4. 4
CSA:
Overview
– Associação sem fins lucrativos
– Idealizada durante o ISSA CISO Forum em
Novembro de 2008
– Oficializada em Dezembro de 2008
– Primeiro Whitepaper na RSA Conference em 2009
– +12mil Membros
– Presente em 06 países através de Chapters locais
5. 5
To promote the use of best
practices for providing
security assurance within
Cloud Computing, and
provide education on the
uses of Cloud Computing to
help secure all other forms
of computing.
CSA:
Missão
6. 6
– Promote a common level of understanding between the
consumers and providers of cloud computing regarding the
necessary security requirements and attestation of assurance
– Promote independent research into best practices for cloud
computing security
– Launch awareness campaigns and educational programs on
the appropriate uses of cloud computing and cloud security
solutions
– Create consensus lists of issues and guidance for cloud
security assurance
CSA:
Objetivos
8. 8
CSA Brasil:
Overview
– Segundo Chapter oficial da CSA
– Oficializado em 27 de Maio de 2010
– 97 Membros
– Board: Leonardo Goldim; Anchises Moraes, Jaime Ortis y
Lugo, Jordan Bonagura, Olympio Renno
– Segue Missão e Objetivos da CSA Global
10. 10
– Versão 1.0: Lançada em Abril de 2009
– Versão 2.1: Lançada em Dezembro de 2009
– Início da tradução versão 2.1: Junho 2010
– Lançamento da tradução: 21 de Outubro de 2010
– Disponível gratuitamente online
Security Guidance:
Guia de Boas Práticas para Nuvem
11. 11
– Separar guia básico dos domínios principais
– Unir os Domínios 3 e 4 (Legislação e Eletronic Discovery)
– Domínio 6 e 14 (Gerenciamento do Ciclo de Vida da
Informação e Armazenamento) foram combinados e
renomeados para Gerenciamento do Ciclo de Vida de
Dados
– Passamos de 15 domínios para 13
Security Guidance:
Versão 1.0 vs 2.1
12. 12
– Computação em Nuvem não é mais ou menos segura
– Cria novos riscos e novas oportunidades
– Oportunidade de reestruturar aplicações antigas
– Não falamos o que, onde ou como migrar para Nuvem
– Fornecemos recomendações práticas para uma migração
da forma mais segura possível
Security Guidance:
Considerações
13. 13
– Identificar o ativo para implantação na nuvem
– Avaliar o ativo
– Mapear o ativo com modelo de implantação
– Avilar potenciais modelos de serviços
– Esboçar o potencial fluxo de dados
Security Guidance:
Framework Reduzido
15. 15
– Seção: Arquitetura
– Compreende em um framework conceitual para os
demais domínios do guia
– Foca na descrição de Computação em Nuvem adaptada
para profissionais de segurança e de redes
– Define a terminologia usada no guia e requisitos de
arquiteturas e desafios para proteção das aplicações e
serviços
Security Guidance:
Framework da Arquitetura de Computação em Nuvem
16. 16
– Seção: Governança
– Compreende na capacidade de uma organização para
governar e medir o risco empresarial introduzido pela
Computação em Nuvem
– Responsabilidade para proteger dados sensíveis no caso
de provedor e usuário falhar
– Como essas questões são afetadas por fronteiras
internacionais
Security Guidance:
Governança e Gestão de Riscos Corporativos
17. 17
– Seção: Governança
– Compreende nos problemas legais em potencial ao se
utilizar Computação em Nuvem
– Requisitos de proteção da informação
– Requisitos regulatórios
– Leis internacionais
Security Guidance:
Aspectos Legais e Electronic Discovery
18. 18
– Seção: Governança
– Compreende na manutenção e comprovação de
conformidade ao se fazer uso da Computação em Nuvem
– Como a Computação em Nuvem afeta o cumprimento de
políticas de segurança interna e diversos requisitos de
conformidade (regulatórios, legislativos, entre outros)
– Orientações para comprovar a conformidade no caso de
auditoria
Security Guidance:
Conformidade e Auditoria
19. 19
– Seção: Governança
– Compreende no gereciamento dos dados que são
colocados na Nuvem
– Controles compensatórios para lidar com a perda de
controle físico
– Responsável pela confidencialidade, integridade e
disponibilidade
Security Guidance:
Gerenciamento do Ciclo de Vida das Informações
20. 20
– Seção: Governança
– Compreende na habilidade de mover dados e/ou
serviços de um provedor para outro ou totalmente de
volta para a empresa
– Interoperabilidade entre fornecedores
Security Guidance:
Portabilidade e Interoperabilidade
21. 21
– Seção: Operações
– Descreve como a Computação em Nuvem afeta os
processos e procedimentos operacionais usados
atualmente em BCP e DRP
– Aborda sobre como ajudar a identificar onde a
Computação em Nuvem pode ajudar a diminuir certos
riscos, ou implica em aumento dos riscos
Security Guidance:
Segurança Tradicional, Cont. de Negócios e Rec. Desastres
22. 22
– Seção: Operações
– Descreve como avaliar a arquitetura e a operação de um
fornecedor de Data Center
– Focado principalmente em ajudar a identificar
características de data centers que podem ser prejudiciais
e as fundamentais para estabilidade a longo prazo
Security Guidance:
Operações e Data Center
23. 23
– Seção: Operações
– Aborda a correta e adequada detecção de incidentes,
resposta, notificação e correção
– Aborda itens tanto no nível de prestadores de serviços e
consumidores
– Forense computacional
– Ajudar a compreender as diferenças na abordagem do
sistema de gestão de incidentes atual
Security Guidance:
Resposta a Incidente, Notificação e Remediação
24. 24
– Seção: Operações
– Descreve modos de proteger a aplicação que está sendo
executada ou desenvolvida na nuvem
– É apropriado migrar ou projetar uma aplicação na
nuvem?
– Qual melhor modelo (SaaS, PaaS ou IaaS) ?
Security Guidance:
Segurança de Aplicações
25. 25
– Seção: Operações
– Discutir por que é necessário
– Identificar questões que surgem com a utilização, seja
para proteger o acesso aos recursos ou para proteger os
dados
Security Guidance:
Criptografia e Gerenciamento de Chaves
26. 26
– Seção: Operações
– Foco em questões encontradas quando se estende a
identidade de uma organização para Nuvem
– Fornece insights para avaliar a capacidade da
organização para realizar a gestão de identidade e acesso
baseados na Nuvem
Security Guidance:
Gerenciamento de Identidade e Acesso
27. 27
– Seção: Operações
– Descreve o uso da Virtualização em Computação em
Nuvem
– Aborda riscos associados com multilocação
– Isolamento de VMs
– Vulnerabilidades em Hypervisor
– Foca nas questões de segurança em torno do
sistema/hardware de virtualização
Security Guidance:
Virtualização
29. 29
– Voltada para profissionais
– Disponível desde 01 de Setembro
– Realizada online
– US$ 295, até 31 de Dezembro US$ 195
– Baseada no Guia de Boas Práticas da CSA e nos estudos
da Enisa sobre gestão de riscos na Nuvem
– CCSK Study Guide
– Relacionada a versão do Guia, não expira
Projetos
CCSK
30. 30
– Certificação voltada para fornecedores (organizações)
– Parceria entre a CSA e a Novell
– Critérios de certificação serão definidos pela CSA
– Foco no domínio 12 (Gerenciamento de Identidade e
Acesso)
Projetos
Trusted Cloud
31. 31
– Complemento ao Security Guidance
– Lançado duas vezes ao ano
– Auxiliar as organizações na decisões de gerenciamento
de riscos na sua estratégia de adoção de Computação em
Nuvem
– Versão 1.0
– Patrocinado pela HP
Projetos
Top Threats
33. 33
– Trazer o Cloud Security Alliance Congress para o Brasil
– Adaptar projetos da CSA para a realidade e necessidade
Brasileira
Projetos
CSA Brasil
34. 34
Leonardo Goldim
Presidente CSA Brasil
goldim@br.cloudsecurityalliance.org
http://br.cloudsecurityalliance.org
http://www.cloudsecurityalliance.org
Obrigado