Confidentia IT Solutions55 11 4063 9717

55 11 98387 6194

paulo.rodrigues@confidentiati.com

Análise de Riscos e Contramedidas em Cloud-Computing

24/02/2010

Paulo César RodriguesCGEIT®, CISA®, CISM®

Mais de 20 anos de experiência técnica e executiva nas áreas de TI,Marketing, Planejamento Estratégico e Auditoria. Foi CIO em empresascomo Goodyear, Harris, Sodexho, Komatsu. Graduado em Tecnologia deProcessamento de Dados pela UNICAMP. Vivência em projetos nos USA,Argentina, Colômbia, Venezuela e Canadá. Vivência em projetos deGovernança Corporativa e de TI, SOX (Sarbannes & Oxley), ITIL e Cobit,ISO 17779, CMM e CMMi, Software Factory, Six Sigma, etc. CertificadoCobit® Foundation, CGEIT®, CISA® e CISM®. Um dos cinco instrutoresoficiais Cobit® Foundations no Brasil. Foi Diretor de Educação eCertificação do Capítulo ISACA – Brasília.

Agenda

•Definições e Tipos de Cloud•Riscos inerentes a cada tipo de cloud•Análise de Riscos•Análise de Custo/Benefício para cada tipo de Cloud,considerando os riscos•Contra-medidas para cloud

Definições e Tipos de Cloud

The Cloud Cube Model

– The Jericho Forum

Definições e Tipos de Cloud

Análise de Riscos

Fonte: CSA Guide 2.16 –

Cloud Security Alliance

Análise de Riscos

Fonte: CSA Guide 2.16 –

Cloud Security Alliance

Análise de Riscos

A Cloud Security Alliance estabeleceu 12 domínios divididos nas áreas de Governança e Operações. São elas:

Governança Operações

Governance and Enterprise Risk Management

Traditional Security, Business Continuity and Disaster Recovery

Legal and Electronic Discovery Data Center Operations

Compliance and Audit Incident Response, Notification andRemediation

Information Lifecycle Management Application Security

Portability and Interoperability Encryption and Key Management

Identity and Access Management

Virtualization

Análise de Riscos - RiskIT

Custo/Benefício

Comparativo para um ambiente com mais de 30 servidores, um administrador

Amazon EC2 Linux

Internal Server Linux

Internal Cloud Linux

Premissa: Spot Instance, 8 horas por dia

Premissa: Server novo, depreciação em 3 anos, serviço incluso (baseado no TCO Gartner), 8 horas/dia

Premissa: hardware existente (4 nós), depreciado, serviço incluso (baseado no TCO Gartner), 8 horas/dia

Extra Large Instance

Equivalent Processing Power

Extra Large Instance

Preço Hora1

0,24 USD 2,05 USD 0,17 USD

Preço Mês

40,42 USD 353,42 USD 29,45 USD

Preço Ano

485,04 USD 4.241,10 USD 353,42 USD

Custo/Benefício

Comparativo para um ambiente com mais de 30 servidores, um administrador

Amazon EC2 Linux

Internal Server Linux

Internal Cloud Linux

Autenticação Multi-Fator

Não Possível Possível

Pode auditar? Não, SAS-70 tipo II

Sim Sim

Continuidade e Disponibilidade

Forte Possível Possível

“Elasticidade” Infinita, custos adicionais

Só é possível com novo investimento

Limitada no investimento atual

Contramedidas

Roteiro* (avaliar a possibilidade de usar um modelo de riscos como o RiskIT):

1)Identificar os ativos que irão para a nuvem2)Avaliar os ativos. Perguntas a fazer:•Como poderíamos ser prejudicados se o ativo se tornar amplamente público e amplamente distribuído?•Como poderíamos ser prejudicados se um funcionário do nosso provedor de cloud acessar o ativo?•Como poderíamos ser prejudicados se o processo ou função forem manipulados por um estranho?•Como poderíamos ser prejudicados se o processo ou função não apresentar os resultados esperados?•Como poderíamos ser prejudicados se as informações / dados forem alterados inesperadamente?•Como poderíamos ser prejudicados se o ativo não estiver disponível para um período de tempo?3)Mapear o ativo para os potenciais modelos de implantação na nuvem4)Avaliar potenciais modelos e fornecedores de serviço em nuvem

* Baseado no CSA Guidance 2.16

Contramedidas

Talvez o principal risco para a organização seja a facilidade de contratação!!!!

Para evitar:

✔Criar política restringindo/proibindo a compra destes serviços✔Realizar a escolha de um fornecedor e estabelecer com ele regras e SLA's baseados em Risk Assessment, respeitando as políticas e cultura e apetite ao risco da sua empresa (fontes de informação/inspiração: RiskIT, CSA Guidance, JerichoForum, NIST)✔Nunca deixar de lado a metodologia de gerenciamento de investimentos e de projetos da sua empresa (fontes de informação: ValIT, PMBok, Prince2)

Contramedidas

Outro risco é considerar o ganho em Opex/Capex de uma solução específica e esquecer o que já foi investido e mesmo a capacidade ociosa.

Para evitar:

✔Business Case detalho e realista (não empolgar com a tecnologia)✔Considerar o ciclo total do investimento (ValIT)✔Inventários sempre atualizados✔Gestão de Capacidade e Performance✔Havendo capacidade ociosa, POC com o mesmo tipo de tecnologia (para-virtualização, grid, etc.. ver http://open.eucalyptus.com/)✔Não concentrar as decisões em uma só área, usar finanças, legal, suprimentos

? DÚVIDAS ?

Paulo César Rodrigues – CGEIT®, CISA®, CISM®

paulo.rodrigues@confidentiati.com

http://www.confidentiati.com

11-4063-9717

11-98387-6194