SlideShare ist ein Scribd-Unternehmen logo
1 von 34
Downloaden Sie, um offline zu lesen
1
O Papel da CSA no Brasil:
Lançamento do CSA Guide em Português
Leonardo Goldim, CCSK
Presidente CSA Brasil
2
– CSA
– Chapter Brasileiro
– Security Guidance
– Projetos
Agenda
3
CSA
Apresentação CSA Global
4
CSA:
Overview
– Associação sem fins lucrativos
– Idealizada durante o ISSA CISO Forum em
Novembro de 2008
– Oficializada em Dezembro de 2008
– Primeiro Whitepaper na RSA Conference em 2009
– +12mil Membros
– Presente em 06 países através de Chapters locais
5
To promote the use of best
practices for providing
security assurance within
Cloud Computing, and
provide education on the
uses of Cloud Computing to
help secure all other forms
of computing.
CSA:
Missão
6
– Promote a common level of understanding between the
consumers and providers of cloud computing regarding the
necessary security requirements and attestation of assurance
– Promote independent research into best practices for cloud
computing security
– Launch awareness campaigns and educational programs on
the appropriate uses of cloud computing and cloud security
solutions
– Create consensus lists of issues and guidance for cloud
security assurance
CSA:
Objetivos
7
CHAPTER BRASILEIRO
CSA Brasil: histórico
8
CSA Brasil:
Overview
– Segundo Chapter oficial da CSA
– Oficializado em 27 de Maio de 2010
– 97 Membros
– Board: Leonardo Goldim; Anchises Moraes, Jaime Ortis y
Lugo, Jordan Bonagura, Olympio Renno
– Segue Missão e Objetivos da CSA Global
9
SECURITY GUIDANCE
Boas práticas para a Nuvem
10
– Versão 1.0: Lançada em Abril de 2009
– Versão 2.1: Lançada em Dezembro de 2009
– Início da tradução versão 2.1: Junho 2010
– Lançamento da tradução: 21 de Outubro de 2010
– Disponível gratuitamente online
Security Guidance:
Guia de Boas Práticas para Nuvem
11
– Separar guia básico dos domínios principais
– Unir os Domínios 3 e 4 (Legislação e Eletronic Discovery)
– Domínio 6 e 14 (Gerenciamento do Ciclo de Vida da
Informação e Armazenamento) foram combinados e
renomeados para Gerenciamento do Ciclo de Vida de
Dados
– Passamos de 15 domínios para 13
Security Guidance:
Versão 1.0 vs 2.1
12
– Computação em Nuvem não é mais ou menos segura
– Cria novos riscos e novas oportunidades
– Oportunidade de reestruturar aplicações antigas
– Não falamos o que, onde ou como migrar para Nuvem
– Fornecemos recomendações práticas para uma migração
da forma mais segura possível
Security Guidance:
Considerações
13
– Identificar o ativo para implantação na nuvem
– Avaliar o ativo
– Mapear o ativo com modelo de implantação
– Avilar potenciais modelos de serviços
– Esboçar o potencial fluxo de dados
Security Guidance:
Framework Reduzido
14
03 Macro Seções:
– Arquitetura
– Governança
– Operações
Security Guidance:
Seções
15
– Seção: Arquitetura
– Compreende em um framework conceitual para os
demais domínios do guia
– Foca na descrição de Computação em Nuvem adaptada
para profissionais de segurança e de redes
– Define a terminologia usada no guia e requisitos de
arquiteturas e desafios para proteção das aplicações e
serviços
Security Guidance:
Framework da Arquitetura de Computação em Nuvem
16
– Seção: Governança
– Compreende na capacidade de uma organização para
governar e medir o risco empresarial introduzido pela
Computação em Nuvem
– Responsabilidade para proteger dados sensíveis no caso
de provedor e usuário falhar
– Como essas questões são afetadas por fronteiras
internacionais
Security Guidance:
Governança e Gestão de Riscos Corporativos
17
– Seção: Governança
– Compreende nos problemas legais em potencial ao se
utilizar Computação em Nuvem
– Requisitos de proteção da informação
– Requisitos regulatórios
– Leis internacionais
Security Guidance:
Aspectos Legais e Electronic Discovery
18
– Seção: Governança
– Compreende na manutenção e comprovação de
conformidade ao se fazer uso da Computação em Nuvem
– Como a Computação em Nuvem afeta o cumprimento de
políticas de segurança interna e diversos requisitos de
conformidade (regulatórios, legislativos, entre outros)
– Orientações para comprovar a conformidade no caso de
auditoria
Security Guidance:
Conformidade e Auditoria
19
– Seção: Governança
– Compreende no gereciamento dos dados que são
colocados na Nuvem
– Controles compensatórios para lidar com a perda de
controle físico
– Responsável pela confidencialidade, integridade e
disponibilidade
Security Guidance:
Gerenciamento do Ciclo de Vida das Informações
20
– Seção: Governança
– Compreende na habilidade de mover dados e/ou
serviços de um provedor para outro ou totalmente de
volta para a empresa
– Interoperabilidade entre fornecedores
Security Guidance:
Portabilidade e Interoperabilidade
21
– Seção: Operações
– Descreve como a Computação em Nuvem afeta os
processos e procedimentos operacionais usados
atualmente em BCP e DRP
– Aborda sobre como ajudar a identificar onde a
Computação em Nuvem pode ajudar a diminuir certos
riscos, ou implica em aumento dos riscos
Security Guidance:
Segurança Tradicional, Cont. de Negócios e Rec. Desastres
22
– Seção: Operações
– Descreve como avaliar a arquitetura e a operação de um
fornecedor de Data Center
– Focado principalmente em ajudar a identificar
características de data centers que podem ser prejudiciais
e as fundamentais para estabilidade a longo prazo
Security Guidance:
Operações e Data Center
23
– Seção: Operações
– Aborda a correta e adequada detecção de incidentes,
resposta, notificação e correção
– Aborda itens tanto no nível de prestadores de serviços e
consumidores
– Forense computacional
– Ajudar a compreender as diferenças na abordagem do
sistema de gestão de incidentes atual
Security Guidance:
Resposta a Incidente, Notificação e Remediação
24
– Seção: Operações
– Descreve modos de proteger a aplicação que está sendo
executada ou desenvolvida na nuvem
– É apropriado migrar ou projetar uma aplicação na
nuvem?
– Qual melhor modelo (SaaS, PaaS ou IaaS) ?
Security Guidance:
Segurança de Aplicações
25
– Seção: Operações
– Discutir por que é necessário
– Identificar questões que surgem com a utilização, seja
para proteger o acesso aos recursos ou para proteger os
dados
Security Guidance:
Criptografia e Gerenciamento de Chaves
26
– Seção: Operações
– Foco em questões encontradas quando se estende a
identidade de uma organização para Nuvem
– Fornece insights para avaliar a capacidade da
organização para realizar a gestão de identidade e acesso
baseados na Nuvem
Security Guidance:
Gerenciamento de Identidade e Acesso
27
– Seção: Operações
– Descreve o uso da Virtualização em Computação em
Nuvem
– Aborda riscos associados com multilocação
– Isolamento de VMs
– Vulnerabilidades em Hypervisor
– Foca nas questões de segurança em torno do
sistema/hardware de virtualização
Security Guidance:
Virtualização
28
PROJETOS
Atividades em andamento
29
– Voltada para profissionais
– Disponível desde 01 de Setembro
– Realizada online
– US$ 295, até 31 de Dezembro US$ 195
– Baseada no Guia de Boas Práticas da CSA e nos estudos
da Enisa sobre gestão de riscos na Nuvem
– CCSK Study Guide
– Relacionada a versão do Guia, não expira
Projetos
CCSK
30
– Certificação voltada para fornecedores (organizações)
– Parceria entre a CSA e a Novell
– Critérios de certificação serão definidos pela CSA
– Foco no domínio 12 (Gerenciamento de Identidade e
Acesso)
Projetos
Trusted Cloud
31
– Complemento ao Security Guidance
– Lançado duas vezes ao ano
– Auxiliar as organizações na decisões de gerenciamento
de riscos na sua estratégia de adoção de Computação em
Nuvem
– Versão 1.0
– Patrocinado pela HP
Projetos
Top Threats
32
– Controls Matrix
– Cloud Metrics
– Cloud Audit
Projetos
CSA Global
33
– Trazer o Cloud Security Alliance Congress para o Brasil
– Adaptar projetos da CSA para a realidade e necessidade
Brasileira
Projetos
CSA Brasil
34
Leonardo Goldim
Presidente CSA Brasil
goldim@br.cloudsecurityalliance.org
http://br.cloudsecurityalliance.org
http://www.cloudsecurityalliance.org
Obrigado

Weitere ähnliche Inhalte

Was ist angesagt?

Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely Alexandre Freire
 
Segurança e Conformidade - Material Comercial Unbroken
Segurança e Conformidade - Material Comercial UnbrokenSegurança e Conformidade - Material Comercial Unbroken
Segurança e Conformidade - Material Comercial Unbrokenunbrokensecurity
 
Orange Network - Kaspersky - Symantec - Cyberoam - Fortinet - Adobe- Acronis
Orange Network - Kaspersky - Symantec - Cyberoam - Fortinet - Adobe- AcronisOrange Network - Kaspersky - Symantec - Cyberoam - Fortinet - Adobe- Acronis
Orange Network - Kaspersky - Symantec - Cyberoam - Fortinet - Adobe- AcronisOrangeNetwork
 
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Rodrigo Immaginario
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Webinar be aware - como proteger sua informação no desaparecimento do perímetro
Webinar be aware -  como proteger sua informação no desaparecimento do perímetroWebinar be aware -  como proteger sua informação no desaparecimento do perímetro
Webinar be aware - como proteger sua informação no desaparecimento do perímetroSymantec Brasil
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoIlan Chamovitz
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentasGustavo Lichti Mendonça
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoNeemias Lopes
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geração3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geraçãoCisco do Brasil
 
Apostila01 - segurança de redes
Apostila01 -  segurança de redesApostila01 -  segurança de redes
Apostila01 - segurança de redesCarlos Veiga
 

Was ist angesagt? (20)

Segurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na NuvemSegurança Em Computaçao Na Nuvem
Segurança Em Computaçao Na Nuvem
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dados
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Embrace Any Cloud Securely
Embrace Any Cloud Securely Embrace Any Cloud Securely
Embrace Any Cloud Securely
 
Segurança e Conformidade - Material Comercial Unbroken
Segurança e Conformidade - Material Comercial UnbrokenSegurança e Conformidade - Material Comercial Unbroken
Segurança e Conformidade - Material Comercial Unbroken
 
Orange Network - Kaspersky - Symantec - Cyberoam - Fortinet - Adobe- Acronis
Orange Network - Kaspersky - Symantec - Cyberoam - Fortinet - Adobe- AcronisOrange Network - Kaspersky - Symantec - Cyberoam - Fortinet - Adobe- Acronis
Orange Network - Kaspersky - Symantec - Cyberoam - Fortinet - Adobe- Acronis
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
Mvp show cast - Defesa em profundidade: Veja como as tecnologias microsoft po...
 
Smartcrypt 2017-v10
Smartcrypt 2017-v10Smartcrypt 2017-v10
Smartcrypt 2017-v10
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Webinar be aware - como proteger sua informação no desaparecimento do perímetro
Webinar be aware -  como proteger sua informação no desaparecimento do perímetroWebinar be aware -  como proteger sua informação no desaparecimento do perímetro
Webinar be aware - como proteger sua informação no desaparecimento do perímetro
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
 
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
 
Introdução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteçãoIntrodução a segurança da informação e mecanismo e proteção
Introdução a segurança da informação e mecanismo e proteção
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geração3 dicas para escolher um firewall de última geração
3 dicas para escolher um firewall de última geração
 
Apostila01 - segurança de redes
Apostila01 -  segurança de redesApostila01 -  segurança de redes
Apostila01 - segurança de redes
 

Andere mochten auch

Cloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosCloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosAnchises Moraes
 
3 t05 resultados grendene
3 t05 resultados grendene3 t05 resultados grendene
3 t05 resultados grendeneTarso Caselli
 
Validação De Processos Farmacêuticos
Validação De Processos FarmacêuticosValidação De Processos Farmacêuticos
Validação De Processos Farmacêuticosheltonsantos
 
Apresentação 3 t12
Apresentação 3 t12Apresentação 3 t12
Apresentação 3 t12ForjasTaurus
 
Mudança na estruturadas ivs
Mudança na estruturadas ivsMudança na estruturadas ivs
Mudança na estruturadas ivsGiana Araujo
 
Ein Strategie für viele Marken - IA Konferenz 2016 - Berlin
Ein Strategie für viele Marken - IA Konferenz 2016 - BerlinEin Strategie für viele Marken - IA Konferenz 2016 - Berlin
Ein Strategie für viele Marken - IA Konferenz 2016 - BerlinLutz Schmitt
 
User Interface Design Patterns
User Interface Design PatternsUser Interface Design Patterns
User Interface Design PatternsuxHH
 
Who evd guidance_lab_14.2_spa
Who evd guidance_lab_14.2_spaWho evd guidance_lab_14.2_spa
Who evd guidance_lab_14.2_spamaikach
 
Compliance Anforderungen an Computerisierte Systeme
Compliance Anforderungen an Computerisierte SystemeCompliance Anforderungen an Computerisierte Systeme
Compliance Anforderungen an Computerisierte SystemeInboundLabs (ex mon.ki inc)
 
Impulsreferat ng g gud z versand
Impulsreferat ng g gud z versandImpulsreferat ng g gud z versand
Impulsreferat ng g gud z versandJens Friedrich
 
Input Selbstgesteuertes Lernen
Input Selbstgesteuertes LernenInput Selbstgesteuertes Lernen
Input Selbstgesteuertes Lernenhse_unisg
 
Neue Infos rund um WCAG 2.0
Neue Infos rund um WCAG 2.0Neue Infos rund um WCAG 2.0
Neue Infos rund um WCAG 2.0Eric Eggert
 
Brucelosis infecto
Brucelosis infectoBrucelosis infecto
Brucelosis infectoPipo Nz
 

Andere mochten auch (20)

Cloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e RiscosCloud Computing - Conceitos e Riscos
Cloud Computing - Conceitos e Riscos
 
Treinamento Garmin PDN 2013
Treinamento Garmin PDN  2013Treinamento Garmin PDN  2013
Treinamento Garmin PDN 2013
 
3 t05 resultados grendene
3 t05 resultados grendene3 t05 resultados grendene
3 t05 resultados grendene
 
Validação De Processos Farmacêuticos
Validação De Processos FarmacêuticosValidação De Processos Farmacêuticos
Validação De Processos Farmacêuticos
 
Apresentação Garmin
Apresentação GarminApresentação Garmin
Apresentação Garmin
 
Apresentação 3 t12
Apresentação 3 t12Apresentação 3 t12
Apresentação 3 t12
 
Mudança na estruturadas ivs
Mudança na estruturadas ivsMudança na estruturadas ivs
Mudança na estruturadas ivs
 
guidance-and-counseling
guidance-and-counselingguidance-and-counseling
guidance-and-counseling
 
Acceso a la innovación en el diseño y asistencia financiera a la pequeña y me...
Acceso a la innovación en el diseño y asistencia financiera a la pequeña y me...Acceso a la innovación en el diseño y asistencia financiera a la pequeña y me...
Acceso a la innovación en el diseño y asistencia financiera a la pequeña y me...
 
Treinamento de GPS Garmin
Treinamento de GPS GarminTreinamento de GPS Garmin
Treinamento de GPS Garmin
 
Ein Strategie für viele Marken - IA Konferenz 2016 - Berlin
Ein Strategie für viele Marken - IA Konferenz 2016 - BerlinEin Strategie für viele Marken - IA Konferenz 2016 - Berlin
Ein Strategie für viele Marken - IA Konferenz 2016 - Berlin
 
Informe urdangarin integro
Informe urdangarin integroInforme urdangarin integro
Informe urdangarin integro
 
User Interface Design Patterns
User Interface Design PatternsUser Interface Design Patterns
User Interface Design Patterns
 
Who evd guidance_lab_14.2_spa
Who evd guidance_lab_14.2_spaWho evd guidance_lab_14.2_spa
Who evd guidance_lab_14.2_spa
 
Compliance Anforderungen an Computerisierte Systeme
Compliance Anforderungen an Computerisierte SystemeCompliance Anforderungen an Computerisierte Systeme
Compliance Anforderungen an Computerisierte Systeme
 
Impulsreferat ng g gud z versand
Impulsreferat ng g gud z versandImpulsreferat ng g gud z versand
Impulsreferat ng g gud z versand
 
Input Selbstgesteuertes Lernen
Input Selbstgesteuertes LernenInput Selbstgesteuertes Lernen
Input Selbstgesteuertes Lernen
 
Neue Infos rund um WCAG 2.0
Neue Infos rund um WCAG 2.0Neue Infos rund um WCAG 2.0
Neue Infos rund um WCAG 2.0
 
El sector químic – Dagoberto Schmid
El sector químic – Dagoberto Schmid El sector químic – Dagoberto Schmid
El sector químic – Dagoberto Schmid
 
Brucelosis infecto
Brucelosis infectoBrucelosis infecto
Brucelosis infecto
 

Ähnlich wie Lançamento CSA Guide em Português

CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes TI Safe
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemCássio Quaresma
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud ComputingRicardo Peres
 
Cloud conceitos, segurança e migração
Cloud   conceitos, segurança e migraçãoCloud   conceitos, segurança e migração
Cloud conceitos, segurança e migraçãoAllen Informática
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudAlexandro Silva
 
Introdução a Cloud Computing
Introdução a Cloud ComputingIntrodução a Cloud Computing
Introdução a Cloud ComputingFrederico Madeira
 
My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3namplc
 
Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaCisco do Brasil
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosSymantec Brasil
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerAnderson Pontes
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalFabio Hara
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerAmazon Web Services LATAM
 

Ähnlich wie Lançamento CSA Guide em Português (20)

CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
 
Oportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na NuvemOportunidades e Riscos de Segurança na Computação na Nuvem
Oportunidades e Riscos de Segurança na Computação na Nuvem
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e Riscos
 
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
Analise Seguranca Computacao Nuvem - XXXII SBRC (2014)
 
Artigo Cloud Computing
Artigo Cloud ComputingArtigo Cloud Computing
Artigo Cloud Computing
 
Cloud conceitos, segurança e migração
Cloud   conceitos, segurança e migraçãoCloud   conceitos, segurança e migração
Cloud conceitos, segurança e migração
 
Cloud Computing - Security in the Cloud
Cloud Computing - Security in the CloudCloud Computing - Security in the Cloud
Cloud Computing - Security in the Cloud
 
Ufs na nuvem gp 2017-2
Ufs na nuvem   gp 2017-2 Ufs na nuvem   gp 2017-2
Ufs na nuvem gp 2017-2
 
Introdução a Cloud Computing
Introdução a Cloud ComputingIntrodução a Cloud Computing
Introdução a Cloud Computing
 
My Cloud Computing Presentation V3
My Cloud Computing Presentation V3My Cloud Computing Presentation V3
My Cloud Computing Presentation V3
 
Transferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiançaTransferência para uma nuvem privada com confiança
Transferência para uma nuvem privada com confiança
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Entendendo a computação em nuvem
Entendendo a computação em nuvemEntendendo a computação em nuvem
Entendendo a computação em nuvem
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf
 
Ufs na nuvem gp 2017-2
Ufs na nuvem   gp 2017-2 Ufs na nuvem   gp 2017-2
Ufs na nuvem gp 2017-2
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 
Azure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-FinalAzure Security Center - 120715 - PTBR-Final
Azure Security Center - 120715 - PTBR-Final
 
Lista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security OfficerLista de desejos de um Chief Security Officer
Lista de desejos de um Chief Security Officer
 

Lançamento CSA Guide em Português

  • 1. 1 O Papel da CSA no Brasil: Lançamento do CSA Guide em Português Leonardo Goldim, CCSK Presidente CSA Brasil
  • 2. 2 – CSA – Chapter Brasileiro – Security Guidance – Projetos Agenda
  • 4. 4 CSA: Overview – Associação sem fins lucrativos – Idealizada durante o ISSA CISO Forum em Novembro de 2008 – Oficializada em Dezembro de 2008 – Primeiro Whitepaper na RSA Conference em 2009 – +12mil Membros – Presente em 06 países através de Chapters locais
  • 5. 5 To promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing. CSA: Missão
  • 6. 6 – Promote a common level of understanding between the consumers and providers of cloud computing regarding the necessary security requirements and attestation of assurance – Promote independent research into best practices for cloud computing security – Launch awareness campaigns and educational programs on the appropriate uses of cloud computing and cloud security solutions – Create consensus lists of issues and guidance for cloud security assurance CSA: Objetivos
  • 8. 8 CSA Brasil: Overview – Segundo Chapter oficial da CSA – Oficializado em 27 de Maio de 2010 – 97 Membros – Board: Leonardo Goldim; Anchises Moraes, Jaime Ortis y Lugo, Jordan Bonagura, Olympio Renno – Segue Missão e Objetivos da CSA Global
  • 10. 10 – Versão 1.0: Lançada em Abril de 2009 – Versão 2.1: Lançada em Dezembro de 2009 – Início da tradução versão 2.1: Junho 2010 – Lançamento da tradução: 21 de Outubro de 2010 – Disponível gratuitamente online Security Guidance: Guia de Boas Práticas para Nuvem
  • 11. 11 – Separar guia básico dos domínios principais – Unir os Domínios 3 e 4 (Legislação e Eletronic Discovery) – Domínio 6 e 14 (Gerenciamento do Ciclo de Vida da Informação e Armazenamento) foram combinados e renomeados para Gerenciamento do Ciclo de Vida de Dados – Passamos de 15 domínios para 13 Security Guidance: Versão 1.0 vs 2.1
  • 12. 12 – Computação em Nuvem não é mais ou menos segura – Cria novos riscos e novas oportunidades – Oportunidade de reestruturar aplicações antigas – Não falamos o que, onde ou como migrar para Nuvem – Fornecemos recomendações práticas para uma migração da forma mais segura possível Security Guidance: Considerações
  • 13. 13 – Identificar o ativo para implantação na nuvem – Avaliar o ativo – Mapear o ativo com modelo de implantação – Avilar potenciais modelos de serviços – Esboçar o potencial fluxo de dados Security Guidance: Framework Reduzido
  • 14. 14 03 Macro Seções: – Arquitetura – Governança – Operações Security Guidance: Seções
  • 15. 15 – Seção: Arquitetura – Compreende em um framework conceitual para os demais domínios do guia – Foca na descrição de Computação em Nuvem adaptada para profissionais de segurança e de redes – Define a terminologia usada no guia e requisitos de arquiteturas e desafios para proteção das aplicações e serviços Security Guidance: Framework da Arquitetura de Computação em Nuvem
  • 16. 16 – Seção: Governança – Compreende na capacidade de uma organização para governar e medir o risco empresarial introduzido pela Computação em Nuvem – Responsabilidade para proteger dados sensíveis no caso de provedor e usuário falhar – Como essas questões são afetadas por fronteiras internacionais Security Guidance: Governança e Gestão de Riscos Corporativos
  • 17. 17 – Seção: Governança – Compreende nos problemas legais em potencial ao se utilizar Computação em Nuvem – Requisitos de proteção da informação – Requisitos regulatórios – Leis internacionais Security Guidance: Aspectos Legais e Electronic Discovery
  • 18. 18 – Seção: Governança – Compreende na manutenção e comprovação de conformidade ao se fazer uso da Computação em Nuvem – Como a Computação em Nuvem afeta o cumprimento de políticas de segurança interna e diversos requisitos de conformidade (regulatórios, legislativos, entre outros) – Orientações para comprovar a conformidade no caso de auditoria Security Guidance: Conformidade e Auditoria
  • 19. 19 – Seção: Governança – Compreende no gereciamento dos dados que são colocados na Nuvem – Controles compensatórios para lidar com a perda de controle físico – Responsável pela confidencialidade, integridade e disponibilidade Security Guidance: Gerenciamento do Ciclo de Vida das Informações
  • 20. 20 – Seção: Governança – Compreende na habilidade de mover dados e/ou serviços de um provedor para outro ou totalmente de volta para a empresa – Interoperabilidade entre fornecedores Security Guidance: Portabilidade e Interoperabilidade
  • 21. 21 – Seção: Operações – Descreve como a Computação em Nuvem afeta os processos e procedimentos operacionais usados atualmente em BCP e DRP – Aborda sobre como ajudar a identificar onde a Computação em Nuvem pode ajudar a diminuir certos riscos, ou implica em aumento dos riscos Security Guidance: Segurança Tradicional, Cont. de Negócios e Rec. Desastres
  • 22. 22 – Seção: Operações – Descreve como avaliar a arquitetura e a operação de um fornecedor de Data Center – Focado principalmente em ajudar a identificar características de data centers que podem ser prejudiciais e as fundamentais para estabilidade a longo prazo Security Guidance: Operações e Data Center
  • 23. 23 – Seção: Operações – Aborda a correta e adequada detecção de incidentes, resposta, notificação e correção – Aborda itens tanto no nível de prestadores de serviços e consumidores – Forense computacional – Ajudar a compreender as diferenças na abordagem do sistema de gestão de incidentes atual Security Guidance: Resposta a Incidente, Notificação e Remediação
  • 24. 24 – Seção: Operações – Descreve modos de proteger a aplicação que está sendo executada ou desenvolvida na nuvem – É apropriado migrar ou projetar uma aplicação na nuvem? – Qual melhor modelo (SaaS, PaaS ou IaaS) ? Security Guidance: Segurança de Aplicações
  • 25. 25 – Seção: Operações – Discutir por que é necessário – Identificar questões que surgem com a utilização, seja para proteger o acesso aos recursos ou para proteger os dados Security Guidance: Criptografia e Gerenciamento de Chaves
  • 26. 26 – Seção: Operações – Foco em questões encontradas quando se estende a identidade de uma organização para Nuvem – Fornece insights para avaliar a capacidade da organização para realizar a gestão de identidade e acesso baseados na Nuvem Security Guidance: Gerenciamento de Identidade e Acesso
  • 27. 27 – Seção: Operações – Descreve o uso da Virtualização em Computação em Nuvem – Aborda riscos associados com multilocação – Isolamento de VMs – Vulnerabilidades em Hypervisor – Foca nas questões de segurança em torno do sistema/hardware de virtualização Security Guidance: Virtualização
  • 29. 29 – Voltada para profissionais – Disponível desde 01 de Setembro – Realizada online – US$ 295, até 31 de Dezembro US$ 195 – Baseada no Guia de Boas Práticas da CSA e nos estudos da Enisa sobre gestão de riscos na Nuvem – CCSK Study Guide – Relacionada a versão do Guia, não expira Projetos CCSK
  • 30. 30 – Certificação voltada para fornecedores (organizações) – Parceria entre a CSA e a Novell – Critérios de certificação serão definidos pela CSA – Foco no domínio 12 (Gerenciamento de Identidade e Acesso) Projetos Trusted Cloud
  • 31. 31 – Complemento ao Security Guidance – Lançado duas vezes ao ano – Auxiliar as organizações na decisões de gerenciamento de riscos na sua estratégia de adoção de Computação em Nuvem – Versão 1.0 – Patrocinado pela HP Projetos Top Threats
  • 32. 32 – Controls Matrix – Cloud Metrics – Cloud Audit Projetos CSA Global
  • 33. 33 – Trazer o Cloud Security Alliance Congress para o Brasil – Adaptar projetos da CSA para a realidade e necessidade Brasileira Projetos CSA Brasil
  • 34. 34 Leonardo Goldim Presidente CSA Brasil goldim@br.cloudsecurityalliance.org http://br.cloudsecurityalliance.org http://www.cloudsecurityalliance.org Obrigado