Escolar Documentos
Profissional Documentos
Cultura Documentos
technology news
CLOUD COMPUTING
INSIDE
VIOLAO DE DADOS NA CLOUD
QUESTES DE TRANSFERNCIA E
AGREGAO DE RISCOS NA CLOUD
EVENTOS RELEVANTES E PREJUZOS
SEGURVEIS NA CLOUD
1 Edio
Primavera
NDICE
01: VIOLAO DE DADOS NA CLOUD
02: QUESTES DE TRANSFERNCIA E
AGREGAO DE RISCOS NA CLOUD
03: EVENTOS RELEVANTES E
PREJUZOS SEGURVEIS NA CLOUD
Introduo
Bem-vindo primeira edio da Hiscox
Global Technology News.
Quando decidimos publicar uma newsletter
regular, queramos atrair alguns dos
melhores especialistas em tpicos chave
que afectam o sector das Tecnologias
de Informao; tpicos do interesse de
empresas e utilizadores de tecnologia e
de consultores. Todos os trimestres, a
Hiscox Global Technology News solicitar
a especialistas do mundo inteiro que
apresentem ideias inovadoras sobre
tpicos tcnico-jurdicos actuais de
interesse para um pblico generalizado.
Qual o melhor tpico para iniciar do que
falar de cloud computing (computao
em nuvem)? Muita coisa foi escrita sobre
este tpico recentemente, grande parte
a tentar definir o que cloud computing.
Na realidade, um conceito relativamente
simples, que provavelmente tornou-se
mais complexo do que devia ser.
Deixando de lado esse debate especfico,
h grandes benefcios e srios riscos
associados com a cloud e ainda no foi
encontrado o equilbrio ptimo para os
riscos entre fornecedor de servios cloud e
os seus clientes.
Vitor Vieira
CLOUD COMPUTING
01: Violao de
dados na cloud
David Navetta, Esq., CIPP
Partner, InfoLawGroup LLP
No incio de 2011 mais que bvio que cloud computing no uma moda
passageira, mas sim um modelo de computao que se est a tornar ubquo.
Cloud computing oferece aos seus utilizadores uma grande quantidade de
vantagens incluindo maior eficincia, escalabilidade instantnea e optimizao
de custos. Contudo, estas vantagens so contrabalanadas com a perda de
controlo das organizaes sobre as suas operaes informticas quando
dependem de um fornecedor cloud para a operacionalizao de processos
chave. As questes que surgem desta perda de controlo tornam-se mais
relevantes quando pensamos em violao de dados e maior nvel de
responsabilidades na cloud.
A operacionalizao
de infra-estruturas
informticas est
sempre sujeita a riscos
especficos
01:
CLOUD COMPUTING
Os interesses de quem vm em
primeiro lugar?
Quando uma organizao sofre uma
violao dos seus dados ou propriedade
intelectual, claro que esta organizao
vai investigar e gerir o incidente de acordo
com os seus prprios interesses como
prioridade. Ela tem controlo total sobre os
seus sistemas e sobre os dados residentes
neles e pode tomar decises que protejam
os seus interesses de uma perspectiva
comercial e de responsabilidade. Na cloud
este cenrio muda. Se um fornecedor de
servios cloud sofrer qualquer forma de
ataque que exponha os dados particulares
dos seus clientes, os seus interesses
podero no ser (e provavelmente com
muita frequncia no so) os mesmos
dos seus clientes. Considerando que o
fornecedor de servios enfrenta potenciais
responsabilidades, a sua forma de lidar
com uma situao de violao de dados
visar a proteco dos seus prprios
interesses.
Ceder o controlo da
gesto e processamento
de dados uma deciso
muito sria.
6
01:
CLOUD COMPUTING
O problema da multi-existncia de
mais de um fornecedor de cloud
No contexto cloud, frequente que o
fornecedor de servios contratado por
uma entidade (o fornecedor directo) no
o fornecedor cloud que na realidade
vai processar, armazenar e transmitir os
dados do cliente (o fornecedor terceiro).
O exemplo clssico o fornecedor de
SaaS (Software-as-a-Service), que aloja
o seu software numa cloud que se pode
designar de Infrastructure-as-a-Service.
Nestas configuraes especiais, o
fornecedor terceiro que o responsvel
ltimo pelos dados pode no ter qualquer
relacionamento contratual com o cliente
de servios cloud (cliente cloud) e este
pode no ter nenhum direito sobre o
anterior, numa situao de violao de
dados. No existindo essa relao entre
fornecedor terceiro e cliente cloud, torna-se
8
01:
Um cliente de
servios cloud no
deseja descobrir que
o seu fornecedor fez
promessas vs.
9
CLOUD COMPUTING
10
01:
Concluso
Entrar na cloud e ceder o controlo
sobre a gesto e processamento de
dados uma deciso muito sria.
As questes que surgem relativas
violao de dados ilustram os desafios
que os clientes de cloud computing
enfrentam quando as coisas correm
mal no ambiente cloud. Antes de tomar
uma deciso de trabalhar com um
fornecedor de servios cloud, crucial
que os clientes faam uma anlise
profunda dos riscos e, se esses riscos
forem aceitveis, imprescindvel
control-los no contrato. As empresas
que se lanam na cloud com base
apenas no preo e cedem controlos
significativos podem ver-se em srios
problemas quando ocorrerem eventos
como violaes de dados.
11
CLOUD COMPUTING
02: Questes de
transferncia e agregao
de riscos na cloud
Dr Carsten Schulz,
Taylor Wessing, Hamburg
12
02:
A operao de
infra-estruturas
informticas est
sempre sujeita a
riscos especficos.
13
CLOUD COMPUTING
Contratos cloud
Os servios cloud so frequentemente
padronizados at uma certa medida; por
motivos de natureza tcnica (utilizao
da mesma plataforma/infra-estrutura) e
tambm com a inteno de se obterem
nveis de prestao de servios mais
eficientes e baixar os custos das
transaces. A base dessa relao est
frequentemente espelhada em contratos
padronizados (ou pelo menos documentos
legais padronizados para aspectos de
servio, suporte, manuteno e termos da
licena) que definem os termos do tipo de
servios, nvel de servios, disponibilidade
do servio, recursos a utilizar e medidas
correctivas. Se a avaliao e distribuio de
riscos nestes contratos/acordos de servio
padro (que so geralmente a base para
relaes contratuais a longo prazo) no
forem tratadas adequadamente desde o
incio, tal pode resultar numa acumulao
e agregao problemticas de riscos
no fornecedor cloud, o que tem as suas
prprias implicaes no fornecedor cloud, a
comear pela proteco do seguro.
02:
Tentativas de atribuir
riscos nos Termos
e Condies Gerais
de um contrato entre
as partes pode levar
um fornecedor a ser
forado a assumir
responsabilidade
ilimitada
1. Nem todos os acordos sobre riscos
so possveis de celebrar atravs
de contratos padronizados; os
fornecedores devem assumir a
responsabilidade por certos riscos,
a menos que sejam feitos acordos
alternativos laterais individualmente.
2. Tentativas de atribuir riscos recorrendo
apenas aos termos e condies
gerais entre as partes, pode levar um
fornecedor a ser forado a assumir
responsabilidade ilimitada, se os termos
e condies gerais no satisfizerem as
directivas estreitas das leis aplicveis.
Sem dvida, isto no do interesse
do fornecedor; mas no tambm do
interesse dos clientes, j que existirem
sistemas de distribuio nos quais
os fornecedores j no podem ou
conseguem controlar ou limitar certos
riscos, poderiam levar a instabilidades
a nvel sistmico e assim apresentar um
risco significativo para todos os clientes
desse fornecedor.
15
CLOUD COMPUTING
16
02:
Concluso
Evitar riscos, mitigar riscos, atribuir
riscos e definir mecanismos de
proteco contra riscos so reas
intimamente interligadas, e esta
inter-relao providencia diversas
formas nas quais acordos aceitveis
podem ser trabalhados entre as
partes. Isto inclui o envolvimento dos
seguradores de ambas as partes.
No outsourcing tradicional (que de
muitas formas um predecessor dos
servios cloud) foram desenvolvidas
com o tempo boas normas e boas
prticas sectoriais. Certamente
pode-se esperar o mesmo para os
servios cloud.
17
CLOUD COMPUTING
18
03:
19
CLOUD COMPUTING
03:
E se o fornecedor cloud no
tiver implementadas medidas de
recuperao suficientes em caso de
desastre ou falha de servio?
Os procedimentos e medidas de
recuperao em caso de desastre
ou falhas (incluindo obrigatoriedade
de realizao de cpia de segurana)
devem ser definidos e acordados
contratualmente.
21
CLOUD COMPUTING
22
03:
Concluso
Do ponto de vista jurdico, em muitos aspectos, as
ofertas de servios cloud no diferem muito dos
conceitos tradicionais associados ao outsourcing.
No se pode falar ainda da existncia de condies
standard de contrato ou normativos de mercado
porque o mercado est a evoluir, mas revelam-se
algumas tendncias. Assiste-se uma taxonomia de
estilos contratuais, desde os novos fornecedores
(Salesforce, Google, Amazon, Memset, Rackspace
etc.), que tendem a excluir grande parte, se no
mesmo toda a sua responsabilidade; aos mais
antigos ou tradicionais (Cisco, Fujitsu, IBM etc.),
que esto menos interessados em partilhar ou alterar
os seus termos contratuais; at aos fornecedores
mais hbridos como a Microsoft, que, nos termos
do seu mdulo Azure, se vincula a um nvel de
servios, embora limitado, e oferece algumas das
clusulas de contrato de TI mais standards.
Existe naturalmente um compromisso entre a
aquisio de tecnologia via cloud e a segurana.
Os clientes obtm aquilo por que pagam. A deciso
ponderada pela necessidade dos clientes em
pouparem dinheiro e pelo nvel de segurana a
atribuir aos dados em questo. Portanto, dados
que no sejam sensveis ou crticos podem ser
externalizados para um fornecedor de servios
cloud mais acessvel em termos de custos, mas que
oferece pouco no que diz respeito assumpo de
responsabilidades ou nveis de servio. Enquanto
dados pessoais sensveis ou confidenciais, por
exemplo, exigiro nveis de proteco via contrato
mais aperfeioadas e detalhadas.
23
1 United Kingdom
Alan Thomas
+44 (0) 207 448 6316
alan.thomas@hiscox.com
hiscox.co.uk
2 USA
Jim Whetstone
+1 312 239 6354
jim.whetstone@hiscox.com
hiscoxusa.com
3 France
Charles Jamot
+33 680 70 19 34
charles.jamot@hiscox.com
hiscox.fr
4 Germany
Jens Krickhahn
+49 (0) 89 545801 100
jens.krickhahn@hiscox.com
hiscox.de
5 Holland
Yasin Chalabi
+31 (0) 20517 0732
yasin.chalabi@hiscox.com
hiscox.nl
6 Portugal
Vitor Vieira
+351 213 137 617
vitor.vieira@hiscox.com
hiscox.pt
7 Spain
Jorge Cabellos
+34 9 15 61 5534
jorge.cabellos@hiscox.com
hiscox.es