Documento Técnico

da ISACA
sobre Tecnologias Emergentes

Computação em nuvem: benefícios para

o negócio com perspectivas de segurança,
governança e qualidade

Resumo
A globalização e as recentes pressões econômicas resultaram em grandes exigências com relação à disponibilidade, dimensionamento
e eficiência quando o assunto são as soluções empresariais em tecnologia da informação (TI). Uma ampla base de líderes comerciais
passou a se interessar mais por custos e tecnologias subjacentes utilizadas para fornecer essas soluções devido ao seu crescente impacto
sobre a linha de lucro. Muitos afirmam que o sistema “computação em nuvem” pode ajudar as empresas a atender às crescentes
exigências de menor custo total de propriedade (TCO), maior retorno de investimento (ROI), aumento da eficiência, fornecimento
dinâmico e serviços de utilidade como pagamento Pay-As-You-Go. No entanto, muitos profissionais de TI estão citando o aumento
dos riscos associados à confiança dos ativos de informação ao sistema de nuvem como algo que deve ser claramente compreendido e
administrado pelas partes interessadas. Este documento esclarece o que é a computação em nuvem, identifica os serviços oferecidos
pelo sistema de nuvem e também examina os potenciais benefícios comerciais, os riscos e as considerações de segurança.
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

ISACA®
Com mais de 86 mil associados em mais de 160 países, o ISACA (www.isaca.org) é um provedor de conhecimentos global líder
em certificação, comunidade, defesa e educação sobre qualidade e segurança dos sistemas de informação, governança corporativa
em TI, riscos e conformidade relacionados à área de TI. Fundado em 1969, o ISACA patrocina conferências internacionais,
publica o ISACA® Journal e desenvolve auditoria e padrões internacionais de controle dos sistemas de informação. Também
administra as seguintes denominações respeitadas mundialmente: Certified Information Systems Auditor™ (CISA®), Certified
Information Security Manager® (CISM®) e Certified in the Governance of Enterprise IT® (CGEIT®).

O ISACA desenvolveu e vem atualizando continuamente os frameworks COBIT,® Val IT™ e Risk IT, que ajudam os
profissionais de TI e líderes empresariais a cumprirem suas responsabilidades administrativas relacionadas à tecnologia
da informação, bem como a agregar valor ao negócio.

Isenção de Responsabilidade
O ISACA desenvolveu e criou a Computação em nuvem: benefícios comerciais com perspectivas de segurança, administração
e qualidade (o “Trabalho”), principalmente como um recurso educacional para profissionais de segurança, administração e
qualidade. O ISACA não garante que o uso de qualquer um dos Trabalhos assegurará um resultado bem-sucedido. O Trabalho
não deve ser considerado parte integrante de quaisquer informações apropriadas, procedimentos e testes exclusivos ou de outras
informações, procedimentos e testes voltados para a obtenção dos mesmos resultados. Ao determinar a propriedade de qualquer
informação específica, os profissionais de procedimento, teste, segurança, administração e qualidade devem aplicar seu próprio
julgamento profissional às circunstâncias específicas de controle apresentadas por determinados sistemas ou ambientes de
tecnologia da informação.

Reserva de direitos
© 2009 ISACA. Todos os direitos reservados. Nenhuma parte desta publicação pode ser usada, copiada, reproduzida,
modificada, distribuída, exibida, armazenada em um sistema de recuperação ou transmitida de qualquer forma por quaisquer
meios (eletrônicos, mecânicos, fotográficos, gravação ou outro meio qualquer) sem a autorização prévia por escrito do
ISACA. A reprodução e utilização de toda ou de parte desta publicação são permitidas apenas para uso acadêmico, interno
e não comercial, e de assuntos relacionados à consultoria/assessoria, e deve incluir todas as informações possíveis sobre a
fonte do material. Nenhum outro direito ou permissão é concedido com relação a este Trabalho.

ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Fone: +1.847.253.1545
Fax: +1.847.253.1443
E-mail: info@isaca.org
Site: www.isaca.org

Computação em nuvem: benefícios comerciais com perspectivas de segurança, administração e qualidade

CGEIT é uma marca comercial e marca de serviço do ISACA. A marca foi utilizada ou registrada em muitos países em todo
o mundo.

2 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

O ISACA pretende reconhecer:

Equipe do projeto de desenvolvimento

Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EUA, Presidente
Phil Agcaoili, CISM, CISSP, Dell, EUA
Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EUA
Geir Arild Engh-Hellesvik, Ernst & Young AS, Noruega
David Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EUA
H. Peet Rapp, CISA, Rapp Consulting, EUA
Jim Reavis, Cloud Security Alliance, EUA
Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EUA
Joel Scambray, CISSP, Consciere, EUA
Ward Spangenberg, CISA, CISSP, QSA, IOActive, EUA

Diretoria do ISACA
Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EUA, Presidente Internacional
George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Bélgica, Vice-presidente
Yonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japão, Vice-presidente
Jose Angel Pena Ibarra, CGEIT, Alintec, México, Vice-presidente
Ria Lucas, CISA, CGEIT, Telstra Corp., Austrália, Vice-presidente
Robert Stroud, CGEIT, CA Inc., EUA, Vice-presidente
Rolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemanha, Vice-presidente
Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Vice-presidente
Lynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Ex-presidente Internacional
Everett Johnson, CPA, Deloitte & Touche LLP (Retired), EUA, Ex-presidente Internacional
Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, Diretor
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Austrália, Diretor
Howard Nicholson, CISA, CGEIT, City of Salisbury, Austrália, Diretor
Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EUA, Administrador

Comitê de orientação e práticas

Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Presidente
Phil James Lageschulte, CGEIT, CPA, KPMG LLP, EUA
Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EUA
Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, Canadá
Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., Índia
Anthony P. Noble, CISA, Viacom, EUA
Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., México
Eddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, Bélgica
Frank Van Der Zwaag, CISA, CISSP, Westpac, Nova Zelândia

Aliança de segurança da nuvem — dos quais o ISACA é membro fundador

© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 3
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

Impactos da computação em nuvem

Como os CxOs buscam outras maneiras de atender à crescente demanda de TI, muitos estão bem perto de passar
a enxergar a computação em nuvem como uma opção real para as necessidades de sua empresa. A promessa da
computação em nuvem é revolucionar o mundo dos serviços de TI transformando a computação em um utilitário ubíquo,
aproveitando atributos, como, por exemplo, maior agilidade, elasticidade, capacidade de armazenamento e redundância,
para gerenciar os ativos de informação. A influência e a utilização contínua da inovação da Internet tem permitido que a
computação em nuvem utilize as infraestruturas existentes e a transforme em serviços que as empresas poderiam fornecer
tanto para economias significativas de custos quanto para uma maior eficiência. As empresas estão percebendo que existe
um potencial para aproveitar essa inovação para servir melhor a seus clientes e obter vantagens comerciais.

Por oferecer às Empresas a oportunidade de dissociar suas necessidades de TI de sua infraestrutura, a computação
em nuvem é capaz de oferecer, a longo prazo, uma certa economia às empresas, incluindo a redução de custos de
infraestrutura e modelos de oferta de pagamentos por serviço. Mudando os serviços de TI para o sistema de nuvem,
as empresas podem tirar proveito do uso de serviços em um modelo sob demanda. A redução de despesas de capital
inicial é necessária, o que permite às empresas maior flexibilidade com novos serviços de TI.

Por todas essas razões, é fácil compreender porque a computação em nuvem é uma oferta
de serviços atraente para qualquer negócio em potencial que deseje aprimorar recursos de
TI enquanto controla os custos. No entanto, convém notar que, junto com os benefícios, vêm
riscos e preocupações com segurança que devem ser considerados. Como os serviços de TI “A promessa
são contratados fora da empresa, existe um risco adicional de contar com uma dependência
maior de um provedor terceirizado para o fornecimento de serviços de TI disponíveis, flexíveis
da computação
e eficientes. Enquanto muitas empresas estão habituadas a gerenciar esse tipo de risco, as em nuvem é,
mudanças são necessárias para expandir abordagens de administração e estruturas para tratar sem dúvida,
adequadamente as novas soluções de TI e melhorar os processos comerciais.
revolucionar
Como acontece com qualquer tecnologia emergente, a computação em nuvem oferece o mundo dos
a possibilidade de recompensa elevada em termos de contenção de custos e recursos, serviços de TI
como agilidade e velocidade de fornecimento. No entanto, como uma iniciativa “nova”,
ela também pode trazer um alto risco em potencial. A computação em nuvem apresenta transformando a
um nível de abstração entre a infraestrutura física e o proprietário da informação a ser computação em um
armazenada e processada. Tradicionalmente, o proprietário dos dados mantém controle
direto ou indireto do ambiente físico que afeta seus dados. No sistema de nuvem, isso
utilitário ubíquo.”
não ocorre mais. Devido a essa abstração, já existe uma demanda generalizada de maior
transparência e garantia de abordagem robusta de segurança do ambiente de controle e
de segurança do provedor de serviços de nuvem.

Uma vez determinado que os serviços de nuvem são uma solução plausível para uma empresa, é importante identificar
os objetivos comerciais, bem como os riscos associados à nuvem. Isso vai ajudar as empresas a determinar quais tipos de
dados devem ser confiáveis para o sistema de nuvem, bem como quais serviços podem oferecer maior benefício.

O que é exatamente a computação em nuvem?

Uma das questões mais confusas em torno do sistema de nuvem e seus serviços relacionados é a falta de acordo sobre as
definições. Tal como acontece com todas as tecnologias emergentes, a falta de clareza e de acordo muitas vezes dificulta
a avaliação e a aprovação dessa tecnologia. Os dois grupos que têm oferecido uma base de definições são o NIST
(National Institute of Standards and Technology, Instituto Nacional de Padrões e Tecnologia) e a Cloud Security Alliance

4 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

(Aliança de Segurança da Nuvem). Ambos os grupos definem a computação em nuvem como um modelo para permitir o
acesso à rede sob demanda, de forma conveniente, a um conjunto compartilhado de recursos de computação configuráveis
(por exemplo, redes, servidores, armazenamento, aplicativos e serviços) que podem ser rapidamente fornecidos e lançados
com o mínimo esforço de gestão ou interação do prestador de serviço. Outra forma de descrever os serviços oferecidos no
sistema de nuvem é compará-los ao de um utilitário. Assim como as empresas pagam pelos serviços de eletricidade, gás e
água que utilizam, agora elas têm a opção de pagar pelos serviços de TI em uma base de consumo.

O modelo da nuvem pode ser composto por três modelos de serviço (figura 1), quatro modelos de implantação
(figura 2) e cinco características essenciais (figura 3). Riscos e benefícios em geral poderão variar de modelo para
modelo e vale ressaltar que, ao apostar nos diferentes tipos de serviços e modelos de implantação, as empresas devem
considerar os riscos que os acompanham.

Figura 1 — Tipos de serviços de computação em nuvem

Tipo de serviço
Infrastructure as a Service (IaaS)
Platform as a Service (PaaS)
Software as a Service (SaaS)
Definição A considerar
Capacidade de fornecer processamento, Opções para minimizar o impacto, caso
armazenamento, redes e outros recursos o fornecedor do sistema de nuvem tenha
fundamentais de computação, oferecendo ao uma interrupção de serviço
cliente a possibilidade de implantar e executar
software em geral, que pode incluir sistemas
operacionais e aplicativos. O IaaS coloca essas
operações de TI nas mãos de um terceiro.
Capacidade para a implantação de • Disponibilidade
infraestrutura da nuvem criada pelo cliente ou • Confidencialidade
aplicativos adquiridos criados com linguagens • Privacidade e responsabilidade legal
de programação e ferramentas compatíveis em caso de falha de segurança (já que
com as do fornecedor os bancos de dados de informações
confidenciais agora serão hospedados
externamente)
• Apropriação de dados
• Preocupações com e-discovery (obtenção
de dados e informações de forma eletrônica)
Capacidade para utilizar os aplicativos • Quem tem a propriedade dos aplicativos?
do provedor a serem executados na • Onde estão os aplicativos?
infraestrutura do sistema de nuvem. Os
aplicativos podem ser acessados a partir de
vários dispositivos do cliente através de uma
interface leve (thin client interface), como um
navegador da Web (por exemplo, e-mail com
base na Web).

Figura 2 — Modelos de implantação da computação em nuvem (Cont.)

Modelo de implantação Descrição e infraestrutura do sistema A considerar
de nuvem
Nuvem privada • Operação realizada exclusivamente por • Serviços de sistema de nuvem com risco
uma organização mínimo
• Permite que seja gerenciada pela • Pode não proporcionar o dimensionamento
organização ou por terceiros e a agilidade dos serviços de nuvem pública
• Pode estar ou não no local

© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 5
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

Figura 2 — Modelos de implantação da computação em nuvem (Cont.)

Modelo de implantação Descrição e infraestrutura do sistema
de nuvem
Nuvem comunitária • Compartilhada por várias organizações
• Apoia uma comunidade específica com
a mesma missão ou interesse.
• Permite que seja gerenciada pela
organização ou por terceiros
• Pode residir ou não no local
Nuvem pública • Disponibilizada ao público em geral
ou a um grande grupo industrial
• Pertencente a uma organização de venda
dos serviços de nuvem
Nuvem híbrida Uma composição de duas ou mais nuvens
(privada, pública ou comunitária) unidas pela
tecnologia padronizada ou de seu proprietário • A classificação e a rotulagem de dados será
permitindo a portabilidade de dados e
aplicativos, mas que permanecem sendo
entidades únicas e exclusivas
(por exemplo, estouro de nuvem para fins
de balanceamento de carga entre nuvens)
A considerar
• O mesmo que a nuvem privada, mais:
• Os dados podem ser armazenados com
os dados dos concorrentes.
• O mesmo que a nuvem comunitária, mais:
• Os dados podem ser armazenados em
locais desconhecidos e podem não ser
recuperados com facilidade.
• Agrega o risco de uma fusão de diferentes
modelos de implantação
benéfica para o gerente de segurança, pois
garante que os dados sejam atribuídos ao
tipo de nuvem correta.

Figura 3 — Características essenciais da computação em nuvem

Característica Definição
Autoatendimento sob demanda O provedor do sistema de nuvem deve ser capaz de fornecer automaticamente os recursos de
computação, tais como armazenamento de rede e servidores, conforme forem necessários, sem
exigir a interação humana com o provedor de cada serviço.
Amplo acesso à rede De acordo com o NIST, a rede de nuvem deve ser acessível em qualquer lugar, em quase todos
os dispositivos (por exemplo, smartphones, laptops, PDAs, aparelhos portáteis).
Grupo de recursos O provedor de recursos de computação é agrupado para atender vários clientes usando um modelo
multicliente com diferentes recursos físicos e virtuais atribuídos dinamicamente e reatribuídos de
acordo com a demanda. Há um senso de independência local. Geralmente, o cliente não tem nenhum
controle ou conhecimento sobre a localização exata dos recursos disponibilizados. No entanto, é
possível especificar o local em um nível maior de abstração (por exemplo, país, região ou central de
dados). Os exemplos de recursos incluem o armazenamento, o processamento, a memória, a largura
de banda da rede e as máquinas virtuais.
Rápida elasticidade Os recursos podem ser provisionados rapidamente e de forma elástica, em muitos casos de forma
automática, para aumentar em escala rapidamente e também reduzir de forma rápida. Para o
cliente, os recursos disponíveis para o fornecimento muitas vezes parecem ser ilimitados e podem
ser adquiridos em qualquer quantidade a qualquer momento.
Serviço medido Os sistemas de nuvem controlam e otimizam automaticamente a utilização de recursos, aproveitando
a capacidade de medição (por exemplo, armazenamento, processamento, largura de banda e contas
de usuários ativas). O uso de recursos pode ser monitorado, controlado e reportado, oferecendo
transparência tanto para o provedor quanto para o cliente do serviço utilizado.

Como pode ser observado na lista de características na figura 3, existem muitas abordagens e constatações relacionadas
à computação em nuvem. Os benefícios às empresas, bem como os riscos, serão variados, pois dependem dos tipos de
serviço e dos modelos de implantação escolhidos.

6 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

Os benefícios comerciais da computação em nuvem

Embora a promessa de economia financeira seja um ponto bastante atraente da computação em nuvem, muito
possivelmente, a melhor opção para as empresas é a simplificação de processos e o aumento de inovação. Com ela, é
possível aumentar a produtividade e transformar os processos de negócio através de meios que eram extremamente caros
antes do sistema de nuvem. As organizações podem se concentrar em seu negócio principal em vez de se preocuparem
com o dimensionamento da infraestrutura. A solução das demandas de pico de negócios para o desempenho pode ser
facilmente encontrada usando a computação em nuvem, ou seja, através de backups mais confiáveis, clientes mais
satisfeitos, mais dimensionamento e margens ainda maiores.

Alguns dos benefícios-chave oferecidos pela computação em nuvem são:

• Contenção de despesas — O sistema de nuvem oferece às empresas a opção de dimensionamento sem sérios compromissos
financeiros necessários para aquisição e manutenção de infraestrutura. Os serviços de nuvem exigem pouca ou nenhuma
despesa de capital inicial. Tanto os serviços quanto o armazenamento são disponibilizados sob demanda e com preços
definidos sob o sistema de pagamento Pay-As-You-Go. Além disso, o modelo de nuvem ajudaria a economizar no desperdício
de recursos. A economia de espaço não utilizado nos servidores permite que as empresas reduzam seus gastos com relação
às exigências de tecnologia existentes e experimentem novas tecnologias e serviços sem precisar de grandes investimentos.
As empresas deverão comparar os custos atuais com as despesas do sistema de nuvem e levar em consideração os modelos
TCO para compreender se os serviços de nuvem poderão oferecer uma economia em potencial para a empresa.
• Imediatismo — Muitos pioneiros da computação em nuvem citaram a capacidade de fornecimento e utilização de um
serviço em um único dia. Isso se compara aos tradicionais projetos de TI que podem exigir semanas ou meses para
serem desenvolvidos, configurados e aplicados aos recursos necessários. Esse processo tem um impacto fundamental
sobre a agilidade de um negócio e a redução dos custos associados aos atrasos.
• Disponibilidade — Os provedores dos serviços de nuvem têm a infraestrutura e a largura de banda necessárias para
fornecer acesso de alta velocidade, armazenamento e aplicativos. Como esses provedores frequentemente apresentam
caminhos redundantes, existe uma chance para o balanceamento de carga a fim de garantir que os sistemas não sejam
sobrecarregados e que os serviços não sofram algum atraso. Embora a disponibilidade seja uma promessa, os clientes
devem se certificar de que eles terão as devidas provisões em caso de interrupção dos serviços.
• Dimensionamento — Com capacidade irrestrita, os serviços de nuvem oferecem mais flexibilidade e dimensionamento
envolvendo as necessidades de TI. O fornecimento e a implementação são realizados sob demanda, permitindo aumento
de tráfego e reduzindo o tempo para implementar novos serviços.
• Eficiência — A realocação das atividades operacionais de gestão de informações sobre
realocação da nuvem oferecem às empresas uma oportunidade única para concentrar “...através da
esforços na inovação e pesquisa e desenvolvimento. Esse processo abre as portas para
terceirização de
o crescimento comercial, bem como o crescimento do produto, e ainda pode ser mais
benéfico do que as vantagens financeiras oferecidas pelo sistema de nuvem. parte da gestão
• Resiliência — Os provedores do sistema de nuvem têm soluções espelhadas que podem de informações e
ser utilizadas em um cenário de desastre, bem como no balanceamento de carga de tráfego.
Se ocorrer um desastre natural que exija um local em uma área geográfica diferente ou operações de TI,
apenas o tráfego pesado, os provedores de computação em nuvem afirmam ter resiliência os funcionários da
e capacidade suficientes para garantir sustentabilidade em caso de um evento inesperado. empresa poderão

A premissa do sistema de nuvem é que com as partes terceirizadas do gerenciamento de melhorar os

informação e operações de TI, os funcionários da empresa estarão livres para melhorar os processos, aumentar
processos, aumentar a produtividade e a inovação, enquanto o provedor do sistema de nuvem
trabalha com a atividade operacional de forma mais inteligente, mais rápida e mais barata. Supondo
a produtividade
que seja este o caso, provavelmente serão necessárias alterações significativas nos processos de e a inovação...”
negócio existentes para aproveitar as oportunidades que os serviços de nuvem oferecem.

© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 7
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

Os riscos e as questões de segurança relacionadas à computação em nuvem

Muitos dos riscos frequentemente associados à computação em nuvem não são novos e podem ser encontrados nas
empresas de hoje. Bem planejadas, as atividades previstas sobre a gestão de riscos serão cruciais para assegurar que
a informação seja disponibilizada e protegida simultaneamente. Talvez os processos comerciais e procedimentos
que devem ser considerados com relação à segurança e gerentes de segurança da informação tenham que se ajustar
às políticas e aos procedimentos da empresa para atender às necessidades do negócio. Dado o ambiente empresarial
dinâmico e o foco na globalização, existem muito poucas empresas que não terceirizam parte de seus negócios. Participar
de um relacionamento com um terceiro significa que o negócio não utiliza apenas os serviços e a tecnologia do provedor
do sistema de nuvem, mas também precisa lidar com a forma como o fornecedor executa sua organização, a arquitetura
do provedor e a cultura e as políticas organizacionais do provedor. Alguns exemplos dos riscos da computação em
nuvem para empresas que necessitam de gerenciamento incluem:
• As empresas precisam ser cuidadosas na escolha de um provedor. Reputação, história e sustentabilidade são fatores
que devem ser considerados. A sustentabilidade é dos itens importantes para garantir que os serviços estejam
disponíveis e que os dados possam ser monitorados.
• Muitas vezes, o provedor do sistema de nuvem assume a responsabilidade do tratamento da informação, que é
uma parte crítica do negócio. A não realização dos níveis de serviços acordados pode comprometer não apenas
a confidencialidade, mas também a disponibilidade, afetando severamente as operações comerciais.
• A natureza dinâmica da computação em nuvem pode acabar em confusão com relação às informações que realmente
lhes dizem respeito. Quando a recuperação de informação é necessária, isso pode gerar atrasos.
• O acesso de terceiros às informações confidenciais cria um risco de comprometimento dessas informações.
Na computação em nuvem, isso pode comprometer a proteção da propriedade intelectual (IP) e os segredos comerciais.
• As nuvens públicas permitem que os sistemas de alta disponibilidade sejam desenvolvidos em níveis de serviço muitas
vezes impossíveis de serem criados em redes privadas, exceto a custos extraordinários. A desvantagem dessa disposição é
a tendência de misturar os ativos de informação com os de outros clientes da nuvem, inclusive os concorrentes. De acordo
com as leis e regulamentações de diferentes regiões, isso pode ser um desafio para as empresas. Neste momento, há pouco
precedente jurídico em matéria de responsabilidade no sistema de nuvem. É imprescindível obter aconselhamento jurídico
adequado para garantir um contrato que especifique as áreas onde o provedor do sistema de nuvem será responsável pelas
consequências decorrentes de algum tipo de problema em potencial.
• Devido à natureza dinâmica do sistema de nuvem, as informações podem não ser localizadas imediatamente em
caso de desastres. Planos de continuidade de negócios e de recuperação de desastres devem ser bem documentados
e testados. O provedor do serviço de nuvem deve compreender o papel que desempenha quanto aos procedimentos
de backup, resposta a incidentes e recuperação. O tempo de recuperação (RTO, Recovery Time Objectives) deve ser
indicado no contrato.

Estratégias para lidar com os riscos da computação em nuvem

Estes riscos, bem como outros que uma empresa pode identificar, devem ser gerenciados de forma eficaz. Recomenda-se
o uso de um programa robusto de gerenciamento de riscos que seja flexível o suficiente para lidar continuamente com os
riscos das informações. Em um ambiente onde a privacidade tornou-se fundamental para clientes empresariais, o acesso não
autorizado aos dados na nuvem é uma preocupação significativa. Ao firmar acordo com um provedor de serviços de nuvem,
a empresa deve fazer um inventário de seus ativos de informação e garantir que os dados sejam devidamente classificados
e rotulados. Isso ajudará a determinar o que deve ser especificado na elaboração de um acordo de nível de serviço (SLA,
Service Level Agreement), de qualquer necessidade de criptografia de dados a serem transmitidos ou armazenados, além
de controles adicionais de informações confidenciais ou de alto valor para a organização.

8 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

Assim como o vínculo que define o relacionamento entre a empresa e o provedor

do sistema de nuvem, o SLA é uma das ferramentas mais eficazes que a empresa “Em um ambiente
pode usar para garantir a proteção adequada das informações confiadas ao sistema onde a privacidade
de nuvem. O SLA será a ferramenta onde os clientes poderão especificar se os
frameworks de controle serão utilizados e descrever a expectativa de uma
tornou-se
auditoria externa de terceiros. Expectativas claras quanto ao manuseio, utilização, fundamental para
armazenamento e disponibilidade de informações devem ser descritas no SLA. clientes empresariais,
Além disso, os requisitos para a continuidade dos negócios e a recuperação
de desastres (discutido anteriormente) deverão ser comunicados no acordo. o acesso não
autorizado às
A proteção das informações evoluirá como o resultado de um acordo SLA abrangente,
apoiado em um processo de garantia igualmente forte, seguro e abrangente. A estruturação
informações no
de um SLA completo e detalhado que inclui direitos específicos de auditoria ajudará a sistema de nuvem é
empresa no gerenciamento de suas informações, uma vez que elas saem da organização uma preocupação
e são transportadas, armazenadas ou processadas no sistema de nuvem.
significativa.”

Problemas de alteração e administração relacionados à computação em nuvem

A direção estratégica do negócio e da tecnologia da informação em geral é o foco principal quando se considera o uso
da computação em nuvem. Como as empresas procuram pelo sistema de nuvem para fornecer serviços de TI que têm
sido tradicionalmente gerenciados internamente, será preciso aplicar algumas mudanças para ajudar a garantir que
elas continuem cumprindo seus objetivos de desempenho, que suas tecnologias de fornecimento e de negócios sejam
estrategicamente alinhadas e que os riscos sejam gerenciados. Garantir que a tecnologia da informação esteja alinhada
com o negócio, que os sistemas estejam seguros e que os riscos sejam gerenciados é um desafio em qualquer ambiente
e ainda mais complexo em um relacionamento terceirizado. As atividades típicas de administração, como a definição de
metas, políticas e padrões de desenvolvimento, a definição de funções e responsabilidades, bem como a gestão dos riscos
devem incluir considerações especiais quando o assunto é a tecnologia do sistema de nuvem e seus provedores.

Caso ainda não participe dos processos de governança corporativa ou do ciclo de vida de
desenvolvimento de sistemas, a mudança para a computação em nuvem determina que o
gerente ou diretor de segurança da informação (information security officer) passe a ser
incluído nesses processos.
Tal como acontece com todas as alterações organizacionais, espera-se que alguns ajustes sejam aplicados na maneira como
os processos de negócio são tratados. Os processos de negócio, assim como o processamento de dados, o desenvolvimento
e a recuperação de informações são exemplos potenciais dessas áreas de alteração. Além disso, será necessário rever os
processos que detalham o modo como as informações são armazenadas, arquivadas e copiadas para fins de backup.

O sistema de nuvem apresenta muitas situações exclusivas para as empresas enfrentarem. Um dos maiores problemas é
que o pessoal das unidades de negócio, que antes era obrigado a passar pela área de TI, agora pode ignorá-la e receber
os serviços diretamente do sistema de nuvem. Portanto, é primordial que as políticas de segurança da informação
utilizem os serviços do sistema de nuvem.

© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 9
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

Considerações sobre a qualidade na computação em nuvem

Quando confrontados com a mudança de paradigma e a natureza dos serviços prestados através de computação em
nuvem, existem muitos desafios para os fornecedores de qualidade. O que pode ser feito para melhorar os recursos do
profissional de qualidade com o objetivo de fornecer aos usuários diretos e indiretos da computação em nuvem mais
confiança no software e nos serviços de infraestrutura que compõem o sistema de nuvem?

Algumas das principais questões sobre qualidade que devem ser abordadas são:
• Transparência — Os provedores de serviços devem demonstrar a existência de controles de segurança eficazes
e robustos, assegurando aos clientes que seus dados estão devidamente protegidos contra o acesso não autorizado,
a alteração e a destruição dos mesmos. As questões mais importantes que devem ser decididas são as seguintes:
que nível de transparência é suficiente? O que é preciso para ser transparente? A transparência pode ser maléfica?
As principais áreas onde a transparência do fornecedor é importante incluem: quais funcionários (do provedor)
têm acesso às informações dos clientes? Há segregação de funções entre os funcionários do provedor de manutenção?
Como as diferentes informações dos clientes são segregadas? Quais são os controles responsáveis por evitar, detectar
e reagir às violações?
• Privacidade — Com a preocupação crescente com a privacidade em nível mundial, torna-se imperativo aos provedores
de serviço de computação em nuvem provar aos clientes, existentes e potenciais, que os controles de privacidade estão em
vigor e demonstrar sua real capacidade para evitar, detectar e reagir às violações em tempo hábil. A informação e a geração
de relatórios das linhas de comunicação precisam estar em perfeito funcionamento e devem constar em contrato antes
mesmo do início dos serviços. Tais canais de comunicação devem ser testados periodicamente durante as operações.
• Conformidade — A maioria das organizações atualmente deve cumprir uma série de
leis, regulamentações e normas. Há preocupações com a computação em nuvem pelo
fato de que os dados podem não estar armazenados em um único lugar e poderiam não “A computação em
ser recuperados facilmente. É essencial garantir que, caso os dados sejam exigidos pelas nuvem representa
autoridades, esse procedimento possa ser cumprido sem comprometer outras informações.
As auditorias realizadas pelas próprias autoridades regulamentadoras, padronizadoras e uma oportunidade
legalizadoras demonstram que pode haver muitos excessos em tais apreensões. O uso dos rara de remodelar
serviços do sistema de nuvem não oferece garantias de que uma empresa poderá obter suas
informações quando necessário, e alguns provedores ainda se reservam o direito de reter
a segurança e os
as informações das autoridades. controles em TI
• Fluxo de informações além-fronteira — Quando a informação pode ser armazenada para um futuro
em qualquer lugar no sistema de nuvem, a localização física da informação pode se
transformar em um problema. A localização física determina a jurisdição e a obrigação melhor.”
legal. Asleis que regem as informações pessoalmente identificáveis (PII, personally
identifiable information) de um determinado país variam muito. O que é permitido
em um país pode ser uma violação em outro.
• Certificação — Os provedores de serviços de computação em nuvem deverão fornecer a seus clientes a garantia de que
estão agindo de forma correta. A garantia independente das auditorias de terceiros e/ou dos relatórios de auditoria dos
serviços é de suma importância em qualquer programa de garantia.

Utilizar padrões e frameworks ajudará as empresas a obterem mais qualidade com relação à segurança e aos controles
internos do fornecedor da computação em nuvem. No momento da formalização por escrito, não há padrões específicos
disponíveis publicamente para o paradigma da computação em nuvem. Entretanto, as normas existentes devem ser
consultadas para abordar as áreas relevantes e as empresas devem considerá-las para ajustar seus frameworks de controle
já existentes. A computação em nuvem representa uma oportunidade de remodelar a segurança e os controles em TI.
Sem dúvida, muitas empresas aproveitam essa oportunidade para melhorar a eficiência e a segurança interna de seu
portfólio de TI.

10 © 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s .
 Computação em nuvem: benefícios para o negócio com perspectivas
de segurança, governança e qualidade

Conclusão
Enquanto a computação em nuvem está, certamente, pronta para proporcionar muitos benefícios, os profissionais de
segurança de informação devem conduzir as análises de impacto dos negócios, assim como as avaliações de risco devem
indicar aos líderes sobre riscos potenciais para a empresa. As atividades da gestão de riscos devem ser gerenciadas ao
longo do ciclo de vida das informações e os riscos devem ser reavaliados periodicamente ou em caso de alterações.

As empresas que tendem a considerar o uso do sistema de nuvem em seus ambientes devem calcular a economia de
custos que este sistema pode oferecer e a quais riscos adicionais está sujeito. Uma vez calculada a economia de custos
e identificados os riscos, as empresas terão uma melhor compreensão sobre como podem aproveitar os serviços de
nuvem. A empresa deve contar com profissionais da área jurídica, de segurança e de qualidade para garantir que os
níveis adequados de segurança e privacidade sejam alcançados. A opção pela nuvem representa uma mudança importante
na forma como os recursos de computação serão utilizados e, como tal, será uma importante iniciativa de governança
nas organizações em que for adotada, exigindo o envolvimento de um amplo grupo de interessados.

Recursos adicionais relacionados à computação em nuvem: www.isaca.org/cloudcomputingresources

© 2009 ISACA. T o d o s o s d i r e it o s r e s e r v a d o s . 11