SlideShare uma empresa Scribd logo

Aprendizados da Gestão de Riscos na Nuvem

Transferir como PPTX, PDF
Tenchi Security
Tenchi Security

Apresentação de Dani Dilkin no Mind The Sec São Paulo de 2020. A tecnologia da informação está passando pela maior mudança de paradigma desde que migramos dos mainframes para redes Novell. A tecnologia de nuvem está permitindo que times cada vez menores, usando cada vez menos capital, e de forma mais ágil criem soluções altamente complexas e profissionais. Isso ajuda a explicar a profusão de novas startups e serviços SaaS, tais como FinTechs, MedTechs e outras. A aparente simplicidade da nuvem, a falta de conhecimento detalhado de como implementar sua segurança e o perfil de tomadores de risco dos empreendedores são fatores críticos que podem ser observados em muitas destas empresas. De outro lado, os reguladores estão atuando de forma cada vez mais ativa para exigir que as organizações sejam responsabilizadas por eventuais incidentes de segurança em sua cadeia de suprimentos. Grandes empresas que estão confiando dados pessoais, financeiros, médicos e outros dados sensíveis a seus fornecedores estão expostas cada vez mais a penalidades regulatórias advindas destas relações. A combinação destes fatores está criando uma tempestade perfeita de oportunidades e riscos para o mercado. Durante esta palestra vamos abordar de forma objetiva como lidar com as principais regulamentações envolvidas (LGPD/GDPR, PCI DSS, BACEN 3909 e 4658), e indicar estratégias e melhores práticas para lidar com o desafio de conformidade e segurança neste novo cenário tão desafiador.

Tecnologia
1 de 20
Aprendizados do Uso de Nuvem na Gestão de Riscos e Conformidade Regulatória de sua Organização ou Terceiros
Dani Dilkin Senior Partner @ Tenchi Security • +23 anos de experiência em segurança da informação • Ex-líder das práticas de prestação de serviço de Cyber Security da Deloitte e da Kroll no Brasil • Um dos primeiros PCI QSA do Brasil e pioneiro em projetos adequação à LGPD São Paulo, Brasil 🇧🇷 ddilkin@tenchisecurity.com
1. Contexto 2. Alguns desafios 3. Algumas oportunidades 4. Governança e gestão de riscos 5. Ponto final Agenda
Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio Cybersecurity The Global Risks Report 2019
Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos • Controlador e operador • Solução SaaS, prestador de serviço e parceiro de negócio • Financeiro (CorBan, Agente Autônomo, FinTech, etc.) • Seguradora, corretora, e segurado • Adquirente e estabelecimento • HealthTech e outros Cybersecurity
Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos Cybersecurity 4MInformation security professionals shortage in 2019 ((ISC)2 Cyber Security Workforce Study) https://www.cnbc.com/2019/11/01/jobs-companies-need-cybersecurity- workers-as-attacks-intensify.html
Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos Cybersecurity 4MInformation security professionals shortage in 2019 ((ISC)2 Cyber Security Workforce Study) Serviços de nuvem 94%of workloads will be in the cloud in 2021 (Cisco Global Cloud Index 2019) 95%of cloud security failures through 2025 will be the customer’s fault (Gartner – Is the Cloud Secure?)
Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos Cybersecurity 4MInformation security professionals shortage in 2019 ((ISC)2 Cyber Security Workforce Study) Serviços de nuvem 94%of workloads will be in the cloud in 2021 (Cisco Global Cloud Index 2019) 95%of cloud security failures through 2025 will be the customer’s fault (Gartner – Is the Cloud Secure?) Consequências 4.4Bfiles exposed on public S3 buckets in July 10th 2020 (buckets.grayhatwarfare.com) • ~90% concedem privilégios excessivos e publicam informações indevidas • ~75% sem logs/trilhas de auditoria
Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos Cybersecurity 4MInformation security professionals shortage in 2019 ((ISC)2 Cyber Security Workforce Study) Serviços de nuvem 94%of workloads will be in the cloud in 2021 (Cisco Global Cloud Index 2019) 95%of cloud security failures through 2025 will be the customer’s fault (Gartner – Is the Cloud Secure?) Consequências
Alguns desafios Winter is coming On premises • Ambiente estático • Papéis e responsabilidades definidos • O perímetro é o obstáculo inicial • Variedade de tecnologias Serviços de nuvem • Ambiente dinâmico • Novo modelo de atribuições e responsabilidades • Autenticação é o obstáculo inicial • API pública
Algumas oportunidades Old problems, new friends API pública IAM • Processo de integração simplificado • +7.000* ações/eventos • Security as code * Na AWS, por exemplo. • Granularidade • Guard-rails • Automação “…77% of those cloud breaches also involved breached credentials." DBIR de 2020 página 27
Algumas oportunidades Old problems, new friends Shared responsability model Automação Credit: Ory Segal (@orysegal) • CI/CD pipeline • Incident response • Security assessment • Security as code • Cloud Security Posture Management (CSPM)
Governança e gestão de riscos • Análise de entrevistas e amostras • Permissões de acesso privilegiadas • Dias ou semanas • SAQs anuais ou security ratings • Gestão de relatórios, planilhas e documentos
Governança e gestão de riscos • Análise de entrevistas e amostras • Permissões de acesso privilegiadas • Dias ou semanas • SAQs anuais ou security ratings • Gestão de relatórios, planilhas e documentos “No apparent difference in security outcome when comparing organizations with extensive third-party evaluation processes to those with none.” Gartner Outlook for Cloud Security 2019
Governança e gestão de riscos • Análise de entrevistas e amostras • Permissões de acesso privilegiadas • Dias ou semanas • SAQs anuais ou security ratings • Gestão de relatórios, planilhas e documentos • Coleta e análise automatizada de segurança • Privilégio mínimo • Minutos ou dias • Avaliações objetivas, contínuas, e abrangentes • Automatização e integração (tickets, GRC, etc.)
Governança e gestão de riscos Referências LGPD • https://d1.awsstatic.com/whitepapers/pt_BR/compliance/LGPD_Compliance_on_AWS.pdf (AWS) • https://www.microsoft.com/pt-br/lgpd (Azure) • https://cloud.google.com/security/compliance/lgpd (GCP) BACEN 4658 • https://d1.awsstatic.com/whitepapers/compliance/PT_Whitepapers/AWS_User_Guide_for_Financial_Services _in_Brazil.pdf (AWS) PCI DSS • https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Cloud_Guidelines_v3.pdf (PCI SSC) • https://aws.amazon.com/pt/quickstart/architecture/compliance-pci/ (AWS) • https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws.pdf (AWS) • https://d1.awsstatic.com/whitepapers/pci-dss-scoping-on-aws.pdf (AWS) • https://docs.microsoft.com/en-us/azure/governance/blueprints/samples/pci-dss-3.2.1/ (Azure) • https://cloud.google.com/solutions/pci-dss-compliance-in-gcp (GCP) Segurança • https://www.cisecurity.org/white-papers/cis-controls-cloud-companion-guide/ (CIS) • https://attack.mitre.org/matrices/enterprise/cloud/ (MITRE ATT&CK) • https://www.iso.org/standard/43757.html (ISO) • https://cloud.google.com/security/compliance/iso-27017 (GCP) • https://docs.microsoft.com/en-us/microsoft-365/compliance/offering-iso-27017?view=o365-worldwide (Azure) • https://aws.amazon.com/pt/compliance/iso-27017-faqs/ (AWS) • https://d1.awsstatic.com/whitepapers/pt_BR/architecture/AWS-Security-Pillar.pdf (AWS) • https://d1.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf (AWS) • https://docs.microsoft.com/en-us/azure/architecture/framework/security/overview (Azure) • https://cloud.google.com/architecture/framework/security-privacy-compliance (GCP)
Governança e gestão de riscos • Sim, você pode utilizar computação em nuvem. • Embora os principais provedores de serviço de nuvem possuam datacenters no Brasil, não é obrigatório que os dados estejam no Brasil. Posso estar em conformidade com LGPD e BACEN 4658 usando computação em nuvem? Os dados precisam estar necessariamente no Brasil? Art. 16. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior deve observar os seguintes requisitos: I – A existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados; (…) (Resolução 4.658) Art. 33, incisos I, II, III, IV, V, VI, e VII. Art. 5, inciso XII. Art. 7, incisos II, V, e VI. (LGPD) Referências: https://www.bcb.gov.br/acessoinformacao/legado?url=https:%2F%2Fwww.bcb.gov.br%2Ffis%2Fsup ervisao%2Fmemsupervisao.asp%3Fidpai%3DSUPERVISAOSFN (países conveniados com o BACEN) https://cloudblogs.microsoft.com/industry-blog/pt-br/financial-services/2019/04/18/computacao- nuvem-segmento-financeiro/ https://www.conjur.com.br/2020-mar-31/tribuna-defensoria-lgpd-tratamento-dados-assistidos- defensoria
Governança e gestão de riscos • Não, os principais provedores de serviço de nuvem podem atender individualmente aos requisitos da resolução sob sua responsabilidade. • Geralmente esta pergunta está associada aos requisitos de continuidade de negócio da 4658 (vide ao lado). Estes requisitos podem ser atendidos com a definição correta de arquitetura e serviços complementada com um plano de continuidade que contemple os serviço de nuvem documentado junto ao BACEN. Para estar em conformidade com a resolução BACEN 4658 eu preciso de um segundo provedor de serviços de nuvem? Art. 19. As instituições referidas no art. 1º devem assegurar que suas políticas para gerenciamento de riscos previstas na regulamentação em vigor disponham, no tocante à continuidade de negócios, sobre: I - o tratamento dos incidentes relevantes relacionados com o ambiente cibernético de que trata o art. 3º, inciso IV; II - os procedimentos a serem seguidos no caso da interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da instituição; e III - os cenários de incidentes considerados nos testes de continuidade de negócios de que trata o art. 3º, inciso V, alínea "a". Art. 20. Os procedimentos adotados pelas instituições para gerenciamento de riscos previstos na regulamentação em vigor devem contemplar, no tocante à continuidade de negócios: I - o tratamento previsto para mitigar os efeitos dos incidentes relevantes de que trata o inciso IV do art. 3º e da interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados; II - o prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, citados no inciso I; e III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem uma situação de crise pela instituição financeira, bem como das providências para o reinício das suas atividades. (Resolução 4.658)
Ponto final Minimizar a superfície de ataque e impacto Proteger o Control Plane Eliminar e automatizar atividades operacionais Preparar para monitoração e resposta Arquitetura e gestão de privilégios são contrapiso! Avaliar e gerir sua conformidade e de terceiros de forma objetiva, contínua, e abrangente
Dani Dilkin Senior Partner @ Tenchi Security ddilkin@tenchisecurity.com https://www.linkedin.com/in/dani-dilkin-8675292 Perguntas?

Recomendados

Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Novos Paradigmas de Segurança com adoção de Nuvem (AWS)
Novos Paradigmas de Segurança com adoção de Nuvem (AWS)Novos Paradigmas de Segurança com adoção de Nuvem (AWS)
Novos Paradigmas de Segurança com adoção de Nuvem (AWS)Tenchi Security
 
Introdução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesIntrodução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesTenchi Security
 
Implementando APIs REST mais seguras - TDC 2019 - Porto Alegre
Implementando APIs REST mais seguras - TDC 2019 - Porto AlegreImplementando APIs REST mais seguras - TDC 2019 - Porto Alegre
Implementando APIs REST mais seguras - TDC 2019 - Porto AlegreRenato Groff
 
Implementando APIs REST mais seguras - TDC 2019 - São Paulo
Implementando APIs REST mais seguras - TDC 2019 - São PauloImplementando APIs REST mais seguras - TDC 2019 - São Paulo
Implementando APIs REST mais seguras - TDC 2019 - São PauloRenato Groff
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - OctopusClavis Segurança da Informação
 

Recomendados

Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Novos Paradigmas de Segurança com adoção de Nuvem (AWS)
Novos Paradigmas de Segurança com adoção de Nuvem (AWS)Novos Paradigmas de Segurança com adoção de Nuvem (AWS)
Novos Paradigmas de Segurança com adoção de Nuvem (AWS)Tenchi Security
 
Introdução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesIntrodução à Segurança de Containers e Kubernetes
Introdução à Segurança de Containers e KubernetesTenchi Security
 
Implementando APIs REST mais seguras - TDC 2019 - Porto Alegre
Implementando APIs REST mais seguras - TDC 2019 - Porto AlegreImplementando APIs REST mais seguras - TDC 2019 - Porto Alegre
Implementando APIs REST mais seguras - TDC 2019 - Porto AlegreRenato Groff
 
Implementando APIs REST mais seguras - TDC 2019 - São Paulo
Implementando APIs REST mais seguras - TDC 2019 - São PauloImplementando APIs REST mais seguras - TDC 2019 - São Paulo
Implementando APIs REST mais seguras - TDC 2019 - São PauloRenato Groff
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - OctopusClavis Segurança da Informação
 
See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010Marcelo Fleury
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentasGustavo Lichti Mendonça
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELAlessandro Silva
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Cisco do Brasil
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications FirewallsJeronimo Zucco
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Nsc work
Nsc workNsc work
Nsc workJoão Rufino de Sales
 
Apresentação da Empresa - Jan/2014
Apresentação da Empresa - Jan/2014Apresentação da Empresa - Jan/2014
Apresentação da Empresa - Jan/2014GVTech
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
Chassis pattern
Chassis patternChassis pattern
Chassis patternLucas Bicca
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Paulo Rodrigues
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud ComputingVaine Luiz Barreira, MBA
 

Mais conteúdo relacionado

Mais procurados

See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010Marcelo Fleury
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentasGustavo Lichti Mendonça
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELAlessandro Silva
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Cisco do Brasil
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications FirewallsJeronimo Zucco
 
Apresentação da Empresa - Jan/2014
Apresentação da Empresa - Jan/2014Apresentação da Empresa - Jan/2014
Apresentação da Empresa - Jan/2014GVTech
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 

Mais procurados (20)

See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservices
 
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
 
Segurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHELSegurança em Servidores Linux - Ênfase em RHEL
Segurança em Servidores Linux - Ênfase em RHEL
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservices
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications Firewalls
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Nsc work
Nsc workNsc work
Nsc work
 
Apresentação da Empresa - Jan/2014
Apresentação da Empresa - Jan/2014Apresentação da Empresa - Jan/2014
Apresentação da Empresa - Jan/2014
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservices
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservices
 
Chassis pattern
Chassis patternChassis pattern
Chassis pattern
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 

Semelhante a Aprendizados da Gestão de Riscos na Nuvem

Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Paulo Rodrigues
 
Domain ten infographic pt-br_46590
Domain ten infographic pt-br_46590Domain ten infographic pt-br_46590
Domain ten infographic pt-br_46590Cisco do Brasil
 
Cloud Computing: a chave para inovar durante a crise
Cloud Computing: a chave para inovar durante a criseCloud Computing: a chave para inovar durante a crise
Cloud Computing: a chave para inovar durante a criseCisco do Brasil
 
Resolução CMN 4.658: Segurança Cibernética
Resolução CMN 4.658: Segurança CibernéticaResolução CMN 4.658: Segurança Cibernética
Resolução CMN 4.658: Segurança CibernéticaFausto Ferraz de Arruda
 
Risco em projetos cloud computing
Risco em projetos cloud computingRisco em projetos cloud computing
Risco em projetos cloud computingAlfredo Santos
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
Fitic 2016 - Palestra Cloud - Andrea Rigoni
Fitic 2016 - Palestra Cloud - Andrea RigoniFitic 2016 - Palestra Cloud - Andrea Rigoni
Fitic 2016 - Palestra Cloud - Andrea RigoniAndrea Rigoni
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...Amazon Web Services LATAM
 
Transforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoTransforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoCisco do Brasil
 
Um velho dilema da terceirização de ti radicalizado na nuvem
Um velho dilema da terceirização de ti radicalizado na nuvemUm velho dilema da terceirização de ti radicalizado na nuvem
Um velho dilema da terceirização de ti radicalizado na nuvemAlfredo Saad
 
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvemATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvemATMOSPHERE .
 
Arquitetura rede cld
Arquitetura rede cldArquitetura rede cld
Arquitetura rede cldLeon Junior
 
Cloud x outsourcing tradicional des semelhanças na gestão de riscos
Cloud x outsourcing tradicional des semelhanças na gestão de riscosCloud x outsourcing tradicional des semelhanças na gestão de riscos
Cloud x outsourcing tradicional des semelhanças na gestão de riscosAlfredo Saad
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Natalia Fernandes
 

Semelhante a Aprendizados da Gestão de Riscos na Nuvem (20)

Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing Analise de riscos e contramedidas em cloud computing
Analise de riscos e contramedidas em cloud computing
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Domain ten infographic pt-br_46590
Domain ten infographic pt-br_46590Domain ten infographic pt-br_46590
Domain ten infographic pt-br_46590
 
Cloud Computing: a chave para inovar durante a crise
Cloud Computing: a chave para inovar durante a criseCloud Computing: a chave para inovar durante a crise
Cloud Computing: a chave para inovar durante a crise
 
Resolução CMN 4.658: Segurança Cibernética
Resolução CMN 4.658: Segurança CibernéticaResolução CMN 4.658: Segurança Cibernética
Resolução CMN 4.658: Segurança Cibernética
 
Risco em projetos cloud computing
Risco em projetos cloud computingRisco em projetos cloud computing
Risco em projetos cloud computing
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
Fitic 2016 - Palestra Cloud - Andrea Rigoni
Fitic 2016 - Palestra Cloud - Andrea RigoniFitic 2016 - Palestra Cloud - Andrea Rigoni
Fitic 2016 - Palestra Cloud - Andrea Rigoni
 
Entendendo a computação em nuvem
Entendendo a computação em nuvemEntendendo a computação em nuvem
Entendendo a computação em nuvem
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e Riscos
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na Nuvem
 
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
Utilizando a nuvem para proteger o mercado financeiro com segurança, agilidad...
 
Transforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovaçãoTransforme sua rede em um mecanismo de inovação
Transforme sua rede em um mecanismo de inovação
 
Um velho dilema da terceirização de ti radicalizado na nuvem
Um velho dilema da terceirização de ti radicalizado na nuvemUm velho dilema da terceirização de ti radicalizado na nuvem
Um velho dilema da terceirização de ti radicalizado na nuvem
 
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvemATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
ATMOSPHERE - RNP Webinar Cooperação TIC sobre computação em nuvem
 
Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2 Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2
 
Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2 Ufs na nuvem gp 2017-2
Ufs na nuvem gp 2017-2
 
Arquitetura rede cld
Arquitetura rede cldArquitetura rede cld
Arquitetura rede cld
 
Cloud x outsourcing tradicional des semelhanças na gestão de riscos
Cloud x outsourcing tradicional des semelhanças na gestão de riscosCloud x outsourcing tradicional des semelhanças na gestão de riscos
Cloud x outsourcing tradicional des semelhanças na gestão de riscos
 
Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800Grupo 7 si_28191_28045_20130609_1800
Grupo 7 si_28191_28045_20130609_1800
 

Mais de Tenchi Security

us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...
us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...
us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...Tenchi Security
 
Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...
Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...
Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...Tenchi Security
 
Hunting for AWS Exposed Resources
Hunting for AWS Exposed ResourcesHunting for AWS Exposed Resources
Hunting for AWS Exposed ResourcesTenchi Security
 
The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...
The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...
The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...Tenchi Security
 
Detecting AWS control plane abuse in an actionable way using Det{R}ails
Detecting AWS control plane abuse in an actionable way using Det{R}ailsDetecting AWS control plane abuse in an actionable way using Det{R}ails
Detecting AWS control plane abuse in an actionable way using Det{R}ailsTenchi Security
 
Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)
Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)
Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)Tenchi Security
 
SaaSpocalypse - The Complexity and Power of AWS Cross Account Access
SaaSpocalypse - The Complexity and Power of AWS Cross Account AccessSaaSpocalypse - The Complexity and Power of AWS Cross Account Access
SaaSpocalypse - The Complexity and Power of AWS Cross Account AccessTenchi Security
 
Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT
Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CTPalestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT
Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CTTenchi Security
 
Latinoware 2019 - Securing Clouds Wide Open
Latinoware 2019 - Securing Clouds Wide OpenLatinoware 2019 - Securing Clouds Wide Open
Latinoware 2019 - Securing Clouds Wide OpenTenchi Security
 

Mais de Tenchi Security (9)

us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...
us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...
us-east-1 Shuffle_ Lateral Movement and other Creative Steps Attackers Take i...
 
Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...
Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...
Shopping for Vulnerabilities - How Cloud Service Provider Marketplaces can He...
 
Hunting for AWS Exposed Resources
Hunting for AWS Exposed ResourcesHunting for AWS Exposed Resources
Hunting for AWS Exposed Resources
 
The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...
The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...
The Fault in Our Stars - Attack Vectors for APIs Using Amazon API Gateway Lam...
 
Detecting AWS control plane abuse in an actionable way using Det{R}ails
Detecting AWS control plane abuse in an actionable way using Det{R}ailsDetecting AWS control plane abuse in an actionable way using Det{R}ails
Detecting AWS control plane abuse in an actionable way using Det{R}ails
 
Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)
Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)
Mapeando problemas de privilégios no AWS IAM (Identity & Access Management)
 
SaaSpocalypse - The Complexity and Power of AWS Cross Account Access
SaaSpocalypse - The Complexity and Power of AWS Cross Account AccessSaaSpocalypse - The Complexity and Power of AWS Cross Account Access
SaaSpocalypse - The Complexity and Power of AWS Cross Account Access
 
Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT
Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CTPalestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT
Palestra Medindo seu nível de Visibilidade e Detecção usando ATT&CK e DeTT&CT
 
Latinoware 2019 - Securing Clouds Wide Open
Latinoware 2019 - Securing Clouds Wide OpenLatinoware 2019 - Securing Clouds Wide Open
Latinoware 2019 - Securing Clouds Wide Open
 

Aprendizados da Gestão de Riscos na Nuvem

  • 1. Aprendizados do Uso de Nuvem na Gestão de Riscos e Conformidade Regulatória de sua Organização ou Terceiros
  • 2. Dani Dilkin Senior Partner @ Tenchi Security • +23 anos de experiência em segurança da informação • Ex-líder das práticas de prestação de serviço de Cyber Security da Deloitte e da Kroll no Brasil • Um dos primeiros PCI QSA do Brasil e pioneiro em projetos adequação à LGPD São Paulo, Brasil 🇧🇷 ddilkin@tenchisecurity.com
  • 3. 1. Contexto 2. Alguns desafios 3. Algumas oportunidades 4. Governança e gestão de riscos 5. Ponto final Agenda
  • 4. Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio Cybersecurity The Global Risks Report 2019
  • 5. Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos • Controlador e operador • Solução SaaS, prestador de serviço e parceiro de negócio • Financeiro (CorBan, Agente Autônomo, FinTech, etc.) • Seguradora, corretora, e segurado • Adquirente e estabelecimento • HealthTech e outros Cybersecurity
  • 6. Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos Cybersecurity 4MInformation security professionals shortage in 2019 ((ISC)2 Cyber Security Workforce Study) https://www.cnbc.com/2019/11/01/jobs-companies-need-cybersecurity- workers-as-attacks-intensify.html
  • 7. Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos Cybersecurity 4MInformation security professionals shortage in 2019 ((ISC)2 Cyber Security Workforce Study) Serviços de nuvem 94%of workloads will be in the cloud in 2021 (Cisco Global Cloud Index 2019) 95%of cloud security failures through 2025 will be the customer’s fault (Gartner – Is the Cloud Secure?)
  • 8. Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos Cybersecurity 4MInformation security professionals shortage in 2019 ((ISC)2 Cyber Security Workforce Study) Serviços de nuvem 94%of workloads will be in the cloud in 2021 (Cisco Global Cloud Index 2019) 95%of cloud security failures through 2025 will be the customer’s fault (Gartner – Is the Cloud Secure?) Consequências 4.4Bfiles exposed on public S3 buckets in July 10th 2020 (buckets.grayhatwarfare.com) • ~90% concedem privilégios excessivos e publicam informações indevidas • ~75% sem logs/trilhas de auditoria
  • 9. Contexto What’s going on… • Reconhecimento do impacto do risco cibernético para o negócio • Aumento na complexidade das cadeias de suprimentos Cybersecurity 4MInformation security professionals shortage in 2019 ((ISC)2 Cyber Security Workforce Study) Serviços de nuvem 94%of workloads will be in the cloud in 2021 (Cisco Global Cloud Index 2019) 95%of cloud security failures through 2025 will be the customer’s fault (Gartner – Is the Cloud Secure?) Consequências
  • 10. Alguns desafios Winter is coming On premises • Ambiente estático • Papéis e responsabilidades definidos • O perímetro é o obstáculo inicial • Variedade de tecnologias Serviços de nuvem • Ambiente dinâmico • Novo modelo de atribuições e responsabilidades • Autenticação é o obstáculo inicial • API pública
  • 11. Algumas oportunidades Old problems, new friends API pública IAM • Processo de integração simplificado • +7.000* ações/eventos • Security as code * Na AWS, por exemplo. • Granularidade • Guard-rails • Automação “…77% of those cloud breaches also involved breached credentials." DBIR de 2020 página 27
  • 12. Algumas oportunidades Old problems, new friends Shared responsability model Automação Credit: Ory Segal (@orysegal) • CI/CD pipeline • Incident response • Security assessment • Security as code • Cloud Security Posture Management (CSPM)
  • 13. Governança e gestão de riscos • Análise de entrevistas e amostras • Permissões de acesso privilegiadas • Dias ou semanas • SAQs anuais ou security ratings • Gestão de relatórios, planilhas e documentos
  • 14. Governança e gestão de riscos • Análise de entrevistas e amostras • Permissões de acesso privilegiadas • Dias ou semanas • SAQs anuais ou security ratings • Gestão de relatórios, planilhas e documentos “No apparent difference in security outcome when comparing organizations with extensive third-party evaluation processes to those with none.” Gartner Outlook for Cloud Security 2019
  • 15. Governança e gestão de riscos • Análise de entrevistas e amostras • Permissões de acesso privilegiadas • Dias ou semanas • SAQs anuais ou security ratings • Gestão de relatórios, planilhas e documentos • Coleta e análise automatizada de segurança • Privilégio mínimo • Minutos ou dias • Avaliações objetivas, contínuas, e abrangentes • Automatização e integração (tickets, GRC, etc.)
  • 16. Governança e gestão de riscos Referências LGPD • https://d1.awsstatic.com/whitepapers/pt_BR/compliance/LGPD_Compliance_on_AWS.pdf (AWS) • https://www.microsoft.com/pt-br/lgpd (Azure) • https://cloud.google.com/security/compliance/lgpd (GCP) BACEN 4658 • https://d1.awsstatic.com/whitepapers/compliance/PT_Whitepapers/AWS_User_Guide_for_Financial_Services _in_Brazil.pdf (AWS) PCI DSS • https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Cloud_Guidelines_v3.pdf (PCI SSC) • https://aws.amazon.com/pt/quickstart/architecture/compliance-pci/ (AWS) • https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws.pdf (AWS) • https://d1.awsstatic.com/whitepapers/pci-dss-scoping-on-aws.pdf (AWS) • https://docs.microsoft.com/en-us/azure/governance/blueprints/samples/pci-dss-3.2.1/ (Azure) • https://cloud.google.com/solutions/pci-dss-compliance-in-gcp (GCP) Segurança • https://www.cisecurity.org/white-papers/cis-controls-cloud-companion-guide/ (CIS) • https://attack.mitre.org/matrices/enterprise/cloud/ (MITRE ATT&CK) • https://www.iso.org/standard/43757.html (ISO) • https://cloud.google.com/security/compliance/iso-27017 (GCP) • https://docs.microsoft.com/en-us/microsoft-365/compliance/offering-iso-27017?view=o365-worldwide (Azure) • https://aws.amazon.com/pt/compliance/iso-27017-faqs/ (AWS) • https://d1.awsstatic.com/whitepapers/pt_BR/architecture/AWS-Security-Pillar.pdf (AWS) • https://d1.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf (AWS) • https://docs.microsoft.com/en-us/azure/architecture/framework/security/overview (Azure) • https://cloud.google.com/architecture/framework/security-privacy-compliance (GCP)
  • 17. Governança e gestão de riscos • Sim, você pode utilizar computação em nuvem. • Embora os principais provedores de serviço de nuvem possuam datacenters no Brasil, não é obrigatório que os dados estejam no Brasil. Posso estar em conformidade com LGPD e BACEN 4658 usando computação em nuvem? Os dados precisam estar necessariamente no Brasil? Art. 16. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior deve observar os seguintes requisitos: I – A existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados; (…) (Resolução 4.658) Art. 33, incisos I, II, III, IV, V, VI, e VII. Art. 5, inciso XII. Art. 7, incisos II, V, e VI. (LGPD) Referências: https://www.bcb.gov.br/acessoinformacao/legado?url=https:%2F%2Fwww.bcb.gov.br%2Ffis%2Fsup ervisao%2Fmemsupervisao.asp%3Fidpai%3DSUPERVISAOSFN (países conveniados com o BACEN) https://cloudblogs.microsoft.com/industry-blog/pt-br/financial-services/2019/04/18/computacao- nuvem-segmento-financeiro/ https://www.conjur.com.br/2020-mar-31/tribuna-defensoria-lgpd-tratamento-dados-assistidos- defensoria
  • 18. Governança e gestão de riscos • Não, os principais provedores de serviço de nuvem podem atender individualmente aos requisitos da resolução sob sua responsabilidade. • Geralmente esta pergunta está associada aos requisitos de continuidade de negócio da 4658 (vide ao lado). Estes requisitos podem ser atendidos com a definição correta de arquitetura e serviços complementada com um plano de continuidade que contemple os serviço de nuvem documentado junto ao BACEN. Para estar em conformidade com a resolução BACEN 4658 eu preciso de um segundo provedor de serviços de nuvem? Art. 19. As instituições referidas no art. 1º devem assegurar que suas políticas para gerenciamento de riscos previstas na regulamentação em vigor disponham, no tocante à continuidade de negócios, sobre: I - o tratamento dos incidentes relevantes relacionados com o ambiente cibernético de que trata o art. 3º, inciso IV; II - os procedimentos a serem seguidos no caso da interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da instituição; e III - os cenários de incidentes considerados nos testes de continuidade de negócios de que trata o art. 3º, inciso V, alínea "a". Art. 20. Os procedimentos adotados pelas instituições para gerenciamento de riscos previstos na regulamentação em vigor devem contemplar, no tocante à continuidade de negócios: I - o tratamento previsto para mitigar os efeitos dos incidentes relevantes de que trata o inciso IV do art. 3º e da interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados; II - o prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, citados no inciso I; e III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem uma situação de crise pela instituição financeira, bem como das providências para o reinício das suas atividades. (Resolução 4.658)
  • 19. Ponto final Minimizar a superfície de ataque e impacto Proteger o Control Plane Eliminar e automatizar atividades operacionais Preparar para monitoração e resposta Arquitetura e gestão de privilégios são contrapiso! Avaliar e gerir sua conformidade e de terceiros de forma objetiva, contínua, e abrangente
  • 20. Dani Dilkin Senior Partner @ Tenchi Security ddilkin@tenchisecurity.com https://www.linkedin.com/in/dani-dilkin-8675292 Perguntas?

Notas do Editor

  1. Não faça lift & shift da segurança!!! Arquitetura (DIE model, native solutions) Scan de vulnerabilidade Teste de penetração Modelo de responsibilidades No native solutions Security ratings 3rd party risk management Análise do Control Plane é fundamental