Como poderíamos ser prejudicados se o processo ou função não apresentar os resultados esperados? •Como poderíamos ser prejudicados se as informações / dados forem alterados inesperadamente? •Como poderíamos ser prejudicados se o ativo não estiver disponível para um período de tempo? 3)Mapear o ativo para os potenciais modelos de implantação na nuvem 4)Avaliar potenciais modelos e fornecedores de serviço em nuvem * Baseado no CSA Guidance 2.16
  • 13. Contramedidas Talvez o principal risco para a organização seja a facilidade de contratação!!!! Para evitar: ✔Criar política restringindo/proibindo a compra destes serviços ✔Realizar a escolha de um fornecedor e estabelecer com ele regras e SLA's baseados em Risk Assessment, respeitando as políticas e cultura e apetite ao risco da sua empresa (fontes de informação/inspiração: RiskIT, CSA Guidance, JerichoForum, NIST) ✔Nunca deixar de lado a metodologia de gerenciamento de investimentos e de projetos da sua empresa (fontes de informação: ValIT, PMBok, Prince2)
  • 14. Contramedidas Outro risco é considerar o ganho em Opex/Capex de uma solução específica e esquecer o que já foi investido e mesmo a capacidade ociosa. Para evitar: ✔Business Case detalho e realista (não empolgar com a tecnologia) ✔Considerar o ciclo total do investimento (ValIT) ✔Inventários sempre atualizados ✔Gestão de Capacidade e Performance ✔Havendo capacidade ociosa, POC com o mesmo tipo de tecnologia (para-virtualização, grid, etc.. ver http://open.eucalyptus.com/) ✔Não concentrar as decisões em uma só área, usar finanças, legal, suprimentos
  • 15. ? DÚVIDAS ? Paulo César Rodrigues – CGEIT®, CISA®, CISM® paulo.rodrigues@confidentiati.com http://www.confidentiati.com 11-4063-9717 11-98387-6194