Post on 17-Dec-2014
description
1
Pict
ure
sour
ce: s
xc.h
u
Cloud Security Alliance
Anchises Moraes G. de PaulaAndré SerralheiroWalter Capanema
2
• O que é Cloud Computing• Cloud Security Alliance • Aspectos Jurídicos• Tendências
Agenda
3
Pict
ure
sour
ce: s
xc.h
u
CLOUD COMPUTINGO que é a computação em nuvem
4
O que é a computação em nuvem (1)
fonte: sxc.hu
“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models.”
In “NIST Cloud Computing Standards Roadmap - Special Publication 500 291”‐
5
O que é a computação em nuvem (2)
fonte: sxc.huIn “Security Guidance for Critical Areas of Focus in Cloud Computing v3”
6
Pict
ure
sour
ce: s
xc.h
u
CLOUD SECURITY ALLIANCECloud Security Alliance e Capitulo Brasileiro
7
– Associação sem fins lucrativos– Reúne pessoas físicas e empresas– Oficializada em dezembro de 2008– +35mil membros, +130 membros corporativos– Presente em 23 países através de 30 Chapters locais (setembro/2012)
Cloud Security Alliance (CSA)
8
“Promover a utilização das melhores práticas para fornecer garantia de segurança dentro de Cloud Computing, e oferecer educação sobre os usos de Cloud Computing para ajudar a proteger todas as outras formas de computação.”
Missão
Pict
ure
sour
ce: s
xc.h
u
9
• Segundo Chapter oficial da CSA– Oficializado em 27 de
Maio de 2010
• Segue Missão e Objetivos da CSA Global– Promover a Segurança
em Cloud Computing– Promover pesquisas e
iniciativas locais
CSA Brasil
10
• Certificação “Certificate of Cloud Security Knowledge (CCSK)”– Exame online– Custo de USD $295.
• Treinamento– CCSK training– PCI Cloud training– GRC Stack training
Educaçãohttps://cloudsecurityalliance.org/education
https://ccsk.cloudsecurityalliance.org
11
Algumas das iniciativas de pesquisa
https://cloudsecurityalliance.org/research
12
– Estabelece um guia de recomendações para adoptação segura e estavél das operações na nuvem;
– Redifine dominios desde a ultima versão de forma a enfatizar segurança, estabilidade e privacidade;
– Estabelece recomendações práticas e requerimentos que podem ser mensurados e auditados.
Iniciativa de pesquisa: Security Guidance for Critical Areas of Focus in Cloud Computing
https://cloudsecurityalliance.org/research/security-guidance/
13
– Registro gratuito e de acesso público dos controles de segurança de diversos provedores de Cloud Computing;
– Relatórios de auto-avaliação sobre compliance com as melhores práticas publicadas pela CSA;
– Ajuda os usuários a avaliarem a segurança dos provedores de Cloud.
Iniciativa de pesquisa: CSA Security, Trust & Assurance Registry (STAR)
https://cloudsecurityalliance.org/star/
14
“Este documento destaca algumas das motivações mais comumente apontadas como justificativas para a adoção de Computação em Nuvem, bem como alguns dos aspectos a serem considerados quanto a cada uma destas motivações. Com este documento a CSA Brazil Chapter pretende contribuir com gestores e tomadores de decisão quanto à decisão sobre a adoção de Computação em Nuvem em suas organizações.”
– Uelinton Santos, Luiz Augusto Amelotti, Filipe Villar, Eduardo Fedorowicz
Iniciativa de pesquisa: White Paper - Adoção de computação em Nuvem e suas motivações
https://chapters.cloudsecurityalliance.org/brazil/2012/08/17/white-paper-adocao-de-computacao-em-nuvem-e-suas-motivacoes/
15
Pict
ure
sour
ce: s
xc.h
u
ASPECTOS JURÍDICOSNormas e Regramentos
16
Contrato de prestação de serviços em que uma empresa/pessoa física (PROVEDOR) permite o uso de seus recursos computacionais (rede, servidores, espaço em disco, aplicações) por um CLIENTE.
Conceito
fonte: sxc.hu
17
Vai depender do modelo de negócio/cliente:
Legislação Aplicável
fonte: sxc.hu
B2B
B2C
Código Civil
Código de Defesa Consumidor
18
Contratos
fonte: sxc.hu
CLÁUSULAS NECESSÁRIAS
Local dos dados
Backups e recuperação de
desastres
Data retention
Quem vai ter acesso e qual
tipo
19
Contratos
fonte: sxc.hu
CLÁUSULAS NECESSÁRIAS
Requisitos de segurança e TI
Auditoria externa
Criptografia dos dados
Tempo de resposta para recuperação
20
Contratos
fonte: sxc.hu
CLÁUSULAS NECESSÁRIAS
Destino dos dados com o fim
do contratoNotificação
sobre invasão/exposiçã
oTerceiros podem
ter acesso aos dados?
Provedor pode utilizar os
dados?
21
Responsabilidade Civil
fonte: sxc.hu
Código Civil
Código de Defesa Consumidor
Art. 14
Art. 927
22
Responsabilidade Civil: Código Civil
fonte: sxc.hu
"Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.
Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem."
23
Responsabilidade Civil: Código de Defesa do Consumidor
fonte: sxc.hu
"Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos".
24
Responsabilidade Civil: Problema Jurisprudencial
fonte: sxc.hu
Suspensão preventiva de
conteúdo
STJ - Resp 1.316.921/RJ
25
Sistemanotice and take
down (NTD)
25
Responsabilidade Civil: Problema Jurisprudencial
26
ReclamaçãoSuspensão Preventiva
(24 h)
Análise da Reclamação Resposta
Procedimento extrajudicial
26
Responsabilidade Civil: Problema Jurisprudencial
27
Se o provedor não fizer a suspensão preventiva
Responde solidariamente com o autor da ofensa
27
Responsabilidade Civil: Problema Jurisprudencial
28
Problemas Práticos:Extinção Unilateral no Contrato
Se você deixar de cumprir ou a Apple suspeitar que você deixou de cumprir quaisquer disposições deste Contrato, a Apple, a seu exclusivo critério, sem aviso a você, poderá: (i) rescindir o presente Contrato e/ou sua Conta, e você permanecerá responsável por todos os montantes devidos sob sua Conta até e incluindo a data da rescisão e/ou (ii) revogar a licença do software, e/ou (iii) impedir o acesso ao Serviço iTunes (ou qualquer parte dele).”
29
Problemas Práticos:Exclusão de Responsabilidade
"You, and not Dropbox, are responsible for maintaining and protecting all of your stuff. Dropbox will not be liable for any loss or corruption of your stuff, or for any costs or expenses associated with backing up or restoring any of your stuff”.
30
Problemas Práticos:Acionar Empresa Estrangeira
Art. 88, Código de Processo Civil: "É competente a autoridade judiciária brasileira quando:(…)III - a ação se originar de fato ocorrido ou de ato praticado no Brasil."
31
Pict
ure
sour
ce: s
xc.h
u
TENDÊNCIASQue nuvens temos no horizonte?
32
• Múltiplos dispositivos
• Acesso remoto aos Dados
• Guarda de Dados
• Múltiplas regras de segurança
• Dispositivos de terceiros
BYOD
fonte: sxc.hu
33
• Security Solutions fornecidas como e para as Cloud Computing
– Novas soluções– Novos paradigmas– Dependencia dos Cloud
providers
Security as a Service (SecaaS)
fonte: sxc.hu
34
• Padronização de ofertas de Cloud Computing
• Padronização da Segurança em Cloud Computing– “Trusted Cloud”– Assessement & Audit
Global Regulatory Framework
fonte: sxc.hu
35
• ISO/IEC working drafts– ISO/IEC 27017 –
Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002
– ISO/IEC 27018 - Code of practice for data protection controls for public cloud computing services
Global Regulatory Framework
fonte: sxc.hu
36
• Muitas nuvens a frente
• Sujeito a chuvas e trovoadas esporádicas
• Tenha sempre um guarda-chuva próximo
Previsão do Tempo
fonte: Wikimedia Commons
37
• Anchises de Paula - adepaula@Verisign.com• André Serralheiro - serralheiro@gmail.com• Walter Capanema - contato@waltercapanema.com.br
• Cloud Security Alliancehttps://www.cloudsecurityalliance.org
• Cloud Security Alliancehttps://chapters.cloudsecurityalliance.org/brazil
• Twitter - @csabr• Fan Page - https://www.facebook.com/CSA.CapituloBrasil
Contato
38
Pict
ure
sour
ce: s
xc.h
u
OBRIGADOAnchises Moraes G. de PaulaAndré SerralheiroWalter Capanema