SlideShare uma empresa Scribd logo
1 de 52
Baixar para ler offline
Avaliação de Riscos de
Segurança em
Cloud Computing
Marcelo Veloso
Congresso Brasileiro de Tecnologia da Informação
27, 28 e 29/11/2012 – São Paulo/SP
Marcelo Veloso
2012 Cloud Computing Adoption Survey
2 ConItech 2012 – São Paulo/SP 2
Fonte: Cloudtweaks, 2012
2012 Cloud Computing Adoption Survey
3 ConItech 2012 – São Paulo/SP 3
Fonte: Cloudtweaks, 2012
2012 Cloud Computing Adoption Survey
4 ConItech 2012 – São Paulo/SP 4
Fonte: Cloudtweaks, 2012
Ahead in the Cloud
5 ConItech 2012 – São Paulo/SP 5
Fonte: Cloudtweaks, 2012
Ahead in the Cloud
6 ConItech 2012 – São Paulo/SP 6
Fonte: Cloudtweaks, 2012
Apresentação
• Marcelo Veloso
marcelo.veloso@planejamento.mg.gov.br
@MVSecurityBR
• Assessor na SEPLAG/MG
• Formação
MBA em Gestão de Segurança da Informação
• Marcelo Veloso
marcelo.veloso@planejamento.mg.gov.br
@MVSecurityBR
• Assessor na SEPLAG/MG
• Formação
MBA em Gestão de Segurança da Informação
7 ConItech 2012 – São Paulo/SP 7
MBA em Gestão de Segurança da Informação
Bacharel em Sistemas de Informação
Certificações: CCSK, Cloud Computing
Foundation, ISO 27002 Foundation, MCSA,
MCITP, MCTS, MCDST, MCP, ITIL Foundation
MBA em Gestão de Segurança da Informação
Bacharel em Sistemas de Informação
Certificações: CCSK, Cloud Computing
Foundation, ISO 27002 Foundation, MCSA,
MCITP, MCTS, MCDST, MCP, ITIL Foundation
Agenda
Introdução
Definição
8 ConItech 2012 – São Paulo/SP 8
Definição
Benefícios
Considerações Finais
Riscos
Agenda
Introdução
Definição
9 ConItech 2012 – São Paulo/SP 9
Definição
Benefícios
Considerações Finais
Riscos
Introdução
Computação em Nuvem:
• Consolidação de um novo paradigma
• Benefícios claramente identificáveis
• Riscos associados
10 ConItech 2012 – São Paulo/SP 10
• Riscos associados
O objetivo deste estudo é apresentar alguns pontos
críticos a serem considerados ao se fazer a sua
implementação, a fim de evitar ou mesmo
minimizar possíveis impactos negativos
Agenda
Introdução
Definição
11 ConItech 2012 – São Paulo/SP 11
Definição
Benefícios
Considerações Finais
Riscos
O que é Cloud Computing?
Quão familiar você está com relação ao conceito de Cloud Computing?
12 ConItech 2012 – São Paulo/SP 12
Fonte: IDC, 2011
O que é Cloud Computing?
13 ConItech 2012 – São Paulo/SP 13
Fonte: Citrix, 2012
Definição
“Computação em nuvem é um modelo para habilitar
acesso conveniente, sob demanda, para um conjunto
compartilhado de recursos computacionais configuráveis
(por exemplo: redes, servidores, armazenamento,
aplicações e serviços) que pode ser provisionado e
liberado rapidamente com mínimo esforço de
“Computação em nuvem é um modelo para habilitar
acesso conveniente, sob demanda, para um conjunto
compartilhado de recursos computacionais configuráveis
(por exemplo: redes, servidores, armazenamento,
aplicações e serviços) que pode ser provisionado e
liberado rapidamente com mínimo esforço de
14 ConItech 2012 – São Paulo/SP 14
liberado rapidamente com mínimo esforço de
gerenciamento ou interação do provedor de serviço.
Este modelo promove disponibilidade e é composto por
cinco características essenciais, três modelos de serviços
e quatro modelos de implementação.”
(MELL, P., & GRANCE, 2010)
liberado rapidamente com mínimo esforço de
gerenciamento ou interação do provedor de serviço.
Este modelo promove disponibilidade e é composto por
cinco características essenciais, três modelos de serviços
e quatro modelos de implementação.”
(MELL, P., & GRANCE, 2010)
Definição
15 ConItech 2012 – São Paulo/SP 15
Fonte: NIST, 2010
Definição
SaaS
PaaS
Software como Serviço
16 ConItech 2012 – São Paulo/SP 16
PaaS
IaaS
Plataforma como Serviço
Infraestrutura como Serviço
Agenda
Introdução
Definição
17 ConItech 2012 – São Paulo/SP 17
Definição
Benefícios
Considerações Finais
Riscos
Benefícios
• Redução de custos
• Pagamento pelo uso
• Transforma CAPEX em OPEX
18 ConItech 2012 – São Paulo/SP 18
• Transforma CAPEX em OPEX
Benefícios
• Transforma CAPEX em OPEX• Transforma CAPEX em OPEX
19 ConItech 2012 – São Paulo/SP 19
Fonte: ROSENBERG, J., & MATEOS, 2011
Case: New York Times
20 ConItech 2012 – São Paulo/SP 20
Fonte: KRISHNAMURTHI, S., 2008
Benefícios
• Redução de custos
• Pagamento pelo uso
• Transforma CAPEX em OPEX
21 ConItech 2012 – São Paulo/SP 21
• Transforma CAPEX em OPEX
• Elasticidade
Benefícios
• Elasticidade• Elasticidade
22 ConItech 2012 – São Paulo/SP 22
Fonte: SOUZA, F., 2010
Benefícios
• Elasticidade• Elasticidade
23 ConItech 2012 – São Paulo/SP 23
Fonte: SOUZA, F., 2010
Case: Animoto.com
24 ConItech 2012 – São Paulo/SP 24
Fonte: KRISHNAMURTHI, S., 2008
Benefícios
• Redução de custos
• Pagamento pelo uso
• Transforma CAPEX em OPEX
25 ConItech 2012 – São Paulo/SP 25
• Transforma CAPEX em OPEX
• Elasticidade
• Agilidade (Vantagem competitiva)
• Cloud é Green
Agenda
Introdução
Definição
26 ConItech 2012 – São Paulo/SP 26
Definição
Benefícios
Considerações Finais
Riscos
Segurança: Principal Preocupação
Preocupações de executivos de TI sobre a adoção de Cloud Computing
27 ConItech 2012 – São Paulo/SP 27
Fonte: IDC, 2009
Segurança: Principal Preocupação
Fatores mais importantes levados em consideração ao escolher
provedor de Cloud Computing – Brasil
28 ConItech 2012 – São Paulo/SP 28
Fonte: Frost & Sullivan, 2011
Segurança: Principal Preocupação
Quais são os 5 principais fatores a se considerar ao decidir
desenvolver/distribuir uma solução de nuvem?
29 ConItech 2012 – São Paulo/SP 29
Fonte: Information Security Media Group, 2012
Segurança: Principal Preocupação
30 ConItech 2012 – São Paulo/SP 30
Fonte: Intel IT Center, 2012
Segurança: Principal Preocupação
Em 2012, num estudo da HP Research, os
respondentes listaram as três principais
barreiras para adoção de serviços de nuvem:
Em 2012, num estudo da HP Research, os
respondentes listaram as três principais
barreiras para adoção de serviços de nuvem:
31 ConItech 2012 – São Paulo/SP 31
• Preocupações com segurança
• Preocupações com transformações
• Preocupações com conformidade ou
governança
• Preocupações com segurança
• Preocupações com transformações
• Preocupações com conformidade ou
governança
Falhas nas Nuvens
32 ConItech 2012 – São Paulo/SP 32
Fonte: WILLIAMS, M., 2010
Falhas nas Nuvens
33 ConItech 2012 – São Paulo/SP 33
Fonte: WILLIAMS, M., 2010
Falhas nas Nuvens
34 ConItech 2012 – São Paulo/SP 34
Fonte: WILLIAMS, M., 2010
Falhas nas Nuvens
35 ConItech 2012 – São Paulo/SP 35
Fonte: KAILA, R., 2012
Falhas nas Nuvens
36 ConItech 2012 – São Paulo/SP 36
Fonte: KAILA, R., 2012
Falhas nas Nuvens
37 ConItech 2012 – São Paulo/SP 37
Fonte: IDG Now, 2011
Falhas nas Nuvens
38 ConItech 2012 – São Paulo/SP 38
Fonte: Decision Report, 2012
Riscos de Segurança
• Aspectos Legais
Proteção de dados
Definição de papéis e responsabilidades
• Aspectos Legais
Proteção de dados
Definição de papéis e responsabilidades
39 ConItech 2012 – São Paulo/SP 39
Direito de Auditoria
Conformidade com leis locais
Processo unificado para e-discovery
Direito de Auditoria
Conformidade com leis locais
Processo unificado para e-discovery
Riscos de Segurança
• Ciclo de Vida das Informações
Classificação de dados e direito de acesso
Mescla de dados com outros clientes
• Ciclo de Vida das Informações
Classificação de dados e direito de acesso
Mescla de dados com outros clientes
40 ConItech 2012 – São Paulo/SP 40
Esquemas de backup e recuperação
Descarte de dados
Violação de dados (penalidades)
Esquemas de backup e recuperação
Descarte de dados
Violação de dados (penalidades)
Riscos de Segurança
• Portabilidade e Interoperabilidade
Inexistência de padrões
Reações inesperadas dos provedores
• Portabilidade e Interoperabilidade
Inexistência de padrões
Reações inesperadas dos provedores
41 ConItech 2012 – São Paulo/SP 41
Interrupção de serviços
Lock-in
Falência ou aquisição do provedor
Interrupção de serviços
Lock-in
Falência ou aquisição do provedor
Riscos de Segurança
• Segurança Tradicional e Continuidade de Negócios
Centralização de dados
Funcionários maliciosos
• Segurança Tradicional e Continuidade de Negócios
Centralização de dados
Funcionários maliciosos
42 ConItech 2012 – São Paulo/SP 42
Interpendências físicas do provedor
RTO insuficiente
Gestão e revisão do Programa de
Continuidade de Negócios
Interpendências físicas do provedor
RTO insuficiente
Gestão e revisão do Programa de
Continuidade de Negócios
Riscos de Segurança
• Resposta a Incidentes
Definição de incidentes
Responsabilidades e canal de comunicação
• Resposta a Incidentes
Definição de incidentes
Responsabilidades e canal de comunicação
43 ConItech 2012 – São Paulo/SP 43
Compatibilidade de ferramentas
Sobrecarga na detecção
Estratégias de contenção e remediação
Compatibilidade de ferramentas
Sobrecarga na detecção
Estratégias de contenção e remediação
Riscos de Segurança
• Criptografia e Gerenciamento de Chaves
Dados em trânsito, em repouso e de backup
Repositórios de chaves
• Criptografia e Gerenciamento de Chaves
Dados em trânsito, em repouso e de backup
Repositórios de chaves
44 ConItech 2012 – São Paulo/SP 44
Gerenciamento de chaves
Padrões de criptografia
Responsabilidades pela criptografia
Gerenciamento de chaves
Padrões de criptografia
Responsabilidades pela criptografia
Cloud Security Alliance
45 ConItech 2012 – São Paulo/SP 45
https://cloudsecurityalliance.org/
ENISA
46 ConItech 2012 – São Paulo/SP 46
http://www.enisa.europa.eu/act/r
m/files/deliverables/cloud-
computing-risk-assessment
Agenda
Introdução
Definição
47 ConItech 2012 – São Paulo/SP 47
Definição
Benefícios
Considerações Finais
Riscos
Previsões da Nuvem
48 ConItech 2012 – São Paulo/SP 48
Fonte: CIO, 2012
Previsões da Nuvem
49 ConItech 2012 – São Paulo/SP 49
Fonte: Info Online, 2012
Previsões da Nuvem
50 ConItech 2012 – São Paulo/SP 50
Fonte: CIO, 2012
Considerações Finais
A transformação mais significativa já sofrida pela TI. A
Computação em Nuvem é uma realidade que não pode ser
ignorada. Ir contra essa realidade, pode significar perdas
significativas para uma organização. Porém, cautela é uma
palavra chave quando da sua adoção
Uma avaliação consistente, que demonstre claramente quais
51 ConItech 2012 – São Paulo/SP 51
É importante conhecer as combinações e os modelos de
implantações e serviços disponíveis e em constantes
evolução. A adoção a partir de um piloto, para aquisição de
maturidade, é uma boa alternativa
Uma avaliação consistente, que demonstre claramente quais
serão os benefícios a serem alcançado pelo negócio, além de
todos os riscos envolvidos é primordial
Obrigado!
Marcelo Veloso
marcelo.veloso@planejamento.mg.gov.br
@MVSecurityBR
52 ConItech 2012 – São Paulo/SP 52
@MVSecurityBR
about.me/marceloveloso

Mais conteúdo relacionado

Semelhante a Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing

Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoPalestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoMarcelo Veloso
 
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...Marcelo Veloso
 
Avaliação dos riscos e benefícios da adoção de computação em nuvem
Avaliação dos riscos e benefícios da adoção de computação em nuvemAvaliação dos riscos e benefícios da adoção de computação em nuvem
Avaliação dos riscos e benefícios da adoção de computação em nuvemEduardo Millan
 
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...Symantec Brasil
 
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEMINTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEMSymantec Brasil
 
Estratégias e governança para decisão e adoção de cloudy
Estratégias e governança para decisão e adoção de cloudyEstratégias e governança para decisão e adoção de cloudy
Estratégias e governança para decisão e adoção de cloudyPriscila Stuani
 
UFF Tech 2013 - Qualidade, Cloud Computing e Mobilidade - Analia Irigoyen - P...
UFF Tech 2013 - Qualidade, Cloud Computing e Mobilidade - Analia Irigoyen - P...UFF Tech 2013 - Qualidade, Cloud Computing e Mobilidade - Analia Irigoyen - P...
UFF Tech 2013 - Qualidade, Cloud Computing e Mobilidade - Analia Irigoyen - P...Sti Uff
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Daryus 27001 2013_r1
Daryus 27001 2013_r1Daryus 27001 2013_r1
Daryus 27001 2013_r1hs1982
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
Palestra sobre DevOps na ASSESPRO-MG
Palestra sobre DevOps na ASSESPRO-MGPalestra sobre DevOps na ASSESPRO-MG
Palestra sobre DevOps na ASSESPRO-MGWelington Monteiro
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLeo Goldim
 
Impact of-9-cloud it-consumption-models-top-10_pt-br
Impact of-9-cloud it-consumption-models-top-10_pt-brImpact of-9-cloud it-consumption-models-top-10_pt-br
Impact of-9-cloud it-consumption-models-top-10_pt-brCisco do Brasil
 
COBIT - Control Objectives for Information and related Technology
COBIT - Control Objectives for Information and related TechnologyCOBIT - Control Objectives for Information and related Technology
COBIT - Control Objectives for Information and related TechnologyDeroci Nonato Júnior
 
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rjCloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rjAlfredo Saad
 

Semelhante a Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing (20)

Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a ImplementaçãoPalestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
Palestra CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação
 
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
Palestra CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados co...
 
Avaliação dos riscos e benefícios da adoção de computação em nuvem
Avaliação dos riscos e benefícios da adoção de computação em nuvemAvaliação dos riscos e benefícios da adoção de computação em nuvem
Avaliação dos riscos e benefícios da adoção de computação em nuvem
 
Palestra idc mercado
Palestra idc mercadoPalestra idc mercado
Palestra idc mercado
 
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
Be Aware Webinar – INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES ...
 
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEMINTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
INTEGRANDO O SYMANTEC DATA LOSS PREVENTION COM APLICAÇÕES NA NUVEM
 
Estratégias e governança para decisão e adoção de cloudy
Estratégias e governança para decisão e adoção de cloudyEstratégias e governança para decisão e adoção de cloudy
Estratégias e governança para decisão e adoção de cloudy
 
UFF Tech 2013 - Qualidade, Cloud Computing e Mobilidade - Analia Irigoyen - P...
UFF Tech 2013 - Qualidade, Cloud Computing e Mobilidade - Analia Irigoyen - P...UFF Tech 2013 - Qualidade, Cloud Computing e Mobilidade - Analia Irigoyen - P...
UFF Tech 2013 - Qualidade, Cloud Computing e Mobilidade - Analia Irigoyen - P...
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
PCI DSS e Metodologias Ágeis
PCI DSS e Metodologias ÁgeisPCI DSS e Metodologias Ágeis
PCI DSS e Metodologias Ágeis
 
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
Governança de TI - Aula7 - COBIT 4.1 X COBIT 5
 
Daryus 27001 2013_r1
Daryus 27001 2013_r1Daryus 27001 2013_r1
Daryus 27001 2013_r1
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
Palestra sobre DevOps na ASSESPRO-MG
Palestra sobre DevOps na ASSESPRO-MGPalestra sobre DevOps na ASSESPRO-MG
Palestra sobre DevOps na ASSESPRO-MG
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em Português
 
WannaCry 3.0
WannaCry 3.0WannaCry 3.0
WannaCry 3.0
 
Impact of-9-cloud it-consumption-models-top-10_pt-br
Impact of-9-cloud it-consumption-models-top-10_pt-brImpact of-9-cloud it-consumption-models-top-10_pt-br
Impact of-9-cloud it-consumption-models-top-10_pt-br
 
COBIT - Control Objectives for Information and related Technology
COBIT - Control Objectives for Information and related TechnologyCOBIT - Control Objectives for Information and related Technology
COBIT - Control Objectives for Information and related Technology
 
Analise de Requisitos Software
Analise de Requisitos SoftwareAnalise de Requisitos Software
Analise de Requisitos Software
 
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rjCloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
Cloud cursos sucesu rj-alfredo saad_24-26_mar2015_boletim semanal_assespro-rj
 

Mais de Marcelo Veloso

Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...Marcelo Veloso
 
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...Marcelo Veloso
 
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...Marcelo Veloso
 
Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização
Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de ConscientizaçãoArtigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização
Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de ConscientizaçãoMarcelo Veloso
 
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...Marcelo Veloso
 
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...Marcelo Veloso
 
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...Marcelo Veloso
 
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...Marcelo Veloso
 
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...Marcelo Veloso
 
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...Marcelo Veloso
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Marcelo Veloso
 
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da InformaçãoPalestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da InformaçãoMarcelo Veloso
 

Mais de Marcelo Veloso (13)

Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
Artigo CONGRESSO INTERNACIONAL GOVERNO 2013 - Cloud Computing: Potencial de M...
 
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
Artigo CONSAD 2014 - Mídias Sociais Como Recurso Para o Governo Eletrônico: O...
 
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
Artigo CONSAD 2014 - Ciberespionagem Global e o Decreto 8.135: Uma Avaliação ...
 
Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização
Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de ConscientizaçãoArtigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização
Artigo SEGURANÇA DIGITAL 9ª EDIÇÃO - Campanha de Conscientização
 
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
Artigo SEGURANÇA DIGITAL 8ª EDIÇÃO - ISO 22301: A Norma ISO Para Gestão De Co...
 
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
Palestra ROADSEC BH 2013 - RESOLVENDO A EQUAÇÃO: BYOD = (PRODUTIVIDADE)² + (R...
 
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
Palestra SECOP 2013 - ECM + CLOUD COMPUTING: Integrando Soluções para um Gove...
 
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
Palestra CLOUD WORLD FORUM LATIN AMERICA 2013 - Governança na Nuvem: Aspectos...
 
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
Artigo CONSAD 2013 - Cloud Computing: Necessidade e Benefícios Esperados Com ...
 
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
Artigo CONSAD 2012 - Cloud Computing: Questões Críticas Para a Implementação ...
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
 
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
Monografia PUC MINAS 2009 - Processo de Avaliação e Análise de Riscos para El...
 
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da InformaçãoPalestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
 

Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing

  • 1. Avaliação de Riscos de Segurança em Cloud Computing Marcelo Veloso Congresso Brasileiro de Tecnologia da Informação 27, 28 e 29/11/2012 – São Paulo/SP Marcelo Veloso
  • 2. 2012 Cloud Computing Adoption Survey 2 ConItech 2012 – São Paulo/SP 2 Fonte: Cloudtweaks, 2012
  • 3. 2012 Cloud Computing Adoption Survey 3 ConItech 2012 – São Paulo/SP 3 Fonte: Cloudtweaks, 2012
  • 4. 2012 Cloud Computing Adoption Survey 4 ConItech 2012 – São Paulo/SP 4 Fonte: Cloudtweaks, 2012
  • 5. Ahead in the Cloud 5 ConItech 2012 – São Paulo/SP 5 Fonte: Cloudtweaks, 2012
  • 6. Ahead in the Cloud 6 ConItech 2012 – São Paulo/SP 6 Fonte: Cloudtweaks, 2012
  • 7. Apresentação • Marcelo Veloso marcelo.veloso@planejamento.mg.gov.br @MVSecurityBR • Assessor na SEPLAG/MG • Formação MBA em Gestão de Segurança da Informação • Marcelo Veloso marcelo.veloso@planejamento.mg.gov.br @MVSecurityBR • Assessor na SEPLAG/MG • Formação MBA em Gestão de Segurança da Informação 7 ConItech 2012 – São Paulo/SP 7 MBA em Gestão de Segurança da Informação Bacharel em Sistemas de Informação Certificações: CCSK, Cloud Computing Foundation, ISO 27002 Foundation, MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation MBA em Gestão de Segurança da Informação Bacharel em Sistemas de Informação Certificações: CCSK, Cloud Computing Foundation, ISO 27002 Foundation, MCSA, MCITP, MCTS, MCDST, MCP, ITIL Foundation
  • 8. Agenda Introdução Definição 8 ConItech 2012 – São Paulo/SP 8 Definição Benefícios Considerações Finais Riscos
  • 9. Agenda Introdução Definição 9 ConItech 2012 – São Paulo/SP 9 Definição Benefícios Considerações Finais Riscos
  • 10. Introdução Computação em Nuvem: • Consolidação de um novo paradigma • Benefícios claramente identificáveis • Riscos associados 10 ConItech 2012 – São Paulo/SP 10 • Riscos associados O objetivo deste estudo é apresentar alguns pontos críticos a serem considerados ao se fazer a sua implementação, a fim de evitar ou mesmo minimizar possíveis impactos negativos
  • 11. Agenda Introdução Definição 11 ConItech 2012 – São Paulo/SP 11 Definição Benefícios Considerações Finais Riscos
  • 12. O que é Cloud Computing? Quão familiar você está com relação ao conceito de Cloud Computing? 12 ConItech 2012 – São Paulo/SP 12 Fonte: IDC, 2011
  • 13. O que é Cloud Computing? 13 ConItech 2012 – São Paulo/SP 13 Fonte: Citrix, 2012
  • 14. Definição “Computação em nuvem é um modelo para habilitar acesso conveniente, sob demanda, para um conjunto compartilhado de recursos computacionais configuráveis (por exemplo: redes, servidores, armazenamento, aplicações e serviços) que pode ser provisionado e liberado rapidamente com mínimo esforço de “Computação em nuvem é um modelo para habilitar acesso conveniente, sob demanda, para um conjunto compartilhado de recursos computacionais configuráveis (por exemplo: redes, servidores, armazenamento, aplicações e serviços) que pode ser provisionado e liberado rapidamente com mínimo esforço de 14 ConItech 2012 – São Paulo/SP 14 liberado rapidamente com mínimo esforço de gerenciamento ou interação do provedor de serviço. Este modelo promove disponibilidade e é composto por cinco características essenciais, três modelos de serviços e quatro modelos de implementação.” (MELL, P., & GRANCE, 2010) liberado rapidamente com mínimo esforço de gerenciamento ou interação do provedor de serviço. Este modelo promove disponibilidade e é composto por cinco características essenciais, três modelos de serviços e quatro modelos de implementação.” (MELL, P., & GRANCE, 2010)
  • 15. Definição 15 ConItech 2012 – São Paulo/SP 15 Fonte: NIST, 2010
  • 16. Definição SaaS PaaS Software como Serviço 16 ConItech 2012 – São Paulo/SP 16 PaaS IaaS Plataforma como Serviço Infraestrutura como Serviço
  • 17. Agenda Introdução Definição 17 ConItech 2012 – São Paulo/SP 17 Definição Benefícios Considerações Finais Riscos
  • 18. Benefícios • Redução de custos • Pagamento pelo uso • Transforma CAPEX em OPEX 18 ConItech 2012 – São Paulo/SP 18 • Transforma CAPEX em OPEX
  • 19. Benefícios • Transforma CAPEX em OPEX• Transforma CAPEX em OPEX 19 ConItech 2012 – São Paulo/SP 19 Fonte: ROSENBERG, J., & MATEOS, 2011
  • 20. Case: New York Times 20 ConItech 2012 – São Paulo/SP 20 Fonte: KRISHNAMURTHI, S., 2008
  • 21. Benefícios • Redução de custos • Pagamento pelo uso • Transforma CAPEX em OPEX 21 ConItech 2012 – São Paulo/SP 21 • Transforma CAPEX em OPEX • Elasticidade
  • 22. Benefícios • Elasticidade• Elasticidade 22 ConItech 2012 – São Paulo/SP 22 Fonte: SOUZA, F., 2010
  • 23. Benefícios • Elasticidade• Elasticidade 23 ConItech 2012 – São Paulo/SP 23 Fonte: SOUZA, F., 2010
  • 24. Case: Animoto.com 24 ConItech 2012 – São Paulo/SP 24 Fonte: KRISHNAMURTHI, S., 2008
  • 25. Benefícios • Redução de custos • Pagamento pelo uso • Transforma CAPEX em OPEX 25 ConItech 2012 – São Paulo/SP 25 • Transforma CAPEX em OPEX • Elasticidade • Agilidade (Vantagem competitiva) • Cloud é Green
  • 26. Agenda Introdução Definição 26 ConItech 2012 – São Paulo/SP 26 Definição Benefícios Considerações Finais Riscos
  • 27. Segurança: Principal Preocupação Preocupações de executivos de TI sobre a adoção de Cloud Computing 27 ConItech 2012 – São Paulo/SP 27 Fonte: IDC, 2009
  • 28. Segurança: Principal Preocupação Fatores mais importantes levados em consideração ao escolher provedor de Cloud Computing – Brasil 28 ConItech 2012 – São Paulo/SP 28 Fonte: Frost & Sullivan, 2011
  • 29. Segurança: Principal Preocupação Quais são os 5 principais fatores a se considerar ao decidir desenvolver/distribuir uma solução de nuvem? 29 ConItech 2012 – São Paulo/SP 29 Fonte: Information Security Media Group, 2012
  • 30. Segurança: Principal Preocupação 30 ConItech 2012 – São Paulo/SP 30 Fonte: Intel IT Center, 2012
  • 31. Segurança: Principal Preocupação Em 2012, num estudo da HP Research, os respondentes listaram as três principais barreiras para adoção de serviços de nuvem: Em 2012, num estudo da HP Research, os respondentes listaram as três principais barreiras para adoção de serviços de nuvem: 31 ConItech 2012 – São Paulo/SP 31 • Preocupações com segurança • Preocupações com transformações • Preocupações com conformidade ou governança • Preocupações com segurança • Preocupações com transformações • Preocupações com conformidade ou governança
  • 32. Falhas nas Nuvens 32 ConItech 2012 – São Paulo/SP 32 Fonte: WILLIAMS, M., 2010
  • 33. Falhas nas Nuvens 33 ConItech 2012 – São Paulo/SP 33 Fonte: WILLIAMS, M., 2010
  • 34. Falhas nas Nuvens 34 ConItech 2012 – São Paulo/SP 34 Fonte: WILLIAMS, M., 2010
  • 35. Falhas nas Nuvens 35 ConItech 2012 – São Paulo/SP 35 Fonte: KAILA, R., 2012
  • 36. Falhas nas Nuvens 36 ConItech 2012 – São Paulo/SP 36 Fonte: KAILA, R., 2012
  • 37. Falhas nas Nuvens 37 ConItech 2012 – São Paulo/SP 37 Fonte: IDG Now, 2011
  • 38. Falhas nas Nuvens 38 ConItech 2012 – São Paulo/SP 38 Fonte: Decision Report, 2012
  • 39. Riscos de Segurança • Aspectos Legais Proteção de dados Definição de papéis e responsabilidades • Aspectos Legais Proteção de dados Definição de papéis e responsabilidades 39 ConItech 2012 – São Paulo/SP 39 Direito de Auditoria Conformidade com leis locais Processo unificado para e-discovery Direito de Auditoria Conformidade com leis locais Processo unificado para e-discovery
  • 40. Riscos de Segurança • Ciclo de Vida das Informações Classificação de dados e direito de acesso Mescla de dados com outros clientes • Ciclo de Vida das Informações Classificação de dados e direito de acesso Mescla de dados com outros clientes 40 ConItech 2012 – São Paulo/SP 40 Esquemas de backup e recuperação Descarte de dados Violação de dados (penalidades) Esquemas de backup e recuperação Descarte de dados Violação de dados (penalidades)
  • 41. Riscos de Segurança • Portabilidade e Interoperabilidade Inexistência de padrões Reações inesperadas dos provedores • Portabilidade e Interoperabilidade Inexistência de padrões Reações inesperadas dos provedores 41 ConItech 2012 – São Paulo/SP 41 Interrupção de serviços Lock-in Falência ou aquisição do provedor Interrupção de serviços Lock-in Falência ou aquisição do provedor
  • 42. Riscos de Segurança • Segurança Tradicional e Continuidade de Negócios Centralização de dados Funcionários maliciosos • Segurança Tradicional e Continuidade de Negócios Centralização de dados Funcionários maliciosos 42 ConItech 2012 – São Paulo/SP 42 Interpendências físicas do provedor RTO insuficiente Gestão e revisão do Programa de Continuidade de Negócios Interpendências físicas do provedor RTO insuficiente Gestão e revisão do Programa de Continuidade de Negócios
  • 43. Riscos de Segurança • Resposta a Incidentes Definição de incidentes Responsabilidades e canal de comunicação • Resposta a Incidentes Definição de incidentes Responsabilidades e canal de comunicação 43 ConItech 2012 – São Paulo/SP 43 Compatibilidade de ferramentas Sobrecarga na detecção Estratégias de contenção e remediação Compatibilidade de ferramentas Sobrecarga na detecção Estratégias de contenção e remediação
  • 44. Riscos de Segurança • Criptografia e Gerenciamento de Chaves Dados em trânsito, em repouso e de backup Repositórios de chaves • Criptografia e Gerenciamento de Chaves Dados em trânsito, em repouso e de backup Repositórios de chaves 44 ConItech 2012 – São Paulo/SP 44 Gerenciamento de chaves Padrões de criptografia Responsabilidades pela criptografia Gerenciamento de chaves Padrões de criptografia Responsabilidades pela criptografia
  • 45. Cloud Security Alliance 45 ConItech 2012 – São Paulo/SP 45 https://cloudsecurityalliance.org/
  • 46. ENISA 46 ConItech 2012 – São Paulo/SP 46 http://www.enisa.europa.eu/act/r m/files/deliverables/cloud- computing-risk-assessment
  • 47. Agenda Introdução Definição 47 ConItech 2012 – São Paulo/SP 47 Definição Benefícios Considerações Finais Riscos
  • 48. Previsões da Nuvem 48 ConItech 2012 – São Paulo/SP 48 Fonte: CIO, 2012
  • 49. Previsões da Nuvem 49 ConItech 2012 – São Paulo/SP 49 Fonte: Info Online, 2012
  • 50. Previsões da Nuvem 50 ConItech 2012 – São Paulo/SP 50 Fonte: CIO, 2012
  • 51. Considerações Finais A transformação mais significativa já sofrida pela TI. A Computação em Nuvem é uma realidade que não pode ser ignorada. Ir contra essa realidade, pode significar perdas significativas para uma organização. Porém, cautela é uma palavra chave quando da sua adoção Uma avaliação consistente, que demonstre claramente quais 51 ConItech 2012 – São Paulo/SP 51 É importante conhecer as combinações e os modelos de implantações e serviços disponíveis e em constantes evolução. A adoção a partir de um piloto, para aquisição de maturidade, é uma boa alternativa Uma avaliação consistente, que demonstre claramente quais serão os benefícios a serem alcançado pelo negócio, além de todos os riscos envolvidos é primordial
  • 52. Obrigado! Marcelo Veloso marcelo.veloso@planejamento.mg.gov.br @MVSecurityBR 52 ConItech 2012 – São Paulo/SP 52 @MVSecurityBR about.me/marceloveloso