Análise de Riscos e

Contramedidas em Cloud-
Computing

Alameda Santos, no. 1800 - CJ 1024

Confidentia IT Solutions São Paulo – SP – CEP 01418-200
55 11 4063 8341
paulocesar@confidentia.srv.br
Paulo César Rodrigues
CGEIT®, CISA®, CISM®

Mais de 20 anos de experiência técnica e executiva nas áreas de TI,

Marketing, Planejamento Estratégico e Auditoria. Foi CIO em empresas
como Goodyear, Harris, Sodexho, Komatsu. Graduado em Tecnologia de
Processamento de Dados pela UNICAMP. Vivência em projetos nos USA,
Argentina, Colômbia, Venezuela e Canadá. Vivência em projetos de
Governança Corporativa e de TI, SOX (Sarbannes & Oxley), ITIL e Cobit,
ISO 17779, CMM e CMMi, Software Factory, Six Sigma, etc. Certificado
Cobit® Foundation, CGEIT®, CISA® e CISM®. Um dos cinco instrutores
oficiais Cobit® Foundations no Brasil. Foi Diretor de Educação e
Certificação do Capítulo ISACA – Brasília.
Agenda

•Definições e Tipos de Cloud

•Riscos inerentes a cada tipo de cloud
•Análise de Riscos
•Análise de Custo/Benefício para cada tipo de Cloud,
considerando os riscos
•Contra-medidas para cloud
Definições e Tipos de Cloud
The Cloud Cube Model
– The Jericho Forum
Definições e Tipos de Cloud
Análise de Riscos
Fonte: CSA Guide 2.16 –
Cloud Security Alliance
Análise de Riscos
Fonte: CSA Guide 2.16 –
Cloud Security Alliance
Análise de Riscos
A Cloud Security Alliance estabeleceu 12 domínios divididos nas áreas de
Governança e Operações. São elas:

Governança Operações
Governance and Enterprise Risk Traditional Security, Business Continuity
Management and Disaster Recovery

Legal and Electronic Discovery Data Center Operations

Compliance and Audit Incident Response, Notification and

Remediation

Information Lifecycle Management Application Security

Portability and Interoperability Encryption and Key Management

Identity and Access Management

Virtualization
Análise de Riscos - RiskIT
Custo/Benefício
Comparativo para um ambiente com mais de 30 servidores, um administrador

Amazon EC2 Linux Internal Server Linux Internal Cloud Linux

Premissa: Spot Premissa: Server Premissa: hardware

Instance, 8 horas por novo, depreciação em existente (4 nós),
dia 3 anos, serviço incluso depreciado, serviço
(baseado no TCO incluso (baseado no
Gartner), 8 horas/dia TCO Gartner), 8
horas/dia

Extra Large Instance Equivalent Processing Extra Large Instance

Power

Preço 0,24 USD 2,05 USD 0,17 USD

Hora1

Preço Mês 40,42 USD 353,42 USD 29,45 USD

Preço Ano 485,04 USD 4.241,10 USD 353,42 USD

Custo/Benefício
Comparativo para um ambiente com mais de 30 servidores, um administrador

Amazon EC2 Internal Server Internal Cloud

Linux Linux Linux

Autenticação Multi- Não Possível Possível

Fator

Pode auditar? Não, SAS-70 tipo II Sim Sim

Continuidade e Forte Possível Possível

Disponibilidade

“Elasticidade” Infinita, custos Só é possível com Limitada no

adicionais novo investimento investimento atual
Contramedidas

Roteiro* (avaliar a possibilidade de usar um modelo de riscos como o RiskIT):

1)Identificar os ativos que irão para a nuvem

2)Avaliar os ativos. Perguntas a fazer:
•Como poderíamos ser prejudicados se o ativo se tornar amplamente público e
amplamente distribuído?
•Como poderíamos ser prejudicados se um funcionário do nosso provedor de cloud
acessar o ativo?
•Como poderíamos ser prejudicados se o processo ou função forem manipulados por
um estranho?
•Como poderíamos ser prejudicados se o processo ou função não apresentar os
resultados esperados?
•Como poderíamos ser prejudicados se as informações / dados forem alterados
inesperadamente?
•Como poderíamos ser prejudicados se o ativo não estiver disponível para um período
de tempo?
3)Mapear o ativo para os potenciais modelos de implantação na nuvem
4)Avaliar potenciais modelos e fornecedores de serviço em nuvem

* Baseado no CSA Guidance 2.16

Contramedidas

Talvez o principal risco para a organização seja a facilidade de

contratação!!!!

Para evitar:

✔Criar política restringindo/proibindo a compra destes serviços

✔Realizar a escolha de um fornecedor e estabelecer com ele
regras e SLA's baseados em Risk Assessment, respeitando as
políticas e cultura e apetite ao risco da sua empresa (fontes de
informação/inspiração: RiskIT, CSA Guidance, JerichoForum,
NIST)
✔Nunca deixar de lado a metodologia de gerenciamento de
investimentos e de projetos da sua empresa (fontes de
informação: ValIT, PMBok, Prince2)
 Contramedidas

Outro risco é considerar o ganho em Opex/Capex de uma solução

específica e esquecer o que já foi investido e mesmo a capacidade
ociosa.

Para evitar:

✔Business Case detalho e realista (não empolgar com a tecnologia)

✔Considerar o ciclo total do investimento (ValIT)
✔Inventários sempre atualizados
✔Gestão de Capacidade e Performance
✔Havendo capacidade ociosa, POC com o mesmo tipo de tecnologia
(para-virtualização, grid, etc.. ver http://open.eucalyptus.com/)
✔Não concentrar as decisões em uma só área, usar finanças, legal,
suprimentos
 ? DÚVIDAS ?

Paulo César Rodrigues – CGEIT®, CISA®, CISM®

paulocesar@confidentia.srv.br
http://www.confidentia.srv.br
11-4063-8341
11-8629-4477