Cloud Computing Segurana e Privacidade da Informao na Nuvem

Antnio Lus Jesus Mendes da Silva

IESF Instituto Superior de Estudos Financeiros e Fiscais Julho 2012

Electronic copy available at: http://ssrn.com/abstract=2118225

Cloud Computing Segurana e Privacidade da Informao na Nuvem

Abstract
We are in the midst of a revolution in information technologies, under the name of Cloud Computing. Indeed, more than a new technology or a new model of computation, we can consider that it is more like a new business model. Despite the apparently good reception with which companies are facing this new model, are often cited as the main obstacles to its implementation, fears in terms of security, legality and privacy of information. This paper briefly describes the main characteristics of Cloud Computing, and then focuses on key issues related to security and privacy of information in the cloud, highlighting the most important aspects that companies and organizations should aim to ensure, when adopting a model of Cloud Computing.

Resumo
Estamos no meio de uma revoluo em termos de tecnologias de informao, que d pelo nome de Cloud Computing. Com efeito, mais do que uma nova tecnologia ou um novo modelo de computao, podemos considerar que mais um novo modelo de negcio. Apesar da aparentemente boa recetividade com que as empresas esto a encarar este novo modelo, so frequentemente apontados como principais entraves sua implementao, os receios em termos de segurana, legalidade e privacidade da informao. Este trabalho descreve resumidamente as principais caractersticas da computao na nuvem, e de seguida concentra-se nas principais questes relacionadas com a segurana e privacidade da informao na cloud, realando os aspetos mais importantes que as empresas e organizaes devem procurar garantir, aquando da adoo de um modelo de Cloud Computing.

Palavras-chave
Cloud Computing, Computao na Nuvem, Segurana, Privacidade, Tecnologias de Informao

Electronic copy available at: http://ssrn.com/abstract=2118225

Introduo
Nos ltimos anos, a Cloud Computing ou computao na nuvem tornou-se numa tecnologia indispensvel, deixando de ser utilizada apenas em meios laboratoriais, tendo passado para as empresas, com a promessa de menores custos, maior flexibilidade na gesto das solues informticas, melhorias na eficincia e com a possibilidade de escalabilidade medida. Contudo, embora esta soluo anuncie benefcios significativos, ela vai exigir que as organizaes alterem a abordagem da sua plataforma de Tecnologias de Informao (TI). Este artigo cientfico pretende abordar os principais pontos relacionados com os temas da segurana, propriedade e privacidade da informao na cloud, numa altura em que cada vez mais as empresas comeam a adotar tecnologias de Cloud Computing. Contudo, uma das dificuldades encontradas durante a realizao deste trabalho, foi a inexistncia de dados concretos sobre a adoo do modelo de Cloud Computing pelas empresas portuguesas, bem como elementos que permitissem evidenciar eventos ocorridos no mbito das falhas de segurana ou fuga/apropriao indevida de informao. Cloud Computing pois uma nova maneira de oferecer recursos de computao, e no uma nova tecnologia. Servios de computao tais como armazenamento de dados, processamento de software ou tratamento de e-mail, esto agora disponveis instantaneamente, sem compromisso e sob pedido. Uma vez que estamos numa poca de restries econmico-financeiras, este novo modelo econmico para a computao encontrou um terreno frtil e est a atrair investimentos macios a nvel global (Balboni, P. et al., 2009). Com efeito, comea a ser consensual que o modelo de Cloud Computing traz vantagens para a plataforma de TI e para os sistemas de informao das empresas, tais como agilidade, facilidade de utilizao, capacidade de expanso e no menos importante, reduo de custos. Todavia, existe uma ambiguidade no sentimento das organizaes em relao segurana, pois ela representa quer um objetivo quer uma preocupao quando se trata de migrar para a nuvem, uma vez que os receios relativos segurana e confidencialidade da informao bem como o controlo sobre os sistemas e as questes de responsabilidade em caso de problemas com a infraestrutura, so ainda barreiras importantes na altura de considerar a migrao para este novo modelo (Balboni, P. et al., 2009).

Reviso Terica
Conceito de Cloud Computing Nos ltimos anos a tendncia nas TI tem sido o caminho da participao colaborativa. A Cloud Computing segue esta tendncia, utilizando a memria e as capacidades de clculo e armazenamento de computadores e servidores partilhados e ligados atravs da Internet, seguindo o princpio da computao em grelha. O armazenamento dos dados feito em servios que podem ser acedidos de qualquer lugar e a qualquer hora, no havendo necessidade de instalao de programas ou de armazenamento local de dados. O acesso a programas, servios e arquivos remoto, atravs da Internet (da a aluso nuvem). Desta forma, com um sistema operativo disponvel na Internet, a partir de qualquer computador e em qualquer stio, pode-se aceder a informaes, arquivos e programas num sistema nico, independentemente da plataforma. O requisito mnimo um computador compatvel com os recursos disponveis na Internet. Cloud Computing um modelo para permitir um acesso rede, a pedido, omnipresente e conveniente, para um conjunto partilhado de recursos computacionais configurveis (por exemplo, redes, servidores, armazenamento, aplicaes e servios). Trata-se de uma tecnologia disruptiva que tem o potencial para melhorar a colaborao, a agilidade, a escalabilidade e disponibilidade, fornecendo oportunidades de reduo de custos atravs da computao otimizada e eficiente. Este modelo prev um mundo onde os componentes podem ser rapidamente orquestrados,

provisionados, implementados e desativados, escalonando-os para cima ou para baixo para fornecer um modelo medida de consumo e repartio de recursos (Cloud Security Alliance, 2011). Como esta, existem muitas outras definies de Cloud Computing. Reunindo as definies propostas de vrios especialistas (Vaquero, L. M. et al., 2009), chegou-se a uma definio integrada com um mnimo denominador comum. Embora sem uma anlise aprofundada de cada uma das propostas individualizadas, foi possvel com esta compilao ter uma ideia clara dos diferentes conceitos que os profissionais de TI tm na rea de Cloud Computing. Assim, uma definio abrangente de Cloud Computing seria a de um grande grupo de recursos virtualizados facilmente acedveis e utilizveis (tais como hardware, plataformas de desenvolvimento e/ou servios). Esses recursos podem ser dinamicamente reconfigurados para se ajustarem a uma carga varivel (escala), permitindo assim uma otimizao na utilizao de recursos. Este conjunto de recursos tipicamente explorado por um modelo de pagamento por 4

utilizao, em que as garantias so oferecidas pelo provedor de fornecimento da infraestrutura, atravs de nveis de servios (SLAs) personalizados. Por outro lado, olhando para o mnimo denominador comum, leva-nos a uma definio que no existe, dado que nenhum recurso em particular proposto por todas as definies. O conjunto de caractersticas que mais se assemelham a uma definio mnima seria a escalabilidade, o modelo de pagamento conforme a utilizao (pay-per-use) e a virtualizao. J segundo o National Institute of Standards and Technology (NIST), Cloud Computing um modelo que permite o acesso em rede omnipresente e adequado, a um conjunto partilhado de recursos computacionais configurveis (por exemplo, redes, servidores, armazenamento, aplicaes e servios) que podem ser rapidamente fornecidos com um mnimo esforo de gesto ou de interao com o fornecedor do servio. Este modelo de Cloud Computing composto por cinco caractersticas essenciais, trs tipos de servio, e quatro modelos de implementao, abordados nos pontos seguintes (Mell, P., Grance, T., 2011).

Caractersticas essenciais Self-service a pedido: De acordo com as suas necessidades, um utilizador pode prover de forma unilateral e automtica, recursos de computao tais como tempo de servidor ou armazenamento em rede, sem necessidade de interao humana com cada fornecedor de servios. Acesso por banda larga: Os recursos esto disponveis na rede e podem ser acedidos atravs de mecanismos padro que promovam a sua utilizao por diferentes plataformas (por exemplo, telemveis, tablets, computadores portteis e estaes de trabalho). Conjunto de recursos: Os recursos computacionais do fornecedor do servio so reunidos para servir vrios utilizadores usando um modelo de mltiplos utilizadores, com diferentes recursos fsicos e virtuais atribudos dinamicamente de acordo com os pedidos destes ltimos. H um sentido de independncia de localizao em que geralmente o cliente no tem nenhum controlo ou conhecimento sobre o local exato dos recursos fornecidos, mas pode ser capaz de especificar o local num nvel mais elevado de abstrao (por exemplo, pas, estado ou centro de dados).

Armazenamento, processamento, memria e largura de banda de rede so exemplos destes recursos. 5

Elasticidade

rpida:

Os

recursos

podem

ser

configurados

elasticamente

disponibilizados, em alguns casos automaticamente, muito rapidamente para fora e de uma forma que procura um aperfeioamento ativo. Do ponto de vista do consumidor, parece que os recursos disponveis so muitas vezes ilimitados e passveis de serem utilizados e apropriados em qualquer quantidade e a qualquer momento. Servio medido: Os sistemas de Cloud Computing controlam e otimizam

automaticamente a utilizao dos recursos, aproveitando uma capacidade de medio num nvel de abstrao apropriado para o tipo de servio (por exemplo, armazenamento, processamento, largura de banda e contas de utilizador ativas). O uso dos recursos pode ser monitorizado e controlado, fornecendo transparncia quer para o provedor quer para o consumidor final do servio utilizado.

Tipos de servio Software as a Service ou Software como Servio (SaaS). disponibilizada ao utilizador, a capacidade de usar as aplicaes do fornecedor do servio, assentes numa infraestrutura na nuvem. As aplicaes podem ser acedidas atravs de vrios dispositivos, tais como um navegador Web (no caso por exemplo do Gmail ou do Google Docs) ou atravs de um programa. O utilizador no gere nem controla a infraestrutura subjacente da nuvem, incluindo a rede, os servidores, sistemas operativos, armazenamento de dados ou at mesmo definies do aplicativo, com a possvel exceo de definies de configurao do aplicativo, especficas do utilizador. Platform as a Service, ou Plataforma como Servio (PaaS). O recurso fornecido ao consumidor o de este implementar para a infraestrutura da cloud, aplicativos criados por si usando linguagens de programao, bibliotecas, servios e ferramentas suportadas pelo fornecedor do servio. O utilizador no gere nem controla a infraestrutura subjacente da nuvem, incluindo a rede, os servidores, sistemas operativos, armazenamento de dados, mas tem controlo sobre os aplicativos desenvolvidos e sobre as definies de configurao para o ambiente de alojamento de aplicativos. Infrastructure as a Service ou Infraestrutura como Servio (IaaS). O recurso fornecido ao consumidor o de fornecer o processamento, armazenamento, redes e outros recursos fundamentais de computao onde o consumidor capaz de desenvolver, implementar e executar software, tal como sistemas operativos e aplicaes. O utilizador no gere nem controla a infraestrutura subjacente da nuvem, mas tem 6

controlo sobre sistemas operativos, armazenamento e aplicaes instaladas (e possivelmente tambm poder ter controlo, embora limitado, de alguns componentes de rede selecionados, tais como firewalls).

Modelos de implementao Cloud Privada: A infraestrutura da nuvem configurada para uso exclusivo de uma nica organizao que compreende mltiplos utilizadores (por exemplo, unidades de negcio). Pode ser de propriedade, gerida e operada pela prpria organizao, por uma entidade terceira, ou por uma combinao destas duas modalidades. Poder existir dentro ou fora das instalaes da organizao. Cloud de Comunidade: A infraestrutura da nuvem configurada para uso exclusivo de um conjunto especfico de utilizadores, que pertencem a empresas ou organizaes que tm interesses comuns (por exemplo, requisitos de segurana, poltica de privacidade e aspectos de conformidade). Pode ser de propriedade, gerida e operada por uma ou mais das organizaes da comunidade, por uma entidade terceira, ou por alguma combinao destas modalidades. Poder existir dentro ou fora das instalaes da organizao. Cloud Pblica. A infraestrutura da nuvem configurada para utilizao aberta ao pblico em geral. Pode ser de propriedade, gerida e operada por uma empresa, instituio de ensino ou organizao governamental, ou por alguma combinao destas modalidades. Existe nas instalaes do fornecedor da cloud. Cloud Hbrida. A infraestrutura da nuvem uma composio de duas ou mais infraestruturas de nuvem distintas (de comunidade, privada ou pblica) que se mantm entidades nicas, mas que esto ligadas por uma tecnologia padronizada ou proprietria que permite a portabilidade dos dados e das aplicaes.

Figura 1 - Modelo visual da definio de Cloud Computing do NIST

To ou mais importante que a definio, importa perceber a proposta de valor da Cloud Computing, a qual assenta nas seguintes caractersticas-chave: capacidade de escalonamento e aprovisionamento de capacidade de computao, de uma forma dinmica e economicamente eficiente, aliada capacidade do consumidor final (seja ele um indivduo ou uma organizao) retirar o maior proveito possvel desse poder de computao, sem ter que gerir a complexidade subjacente a essa tecnologia.

Anlise Emprica
Segurana e Privacidade da Informao Em qualquer sistema de computao em rede, a segurana e privacidade da informao uma questo essencial. A Cloud Computing no exceo, at porque executada via Internet, que hoje em dia como sabemos est repleta de perigos e ameaas como vrus, malware ou pirataria informtica, que podem destruir dados ou mesmo aceder aos computadores dos utilizadores ou aos seus dados pessoais se no forem tomadas medidas adequadas. necessrio ento que os fornecedores de solues de Cloud Computing, adotem as ferramentas e metodologias de segurana mais sofisticadas e atualizadas existentes atualmente, usando na sua operao elevados nveis de rigor e transparncia, de modo a oferecer o nvel mximo de segurana possvel aos utilizadores e s organizaes suas clientes, de modo a dirimir os receios existentes. 8

Com efeito, se no houver garantia de total segurana, no h motivos nem condies para uma organizao fazer a transio para a nuvem.

Problemas de privacidade associados cloud O modelo de nuvem tem sido criticado por defensores da privacidade pela maior facilidade com que as empresas de hospedagem de servios, podem monitorizar vontade (legal ou ilegalmente), a comunicao e os dados armazenados entre os utilizadores e o provedor do servio. Situaes graves de quebra de confidencialidade de dados pessoais que j ocorreram, fazem com que a incerteza entre os defensores da privacidade cresa, dados os maiores poderes que este modelo d s empresas de telecomunicaes para monitorizar a atividade dos utilizadores. Usar um prestador de servios na nuvem, pode dificultar a privacidade dos dados, devido extenso em que a virtualizao para o processamento (mquinas virtuais) e armazenamento na cloud so utilizados para implementar servios em nuvem (Winkler, Vic (J.R.), 2011). De facto, a virtualizao altera a relao entre o sistema operacional e o hardware subjacente - seja este de computao, armazenamento ou mesmo de rede. Isto introduz uma camada adicional - virtualizao a qual deve ser corretamente configurada, gerida e protegida (Hickey, Kathleen, 2010). Ainda segundo Winkler, a questo que com este modelo as operaes dos utilizadores junto do provedor de servios, podem levar a que os dados no permaneam no mesmo sistema, no mesmo centro de dados, ou at mesmo dentro da mesma nuvem ou provedor de servios. Isto pode levar a questes legais sobre a jurisdio. A computao em nuvem coloca portanto problemas de privacidade, uma vez que o provedor de servios pode aceder aos dados que esto na nuvem em qualquer ponto no tempo. Eles poderiam inclusivamente, de forma acidental ou deliberada, alterar ou mesmo apagar algumas informaes (Ryan, Mark D., 2011).

Questes relacionadas com a segurana da informao Como seria de esperar de qualquer mudana revolucionria no mbito da informtica e da computao globais, determinadas questes jurdicas surgem, desde violao de marcas registadas, a preocupaes com a segurana na partilha de recursos de dados proprietrios.

Na medida em se verifica uma crescente popularidade da computao em nuvem, tambm aumentam as preocupaes relacionadas com as questes de segurana introduzidas atravs da adoo deste novo modelo. A eficcia e eficincia dos mecanismos tradicionais de proteo esto a ser reconsideradas, dado que as caractersticas deste modelo de implantao inovador podem diferir amplamente daquelas de arquiteturas tradicionais (Zissis, Dimitrios, Lekkas, Dimitrios, 2010). Uma perspectiva alternativa sobre o tema da segurana na nuvem, que este outro (apesar de bastante amplo) caso de segurana aplicada, e que os princpios de segurana similares que se aplicam aos modelos de segurana para multi-utilizadores de mainframes (computadores de grande porte, grande capacidade) se podem tambm aplicar segurana na nuvem (Winkler, Vic (J.R.), 2011). Com efeito, os controlos de segurana na computao em nuvem no so, na maioria das vezes, diferentes dos controlos de segurana em qualquer ambiente de TI. No entanto, por causa dos modelos de servios usados na nuvem, os modelos operacionais e as tecnologias utilizadas para permitir os servios de Cloud Computing, podem fazer com que esta (computao em nuvem) apresente diferentes riscos para uma organizao quando comparada com as tradicionais solues de TI (Cloud Security Alliance, 2011), pois o nmero de pessoas com acesso aos dados da organizao ir aumentar consideravelmente, o que, mais do que um desafio tcnico, representa o problema de controlar quem acede informao. Mais, segundo o mesmo estudo, a postura de segurana de uma organizao caracteriza-se pela maturidade, a eficcia e integridade da segurana ajustada aos controlos de risco implementados. Estes controlos so implementados numa ou mais camadas, que vo desde as instalaes de segurana (segurana fsica), passando pela infraestrutura da rede (segurana da rede) e sistemas de TI (segurana do sistema), at informao e segurana das aplicaes. Alm disso, os controlos so implementados ao nvel das pessoas e dos processos, tais como separao de funes e gesto da mudana, respetivamente. De todo o modo, inegvel que uma das maiores preocupaes dos profissionais de TI relativamente adoo e implementao de uma soluo de Cloud Computing, a segurana, sendo este um dos principais desafios que este modelo de computao enfrenta. A Gartner, lder mundial em pesquisa e consultoria em tecnologia de informao, afirma que a Cloud Computing tem atributos nicos que exigem assessoria de risco em reas como a integridade dos dados, a recuperao de dados e privacidade, bem como uma avaliao de questes legais nas reas de e-discovery, 10

conformidade de regulao e auditoria. Como tal, as empresas devem exigir transparncia dos fornecedores de solues cloud, evitando aqueles que se recusem a fornecer informaes detalhadas das suas polticas de segurana. De seguida, enumeram-se os sete principais riscos que segundo a Gartner devem ser questionados, antes de se selecionar um fornecedor de servios na cloud (Brodkin, Jon, 2008): 1. Acesso privilegiado de utilizadores: Dados sensveis processados fora da empresa trazem, obrigatoriamente, um nvel inerente de risco. Os servios terciarizados fogem dos controlos fsicos, lgicos e de pessoas, que as reas de TI exercem quando no ambiente da empresa. O conselho a seguir conseguir o mximo de informao sobre quem vai gerir os dados e solicitar aos fornecedores que passem informaes especficas sobre quem ter privilgios de administrador no acesso aos dados, para assim, poder controlar esses acessos; 2. Cumprimento de regulamentao: As empresas so as responsveis pela segurana e integridade dos seus prprios dados, mesmo quando essas informaes so geridas por um provedor de servios. Os provedores de servios tradicionais esto sujeitos a auditores externos e a certificaes de segurana, pelo que os fornecedores de Cloud Computing que recusem submeter-se a esse tipo de escrutnio, esto a dar uma indicao aos seus clientes que o nico uso para o qual se pode confiar neles, apenas para dados no sensveis; 3. Localizao dos dados: Quando uma organizao (seja uma empresa ou at um governo) est a usar a cloud, o mais provvel no saber exatamente onde os dados esto armazenados. Na verdade, pode nem se saber qual o pas em que as informaes esto guardadas. Os fornecedores devero pois ser questionados sobre se esto dispostos a comprometerem-se a armazenar e a processar dados em jurisdies especficas, bem como se esto dispostos a contratualizar o compromisso de obedecer aos requerimentos de privacidade desse pas, em nome do cliente que representam; 4. Segregao dos dados: Os dados de uma empresa quando esto na nuvem, normalmente partilham um ambiente de armazenamento com dados de outros clientes. A criptografia dos dados eficaz, mas no a soluo para tudo. A 11

recomendao aqui no sentido do fornecedor informar quais as medidas usadas para separar os dados e fornecer provas em como a criptografia foi criada e desenhada por especialistas com experincia. De notar que problemas com a criptografia, podem fazer com que os dados fiquem inutilizveis e mesmo a criptografia normal pode comprometer a disponibilidade dos mesmos; 5. Recuperao dos dados: Mesmo se a empresa no sabe onde esto os seus dados, um fornecedor de servios na cloud deve saber o que acontece com essas informaes em caso de desastre. Qualquer oferta de servios que no replique os dados e a infraestrutura de aplicaes em diversas localidades, est vulnervel a uma falha completa. Dever ser confirmado com o fornecedor se ele tem a capacidade de fazer uma completa restaurao dos dados e quanto tempo esta poder demorar; 6. Apoio investigao: A investigao de atividades ilegais pode ser impossvel num ambiente de Cloud Computing. Os servios na nuvem so especialmente difceis de investigar, dado que o acesso e os dados dos vrios utilizadores podem estar localizados em vrios lugares, espalhados numa srie de servidores que so alterados constantemente. Se no for possvel conseguir um compromisso contratual que suporte formas especficas de investigao, junto com a evidncia de que esse fornecedor j tenha feito isso com sucesso no passado, o mais provvel que em caso de existir um problema, os dados sejam impossveis de recuperar; 7. Viabilidade a longo prazo: Num mundo ideal, o provedor de Cloud Computing jamais ir falir ou ser adquirido por uma empresa maior. No entanto, as empresas precisam de garantir que os seus dados estaro disponveis caso isso acontea. Como tal, dever ser questionada a forma de conseguir os dados de volta e se os mesmos estaro num formato que possa ser importado para uma outra aplicao que substitua a anterior.

Concluses
Sendo certo que a migrao para Cloud Computing tentadora, semelhana de outras medidas que anunciem redues nos custos de TI, as vantagens da mudana

12

no so s financeiras. H importantes ganhos qualitativos, tais como a redundncia, a escalabilidade e a conectividade global. Contudo, o mover para a nuvem ainda levanta muitas questes sobre a segurana e a privacidade da informao, pelo que as empresas encaram com algumas reservas estes processos de migrao. De facto, a computao em nuvem parece ser uma revoluo inevitvel que avana a um ritmo rpido. Os pontos abordados mostraram que os servios de computao em nuvem trazem um grande nmero de questes legais, juntamente com inquestionveis benefcios econmicos. A proteo de dados e as questes de segurana dos mesmos, so de longe os maiores problemas para os provedores de servios na cloud e para os seus clientes, quer organizaes, quer indivduos.

Assim, uma das concluses deste trabalho, que as economias de escala da nuvem e a sua flexibilidade so quer um amigo quer um inimigo do ponto de vista da segurana. As concentraes macias de recursos e dados, afiguram-se um alvo mais atraente para os hackers, mas as medidas de defesa de sistemas baseados na nuvem podem ser mais robustas, escalveis e melhores do ponto de vista custo/benefcio. Como acontece em quase todas as novas tendncias tecnolgicas, a Cloud Computing apresenta tambm pontos no amadurecidos, e que devero ser alvo de aperfeioamento num futuro prximo. As melhorias de segurana so necessrias para que as empresas possam confiar dados sensveis sobre uma infraestrutura cloud (Vaquero, L. M. et al., 2009). Apesar disso, esta soluo afigura-se vantajosa para as empresas, que devem no entanto ponderar muito bem todas as questes relacionadas com a privacidade e a segurana da informao, antes de avanar para este modelo. Os governos e as instituies competentes, devero estar atentos a este fenmeno crescente e trabalhar em medidas legislativas que regulem e limitem eficazmente os termos em que os provedores de servios na cloud operam. Hoje em dia, esses fornecedores de servios tm acesso a informaes extremamente detalhadas sobre os seus clientes. Esta informao surge naturalmente a partir dos prprios servios prestados. H medida em que a computao em nuvem se torna cada vez mais importante, assistiremos seguramente a um padro evolutivo semelhante no que respeita aos dados ricos em informao que os prestadores de servios na cloud tero sua disposio, originrios das atividades dos seus clientes.

13

No passado, regulamentaram-se intermedirios nas questes que envolviam transao de dados, tais como operadores de televiso por cabo, empresas de telecomunicaes e bancos, limitando-se as formas pelas quais eles poderiam usar as informaes que detinham. Presumivelmente, as mesmas foras que animavam essas preocupaes com as regras fundamentais sobre a privacidade do cliente, precisam agora de ser usadas para avaliar os novos intermedirios de informao (Picker, R. C., 2008).

Limitaes e Investigao Futura

Este um trabalho essencialmente terico, dada a inexistncia de dados pblicos que ilustrem informao referente adoo da Cloud Computing por parte das empresas. tambm um tema relativamente recente, pelo que no h qualquer tipo de histrico que possa servir de sustentao a possveis anlises s questes relacionadas com a segurana e privacidade da informao. Dada a amplitude do conceito de cloud computing, uma sugesto para investigao futura segmentar as anlises pelos tipos de servio mais comummente usados, SaaS, PaaS e IaaS, bem como pelos tipos de aplicao de computao na nuvem mais procurados, nomeadamente armazenamento de dados, gesto de e-mail e software aplicacional.

Implicaes na Gesto Empresarial

A Cloud Computing uma tendncia que seguramente crescer nos prximos anos, representando um novo paradigma que oferece diversos benefcios, proporcionando s empresas uma economia de recursos, mantendo o foco nos seus negcios. A comodidade de aceder aos dados a partir de qualquer lugar, com gastos inferiores na utilizao de software, dado que o pagamento no via licenciamento mas sim pela utilizao, aliada s atividades que a empresa deixa de ter que suportar, tais como instalao de servidores, manuteno da operao, armazenamento de dados, e oferta/atualizao das aplicaes, entre outras, so fatores aliciantes para as empresas. Um recente estudo da IDC (empresa lder mundial na rea de servios de consultoria e organizao de eventos para os mercados das Tecnologias de Informao) sobre 14

"Transformao do negcio nas organizaes portuguesas", indica que mais de 90% das grandes organizaes portuguesas j desenvolveu ou esto a desenvolver processos de transformao do negcio para reduzir custos e aumentar a competitividade. Este estudo resultante de um inqurito aplicado s 300 maiores organizaes portuguesas, pblicas e privadas, apurou ainda que dado o atual ambiente de crise econmica, entre outras alteraes, as empresas esto a apostar na reduo de custos e na inovao de processos de negcio. Ainda segundo o mesmo estudo, 60% dos empresrios portugueses considera que as tecnologias de informao tm um papel crucial para as organizaes avanarem com um processo de transformao e 79% afirma que estas so vitais para o negcio. J um recente inqurito da Symantec (lder mundial no fornecimento de solues de segurana informtica) aponta que a partilha de ficheiros online o grande risco das PMEs, pois com o crescente aumento desta prtica, aumentam tambm as vulnerabilidades das empresas em termos de segurana e perda de dados. Com efeito, muitos colaboradores das empresas comeam a adotar livremente solues cloud para partilha de ficheiros, sem superviso das equipas de IT, o que poder levar a graves problemas e colocar em risco a prpria sobrevivncia do negcio dessas empresas. urgente nestes casos que as empresas centralizem o armazenamento e a gesto dos ficheiros num sistema online seguro e acessvel, implementem controlos de acesso e permisses, garantindo a superviso de quem acede e partilha os ficheiros, tudo isto de uma forma escalvel, de modo a que o sistema possa crescer com a empresa e de acordo com as suas necessidades. pois de esperar que dentro deste cenrio, as solues de Cloud Computing representem um papel muito relevante nas estratgias destas organizaes, no sentido da reduo de custos e da inovao de processos.

Referncias
Balboni, Paolo, Mccorry, Kieran & Snead, David: Cloud Computing Key Legal Issues. em: Cloud Computing Risk Assessment. European Networks and Information Security Agency (ENISA), 2009, disponvel em: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloudcomputing-risk-assessment/at_download/fullReport Brodkin, Jon (2008). Gartner: Seven cloud-computing security risks. Network World, disponvel em: http://www.networkworld.com/news/2008/070208-cloud.html

15

Cloud Security Alliance, (2011). Security Guidance for Critical Areas of Focus in Cloud Computing V3.0

Fibra (2012): Partilha de ficheiros o grande risco das PMEs, disponvel em http://www.fibra.pt/empresas/5387-partilha-de-ficheiros-e-o-grande-risco-daspmes.html

Hickey, Kathleen ( 2010): Dark cloud: Study finds security risks in virtualization, disponvel em: http://gcn.com/articles/2010/03/18/dark-cloud-security.aspvx

IDC (2012). Principais concluses do estudo Transformao do negcio nas organizaes portuguesas, disponvel em http://www.idc.pt/press/pr_2012-06-27.jsp

Mell, Peter & Grace, Tim: The NIST Definition of Cloud Computing. National Institute of Standards and Technology, 2011, disponvel em: http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf

Picker, R. C. (2008). Competition and Privacy in Web 2.0 and the Cloud, 414(June).

Ryan, Mark D. (2011): Cloud Computing Privacy Concerns on Our Doorstep, em Communications of the ACM, Vol. 54 No. 1, pginas 36-38, disponvel em: http://cacm.acm.org/magazines/2011/1/103200-cloud-computing-privacy-concerns-onour-doorstep/fulltext

Vaquero, L. M., Rodero-merino, L., Caceres, J., & Lindner, M. (2009). A Break in the Clouds: Towards a Cloud Definition, 39(1), 50-55. Wikipedia [Online] http://en.wikipedia.org/wiki/Cloud_computing

Winkler, Vic (J.R.) (2011): Securing the Cloud - Cloud Computer Security Techniques and Tactics, Syngress, Massachusetts

Zissis, Dimitrios, Lekkas, Dimitrios (2010): Addressing Cloud Computing security issues em Future Generation Computer Systems, Volume 28, Nmero 3, Maro 2012, Pginas 583592, disponvel em: http://dx.doi.org/10.1016/j.future.2010.12.006

16