Escolar Documentos
Profissional Documentos
Cultura Documentos
da ISACA
sobre Tecnologias Emergentes
Resumo
A globalização e as recentes pressões econômicas resultaram em grandes exigências com relação à disponibilidade, dimensionamento
e eficiência quando o assunto são as soluções empresariais em tecnologia da informação (TI). Uma ampla base de líderes comerciais
passou a se interessar mais por custos e tecnologias subjacentes utilizadas para fornecer essas soluções devido ao seu crescente impacto
sobre a linha de lucro. Muitos afirmam que o sistema “computação em nuvem” pode ajudar as empresas a atender às crescentes
exigências de menor custo total de propriedade (TCO), maior retorno de investimento (ROI), aumento da eficiência, fornecimento
dinâmico e serviços de utilidade como pagamento Pay-As-You-Go. No entanto, muitos profissionais de TI estão citando o aumento
dos riscos associados à confiança dos ativos de informação ao sistema de nuvem como algo que deve ser claramente compreendido e
administrado pelas partes interessadas. Este documento esclarece o que é a computação em nuvem, identifica os serviços oferecidos
pelo sistema de nuvem e também examina os potenciais benefícios comerciais, os riscos e as considerações de segurança.
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
ISACA®
Com mais de 86 mil associados em mais de 160 países, o ISACA (www.isaca.org) é um provedor de conhecimentos global líder
em certificação, comunidade, defesa e educação sobre qualidade e segurança dos sistemas de informação, governança corporativa
em TI, riscos e conformidade relacionados à área de TI. Fundado em 1969, o ISACA patrocina conferências internacionais,
publica o ISACA® Journal e desenvolve auditoria e padrões internacionais de controle dos sistemas de informação. Também
administra as seguintes denominações respeitadas mundialmente: Certified Information Systems Auditor™ (CISA®), Certified
Information Security Manager® (CISM®) e Certified in the Governance of Enterprise IT® (CGEIT®).
O ISACA desenvolveu e vem atualizando continuamente os frameworks COBIT,® Val IT™ e Risk IT, que ajudam os
profissionais de TI e líderes empresariais a cumprirem suas responsabilidades administrativas relacionadas à tecnologia
da informação, bem como a agregar valor ao negócio.
Isenção de Responsabilidade
O ISACA desenvolveu e criou a Computação em nuvem: benefícios comerciais com perspectivas de segurança, administração
e qualidade (o “Trabalho”), principalmente como um recurso educacional para profissionais de segurança, administração e
qualidade. O ISACA não garante que o uso de qualquer um dos Trabalhos assegurará um resultado bem-sucedido. O Trabalho
não deve ser considerado parte integrante de quaisquer informações apropriadas, procedimentos e testes exclusivos ou de outras
informações, procedimentos e testes voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer
informação específica, os profissionais de procedimento, teste, segurança, administração e qualidade devem aplicar seu próprio
julgamento profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de
tecnologia da informação.
Reserva de direitos
© 2009 ISACA. Todos os direitos reservados. Nenhuma parte desta publicação pode ser usada, copiada, reproduzida,
modificada, distribuída, exibida, armazenada em um sistema de recuperação ou transmitida de qualquer forma por quaisquer
meios (eletrônicos, mecânicos, fotográficos, gravação ou outro meio qualquer) sem a autorização prévia por escrito do
ISACA. A reprodução e utilização de toda ou de parte desta publicação são permitidas apenas para uso acadêmico, interno
e não comercial, e de assuntos relacionados à consultoria/assessoria, e deve incluir todas as informações possíveis sobre a
fonte do material. Nenhum outro direito ou permissão é concedido com relação a este Trabalho.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Fone: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: info@isaca.org
Site: www.isaca.org
CGEIT é uma marca comercial e marca de serviço do ISACA. A marca foi utilizada ou registrada em muitos países em todo
o mundo.
2 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
Diretoria do ISACA
Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EUA, Presidente Internacional
George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, Vice-presidente
Yonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japão, Vice-presidente
Jose Angel Pena Ibarra, CGEIT, Alintec, México, Vice-presidente
Ria Lucas, CISA, CGEIT, Telstra Corp., Austrália, Vice-presidente
Robert Stroud, CGEIT, CA Inc., EUA, Vice-presidente
Rolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemanha, Vice-presidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Vice-presidente
Lynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Ex-presidente Internacional
Everett Johnson, CPA, Deloitte & Touche LLP (Retired), EUA, Ex-presidente Internacional
Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, Diretor
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Austrália, Diretor
Howard Nicholson, CISA, CGEIT, City of Salisbury, Austrália, Diretor
Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EUA, Administrador
© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 3
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
Por oferecer às Empresas a oportunidade de dissociar suas necessidades de TI de sua infraestrutura, a computação
em nuvem é capaz de oferecer, a longo prazo, uma certa economia às empresas, incluindo a redução de custos de
infraestrutura e modelos de oferta de pagamentos por serviço. Mudando os serviços de TI para o sistema de nuvem,
as empresas podem tirar proveito do uso de serviços em um modelo sob demanda. A redução de despesas de capital
inicial é necessária, o que permite às empresas maior flexibilidade com novos serviços de TI.
Por todas essas razões, é fácil compreender porque a computação em nuvem é uma oferta
de serviços atraente para qualquer negócio em potencial que deseje aprimorar recursos de
TI enquanto controla os custos. No entanto, convém notar que, junto com os benefícios, vêm
riscos e preocupações com segurança que devem ser considerados. Como os serviços de TI “A promessa
são contratados fora da empresa, existe um risco adicional de contar com uma dependência
maior de um provedor terceirizado para o fornecimento de serviços de TI disponíveis, flexíveis
da computação
e eficientes. Enquanto muitas empresas estão habituadas a gerenciar esse tipo de risco, as em nuvem é,
mudanças são necessárias para expandir abordagens de administração e estruturas para tratar sem dúvida,
adequadamente as novas soluções de TI e melhorar os processos comerciais.
revolucionar
Como acontece com qualquer tecnologia emergente, a computação em nuvem oferece o mundo dos
a possibilidade de recompensa elevada em termos de contenção de custos e recursos, serviços de TI
como agilidade e velocidade de fornecimento. No entanto, como uma iniciativa “nova”,
ela também pode trazer um alto risco em potencial. A computação em nuvem apresenta transformando a
um nível de abstração entre a infraestrutura física e o proprietário da informação a ser computação em um
armazenada e processada. Tradicionalmente, o proprietário dos dados mantém controle
direto ou indireto do ambiente físico que afeta seus dados. No sistema de nuvem, isso
utilitário ubíquo.”
não ocorre mais. Devido a essa abstração, já existe uma demanda generalizada de maior
transparência e garantia de abordagem robusta de segurança do ambiente de controle e
de segurança do provedor de serviços de nuvem.
Uma vez determinado que os serviços de nuvem são uma solução plausível para uma empresa, é importante identificar
os objetivos comerciais, bem como os riscos associados à nuvem. Isso vai ajudar as empresas a determinar quais tipos de
dados devem ser confiáveis para o sistema de nuvem, bem como quais serviços podem oferecer maior benefício.
4 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
(Aliança de Segurança da Nuvem). Ambos os grupos definem a computação em nuvem como um modelo para permitir o
acesso à rede sob demanda, de forma conveniente, a um conjunto compartilhado de recursos de computação configuráveis
(por exemplo, redes, servidores, armazenamento, aplicativos e serviços) que podem ser rapidamente fornecidos e lançados
com o mínimo esforço de gestão ou interação do prestador de serviço. Outra forma de descrever os serviços oferecidos no
sistema de nuvem é compará-los ao de um utilitário. Assim como as empresas pagam pelos serviços de eletricidade, gás e
água que utilizam, agora elas têm a opção de pagar pelos serviços de TI em uma base de consumo.
O modelo da nuvem pode ser composto por três modelos de serviço (figura 1), quatro modelos de implantação
(figura 2) e cinco características essenciais (figura 3). Riscos e benefícios em geral poderão variar de modelo para
modelo e vale ressaltar que, ao apostar nos diferentes tipos de serviços e modelos de implantação, as empresas devem
considerar os riscos que os acompanham.
© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 5
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
Como pode ser observado na lista de características na figura 3, existem muitas abordagens e constatações relacionadas
à computação em nuvem. Os benefícios às empresas, bem como os riscos, serão variados, pois dependem dos tipos de
serviço e dos modelos de implantação escolhidos.
6 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 7
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
8 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
Caso ainda não participe dos processos de governança corporativa ou do ciclo de vida de
desenvolvimento de sistemas, a mudança para a computação em nuvem determina que o
gerente ou diretor de segurança da informação (information security officer) passe a ser
incluído nesses processos.
Tal como acontece com todas as alterações organizacionais, espera-se que alguns ajustes sejam aplicados na maneira como
os processos de negócio são tratados. Os processos de negócio, assim como o processamento de dados, o desenvolvimento
e a recuperação de informações são exemplos potenciais dessas áreas de alteração. Além disso, será necessário rever os
processos que detalham o modo como as informações são armazenadas, arquivadas e copiadas para fins de backup.
O sistema de nuvem apresenta muitas situações exclusivas para as empresas enfrentarem. Um dos maiores problemas é
que o pessoal das unidades de negócio, que antes era obrigado a passar pela área de TI, agora pode ignorá-la e receber
os serviços diretamente do sistema de nuvem. Portanto, é primordial que as políticas de segurança da informação
utilizem os serviços do sistema de nuvem.
© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 9
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
Algumas das principais questões sobre qualidade que devem ser abordadas são:
• Transparência — Os provedores de serviços devem demonstrar a existência de controles de segurança eficazes
e robustos, assegurando aos clientes que seus dados estão devidamente protegidos contra o acesso não autorizado,
a alteração e a destruição dos mesmos. As questões mais importantes que devem ser decididas são as seguintes:
que nível de transparência é suficiente? O que é preciso para ser transparente? A transparência pode ser maléfica?
As principais áreas onde a transparência do fornecedor é importante incluem: quais funcionários (do provedor)
têm acesso às informações dos clientes? Há segregação de funções entre os funcionários do provedor de manutenção?
Como as diferentes informações dos clientes são segregadas? Quais são os controles responsáveis por evitar, detectar
e reagir às violações?
• Privacidade — Com a preocupação crescente com a privacidade em nível mundial, torna-se imperativo aos provedores
de serviço de computação em nuvem provar aos clientes, existentes e potenciais, que os controles de privacidade estão em
vigor e demonstrar sua real capacidade para evitar, detectar e reagir às violações em tempo hábil. A informação e a geração
de relatórios das linhas de comunicação precisam estar em perfeito funcionamento e devem constar em contrato antes
mesmo do início dos serviços. Tais canais de comunicação devem ser testados periodicamente durante as operações.
• Conformidade — A maioria das organizações atualmente deve cumprir uma série de
leis, regulamentações e normas. Há preocupações com a computação em nuvem pelo
fato de que os dados podem não estar armazenados em um único lugar e poderiam não “A computação em
ser recuperados facilmente. É essencial garantir que, caso os dados sejam exigidos pelas nuvem representa
autoridades, esse procedimento possa ser cumprido sem comprometer outras informações.
As auditorias realizadas pelas próprias autoridades regulamentadoras, padronizadoras e uma oportunidade
legalizadoras demonstram que pode haver muitos excessos em tais apreensões. O uso dos rara de remodelar
serviços do sistema de nuvem não oferece garantias de que uma empresa poderá obter suas
informações quando necessário, e alguns provedores ainda se reservam o direito de reter
a segurança e os
as informações das autoridades. controles em TI
• Fluxo de informações além-fronteira — Quando a informação pode ser armazenada para um futuro
em qualquer lugar no sistema de nuvem, a localização física da informação pode se
transformar em um problema. A localização física determina a jurisdição e a obrigação melhor.”
legal. Asleis que regem as informações pessoalmente identificáveis (PII, personally
identifiable information) de um determinado país variam muito. O que é permitido
em um país pode ser uma violação em outro.
• Certificação — Os provedores de serviços de computação em nuvem deverão fornecer a seus clientes a garantia de que
estão agindo de forma correta. A garantia independente das auditorias de terceiros e/ou dos relatórios de auditoria dos
serviços é de suma importância em qualquer programa de garantia.
Utilizar padrões e frameworks ajudará as empresas a obterem mais qualidade com relação à segurança e aos controles
internos do fornecedor da computação em nuvem. No momento da formalização por escrito, não há padrões específicos
disponíveis publicamente para o paradigma da computação em nuvem. Entretanto, as normas existentes devem ser
consultadas para abordar as áreas relevantes e as empresas devem considerá-las para ajustar seus frameworks de controle
já existentes. A computação em nuvem representa uma oportunidade de remodelar a segurança e os controles em TI.
Sem dúvida, muitas empresas aproveitam essa oportunidade para melhorar a eficiência e a segurança interna de seu
portfólio de TI.
10 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade
Conclusão
Enquanto a computação em nuvem está, certamente, pronta para proporcionar muitos benefícios, os profissionais de
segurança de informação devem conduzir as análises de impacto dos negócios, assim como as avaliações de risco devem
indicar aos líderes sobre riscos potenciais para a empresa. As atividades da gestão de riscos devem ser gerenciadas ao
longo do ciclo de vida das informações e os riscos devem ser reavaliados periodicamente ou em caso de alterações.
As empresas que tendem a considerar o uso do sistema de nuvem em seus ambientes devem calcular a economia de
custos que este sistema pode oferecer e a quais riscos adicionais está sujeito. Uma vez calculada a economia de custos
e identificados os riscos, as empresas terão uma melhor compreensão sobre como podem aproveitar os serviços de
nuvem. A empresa deve contar com profissionais da área jurídica, de segurança e de qualidade para garantir que os
níveis adequados de segurança e privacidade sejam alcançados. A opção pela nuvem representa uma mudança importante
na forma como os recursos de computação serão utilizados e, como tal, será uma importante iniciativa de governança
nas organizações em que for adotada, exigindo o envolvimento de um amplo grupo de interessados.
© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 11