RESUMO A computao em nuvens um tema bastante pesquisado atualmente, em funo principalmente de caractersticas intrnsecas ao conceito, como praticidade, reduo de custos relacionados a infraestrutura tecnolgica implantada em uma organizao, e melhor aproveitamento do espao fsico da empresa. Entretanto, deve-se ter ateno especial s condies de segurana dos dados presentes nas nuvens. Isso porque as informaes de uma empresa no estaro de sua posse, e sim nas mos de terceiros. Assim, quais so as precaues a serem tomadas na hora de colocar todos os dados em um local fora da prpria organizao? E qual o impacto que a utilizao desse servio pode causar nas pequenas e mdias empresas? Este trabalho tem como objetivo apresentar os conceitos relacionados a segurana da informao na computao em nuvens e quais as vantagens e riscos em relao segurana de uma nuvem implantada dentro das pequenas e mdias empresas. Para produzir este estudo foi feita pesquisa bibliogrfica exploratria, com nfase em textos de tecnologia da informao, como livros da rea tcnica de computao, e artigos publicados relacionados segurana da informao na computao em nuvens. Partindo dos aspectos estudados, foi possvel verificar que a segurana de fato algo essencial a se preocupar dentro de qualquer organizao, principalmente quando feita a migrao para as nuvens. Ainda, deve-se fazer uma anlise para cada tipo de empresa e seu porte, verificando se recomendvel economizar com a rea de infraestrutura de tecnologia da informao.
Palavras-chaves: computao em nuvem, segurana, pequenas e mdias empresas
ABSTRACT Cloud computing is a topic currently being widely researched, mainly due to features like convenience, cost savings related to technology infrastructure deployed in an organization, and better use of company space. However, it should be greater attention to the safety conditions of the data present in the clouds. This is because company information will not be on its possession, but in the hands of others. So what are the precautions to be taken in time to put all data in one place outside the organization? And what impact the use of this service may result in small and
1 Discente do Curso de Bacharelado em Sistemas de Informao do Centro Universitrio de Franca Uni-FACEF 2 Docente do Curso de Bacharelado em Sistemas de Informao do Centro Universitrio de Franca Uni-FACEF. Docente da FATEC FRANCA
57
medium enterprises? This paper aims to present the concepts related to information security in cloud computing and the advantages and risks regarding the safety of deployed inside a cloud of small and medium enterprises. To assemble this study was done extensive bibliographical research, with emphasis on information technology texts, like books of the technical computing, and published articles related to information security in cloud computing. From the aspects studied, we found that security is indeed something to worry essential within any organization, especially when they are migrating to a cloud. Still, we should do an analysis for each type of company and its size, making sure it is recommended to save money with information technology infrastructure.
Keywords: cloud computing, security, small and medium enterprises
58
1. INTRODUO Com o crescente avano tecnolgico e maior velocidade e disponibilidade de acesso a internet, muitas empresas passaram a utilizar a computao em nuvens, ou cloud computing, que consiste em colocar dados, softwares e hardwares na rede, sem precisar instal-los localmente. Muitas das empresas esto aderindo a essa tendncia devido a um custo mais acessvel que esse servio proporciona ao invs de investir em uma ampla infraestrutura de TI (Tecnologia da Informao) dentro da empresa. Apesar da vantagem de no ser preciso manter os aplicativos, os computadores e nem as bases de dados dentro da prpria organizao, deve-se atentar para a segurana, pois quem estar com todas as informaes so as empresas que oferecem os servios de computao em nuvem. Este artigo tem como objetivo pesquisar e discutir quais so as preocupaes que as pequenas e mdias empresas devem ter na hora de migrar seus dados para uma nuvem, sem correr o risco de perder suas informaes mais importantes. Para tanto, realizamos um levantamento bibliogrfico baseado em pesquisadores como Filho (2004), Pinheiro (2004), Velte A., Velte T. e Elsenpeter (2010), entre outros. O artigo estruturado da seguinte maneira: o captulo 2 apresenta conceitos fundamentais sobre os aspectos de segurana da informao de modo geral; o captulo 3 discute os fundamentos tecnolgicos relacionados ao conceito da computao em nuvem, mostrando principalmente os diferentes tipos de servios presente; o captulo 4 apresenta fundamentos de segurana especficos ao conceito da computao em nuvem. Finalmente, o captulo 5 tece as consideraes finais.
2. SEGURANA DA INFORMAO A Segurana da informao nada mais do que garantir a integridade e proteo das informaes de uma organizao. Entretanto, o conceito de segurana da informao no se baseia apenas na proteo dos dados dentro de um computador, mas tambm dentro de um sistema, do ambiente externo infraestrutura da empresa (Castro, 2011). Segundo Clsio (2008), informao todo e qualquer contedo ou dado que tenha valor para alguma organizao ou pessoa. Portanto essa informao deve estar bem protegida para que nenhuma pessoa com ms intenes possa ter o
59
acesso, para que de alguma forma, possa prejudicar a empresa e/ou a algum em especfico. A Confidencialidade, Integridade e Disponibilidade so o trio que do base para poder pensar em iniciar qualquer projeto de segurana em qualquer empresa. Outros pontos que tambm devem ser levados em considerao so a autenticidade, o no repudio, e nos ltimos tempos, principalmente, a privacidade das informaes. A Figura 1 a seguir mostra os cinco pilares da segurana de informao segundo Filho (2004).
Figura 1 - Pilares da segurana Fonte: FILHO (2004)
Estes pilares representam o que uma empresa de datacenter deve garantir ao cliente quando oferece o servio de computao em nuvens. Nos dois primeiros blocos da Figura 1, tem-se Integridade e Confidencialidade, que a empresa que est oferecendo do servio deve-se garantir que os dados no iro sofrer nenhuma alterao, mantendo sempre suas caractersticas originais, e permitindo que apenas pessoas autorizadas tenha acesso as informaes salvas no banco de dados no servidor. Os outros trs blocos da Figura 1 so Autenticidade, Disponibilidade e No Repdio. A autenticidade que todas as informaes no sofrem nenhuma alterao, mantendo-as sem modificaes e garantindo que sejam sempre as mesmas. A Disponibilidade a pessoa que tem as condies de acesso ao sistema, tenha a garantia de que a qualquer momento que ela acesse estas informaes, ter
60
ela disponvel para visualizao 24/7 (24 horas por dia, 7 dias por semana). E o No Repdio o que ir garantir que ningum negue aquela informao, sempre tendo o autor aqueles dados. Na criao de proteo para os dados utilizam-se dois mtodos para o controle: os fsicos e os lgicos. Basicamente, o controle fsico toda a infraestrutura similar a de um banco para proteger a informao, que vale mais que dinheiro. E os controles lgicos so todos os softwares que ficam responsveis pelo firewall, pela criptografia, entre outros. Para as pequenas e mdias empresas, a segurana da informao deve ser tratada com o mximo de cuidado possvel. Isso porque se trata de uma organizao em crescimento, e qualquer erro com as informaes pode acarretar em perdas drsticas, comprometendo toda a instituio. 3. COMPUTAO EM NUVENS A computao em nuvens um avano tecnolgico no sentido de no ter mais aplicativos instalados no prprio computador, usando tudo nas nuvens. Ou seja, no mais necessrio ocupar espao na memoria do computador local, os dados da organizao estaro sendo acessados pela internet. Para Velte et all (2010), uma nuvem tem como funo diminuir os custos operacionais, principalmente, fazer com que o departamento de TI tenha mais foco em planos estratgicos ao invs de manter um data center. Quando se faz a migrao para uma nuvem, no necessria a compra de novos equipamentos, o que diminui muito os custos com essa nova tecnologia. Outro ponto a favor da computao em nuvens est no fato de que os empregados de uma empresa que ficam a maioria do tempo fora das dependncias da organizao podem ter acesso aos dados da mesma, ou continuar a ter, com uma simples conexo de internet. Entretanto, deve-se prestar ateno a alguns pontos negativos como, por exemplo, a indisponibilidade da internet. Essa instabilidade est relacionada com o local onde se est acessando os dados. A Figura 2 a seguir ilustra os pontos potenciais de falha em uma nuvem.
61
Figura 2. Representao de pontos potenciais de falha Fonte: VELTE A., VELTE T. e ELSENPETER (2010)
3.1 COMPONENTES DE UMA NUVEM Segundo Velte et all (2010), uma soluo em nuvem formada por trs partes: clientes, data centers e servidores distribudos. A Figura 3 ilustra a relao entre as trs partes. Cada um desses elementos possui uma finalidade nos aplicativos funcionais baseados em nuvem.
Figura 3 - Componentes de uma soluo em nuvem Fonte: VELTE A., VELTE T. e ELSENPETER (2010)
Clientes
62
Para Velte A., Velte T. e Elsenpeter (2010), os clientes so os dispositivos que os usurios finais interagem para gerenciar sua informao na nuvem. Ou seja, todo e qualquer aparelho com conexo internet, e na qual possivel fazer alguma alterao nos dados que esto na rede. Sendo que esses clientes podem ser classificados como: Dispositivos mveis: so os smartphones ou PDAs (Personal Digital Assistants). Clientes thin: esses computadores no tm disco rgido interno, mas exibe as informaes que so trabalhadas pelo servidor. Thick: so os computadores comuns, com um navegador de internet.
Data Center Pinheiro (2004) difine um Data Center da seguinte forma: Um DataCenter uma modalidade de servio de valor agregado que oferece recursos de processamento e armazenamento de dados em larga escala para que organizaes de qualquer porte e mesmo profissionais liberais possam ter ao seu alcance uma estrutura de grande capacidade e flexibilidade, alta segurana, e igualmente capacitada do ponto de vista de hardware e software para processar e armazenar informaes. PINHEIRO (2004)
Atualmente est havendo uma crescente virtualizao de servidores. Ou seja, um software instalado fazendo com que servidores virtuais possam ser usados. Assim, pode-se ter em um servidor fsico vrios servidores virtuais funcionanado. Entretando, essa quantidade depender da capacidade do servidor fsico.
Servidores distribudos Os sistemas distribudos so programas que so executados em um conjunto de mquinas e do ao usurio a iluso de ser um nico computador. Para o prestador de servios, isso possibilita mais autenticidade para a flexibilidade nas aes e na segurana (VELTE A., VELTE T. e ELSENPETER, 2010). Os sistemas distribudos possuem algumas vantagens em relao aos sistemas centralizados, que so: confiabilidade, compartilhamento de recursos, balanceamento de carga, crescimento gradual e distribuio ligada a algumas aplicaes.
63
3.2. MODELOS DE SERVIOS Na computao em nuvens a expresso "servios" significa que toda a infraestrutura de hardware e software pode ser oferecida na forma de servios, e os mesmos podem ser reutilizados. Os diferentes tipos de servios so:
Software como um Servio Software como Servio (SaaS) um aplicativo que passado como um servio aos clientes que o utilizam pela internet. Esse aplicativo fica inteiramente na nuvem, "so aplicaes completas que so oferecidas aos clientes" (RUSCHEL, ZANOTTO e MOTA, 2010). A Figura 4 ilustra a representao de um servio na nuvem.
Figura 4. Representao de um servio SaaS Fonte: VELTE A., VELTE T. e ELSENPETER (2010)
Plataforma como um Servio Plataforma como um Servio (PaaS) o fornecimento de recursos para desenvolver um aplicativo, no sendo necessrio para o cliente do servio configurar um ambiente de desenvolvimento. Pode ser usado por vrios usurios ao mesmo tempo. Segundo Velte A., Velte T. e Elsenpeter (2010), uma desvantagem de utilizar PaaS a falta de interoperabilidade e portabilidade. Ou seja, caso a empresa crie um aplicativo de um determinado fornecedor diferente da tecnologia sendo utilizada na nuvem, a mudana na nuvem depender da empresa que fornece a plataforma
64
virtualmente, e que caso a mudana seja possvel, prev-se alto custo para fazer essa transferncia. A Figura 5 ilustra a representao de uma plataforma como servio.
Figura 5. Representao de um servio PaaS Fonte: VELTE A., VELTE T. e ELSENPETER (2010)
Hardware como um Servio O Hardware como um Servio (HaaS), tambm conhecido como Infraestrutura como um Servio (IaaS) o fornecimento de hardware. Este o prximo passo a ser dado na cloud computing. Pois ao invs de se pagar pelo espaco fsico de um data center, o cliente pode alugar esses recursos. O pagamento por esses recursos so feitos com base na quantidade de recurso utilizada. A Figura 6 ilustra a representao de um hardware como servio.
65
Figura 6. Representao do servio HaaS Fonte: VELTE A., VELTE T. e ELSENPETER (2010)
Para as pequenas e mdias empresas, o HaaS so os que propem mais ofertas (TAURION, 2011). A grande vantagem da computao em nuvens para organizaes desse porte est na reduo com os custos dos softwares. Neto (2011) explica este aspecto: "Por mais que no se use todos os softwares que esto nos computadores ao mesmo tempo, na prtica eles precisam estar instalados para quando for necessrio. Com a nuvem isso deixa de existir." Ou seja, no mais necessrio ter a licena para cada computador, preciso somente de uma, que est no servidor. 4. SEGURANA NAS NUVENS Na hora de migrar os dados de uma empresa para uma nuvem, todo administrador se preocupa com a segurana de suas informaes, com a qualidade que estas estaro sendo guardadas. Existe o risco de algum invadir o servidor e ter acesso aos dados das organizaes que l hospedam seu servios, o que pode eventualmente gerar transtornos vitais, como o compartilhados de dados por concorrentes, ou mesmo a alterao original dos dados, levando a tomada de decises equivocadas. Em uma pesquisa realizada pelo IDC (International Data Corporation) com 244 executivos de TI, procurou-se investigar qual o aspecto mais preocupante quando do uso de servios de computao em nuvens. Os resultados
66
mostraram que 74,5% das pessoas entrevistadas preocupam-se com a segurana (VELTE A., VELTE T. e ELSENPETER, 2010). A Figura 7 a seguir demonstra esses resultados. Figura 7. Resultados da pesquisa realizada pelo IDC Fonte: VELTE A., VELTE T. e ELSENPETER (2010)
Por isso, a segurana da informao deve ser vista como uma das partes mais importantes para se comear a utilizar o servio de computao em nuvens, pois a empresa estar lidando com dados coletadas ao longo de vrios anos, inclusive dados de terceiros. Sendo assim, qualquer problema que houver no servidor, como um vazamento de informao, poder resultar em um enorme prejuzo para seus clientes. Tendo esse aspecto em mente, deve-se analisar qual a melhor empresa, a partir de uma anlise dos nveis, tcnicas e ferramentas de segurana que so utilizadas para a proteo dos dados. Ainda, avaliar as tcnicas de redundncia e espelhamento utilizados no datacenter, fatores que contribuem para que os servios oferecidos no deixem de funcionar em uma eventual falha recorrente da falta de energia ou problemas de hardware e software no local onde os dados so armazenados e gerenciados. Uma preocupao crescente so os hackers, pois, como os dados esto "sendo mantidos nos equipamentos de outras empresas, pode-se estar merc de
67
quaisquer medidas de segurana das quais eles tenham conhecimento" (VELTE A., VELTE T. e ELSENPETER, 2010). Quando ocorre um ataque de hackes, estes utilizam de chantagens para poder devolver as informaes. Ou seja, a empresa tem que pagar a eles para obterem algo que j lhes pertence. Entretanto, no se deve ter o conceito que os seus dados estaro completamente desprotegidos. Grandes datacenters possuem uma infraestrutura muito preparada contra quaisquer tipos de ataques, tanto virtuais quanto fsicas. Por isso deve-se analisar bem a instituio que ser contratada. Velte A., Velte T. e Elsenpeter (2010) destacam alguns pontos positivos sobre a segurana nas nuvens: Monitoramento: maior facilidade no controle da segurana, pois a ateno est voltada para uma nuvem, e no para servidores e numerosos clientes. Intercmbio Instantneo: caso ocorra algum problema com seus dados, pode-se fazer a transferncia instantnea deles para outro computador, sem comprometer assim a integridade das informaes. Construes Seguras: a rede da prpria empresa e seu software de segurana podem ser agrupados, desenvolvendo assim em um nvel de segurana desejado. Melhoria da Segurana de Software: como os fornecedores no querem perder vendas, eles aplicam o melhor software possvel em segurana de dados. Teste de Segurana: nos servios de SaaS, os testes e segurana feitos no so cobrados aos clientes. Em termos de segurana para as pequenas e mdias empresas, a utilizao da computao em nuvens amadurece em funo da necessidade de se ter segurana dos dados da organizao. Na maioria das vezes, as empresas de pequeno e mdio porte no possuem uma ampla rea de TI para poder assegurar completamente a integridade dos dados. E com o uso dos servios disponveis nas nuvens, os nveis de segurana podero sero maiores, garantindo assim, maior qualidade dos dados e na tomada de decises, sem grande investimento inicial.
68
5. CONSIDERAES FINAIS Com base nos estudos realizados, foi possvel verificar que a segurana dos dados de uma empresa algo crucial, independentemente do porte. As informaes podem valer bem mais que dinheiro dentro de uma organizao, e em alguns casos, isso realmente acontece. Na computao em nuvens, o risco de perda de dados de uma empresa enorme levando em considerao que as informaes no estaro diretamente com organizao e sim em posse das companhias prestadoras do servio. Portanto deve-se analisar bem antes de escolher uma empresa para prestar esse tipo de servio. claro que os dados de posse exclusivamente da empresa tambm no garante que se estar seguro quanto ao sigilo e a perda de informaes. Contudo, na hora de se fazer a migrao para uma nuvem, deve-se fazer uma anlise de custo-benefcio da mudana, tanto no aspecto financeiro, quanto nos aspectos de disponibilidade, confiabilidade e confidencialidade oferecidos pela empresa prestadora dos servios de computao em nuvem.
69
REFERNCIAS CASTRO, Rita de C. C. de; SOUSA, Vernica L. Pimental de; Segurana em Cloud Computing: Governana e Gerenciamento de Riscos de Segurana. Disponvel em: <http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740- Seguranca%20em%20Cloud.pdf>. Acesso em: 25 out. 2011.
CLSIO, Flavio. Segurana da Informao - Bsico. Disponvel em <http://info.abril.com.br/forum/viewtopic.php?f=122&t=371>. 06/11/2008. Acesso em 25 out. 2011.
FILHO, Antonio Mendes da Silva. Segurana da Informao: Sobre a Necessidade de Proteo de Sistemas de Informaes. Disponvel em: <http://espacoacademico.com.br/042/42amsf.htm> 11/2004. Acesso em 04 nov. 2011.
NETO, Jos Antonio de Moura. A computao em nuvem para as MPEs. Disponivel em: <http://www.administradores.com.br/informe-se/artigos/a-computacao-em- nuvem-para-as-mpes/51444/> 21/01/2011. Acesso em: 16/11/2011.
PINHEIRO, Jos Mauricio Santos. O que um Data Center. Disponvel em: <http://www.projetoderedes.com.br/artigos/artigo_datacenter.php>. 10/01/2004. Acesso em 09 nov. 2011.
VELTE, Anthony T.; VELTE, Toby J.; ELSENPETER, Robert. Cloud Computing: Computao em Nuvem - Uma Abordagem Prtica. Traduo de Gabriela Mei. Rio de Janeiro: Alta Books. 2010.
RUSCHEL, Henrique; ZANOTTO, Mariana Susan; MOTA, Wlton Costa da. Computao em Nuvem. Disponvel em: < http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08B/Welton%20Costa%20da%20 Mota%20-%20Artigo.pdf> 04/2010. Acesso em: 04 nov. 2011.
TAURION, Cezar. Cloud: quais negcios poderam dar certo? Disponivel em: <http://computerworld.uol.com.br/blog/tecnologia/2011/11/11/cloud-quais-negocios- poderao-dar-certo/> 11/11/2011. Acesso em: 13 nov. 2011