Analise de riscos e contramedidas em cloud computing
-
Upload
paulo-rodrigues -
Category
Internet
-
view
148 -
download
20
Transcript of Analise de riscos e contramedidas em cloud computing
Confidentia IT Solutions55 11 4063 9717
55 11 98387 6194
Análise de Riscos e Contramedidas em Cloud-Computing
24/02/2010
Paulo César RodriguesCGEIT®, CISA®, CISM®
Mais de 20 anos de experiência técnica e executiva nas áreas de TI,Marketing, Planejamento Estratégico e Auditoria. Foi CIO em empresascomo Goodyear, Harris, Sodexho, Komatsu. Graduado em Tecnologia deProcessamento de Dados pela UNICAMP. Vivência em projetos nos USA,Argentina, Colômbia, Venezuela e Canadá. Vivência em projetos deGovernança Corporativa e de TI, SOX (Sarbannes & Oxley), ITIL e Cobit,ISO 17779, CMM e CMMi, Software Factory, Six Sigma, etc. CertificadoCobit® Foundation, CGEIT®, CISA® e CISM®. Um dos cinco instrutoresoficiais Cobit® Foundations no Brasil. Foi Diretor de Educação eCertificação do Capítulo ISACA – Brasília.
Agenda
•Definições e Tipos de Cloud•Riscos inerentes a cada tipo de cloud•Análise de Riscos•Análise de Custo/Benefício para cada tipo de Cloud,considerando os riscos•Contra-medidas para cloud
Definições e Tipos de Cloud
The Cloud Cube Model
– The Jericho Forum
Definições e Tipos de Cloud
Análise de Riscos
Fonte: CSA Guide 2.16 –
Cloud Security Alliance
Análise de Riscos
Fonte: CSA Guide 2.16 –
Cloud Security Alliance
Análise de Riscos
A Cloud Security Alliance estabeleceu 12 domínios divididos nas áreas de Governança e Operações. São elas:
Governança Operações
Governance and Enterprise Risk Management
Traditional Security, Business Continuity and Disaster Recovery
Legal and Electronic Discovery Data Center Operations
Compliance and Audit Incident Response, Notification andRemediation
Information Lifecycle Management Application Security
Portability and Interoperability Encryption and Key Management
Identity and Access Management
Virtualization
Análise de Riscos - RiskIT
Custo/Benefício
Comparativo para um ambiente com mais de 30 servidores, um administrador
Amazon EC2 Linux
Internal Server Linux
Internal Cloud Linux
Premissa: Spot Instance, 8 horas por dia
Premissa: Server novo, depreciação em 3 anos, serviço incluso (baseado no TCO Gartner), 8 horas/dia
Premissa: hardware existente (4 nós), depreciado, serviço incluso (baseado no TCO Gartner), 8 horas/dia
Extra Large Instance
Equivalent Processing Power
Extra Large Instance
Preço Hora1
0,24 USD 2,05 USD 0,17 USD
Preço Mês
40,42 USD 353,42 USD 29,45 USD
Preço Ano
485,04 USD 4.241,10 USD 353,42 USD
Custo/Benefício
Comparativo para um ambiente com mais de 30 servidores, um administrador
Amazon EC2 Linux
Internal Server Linux
Internal Cloud Linux
Autenticação Multi-Fator
Não Possível Possível
Pode auditar? Não, SAS-70 tipo II
Sim Sim
Continuidade e Disponibilidade
Forte Possível Possível
“Elasticidade” Infinita, custos adicionais
Só é possível com novo investimento
Limitada no investimento atual
Contramedidas
Roteiro* (avaliar a possibilidade de usar um modelo de riscos como o RiskIT):
1)Identificar os ativos que irão para a nuvem2)Avaliar os ativos. Perguntas a fazer:•Como poderíamos ser prejudicados se o ativo se tornar amplamente público e amplamente distribuído?•Como poderíamos ser prejudicados se um funcionário do nosso provedor de cloud acessar o ativo?•Como poderíamos ser prejudicados se o processo ou função forem manipulados por um estranho?•Como poderíamos ser prejudicados se o processo ou função não apresentar os resultados esperados?•Como poderíamos ser prejudicados se as informações / dados forem alterados inesperadamente?•Como poderíamos ser prejudicados se o ativo não estiver disponível para um período de tempo?3)Mapear o ativo para os potenciais modelos de implantação na nuvem4)Avaliar potenciais modelos e fornecedores de serviço em nuvem
* Baseado no CSA Guidance 2.16
Contramedidas
Talvez o principal risco para a organização seja a facilidade de contratação!!!!
Para evitar:
✔Criar política restringindo/proibindo a compra destes serviços✔Realizar a escolha de um fornecedor e estabelecer com ele regras e SLA's baseados em Risk Assessment, respeitando as políticas e cultura e apetite ao risco da sua empresa (fontes de informação/inspiração: RiskIT, CSA Guidance, JerichoForum, NIST)✔Nunca deixar de lado a metodologia de gerenciamento de investimentos e de projetos da sua empresa (fontes de informação: ValIT, PMBok, Prince2)
Contramedidas
Outro risco é considerar o ganho em Opex/Capex de uma solução específica e esquecer o que já foi investido e mesmo a capacidade ociosa.
Para evitar:
✔Business Case detalho e realista (não empolgar com a tecnologia)✔Considerar o ciclo total do investimento (ValIT)✔Inventários sempre atualizados✔Gestão de Capacidade e Performance✔Havendo capacidade ociosa, POC com o mesmo tipo de tecnologia (para-virtualização, grid, etc.. ver http://open.eucalyptus.com/)✔Não concentrar as decisões em uma só área, usar finanças, legal, suprimentos
? DÚVIDAS ?
Paulo César Rodrigues – CGEIT®, CISA®, CISM®
http://www.confidentiati.com
11-4063-9717
11-98387-6194