1

Pict

ure

sour

ce: s

xc.h

u

Cloud Security Alliance

Anchises Moraes G. de PaulaAndré SerralheiroWalter Capanema

2

• O que é Cloud Computing• Cloud Security Alliance • Aspectos Jurídicos• Tendências

Agenda

3

Pict

ure

sour

ce: s

xc.h

u

CLOUD COMPUTINGO que é a computação em nuvem

4

O que é a computação em nuvem (1)

fonte: sxc.hu

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models.”

In “NIST Cloud Computing Standards Roadmap - Special Publication 500 291”‐

5

O que é a computação em nuvem (2)

fonte: sxc.huIn “Security Guidance for Critical Areas of Focus in Cloud Computing v3”

6

Pict

ure

sour

ce: s

xc.h

u

CLOUD SECURITY ALLIANCECloud Security Alliance e Capitulo Brasileiro

7

– Associação sem fins lucrativos– Reúne pessoas físicas e empresas– Oficializada em dezembro de 2008– +35mil membros, +130 membros corporativos– Presente em 23 países através de 30 Chapters locais (setembro/2012)

Cloud Security Alliance (CSA)

8

“Promover a utilização das melhores práticas para fornecer garantia de segurança dentro de Cloud Computing, e oferecer educação sobre os usos de Cloud Computing para ajudar a proteger todas as outras formas de computação.”

Missão

Pict

ure

sour

ce: s

xc.h

u

9

• Segundo Chapter oficial da CSA– Oficializado em 27 de

Maio de 2010

• Segue Missão e Objetivos da CSA Global– Promover a Segurança

em Cloud Computing– Promover pesquisas e

iniciativas locais

CSA Brasil

10

• Certificação “Certificate of Cloud Security Knowledge (CCSK)”– Exame online– Custo de USD $295.

• Treinamento– CCSK training– PCI Cloud training– GRC Stack training

Educaçãohttps://cloudsecurityalliance.org/education

https://ccsk.cloudsecurityalliance.org

11

Algumas das iniciativas de pesquisa

https://cloudsecurityalliance.org/research

12

– Estabelece um guia de recomendações para adoptação segura e estavél das operações na nuvem;

– Redifine dominios desde a ultima versão de forma a enfatizar segurança, estabilidade e privacidade;

– Estabelece recomendações práticas e requerimentos que podem ser mensurados e auditados.

Iniciativa de pesquisa: Security Guidance for Critical Areas of Focus in Cloud Computing

https://cloudsecurityalliance.org/research/security-guidance/

13

– Registro gratuito e de acesso público dos controles de segurança de diversos provedores de Cloud Computing;

– Relatórios de auto-avaliação sobre compliance com as melhores práticas publicadas pela CSA;

– Ajuda os usuários a avaliarem a segurança dos provedores de Cloud.

Iniciativa de pesquisa: CSA Security, Trust & Assurance Registry (STAR)

https://cloudsecurityalliance.org/star/

14

“Este documento destaca algumas das motivações mais comumente apontadas como justificativas para a adoção de Computação em Nuvem, bem como alguns dos aspectos a serem considerados quanto a cada uma destas motivações. Com este documento a CSA Brazil Chapter pretende contribuir com gestores e tomadores de decisão quanto à decisão sobre a adoção de Computação em Nuvem em suas organizações.”

– Uelinton Santos, Luiz Augusto Amelotti, Filipe Villar, Eduardo Fedorowicz

Iniciativa de pesquisa: White Paper - Adoção de computação em Nuvem e suas motivações

https://chapters.cloudsecurityalliance.org/brazil/2012/08/17/white-paper-adocao-de-computacao-em-nuvem-e-suas-motivacoes/

15

Pict

ure

sour

ce: s

xc.h

u

ASPECTOS JURÍDICOSNormas e Regramentos

16

Contrato de prestação de serviços em que uma empresa/pessoa física (PROVEDOR) permite o uso de seus recursos computacionais (rede, servidores, espaço em disco, aplicações) por um CLIENTE.

Conceito

fonte: sxc.hu

17

Vai depender do modelo de negócio/cliente:

Legislação Aplicável

fonte: sxc.hu

B2B

B2C

Código Civil

Código de Defesa Consumidor

18

Contratos

fonte: sxc.hu

CLÁUSULAS NECESSÁRIAS

Local dos dados

Backups e recuperação de

desastres

Data retention

Quem vai ter acesso e qual

tipo

19

Contratos

fonte: sxc.hu

CLÁUSULAS NECESSÁRIAS

Requisitos de segurança e TI

Auditoria externa

Criptografia dos dados

Tempo de resposta para recuperação

20

Contratos

fonte: sxc.hu

CLÁUSULAS NECESSÁRIAS

Destino dos dados com o fim

do contratoNotificação

sobre invasão/exposiçã

oTerceiros podem

ter acesso aos dados?

Provedor pode utilizar os

dados?

21

Responsabilidade Civil

fonte: sxc.hu

Código Civil

Código de Defesa Consumidor

Art. 14

Art. 927

22

Responsabilidade Civil: Código Civil

fonte: sxc.hu

"Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem."

23

Responsabilidade Civil: Código de Defesa do Consumidor

fonte: sxc.hu

"Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos".

24

Responsabilidade Civil: Problema Jurisprudencial

fonte: sxc.hu

Suspensão preventiva de

conteúdo

STJ - Resp 1.316.921/RJ

25

Sistemanotice and take

down (NTD)

25

Responsabilidade Civil: Problema Jurisprudencial

26

ReclamaçãoSuspensão Preventiva

(24 h)

Análise da Reclamação Resposta

Procedimento extrajudicial

26

Responsabilidade Civil: Problema Jurisprudencial

27

Se o provedor não fizer a suspensão preventiva

Responde solidariamente com o autor da ofensa

27

Responsabilidade Civil: Problema Jurisprudencial

28

Problemas Práticos:Extinção Unilateral no Contrato

Se você deixar de cumprir ou a Apple suspeitar que você deixou de cumprir quaisquer disposições deste Contrato, a Apple, a seu exclusivo critério, sem aviso a você, poderá: (i) rescindir o presente Contrato e/ou sua Conta, e você permanecerá responsável por todos os montantes devidos sob sua Conta até e incluindo a data da rescisão e/ou (ii) revogar a licença do software, e/ou (iii) impedir o acesso ao Serviço iTunes (ou qualquer parte dele).”

29

Problemas Práticos:Exclusão de Responsabilidade

"You, and not Dropbox, are responsible for maintaining and protecting all of your stuff. Dropbox will not be liable for any loss or corruption of your stuff, or for any costs or expenses associated with backing up or restoring any of your stuff”.

30

Problemas Práticos:Acionar Empresa Estrangeira

Art. 88, Código de Processo Civil: "É competente a autoridade judiciária brasileira quando:(…)III - a ação se originar de fato ocorrido ou de ato praticado no Brasil."

31

Pict

ure

sour

ce: s

xc.h

u

TENDÊNCIASQue nuvens temos no horizonte?

32

• Múltiplos dispositivos

• Acesso remoto aos Dados

• Guarda de Dados

• Múltiplas regras de segurança

• Dispositivos de terceiros

BYOD

fonte: sxc.hu

33

• Security Solutions fornecidas como e para as Cloud Computing

– Novas soluções– Novos paradigmas– Dependencia dos Cloud

providers

Security as a Service (SecaaS)

fonte: sxc.hu

34

• Padronização de ofertas de Cloud Computing

• Padronização da Segurança em Cloud Computing– “Trusted Cloud”– Assessement & Audit

Global Regulatory Framework

fonte: sxc.hu

35

• ISO/IEC working drafts– ISO/IEC 27017 –

Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002

– ISO/IEC 27018 - Code of practice for data protection controls for public cloud computing services

Global Regulatory Framework

fonte: sxc.hu

36

• Muitas nuvens a frente

• Sujeito a chuvas e trovoadas esporádicas

• Tenha sempre um guarda-chuva próximo

Previsão do Tempo

fonte: Wikimedia Commons

37

• Anchises de Paula - adepaula@Verisign.com• André Serralheiro - serralheiro@gmail.com• Walter Capanema - contato@waltercapanema.com.br

• Cloud Security Alliancehttps://www.cloudsecurityalliance.org

• Cloud Security Alliancehttps://chapters.cloudsecurityalliance.org/brazil

• Twitter - @csabr• Fan Page - https://www.facebook.com/CSA.CapituloBrasil

Contato

38

Pict

ure

sour

ce: s

xc.h

u

OBRIGADOAnchises Moraes G. de PaulaAndré SerralheiroWalter Capanema