Palestra sobre Cloud Computing, focando em alguns dos seus riscos para a Segurança da Informação, apresentada durante o Congresso Brasileiro de Tecnologia da Informação, realizado em São Paulo/SP em Nov/2012.
Palestra SECOP 2012 - Lei de Acesso à Informação x Segurança da Informação
Palestra CONITECH 2012 - Avaliação de Riscos de Segurança em Cloud Computing
1. Avaliação de Riscos de
Segurança em
Cloud Computing
Marcelo Veloso
Congresso Brasileiro de Tecnologia da Informação
27, 28 e 29/11/2012 – São Paulo/SP
Marcelo Veloso
5. Ahead in the Cloud
5 ConItech 2012 – São Paulo/SP 5
Fonte: Cloudtweaks, 2012
6. Ahead in the Cloud
6 ConItech 2012 – São Paulo/SP 6
Fonte: Cloudtweaks, 2012
7. Apresentação
• Marcelo Veloso
marcelo.veloso@planejamento.mg.gov.br
@MVSecurityBR
• Assessor na SEPLAG/MG
• Formação
MBA em Gestão de Segurança da Informação
• Marcelo Veloso
marcelo.veloso@planejamento.mg.gov.br
@MVSecurityBR
• Assessor na SEPLAG/MG
• Formação
MBA em Gestão de Segurança da Informação
7 ConItech 2012 – São Paulo/SP 7
MBA em Gestão de Segurança da Informação
Bacharel em Sistemas de Informação
Certificações: CCSK, Cloud Computing
Foundation, ISO 27002 Foundation, MCSA,
MCITP, MCTS, MCDST, MCP, ITIL Foundation
MBA em Gestão de Segurança da Informação
Bacharel em Sistemas de Informação
Certificações: CCSK, Cloud Computing
Foundation, ISO 27002 Foundation, MCSA,
MCITP, MCTS, MCDST, MCP, ITIL Foundation
10. Introdução
Computação em Nuvem:
• Consolidação de um novo paradigma
• Benefícios claramente identificáveis
• Riscos associados
10 ConItech 2012 – São Paulo/SP 10
• Riscos associados
O objetivo deste estudo é apresentar alguns pontos
críticos a serem considerados ao se fazer a sua
implementação, a fim de evitar ou mesmo
minimizar possíveis impactos negativos
12. O que é Cloud Computing?
Quão familiar você está com relação ao conceito de Cloud Computing?
12 ConItech 2012 – São Paulo/SP 12
Fonte: IDC, 2011
13. O que é Cloud Computing?
13 ConItech 2012 – São Paulo/SP 13
Fonte: Citrix, 2012
14. Definição
“Computação em nuvem é um modelo para habilitar
acesso conveniente, sob demanda, para um conjunto
compartilhado de recursos computacionais configuráveis
(por exemplo: redes, servidores, armazenamento,
aplicações e serviços) que pode ser provisionado e
liberado rapidamente com mínimo esforço de
“Computação em nuvem é um modelo para habilitar
acesso conveniente, sob demanda, para um conjunto
compartilhado de recursos computacionais configuráveis
(por exemplo: redes, servidores, armazenamento,
aplicações e serviços) que pode ser provisionado e
liberado rapidamente com mínimo esforço de
14 ConItech 2012 – São Paulo/SP 14
liberado rapidamente com mínimo esforço de
gerenciamento ou interação do provedor de serviço.
Este modelo promove disponibilidade e é composto por
cinco características essenciais, três modelos de serviços
e quatro modelos de implementação.”
(MELL, P., & GRANCE, 2010)
liberado rapidamente com mínimo esforço de
gerenciamento ou interação do provedor de serviço.
Este modelo promove disponibilidade e é composto por
cinco características essenciais, três modelos de serviços
e quatro modelos de implementação.”
(MELL, P., & GRANCE, 2010)
18. Benefícios
• Redução de custos
• Pagamento pelo uso
• Transforma CAPEX em OPEX
18 ConItech 2012 – São Paulo/SP 18
• Transforma CAPEX em OPEX
19. Benefícios
• Transforma CAPEX em OPEX• Transforma CAPEX em OPEX
19 ConItech 2012 – São Paulo/SP 19
Fonte: ROSENBERG, J., & MATEOS, 2011
20. Case: New York Times
20 ConItech 2012 – São Paulo/SP 20
Fonte: KRISHNAMURTHI, S., 2008
21. Benefícios
• Redução de custos
• Pagamento pelo uso
• Transforma CAPEX em OPEX
21 ConItech 2012 – São Paulo/SP 21
• Transforma CAPEX em OPEX
• Elasticidade
25. Benefícios
• Redução de custos
• Pagamento pelo uso
• Transforma CAPEX em OPEX
25 ConItech 2012 – São Paulo/SP 25
• Transforma CAPEX em OPEX
• Elasticidade
• Agilidade (Vantagem competitiva)
• Cloud é Green
28. Segurança: Principal Preocupação
Fatores mais importantes levados em consideração ao escolher
provedor de Cloud Computing – Brasil
28 ConItech 2012 – São Paulo/SP 28
Fonte: Frost & Sullivan, 2011
29. Segurança: Principal Preocupação
Quais são os 5 principais fatores a se considerar ao decidir
desenvolver/distribuir uma solução de nuvem?
29 ConItech 2012 – São Paulo/SP 29
Fonte: Information Security Media Group, 2012
31. Segurança: Principal Preocupação
Em 2012, num estudo da HP Research, os
respondentes listaram as três principais
barreiras para adoção de serviços de nuvem:
Em 2012, num estudo da HP Research, os
respondentes listaram as três principais
barreiras para adoção de serviços de nuvem:
31 ConItech 2012 – São Paulo/SP 31
• Preocupações com segurança
• Preocupações com transformações
• Preocupações com conformidade ou
governança
• Preocupações com segurança
• Preocupações com transformações
• Preocupações com conformidade ou
governança
38. Falhas nas Nuvens
38 ConItech 2012 – São Paulo/SP 38
Fonte: Decision Report, 2012
39. Riscos de Segurança
• Aspectos Legais
Proteção de dados
Definição de papéis e responsabilidades
• Aspectos Legais
Proteção de dados
Definição de papéis e responsabilidades
39 ConItech 2012 – São Paulo/SP 39
Direito de Auditoria
Conformidade com leis locais
Processo unificado para e-discovery
Direito de Auditoria
Conformidade com leis locais
Processo unificado para e-discovery
40. Riscos de Segurança
• Ciclo de Vida das Informações
Classificação de dados e direito de acesso
Mescla de dados com outros clientes
• Ciclo de Vida das Informações
Classificação de dados e direito de acesso
Mescla de dados com outros clientes
40 ConItech 2012 – São Paulo/SP 40
Esquemas de backup e recuperação
Descarte de dados
Violação de dados (penalidades)
Esquemas de backup e recuperação
Descarte de dados
Violação de dados (penalidades)
41. Riscos de Segurança
• Portabilidade e Interoperabilidade
Inexistência de padrões
Reações inesperadas dos provedores
• Portabilidade e Interoperabilidade
Inexistência de padrões
Reações inesperadas dos provedores
41 ConItech 2012 – São Paulo/SP 41
Interrupção de serviços
Lock-in
Falência ou aquisição do provedor
Interrupção de serviços
Lock-in
Falência ou aquisição do provedor
42. Riscos de Segurança
• Segurança Tradicional e Continuidade de Negócios
Centralização de dados
Funcionários maliciosos
• Segurança Tradicional e Continuidade de Negócios
Centralização de dados
Funcionários maliciosos
42 ConItech 2012 – São Paulo/SP 42
Interpendências físicas do provedor
RTO insuficiente
Gestão e revisão do Programa de
Continuidade de Negócios
Interpendências físicas do provedor
RTO insuficiente
Gestão e revisão do Programa de
Continuidade de Negócios
43. Riscos de Segurança
• Resposta a Incidentes
Definição de incidentes
Responsabilidades e canal de comunicação
• Resposta a Incidentes
Definição de incidentes
Responsabilidades e canal de comunicação
43 ConItech 2012 – São Paulo/SP 43
Compatibilidade de ferramentas
Sobrecarga na detecção
Estratégias de contenção e remediação
Compatibilidade de ferramentas
Sobrecarga na detecção
Estratégias de contenção e remediação
44. Riscos de Segurança
• Criptografia e Gerenciamento de Chaves
Dados em trânsito, em repouso e de backup
Repositórios de chaves
• Criptografia e Gerenciamento de Chaves
Dados em trânsito, em repouso e de backup
Repositórios de chaves
44 ConItech 2012 – São Paulo/SP 44
Gerenciamento de chaves
Padrões de criptografia
Responsabilidades pela criptografia
Gerenciamento de chaves
Padrões de criptografia
Responsabilidades pela criptografia
51. Considerações Finais
A transformação mais significativa já sofrida pela TI. A
Computação em Nuvem é uma realidade que não pode ser
ignorada. Ir contra essa realidade, pode significar perdas
significativas para uma organização. Porém, cautela é uma
palavra chave quando da sua adoção
Uma avaliação consistente, que demonstre claramente quais
51 ConItech 2012 – São Paulo/SP 51
É importante conhecer as combinações e os modelos de
implantações e serviços disponíveis e em constantes
evolução. A adoção a partir de um piloto, para aquisição de
maturidade, é uma boa alternativa
Uma avaliação consistente, que demonstre claramente quais
serão os benefícios a serem alcançado pelo negócio, além de
todos os riscos envolvidos é primordial