i

CENTRO FUNDAO
Jose Jales
Omar Nuz

Segurana em cloud computing segundo usurios

So Paulo
2011

ii

CENTRO FUNDAO
Jose Jales
Omar Nuz

Segurana em cloud computing segundo usurios

Trabalho de METODOLOGIA DE PESQUISA

Orientador: Prof Ms. Rodrigo Lopes.

So Paulo
2011

iii

LISTA DE FIGURAS

Figura
Figura
Figura
Figura
Figura
Figura

1
2
3
4
5
6

Atribuies sobre segurana da cloud computing......................................36

Porcentagem de utilizao dos servios de Saas, Iaas e Paas........................37
Porcentagem de aplicaes crticas de negcios em cloud computing ...........38
A responsabilidade de garantir a segurana dos provedor de servoos ..........38
A segurana dos recursos avaliada antes da implantao .........................39
Razes para o uso de servios cloud .....................................................38

iv

LISTA DE TABELAS

Tabela 1 Atribuies sobre segurana da cloud computing......................................36

LISTA DE SIGLAS

Infraestrutura como Servio

Plataforma como Servio
Desenvolvimento como Servio
Software como Servio

IaaS
PaaS
DaaS
SaaS

SUMRIO
LISTA DE FIGURAS........................................................................................iii
LISTA DE TABELAS........................................................................................iv
LISTA DE SIGLAS...........................................................................................v
1.

Introduo.......................................................................................7
1.1.
1.2.
1.3.

2.

Reviso de Literatura.........................................................................9
2.1.
2.2.

3.

O Problema ...........................................................................7
Objetivos da Pesquisa................................................................8
Justificativa...........................................................................8
Conceito de cloud computing.....................................................15
Conceito de segurana.............................................................22

O Mtodo da Pesquisa.......................................................................29
3.1.
3.2.
3.3.
3.4.

Caractersticas do projeto.........................................................29
Procedimento do projeto..........................................................29
Levantamento.......................................................................30
Apresentao dos resultados......................................................35

Cronograma....................................................................................60
Referncias..............................................................................................62

PROJETO DE MONOGRAFIA PS GRADUAO

identificaO

Curso: MBA em Engenharia de Software

Data:

ALUNO(S)
Jose Jales
Omar Nuz

Orientadores sugeridos

TEMA
Segurana em cloud computing segundo usurios

tipo de PESQUISA
(X)Levantamento
()Estudodecampo
()Estudodecaso
(

Outro

____________________________________________________________

Especificar:

Obs:___________________________________________________________________________
________________________________________________________________________________

PROBLEMA
Quais os problemas de segurana encontrados por empresas situadas no Brasil
que fazem uso dos servios de cloud computing?

PROJETO DE MONOGRAFIA PS GRADUAO

JUSTIFICATIVA
A cloud computing tem sido anunciada como uma tendncia de mercado, os
servios baseados em cloud computing cada vez mais esto a impor-se no
mercado mundial.
Os benefcios anunciados pelos fornecedores so muito atrativos, como aumento
de produtividade e reduo de custos, mas como todo bnus tem seu nus,
segundo (DHANJANI; RIOS; HARDIN, 2009) a cloud computing traz consigo o
risco de dividir a nuvem com seu inimigo, no caso de hardware compartilhado e
separao logica, que o mais comum.
As ltimas previses do IDC apontam que 30 a 35% das companhias brasileiras
tero adotado alguma soluo em cloud computing em 2013, portanto mostra-se
vlido um estudo com empresas que j se utilizam dos servios para mostrar
suas experincias, e decises tomadas quando se trata de segurana, j que
essa mesma pesquisa mostra que o maior receio apontado pelas empresas
futuras usurias de cloud computing com relao segurana dos dados.
Analisar o quanto as empresas fazem uso de cloud computing, como elas esto
utilizando esses recursos, e quais principais preocupaes com segurana trs
benefcios para empresas interessadas em servios de cloud computing e aos
provedores a possibilidade de aumentar a satisfao dos clientes e usurios dos
produtos e servios.
MOTIVAO
Amotivaoparaarealizaodestelevantamentosurgiudointeressepessoalpelo
assunto, que tem sido muito discutido e questionada a segurana depois que a
Sony nas nuvens foi invadida com o uso de servios de cloud computing da
Amazon,ouseja,faltadeseguranadeambososlados,fatosquefizeramcomque
Tom Kellermann, Oficial chefe de tecnologia da AirPatrol Corp. e membro da
comisso de segurana ciberntica do Presidente dos Estados Unidos, Barack
Obama. Levantasse a possibilidade de que os fornecedores tivessem um foco
tortuosoquantosprioridadesdeseguranadecloudcomputing.
OestudofeitopeloInstitutoPonemon com objetivodedescobrir asopiniesde
clientes e fornecedores de servios de cloud computing situados nos Estados
UnidoseEuropatambmfoidegrandeimportnciaparaescolhadotema.

OBJETIVOS

PROJETO DE MONOGRAFIA PS GRADUAO

O objetivo desse levantamento identificar quais os problemas de segurana
encontrados por empresas situadas no Brasil que fazem uso dos servios de
cloud computing, o que as empresas esperam dos servios de cloud computing
quando se trata de segurana e analisar como as empresas esto utilizando os
servios de cloud computing, quais os cuidados que esto tomando quanto as
suas informaes confidenciais e a quem delegam a reponsabilidade de garantir
a segurana nos servios IaaS, PaaS, DaaS e SaaS de cloud computing.
CONTRIBUIO
Como mostrado pelo estudo do IDC aproximadamente um tero das empresas
brasileiras sero usarias de cloud computing dentro dos prximos dois anos, e
seus maiores receios so quanto segurana. Com o possvel quadro de muitas
organizaes se movendo rapidamente para a cloud computing sem a certeza de
que a informao que eles colocaro nas nuvens esteja segura, tentamos
mitigar esses riscos mostrando atravs do levantamento quais as medidas
tomadas pelas empresas que fazem uso dos servios de cloud computing e quais
foram suas principais preocupaes com segurana, tornando possvel o
aprendizado com erros e acertos dos outros.
O levantamento realizado tem a finalidade de contribuir com essa discusso
enriquecendo as anlises sobre o tema. Podendo vir a colaborar com estudantes
e profissionais que tenham interesse ou queiram se aprofundar no assunto.
METODOLOGIA
Ser feito o levantamento bibliogrfico, leitura e fichamento de obras e
elaborao de questionrios.
A coleta e seleo de dados sero realizadas atravs de uma pesquisa
quantitativa e uso de documentao direta, o tamanho de amostra mnimo
esperado de 50 devolues de um total de 1000 formulrios a serem enviados,
ou seja, iremos trabalhar com devoluo mnima de 5% baseados nos resultados
apresentados por um estudo similar realizado pelo instituto Ponemon; o processo
de seleo dos indivduos que devem compor a amostra ser de profissionais de
TI com utilizao de pergunta seletiva para eliminao de pessoas que no
possuem conhecimento suficiente do assunto, ou que no tem experincia
envolvendo coud computing.
Ser realizada a reviso bibliogrfica, anlise critica do material, elaborao
preliminar do texto e redao provisria, a apresentao dos resultados ser
atravs de grficos de barra, pizza e tabelas.
Ser efetuada a entrega ao orientador, em seguida a reviso e redao final, a
entrega ao coordenador e finalmente a defesa da monografia.

PROJETO DE MONOGRAFIA PS GRADUAO

CRONOGRAMA
ESPECIFICAO / ANO

2011

MESES

JUN

LEVANTAMENTO
BIBLIOGRFICO

LEITURA E FICHAMENTO
DE OBRAS

ELABORAO
DE
QUESTIONRIOS

JUL

AGO

SET

OU

X
X

DO

ELABORAO PRELIMINAR
DO TEXTO

DE

REVISO BIBLIOGRFICA
ANLISE
CRITICA
MATERIAL

REDAO PROVISRIA

ENTREGA AO ORIENTADOR

REVISO
E
FINAL

REDAO

DEZ

COLETA E SELEO
DADOS

NOV

ENTREGA
AO
COORDENADOR

DEFESA DA MONOGRAFIA

TODAS AS ATIVIDADES ACIMA LISTADAS SO DE RESPONSABILIDADE DE

FABIO JANES E OSMAR NUNES CRUZ.

10

PROJETO DE MONOGRAFIA PS GRADUAO

CONCEITOS E TECNOLOGIAS UTILIZADOS (apoio Introduo)
IaaS Infrastructure as a Service ou Infraestrutura como Servio (em portugus): quando se
utiliza uma porcentagem de um servidor, geralmente com configurao que se adque sua
necessidade.
PaaS Plataform as a Service ou Plataforma como Servio (em portugus): utilizando-se apenas
uma plataforma como um banco de dados, um WebService, etc. (p.ex.: Windows Azure).
DaaS Development as a Service ou Desenvolvimento como Servio (em portugus): as
ferramentas de desenvolvimento tomam forma no cloud computing como ferramentas
compartilhadas, ferramentas de desenvolvimento web-based e servios baseados em mashup.
SaaS Software as a Service ou Software como Servio (em portugus): uso de um software
em regime de utilizao web (p.ex.: Google Docs, Microsoft Sharepoint Online).

SUMRIOINICIALPROPOSTO
LISTA DE FIGURAS........................................................................................iii
LISTA DE TABELAS........................................................................................iv
LISTA DE SIGLAS...........................................................................................v
1.

Introduo.......................................................................................7
1.1.
1.2.
1.3.

2.

Reviso de Literatura.........................................................................9
2.1.
2.2.

3.

O Problema ...........................................................................7
Objetivos da Pesquisa................................................................8
Justificativa...........................................................................8
Conceito de cloud computing.....................................................15
Conceito de segurana.............................................................35

O Mtodo da Pesquisa.......................................................................55
3.1.
3.2.
3.3.
3.4.

Caractersticas do projeto.........................................................55
Procedimento do projeto..........................................................56
Levantamento.......................................................................58
Apresentao dos resultados......................................................60

Cronograma....................................................................................90
Referncias..............................................................................................91

INTRODUODOTRABALHO
Atualmenteasempresasfocamemreduodecustos,umdosfatoresquetemfeito
com que estas deixem de comprar seus prprios servidores, e se utilizem de
serviosdecloudcomputing.

11

PROJETO DE MONOGRAFIA PS GRADUAO

SealgumavezandoudeMetroemLondres,jdeveestarfamiliarizadocomafrase
Mindthegap.,quesignificatenhacuidadocomovo.Aplataformaeostrensdo
Metrodeveriam ter um perfeito alinhamento tanto horizontalcomovertical, mas
geralmente no tm. Em alguns lugares a o vo entre os dois significamente
grande.Oavisotedeixaalertaparatomarcuidadoondepisa.
Segundo(Mather;Kumaraswamy;Shahed,2009),poderamosusaroconceitode
tomar cuidado com o vo, nesse caso entre cloud computing e segurana da
mesma, ambos deveriam se alinhar, mas geralmente nose consegue assegurar
essealinhamento.
Ambos cloud computing e segurana em cloud computing parecem no se
entender,principalmenteporumafaltadeconsensodequemoresponsvelpela
segurana.
Segundo(CHORAFAS,2011)Antesmesmodacloudcomputing,tnhamosoquadro
de: dados no criptografados em web servers; falta de auditoria depois que as
transaessoefetuadas;ogerenciamentodeseguranafeitopelasempresasno
transparente.
Portantoonovoambiente(cloudcomputing)noresponsvelporissoacontecer.
Adiferenaequeantesesseseramcasosisoladoscompossveldanoreduzidoem
consequnciadefalhasdesegurana.

Ainda segundo (CHORAFAS, 2011) a diferena agora que estamos falando de

milhesdeservidoresnasnuvenscomumnumerodeacessossemprecedentes.
Ocentrodoproblemapodeseresumiremduasquestes:
Quempossuiinformaodequenasnuvens?
Queparteresponsvelpelasegurana?
Amaioriadosautoresreforaaideiadequenoeclaroquemeoresponsvelpor
garantir a segurana dos dados em cloud computing, se esse papel deve ser
divididoporambasasparte,oquoresponsvelcadapartepelasegurana.
Noexteriorhumagrandepreocupaodasempresascomsegurananasnuvens,
afinalningumquerreduzircustosarriscandoseusdados,comocrescimentono
usodosserviosdecloudcomputingnoBrasileprevisodegrandeaumentono
uso dos mesmos, vemos a necessidade de conhecer a opinio das empresas
situadasnoBrasilsobrecloudcomputingeseguranaemcloudcomputing.
Atravsdolevantamentopretendemosidentificar problemasefalhasdesegurana
encontradosporempresassituadasnoBrasil,comoasempresasvmosserviosde
cloudcomputingeoqueesperamdeles.

12

PROJETO DE MONOGRAFIA PS GRADUAO

REFERNCIAS BIBLIOGRFICAS
THOMPSON, Nicholas; KELLERMANN, Tom. Kellermann Interview on Cloud Computing:
Sony Data Hack. Disponvel em: <http://www.bloomberg.com/video/69808318/>. Acesso
em: 07 jun. 2011.
MANZATO, Prof. Dr. Antonio Jos; SANTOS, Profa. Adriana Barbosa. A ELABORAO DE
QUESTIONRIOS NA PESQUISA QUANTITATIVA. Disponvel em:
<www.dcce.ibilce.unesp.br/~adriana/ensino/quest.doc>. Acesso em: 10 jun. 2011.
PONEMON INSTITUTE LLC (Org.). Security of Cloud Computing Users: A Study of
Practitioners in the US & Europe. Disponvel em:
<http://www.ca.com/~/media/Files/IndustryResearch/security-cloud-computingusers_235659.pdf>. Acesso em: 12 maio 2010.
PONEMON INSTITUTE LLC (Org.). Security of Cloud Computing: Providers Study.
Disponvel em: <http://www.ca.com/~/media/Files/IndustryResearch/security-of-cloudcomputing-providers-final-april-2011.pdf>. Acesso em: 30 abr. 2011.
A INSEGURANA da cloud Disponvel em:
<http://www.computerworld.com.pt/2011/06/14/a-inseguranca-da-cloud/>. Acesso em: 14
jun. 2011.
ADOPO desregrada da cloud preocupa executivos Disponvel em:
<http://www.computerworld.com.pt/2011/06/09/adopcao-desregrada-da-cloud-preocupaexecutivos/>. Acesso em: 09 jun. 2011.
FORNECEDORES e utilizadores divergem sobre a segurana da cloud Disponvel em:
<http://www.computerworld.com.pt/2011/05/26/fornecedores-e-utilizadores-divergemsobre-a-seguranca-da-cloud/>. Acesso em: 26 jun. 2011.
O QUE pensam realmente os auditores de segurana? Disponvel em:
<http://www.computerworld.com.pt/2011/03/16/o-que-pensam-realmente-os-auditores-deseguranca/>. Acesso em: 16 mar. 2011.
LINTHICUM, David. Why Sony's PSN problem won't take down cloud computing: The
hacks and Sony's incompetence involve bad security practice, not a flaw in cloud services per
se. Disponvel em: <http://www.infoworld.com/d/cloud-computing/why-sonys-psn-problemwont-take-down-cloud-computing-391>. Acesso em: 30 maio 2011.
QUAIN, John R.. Cracks in the Cloud: Security Issues Loom Over Online Backup
Services. Disponvel em: <http://www.securitynewsdaily.com/cracks-in-cloud-securityissues-loom-over-online-backup-services-0752/>. Acesso em: 04 maio 2011.
QUAIN, John R.. Hackers Use Cloud Computing to Boost Firepower. Disponvel em:
<http://www.securitynewsdaily.com/hackers-cloud-computing-boost-firepower-0825/>.
Acesso em: 31 maio 2011.
KRUTZ, Ronald L.; VINES, Russell Dean. Cloud Security: A Comprehensive Guide to
Secure Cloud Computing. Indianapolis: Wiley Publishing, Inc., Indianapolis, Indiana, 2010.
CHORAFAS, Dimimtris N.. Cloud Computing Strategies. Boca Raton: Taylor And Francis

13

Pesquisa
PROJETO DE MONOGRAFIA PS GRADUAO
Group, Llc, 2011.
MATHER, Tim; KUMARASWAMY, Subra; LATIF, Shahed. Cloud Security and Privacy. First
Edition Sebastopol: Oreilly Media, Inc, 2009.
DHANJANI, Nitesh; RIOS, Billy; HARDIN, Brett. Hacking: The Next Generation. First
Edition Sebastopol: Oreilly Media, Inc., 2009.

Informaes gerais
Nome:

Data:

Cargo:

Departamento:

Perguntas de seleo
Suaorganizaofazusodepelomenosalgumdosrecursosdecloudcomputing?
Sim
No (pare)
Comovocdescreveotipodeimplementaodecloudcomputingutilizadopelasua
empresa?Escolhasomenteumaopo.
Usaprincipalmentenuvenspublicas
Usaprincipalmentenuvensprivadas
Usaumacombinaodenuvenspublicaseprivadas

Atribuies sobre segurana em cloud computing

Minha organizao avalia o impacto que computao em nuvem tem na capacidade de
proteger e assegurar informaes de alta sensibilidade e confidenciais.
Discordo totalmente
Discordo
Concordo
Concordo totalmente

14

Minha organizao no utiliza aplicaes de computao em nuvem que so no

minuciosamente inspecionados quanto a riscos de segurana pra nenhum tipo de servio.
Discordo totalmente
Discordo
Concordo
Concordo totalmente
Minha organizao est atenta a realizar auditorias ou avaliaes dos recursos de cloud
computing antes de sua implantao.
Discordo totalmente
Discordo
Concordo
Concordo totalmente
Minha organizao proativa em avaliar as informaes que so muito sensveis para serem
armazenadas nas nuvens.
Discordo totalmente
Discordo
Concordo
Concordo totalmente
Os profissionais de segurana da minha organizao so os que tm maior
responsabilidade em garantir a segurana da minha empresa no uso de cloud
computing.
Discordo totalmente
Discordo
Concordo
Concordo totalmente
Experincias com cloud computing
Sua organizao faz uso de recursos SaaS providos por fornecedores de cloud computing?
Sim
No
No tenho certeza
Se sim, qual o percentual de aplicaes de misso crtica de sua organizao utiliza
aplicaes SaaS?
Menos de 10%
Entre 51 e 60 %
No sei informar

Entre 11 e 20%
Entre 61 e 70%

Entre 21 e 30%
Entre 71 e 80%

Entre 31 e 40 %
Entre 81 e 90 %

Entre 41 e 50 %
mais de 90%

Em sua opinio, quem o maior responsvel por garantir a segurana das

aplicaesSaaSutilizadasdentrodesuaorganizao?

Usurios finais da minha empresa so os maiores

responsveis.

OdepartamentodeTIdaminhaempresaomaiorresponsvel.
OdepartamentodeseguranaemTIdaminhaempresaomaiorresponsvel.
Ofornecedordeserviosdecloudcomputingomaiorresponsvel.
Aresponsabilidadedivididaentreminhacompanhiaeofornecedordecloud
computing.
Noseiinformar