Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing

715 views

Published on

Palestra sobre Cloud Computing, focando em alguns dos seus riscos para a Segurança da Informação, apresentada durante o Congresso Brasileiro de Tecnologia da Informação, realizado em São Paulo/SP em Nov/2012.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
715
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing

  1. 1. Avaliação de Riscos deSegurança emCloud ComputingMarcelo VelosoCongresso Brasileiro de Tecnologia da Informação27, 28 e 29/11/2012 – São Paulo/SPMarcelo Veloso
  2. 2. 2012 Cloud Computing Adoption Survey2 ConItech 2012 – São Paulo/SP 2Fonte: Cloudtweaks, 2012
  3. 3. 2012 Cloud Computing Adoption Survey3 ConItech 2012 – São Paulo/SP 3Fonte: Cloudtweaks, 2012
  4. 4. 2012 Cloud Computing Adoption Survey4 ConItech 2012 – São Paulo/SP 4Fonte: Cloudtweaks, 2012
  5. 5. Ahead in the Cloud5 ConItech 2012 – São Paulo/SP 5Fonte: Cloudtweaks, 2012
  6. 6. Ahead in the Cloud6 ConItech 2012 – São Paulo/SP 6Fonte: Cloudtweaks, 2012
  7. 7. Apresentação• Marcelo Velosomarcelo.veloso@planejamento.mg.gov.br@MVSecurityBR• Assessor na SEPLAG/MG• FormaçãoMBA em Gestão de Segurança da Informação• Marcelo Velosomarcelo.veloso@planejamento.mg.gov.br@MVSecurityBR• Assessor na SEPLAG/MG• FormaçãoMBA em Gestão de Segurança da Informação7 ConItech 2012 – São Paulo/SP 7MBA em Gestão de Segurança da InformaçãoBacharel em Sistemas de InformaçãoCertificações: CCSK, Cloud ComputingFoundation, ISO 27002 Foundation, MCSA,MCITP, MCTS, MCDST, MCP, ITIL FoundationMBA em Gestão de Segurança da InformaçãoBacharel em Sistemas de InformaçãoCertificações: CCSK, Cloud ComputingFoundation, ISO 27002 Foundation, MCSA,MCITP, MCTS, MCDST, MCP, ITIL Foundation
  8. 8. AgendaIntroduçãoDefinição8 ConItech 2012 – São Paulo/SP 8DefiniçãoBenefíciosConsiderações FinaisRiscos
  9. 9. AgendaIntroduçãoDefinição9 ConItech 2012 – São Paulo/SP 9DefiniçãoBenefíciosConsiderações FinaisRiscos
  10. 10. IntroduçãoComputação em Nuvem:• Consolidação de um novo paradigma• Benefícios claramente identificáveis• Riscos associados10 ConItech 2012 – São Paulo/SP 10• Riscos associadosO objetivo deste estudo é apresentar alguns pontoscríticos a serem considerados ao se fazer a suaimplementação, a fim de evitar ou mesmominimizar possíveis impactos negativos
  11. 11. AgendaIntroduçãoDefinição11 ConItech 2012 – São Paulo/SP 11DefiniçãoBenefíciosConsiderações FinaisRiscos
  12. 12. O que é Cloud Computing?Quão familiar você está com relação ao conceito de Cloud Computing?12 ConItech 2012 – São Paulo/SP 12Fonte: IDC, 2011
  13. 13. O que é Cloud Computing?13 ConItech 2012 – São Paulo/SP 13Fonte: Citrix, 2012
  14. 14. Definição“Computação em nuvem é um modelo para habilitaracesso conveniente, sob demanda, para um conjuntocompartilhado de recursos computacionais configuráveis(por exemplo: redes, servidores, armazenamento,aplicações e serviços) que pode ser provisionado eliberado rapidamente com mínimo esforço de“Computação em nuvem é um modelo para habilitaracesso conveniente, sob demanda, para um conjuntocompartilhado de recursos computacionais configuráveis(por exemplo: redes, servidores, armazenamento,aplicações e serviços) que pode ser provisionado eliberado rapidamente com mínimo esforço de14 ConItech 2012 – São Paulo/SP 14liberado rapidamente com mínimo esforço degerenciamento ou interação do provedor de serviço.Este modelo promove disponibilidade e é composto porcinco características essenciais, três modelos de serviçose quatro modelos de implementação.”(MELL, P., & GRANCE, 2010)liberado rapidamente com mínimo esforço degerenciamento ou interação do provedor de serviço.Este modelo promove disponibilidade e é composto porcinco características essenciais, três modelos de serviçose quatro modelos de implementação.”(MELL, P., & GRANCE, 2010)
  15. 15. Definição15 ConItech 2012 – São Paulo/SP 15Fonte: NIST, 2010
  16. 16. DefiniçãoSaaSPaaSSoftware como Serviço16 ConItech 2012 – São Paulo/SP 16PaaSIaaSPlataforma como ServiçoInfraestrutura como Serviço
  17. 17. AgendaIntroduçãoDefinição17 ConItech 2012 – São Paulo/SP 17DefiniçãoBenefíciosConsiderações FinaisRiscos
  18. 18. Benefícios• Redução de custos• Pagamento pelo uso• Transforma CAPEX em OPEX18 ConItech 2012 – São Paulo/SP 18• Transforma CAPEX em OPEX
  19. 19. Benefícios• Transforma CAPEX em OPEX• Transforma CAPEX em OPEX19 ConItech 2012 – São Paulo/SP 19Fonte: ROSENBERG, J., & MATEOS, 2011
  20. 20. Case: New York Times20 ConItech 2012 – São Paulo/SP 20Fonte: KRISHNAMURTHI, S., 2008
  21. 21. Benefícios• Redução de custos• Pagamento pelo uso• Transforma CAPEX em OPEX21 ConItech 2012 – São Paulo/SP 21• Transforma CAPEX em OPEX• Elasticidade
  22. 22. Benefícios• Elasticidade• Elasticidade22 ConItech 2012 – São Paulo/SP 22Fonte: SOUZA, F., 2010
  23. 23. Benefícios• Elasticidade• Elasticidade23 ConItech 2012 – São Paulo/SP 23Fonte: SOUZA, F., 2010
  24. 24. Case: Animoto.com24 ConItech 2012 – São Paulo/SP 24Fonte: KRISHNAMURTHI, S., 2008
  25. 25. Benefícios• Redução de custos• Pagamento pelo uso• Transforma CAPEX em OPEX25 ConItech 2012 – São Paulo/SP 25• Transforma CAPEX em OPEX• Elasticidade• Agilidade (Vantagem competitiva)• Cloud é Green
  26. 26. AgendaIntroduçãoDefinição26 ConItech 2012 – São Paulo/SP 26DefiniçãoBenefíciosConsiderações FinaisRiscos
  27. 27. Segurança: Principal PreocupaçãoPreocupações de executivos de TI sobre a adoção de Cloud Computing27 ConItech 2012 – São Paulo/SP 27Fonte: IDC, 2009
  28. 28. Segurança: Principal PreocupaçãoFatores mais importantes levados em consideração ao escolherprovedor de Cloud Computing – Brasil28 ConItech 2012 – São Paulo/SP 28Fonte: Frost & Sullivan, 2011
  29. 29. Segurança: Principal PreocupaçãoQuais são os 5 principais fatores a se considerar ao decidirdesenvolver/distribuir uma solução de nuvem?29 ConItech 2012 – São Paulo/SP 29Fonte: Information Security Media Group, 2012
  30. 30. Segurança: Principal Preocupação30 ConItech 2012 – São Paulo/SP 30Fonte: Intel IT Center, 2012
  31. 31. Segurança: Principal PreocupaçãoEm 2012, num estudo da HP Research, osrespondentes listaram as três principaisbarreiras para adoção de serviços de nuvem:Em 2012, num estudo da HP Research, osrespondentes listaram as três principaisbarreiras para adoção de serviços de nuvem:31 ConItech 2012 – São Paulo/SP 31• Preocupações com segurança• Preocupações com transformações• Preocupações com conformidade ougovernança• Preocupações com segurança• Preocupações com transformações• Preocupações com conformidade ougovernança
  32. 32. Falhas nas Nuvens32 ConItech 2012 – São Paulo/SP 32Fonte: WILLIAMS, M., 2010
  33. 33. Falhas nas Nuvens33 ConItech 2012 – São Paulo/SP 33Fonte: WILLIAMS, M., 2010
  34. 34. Falhas nas Nuvens34 ConItech 2012 – São Paulo/SP 34Fonte: WILLIAMS, M., 2010
  35. 35. Falhas nas Nuvens35 ConItech 2012 – São Paulo/SP 35Fonte: KAILA, R., 2012
  36. 36. Falhas nas Nuvens36 ConItech 2012 – São Paulo/SP 36Fonte: KAILA, R., 2012
  37. 37. Falhas nas Nuvens37 ConItech 2012 – São Paulo/SP 37Fonte: IDG Now, 2011
  38. 38. Falhas nas Nuvens38 ConItech 2012 – São Paulo/SP 38Fonte: Decision Report, 2012
  39. 39. Riscos de Segurança• Aspectos LegaisProteção de dadosDefinição de papéis e responsabilidades• Aspectos LegaisProteção de dadosDefinição de papéis e responsabilidades39 ConItech 2012 – São Paulo/SP 39Direito de AuditoriaConformidade com leis locaisProcesso unificado para e-discoveryDireito de AuditoriaConformidade com leis locaisProcesso unificado para e-discovery
  40. 40. Riscos de Segurança• Ciclo de Vida das InformaçõesClassificação de dados e direito de acessoMescla de dados com outros clientes• Ciclo de Vida das InformaçõesClassificação de dados e direito de acessoMescla de dados com outros clientes40 ConItech 2012 – São Paulo/SP 40Esquemas de backup e recuperaçãoDescarte de dadosViolação de dados (penalidades)Esquemas de backup e recuperaçãoDescarte de dadosViolação de dados (penalidades)
  41. 41. Riscos de Segurança• Portabilidade e InteroperabilidadeInexistência de padrõesReações inesperadas dos provedores• Portabilidade e InteroperabilidadeInexistência de padrõesReações inesperadas dos provedores41 ConItech 2012 – São Paulo/SP 41Interrupção de serviçosLock-inFalência ou aquisição do provedorInterrupção de serviçosLock-inFalência ou aquisição do provedor
  42. 42. Riscos de Segurança• Segurança Tradicional e Continuidade de NegóciosCentralização de dadosFuncionários maliciosos• Segurança Tradicional e Continuidade de NegóciosCentralização de dadosFuncionários maliciosos42 ConItech 2012 – São Paulo/SP 42Interpendências físicas do provedorRTO insuficienteGestão e revisão do Programa deContinuidade de NegóciosInterpendências físicas do provedorRTO insuficienteGestão e revisão do Programa deContinuidade de Negócios
  43. 43. Riscos de Segurança• Resposta a IncidentesDefinição de incidentesResponsabilidades e canal de comunicação• Resposta a IncidentesDefinição de incidentesResponsabilidades e canal de comunicação43 ConItech 2012 – São Paulo/SP 43Compatibilidade de ferramentasSobrecarga na detecçãoEstratégias de contenção e remediaçãoCompatibilidade de ferramentasSobrecarga na detecçãoEstratégias de contenção e remediação
  44. 44. Riscos de Segurança• Criptografia e Gerenciamento de ChavesDados em trânsito, em repouso e de backupRepositórios de chaves• Criptografia e Gerenciamento de ChavesDados em trânsito, em repouso e de backupRepositórios de chaves44 ConItech 2012 – São Paulo/SP 44Gerenciamento de chavesPadrões de criptografiaResponsabilidades pela criptografiaGerenciamento de chavesPadrões de criptografiaResponsabilidades pela criptografia
  45. 45. Cloud Security Alliance45 ConItech 2012 – São Paulo/SP 45https://cloudsecurityalliance.org/
  46. 46. ENISA46 ConItech 2012 – São Paulo/SP 46http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
  47. 47. AgendaIntroduçãoDefinição47 ConItech 2012 – São Paulo/SP 47DefiniçãoBenefíciosConsiderações FinaisRiscos
  48. 48. Previsões da Nuvem48 ConItech 2012 – São Paulo/SP 48Fonte: CIO, 2012
  49. 49. Previsões da Nuvem49 ConItech 2012 – São Paulo/SP 49Fonte: Info Online, 2012
  50. 50. Previsões da Nuvem50 ConItech 2012 – São Paulo/SP 50Fonte: CIO, 2012
  51. 51. Considerações FinaisA transformação mais significativa já sofrida pela TI. AComputação em Nuvem é uma realidade que não pode serignorada. Ir contra essa realidade, pode significar perdassignificativas para uma organização. Porém, cautela é umapalavra chave quando da sua adoçãoUma avaliação consistente, que demonstre claramente quais51 ConItech 2012 – São Paulo/SP 51É importante conhecer as combinações e os modelos deimplantações e serviços disponíveis e em constantesevolução. A adoção a partir de um piloto, para aquisição dematuridade, é uma boa alternativaUma avaliação consistente, que demonstre claramente quaisserão os benefícios a serem alcançado pelo negócio, além detodos os riscos envolvidos é primordial
  52. 52. Obrigado!Marcelo Velosomarcelo.veloso@planejamento.mg.gov.br@MVSecurityBR52 ConItech 2012 – São Paulo/SP 52@MVSecurityBRabout.me/marceloveloso

×