news Arrow to Content

January 8, 2014

Presidente da CSABR explica sobre segurança em nuvem

Paulo Pabliusi, Ph.D. em Information Security, pela Royal Holloway University of London, mestre em Ciência da Computação pela Unicamp, presidente do Cloud Security Alliance Brasil Chapter, Diretor de Comunicação da Associação de Auditoria e Controles de Sistemas de Informação (ISACA-RJ) e sócio-diretor da Procela Inteligência em Segurança, compartilha seus conhecimentos e experiência sobre segurança em computação em nuvem nesta entrevista exclusiva para o Portal ABES, concedida durante o CSC Fórum 2013, realizado em São Paulo, onde apresentou a palestra “Espionagem Cibernética Globalizada – Novos Desafios para segurança de serviços baseados na Nuvem em Apoio ao Negócio”.

Explique a importância da computação em nuvem para segurança das informações?

A computação, quando migrada para nuvens públicas, exige um modelo de segurança da informação que reconcilie a capacidade de expansão e multilocação de recursos computacionais com a necessidade de confiança. Assim que migram seus ambientes de computação para a nuvem, com suas respectivas identidades, infraestrutura e informações, as instituições se veem na eminência de abrir mão de certos níveis de controle. Para tanto, é necessário que elas confiem nos sistemas e nos provedores de nuvem e verifiquem seus processos e eventos. Fazem parte desse processo de confiança e verificação o controle de acesso, a segurança dos dados, o gerenciamento e monitoramento contínuo de eventos e informações. Em resumo, todos os elementos de segurança que são compreendidos por um departamento de TI, implantados com a tecnologia existente, com possibilidade de extensão para a nuvem.

Ao contrário do que usualmente acontece em um centro de dados tradicional, na nuvem a barreira que protege a infraestrutura é diluída. Nesse momento, a segurança passará a ser concentrada na informação. Os dados precisarão de segurança própria que os acompanhe e os proteja. Isso implicará no seu completo isolamento, já que precisam ser mantidos em segurança para que fiquem protegidos quando vários clientes usarem recursos compartilhados em uma infraestrutura de nuvem. Também é importante que a virtualização, o controle de acessos e a criptografia sejam suficientes para permitirem níveis alternáveis de separação entre corporações, usuários e comunidades de interesse.

A classificação de dados também é fundamental, uma vez que as empresas precisarão saber, exatamente, quais informações são importantes e onde elas estão localizadas, para lhes garantir a devida atenção, em especial quanto aos procedimentos de prevenção contra a perda de dados.

Em sua avaliação, como é possível garantir a segurança na nuvem?

São sete importantes princípios a seguir, quando o assunto é a segurança da informação em computação em nuvem:

1. Acesso privilegiado de usuários – A sensibilidade de informações confidenciais nas empresas obriga um controle de acesso dos usuários e informação bem específica de quem terá privilégio de administrador, para então esse administrador controle os acessos.

2. Compliance com regulamentação – As empresas são responsáveis pela segurança, integridade e confidencialidade de seus próprios dados. Os fornecedores de computação em nuvem devem estar preparados para auditorias externas e certificações de segurança.

3. Localização dos dados – A empresa que usa nuvem provavelmente não sabe exatamente onde os dados estão armazenados, talvez nem o país onde as informações estejam guardadas. O fornecedor deve estar disposto a se comprometer a armazenar e a processar dados em jurisdições específicas, assumindo um compromisso em contrato de obedecer aos requisitos de privacidade que o país de origem da empresa pede.

4. Segregação dos dados – Geralmente uma empresa divide um ambiente com dados de diversos clientes. É importante entender o que é feito para a separação de dados e que tipo de criptografia é seguro o suficiente para o funcionamento adequado da aplicação.

5. Recuperação dos dados – O fornecedor em nuvem deve saber onde estão os dados da empresa e o que acontece para recuperação de dados em caso de catástrofe. Qualquer aplicação que não replica os dados e a infraestrutura em diversas localidades está vulnerável a falha completa. Importante ter um plano de recuperação completa e um tempo estimado para tal.

6. Apoio à investigação – A auditabilidade de atividades ilegais pode se tornar impossível em computação em nuvem, uma vez que há uma variação de servidores conforme o tempo onde estão localizados os acessos e os dados dos usuários. Importante obter um compromisso contratual com a empresa fornecedora do serviço e uma evidência de sucesso no passado para esse tipo de investigação.

7. Viabilidade em longo prazo – No mundo ideal, o fornecedor de computação em nuvem jamais vai falir ou ser adquirido por uma empresa maior. A empresa precisa garantir que os seus dados estarão disponíveis caso o fornecedor de nuvem deixe de existir ou seja migrado para uma empresa maior. Importante haver um plano de recuperação de dados.O capítulo Brasil da Cloud Security Alliance, entidade sem fins lucrativos que represento após ser eleito presidente em setembro de 2013, possui como missão a utilização das melhores práticas para a prestação de garantia de segurança dentro da computação em nuvem, e oferecer educação sobre os usos de computação em nuvem para ajudar a proteger todas as outras formas de computação.

O que é espionagem cibernética e qual a real posição do Brasil em relação a este assunto?

A guerra cibernética é uma modalidade onde a conflitualidade não ocorre com armas físicas, mas através da confrontação com meios eletrônicos e informáticos no chamado ciberespaço. No seu uso mais comum e livre, o termo é usado para designar ataques, represálias ou intrusão ilícita num computador ou numa rede. A espionagem cibernética é um ato praticado no contexto de guerra cibernética para se obter informações sigilosas de governos de países. A violação desse sigilo pode causar muitos danos reais ao país atacado.

A presidente Dilma deixou bem clara a posição do Brasil em relação a este assunto, em seu recente discurso de abertura da 68ª Assembleia-Geral das Nações Unidas, em Nova York, afirmando que as ações de espionagem dos Estados Unidos no Brasil “ferem” o direito internacional e “afrontam” os princípios que regem a relação entre os países. Segundo ela, “imiscuir-se dessa forma na vida dos outros países fere o direito internacional e afronta os princípios que devem reger as relações entre eles, sobretudo, entre nações amigas”.

Quais são as principais ameaças à segurança das empresas?

As três principais ameaças à segurança da informação das empresas são:

  • Perda de Confidencialidade: quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou de um administrador de sistema), permitindo que sejam expostas informações restritas que seriam acessíveis apenas por um determinado grupo de usuários autorizados.
  • Perda de Integridade: acontece quando uma determinada informação fica exposta a uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
  • Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Por exemplo, a perda de comunicação com um sistema importante para a empresa, ocorrida com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.

Fonte: Portal ABES

Diretoria de Comunicação e Mídias Digitais

Categories: Publicações || Tags: , ,

October 10, 2013

CSA Big Data Analytics for Security Intelligence – Nova Pesquisa Desenvolvida pelo Big Data Working Group

A CSA lançou no final de Setembro, durante o CSA EMEA 2013 – na Escócia, uma nova pesquisa desenvolvida pelo Big Data Working Group: Big Data Analytics for Security Intelligence.

A pesquisa busca detalhar como o cenário de análises e pesquisa de segurança está sendo influenciado pela introdução de ferramentas e oportunidades de manipular grandes quantidades de dados, estruturados ou não. O documento publicado faz uma breve introdução do assunto, com uma comparação entre o modelo tradicional e o modelo de Big Data, e aborda principalmente os seguintes temas:

* Diferenças entre análises tradicionais e análise em Big Data;
* Impacto das análises em Big Data na área de segurança;
* Exemplos de uso de Big Data no contexto de segurança;
* Plataforma para experimentos com antivirus, e;
* Questões sobre o papel de Big Data em segurança.

Confira a notícia completa do lançamento da publicação em https://cloudsecurityalliance.org/media/news/cloud-security-alliance-big-data-working-group-releases-report-on-big-data-analytics-for-security-intelligence/.

Publicação disponível para download em https://cloudsecurityalliance.org/download/big-data-analytics-for-security-intelligence/.”

Por Leonardo Goldim

Categories: Publicações || Tags: , , , , , , , , ,

September 19, 2013

CloudConf 2013 – Associados do CSA Brasil ganham desconto na inscrição!!!

LOGO_idvisualO capítulo brasileiro do Cloud Security Alliance apoia o evento CloudConf 2013, que acontecerá nos dias 02 e 03 de outubro de 2013.

Adicionalmente, contaremos com o nosso presidente Paulo Pagliusi e o Sr. Marco Sinhoreli como palestrantes.

Sobre o evento:

A CloudConf LatAm é a principal conferência de tecnologia e negócios, que fornece um espaço singular de colaboração e capacitação em todos os temas relativos à Cloud Computing, com o objetivo de aproximar fornecedores e consumidores de tecnologia e de promover a troca de informações sobre o tema, abrangendo — mas não se limitando a — todos os aspectos das tecnologias para Infraestrutura, Plataforma e Software como serviço.

Para maiores detalhes: http://www.cloudconf.com.br/

 

Inscrição para associados ao CSA Brasil:

Por meio do apoio do nosso presidente, Paulo Pagliusi, junto a organização do evento, os associados ao nosso capítulo terão um desconto (descontão hein!!) nas inscrições!!

Este desconto garante o valor do ingresso de R$1580,00 (preço vendido atualmente no site), para R$1000,00.

Para realizar as inscrições, acessem: http://www.cloudconf.com.br/ingressos_parceiro.php.

Categories: Uncategorized || Tags: , , , , , ,

September 18, 2013

Pesquisa da CSA Brasil para entender o impacto das denúncias de espionagem no mercado nacional de Cloud Computing

O Capítulo Brasileiro da Cloud Security Alliance está realizando uma pesquisa para avaliar se as recentes denúncias de espionagem por parte da NSA e do governo americano podem ter impactado o mercado de tecnologia nacional e, em especial, o mercado de Cloud Computing.

 

A pesquisa estará no ar até o dia 25 de Setembro de 2013.

 

Use o link a seguir para acessar e participar da pesquisa:

https://docs.google.com/forms/d/1C5k5GfbeqndHGmhly3ePubOY7ST5qSL3VNVMQ7L6wPg/viewform

 

Adicionalmente, agradecemos muito quem puder ajuda a divulgá-la.

Categories: Uncategorized || Tags: , , , , ,

September 13, 2013

CSA Brasil no IV SENASIC

Em 17 de setembro de 2013 o CSA Brasil participará do painel de “Segurança em Computação em Nuvem” do IV SENASIC (Seminário Nacional de Segurança da Informação e Criptografia).

O evento acontecerá em Brasília no QGEx do Exército, no auditório General Marcello Rufino e é um evento organizado pelo Gabinete de Segurança Institucional da Presidência da República (GSIPR).

O painel contará com uma apresentação de Leonardo Goldim sobre as principais ameaças e pontos críticos em segurança de nuvem. Esta apresentação tem uma elevada importância pois norteará as próximas apresentações e discussões do painel.

 

Categories: Uncategorized || Tags: , , , , , , ,

September 13, 2013

CSA Brasil no CNASI São Paulo 2013

No dia 17 de setembro de 2013, o CSA Brasil realizará o curso “Introdução a Certificação “Certificate of Cloud Security Knowledge (CCSK)” no CNASI São  Paulo 2013.

O curso será ministrado por Leonardo Goldim e Paulo Pagliusi, tendo como objetivo apresentar o que é a certificação de segurança em nuvem com maior aceitabilidade no exterior.

Para mais informações, vide o site do CNASI: http://www.cnasi.com.br

Grade do evento: http://www.cnasi.com.br/sp/grade-temaria/

 

Sobre a Certificação para Segurança em Cloud Computing:

A certificação “Certificate of Cloud Security Knowledge” (CCSK) é o primeiro programa de certificação para profissionais que atuam com Segurança em Cloud Computing, lançado em 2010 pela Cloud Security Alliance (CSA) e desenvolvido pelo Certification Board da associação. Leonardo Goldim, um dos instrutores da atividade de Introdução a Certificação CCSK – do CNASI, é membro do Certification Board da CSA, fundador e atual Diretor do Chapter Brasileiro da CSA e instrutor certificado, autorizado a ministrar os treinamentos oficiais no Brasil e na América Latina.
A certificação foi desenvolvida para garantir que os profissionais que realizaram o exame, demonstraram conhecimento sobre as ameaças e melhores práticas de Segurança em Cloud Computing. O exame é composto pelo conteúdo do Guia de Boas Práticas da CSA (Security Guidance for Critical Areas of Focus in cloud Computing), em conjunto com o estudo realizado pela European Network and Information Security Agency (ENISA) “Cloud Computing: Benefits, Risks and Recommendations for Information Security”.

Nos últimos anos, a adoção de Cloud Computing é cada vez mais crescente. Muitas empresas migraram, inicialmente, serviços menos sensíveis para a Nuvem e, atualmente, estão  migrando sistemas cada vez mais sensíveis. A rápida adoção deste novo modelo, acabou por criar uma necessidade urgente de profissionais com conhecimentos de Segurança em Cloud Computing. Os projetos desenvolvidos pela CSA, buscam oferecer aos profissionais uma base de conhecimento das principais ameaças, preocupações e boas práticas em Cloud Computing, enquanto a certificação CCSK busca garantir que o profissional possui os conhecimentos necessários.
A certificação está disponível no endereço https://ccsk.cloudsecurityalliance.org/. O exame foi atualizado e agora inclui a versão 3 do guia de boas práticas. Algumas das principais mudanças para a nova versão do exame são:

  • O exame conta agora com 90 minutos para realizar as 60 questões;
  • Profissionais que se prepararam para a versão 2.1, ainda podem realizar o exame até 31 de dezembro de 2013, e;
  • Profissionais certificados na versão 2.1, não precisam refazer o exame para manter a certificação que já possuem.

Categories: Uncategorized || Tags: , , , , ,

March 5, 2013

Artigo: Segurança como Serviço

Artigo publicado pelo diretor da CSA BR, Marcelo Carvalho, em 2011 na revista ISSA journal e agora disponível publicamente no link a seguir, descrevendo Segurança como Serviço e cases para discussão:

http://pt.scribd.com/doc/106917829/SECaaS-%E2%80%93-Security-as-a-Service

Categories: Uncategorized || Tags: , , , , , ,

June 20, 2012

Eleição na Cloud Security Alliance Brasil

Atenta ao crescimento da nuvem no mercado de TI, a CSA-Brasil elege nova Diretoria.

O mercado de TI no Brasil passa por um histórico momento de transformação, em que empresas de todos os portes buscam redução de custos e agilidade no lançamento de novos produtos e serviços.

Como tais objetivos podem ser mais bem alcançados com o uso da computação em nuvem, hoje a migração da computação tradicional das empresas para este novo ambiente não é mais uma questão de ‘se’, mas sim de ‘quando’ irá ocorrer.

Em função desta tendência, surge um novo e enorme mercado no país, praticamente desatendido, com demanda que cresce exponencialmente para serviços profissionais, que incluem a consultoria para construção de infraestruturas de nuvem pública, privada e híbrida.

E a segurança do ambiente corporativo de computação em nuvem assume papel preponderante neste processo, viabilizador da confiança indispensável a essa migração.

Em plena sintonia com esta exponencial mudança no mercado brasileiro de TI, que segue a tendência de crescimento global da nuvem, o capítulo Brasil da Cloud Security Alliance – CSABR tem como missão promover a utilização das melhores práticas para a prestação de garantia de segurança dentro da computação em nuvem.

Além disto, também oferece educação sobre os usos da nuvem, de modo a ajudar as corporações a protegerem também todas as outras formas de computação.

Na mais recente eleição da sua Diretoria, passou a compor o board do capítulo CSABR, como Presidente, André Serralheiro; como Vice-Presidente, Anchises Moraes ; como Diretores: Eduardo Haruo Kamioka, Leonardo Goldim, Marcelo Carvalho , Paulo Sergio Pagliusi, Reginaldo Sarraf e Uelinton Santos. A CSABR também elegeu os Colaboradores: Cristian Latapiat, Lincoln Werneck, Luiz Felipe FerreiraMarco SinhoreliOlympio Rennó, Ricardo MakinoWalter Capanema e Yuri Diogenes.

Entre os próximos desafios da equipe da CSABR, encontra-se a tradução, para o português, do CSA Security GuidanceV.3 (Guia de Segurança para Áreas Críticas com foco em Nuvem), que descreve as melhores práticas para gestores que querem adotar o paradigma da nuvem de forma segura – e o desenvolvimento de um White Paper inédito, intitulado “Adoção de Computação em Nuvem e suas Motivações”.

Página Oficial:
CSA-Brasil

Fan Page:
CSA-Brasil

Twitter:
CSA-Brasil


 

Categories: Publicações || Tags: , , , , ,

April 4, 2012

Segurança na Nuvem – Capítulo Especial

Os autores do Livro “Certificação Security+, da prática para o exame SYO-301“, Yuri Diógenes e Daniel Mauser adicionaram um capítulo especial em PDF que trata sobre a Segurança na Nuvem.

Clique aqui para baixar o capítulo.

Categories: Publicações || Tags: , , , , ,

April 3, 2012

Nuvem Ganha Diretrizes de Segurança

Depois de quase um ano de muito trabalho, o Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos apresentou uma publicação de 80 páginas intitulada “Guidelines on Security and Privacy in Public Cloud Computing”, com diretrizes e orientações sobre segurança e privacidade na computação em nuvem. Objetivo é auxiliar corporações e governos na tarefa de avaliar o uso da nuvem pública.

Segundo a descrição feita pelo próprio NIST, o documento traz “uma visão geral sobre os desafios de segurança e privacidade relacionados à cloud computing pública. Além disso, apresenta recomendações que as organizações devem considerar ao terceirizar dados, aplicativos e infraestrutura para um ambiente de nuvem pública. O documento oferece visões sobre ameaças, riscos de tecnologia e meios de proteção relacionados a cloud pública para ajudar as empresas a tomarem decisões baseadas em informações sólidas sobre este uso da tecnologia.”

Ainda de acordo com o instituto, o documento é desenvolvido para os responsáveis por conduzir iniciativas de computação em nuvem; profissionais responsáveis por medidas de privacidade e segurança para cloud computing; adminsitradores de redes e sistemas; e usuários de serviços de nuvem pública.

Para os especialistas, considerando que os ambientes de cloud pública trazem consigo uma série de desafios de segurança, os quais, talvez, não existam em ambientes de nuvem privada ou híbrida, vale a pena ler as considerações do NIST. Elas ajudam a entender quais são os problemas e preocupações que devem ser endereçadas antes de armazenar os dados em uma nuvem pública.

O estudo completo está disponível em: www.nist.gov/itl/csd/cloud-012412.cfm

Fonte: Convergência Digital

Categories: Publicações || Tags: , , , , , ,

Page Dividing Line