Você está na página 1de 16

i

CENTRO UNIVERSITÁRIO FUNDAÇÃO SANTO ANDRÉ

Segurança em cloud computing segundo usuários

Santo André 2011 CENTRO UNIVERSITÁRIO FUNDAÇÃO SANTO ANDRÉ

Santo André 2011 .ii Segurança em cloud computing segundo usuários Trabalho de METODOLOGIA DE PESQUISA Orientador: Profº Ms. Ricardo Crepalde.

iii LISTA DE FIGURAS .

iv LISTA DE TABELAS .

v LISTA DE SIGLAS IaaS PaaS DaaS SaaS Infraestrutura como Serviço Plataforma como Serviço Desenvolvimento como Serviço Software como Serviço .

...........................................................................iv LISTA DE SIGLAS...........................................................................................................................................................................................................................15 Perguntas de seleção.....................vi SUMÁRIO LISTA DE FIGURAS............................7 Pesquisa...................................v PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO..........................................................................................................................................................................................................................................iii LISTA DE TABELAS...........15 Experiências com cloud computing...15 Atribuições sobre segurança em cloud computing................................................................................16 ..................15 Informações gerais.................

com> Osmar Nunes Cruz <oncruz@uol.com.7 PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO identificaçãO Curso: MBA em Engenharia de Software ALUNO(S) Fabio Janes <fbojanes@hotmail.br> Data: Orientadores sugeridos TEMA Segurança em cloud computing segundo usuários tipo de PESQUISA (X) Levantamento ( ) Estudo de campo ( ) Estudo de caso ( ) Outro – ____________________________________________________________ Especificar: Obs: ___________________________________________________________________________ ________________________________________________________________________________ PROBLEMA Quais os problemas de segurança encontrados por empresas situadas no Brasil que fazem uso dos serviços de cloud computing? .

que tem sido muito discutido e questionada a segurança depois que a Sony “nas nuvens” foi invadida com o uso de serviços de cloud computing da Amazon. O estudo feito pelo Instituto Ponemon com objetivo de descobrir as opiniões de clientes e fornecedores de serviços de cloud computing situados nos Estados Unidos e Europa também foi de grande importância para escolha do tema. Analisar o quanto as empresas fazem uso de cloud computing. no caso de hardware compartilhado e separação logica. já que essa mesma pesquisa mostra que o maior receio apontado pelas empresas futuras usuárias de cloud computing é com relação à segurança dos dados. como aumento de produtividade e redução de custos. que é o mais comum. 2009) “a cloud computing traz consigo o risco de dividir a nuvem com seu inimigo”. Levantasse a possibilidade de que os fornecedores tivessem um foco tortuoso quanto às prioridades de segurança de cloud computing.8 PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO JUSTIFICATIVA A cloud computing tem sido anunciada como uma tendência de mercado. As últimas previsões do IDC apontam que 30 a 35% das companhias brasileiras terão adotado alguma solução em cloud computing em 2013. . portanto mostra-se válido um estudo com empresas que já se utilizam dos serviços para mostrar suas experiências. e membro da comissão de segurança cibernética do Presidente dos Estados Unidos. falta de segurança de ambos os lados. segundo (DHANJANI. RIOS. Barack Obama. os serviços baseados em cloud computing cada vez mais estão a impor-se no mercado mundial. como elas estão utilizando esses recursos. e quais principais preocupações com segurança trás benefícios para empresas interessadas em serviços de cloud computing e aos provedores a possibilidade de aumentar a satisfação dos clientes e usuários dos produtos e serviços. Oficial chefe de tecnologia da AirPatrol Corp. HARDIN. fatos que fizeram com que Tom Kellermann. MOTIVAÇÃO A motivação para a realização deste levantamento surgiu do interesse pessoal pelo assunto. Os benefícios anunciados pelos fornecedores são muito atrativos. mas como todo bônus tem seu ônus. ou seja. e decisões tomadas quando se trata de segurança.

DaaS e SaaS de cloud computing. e seus maiores receios são quanto à segurança. o tamanho de amostra mínimo esperado é de 50 devoluções de um total de 1000 formulários a serem enviados. pizza e tabelas. . análise critica do material. leitura e fichamento de obras e elaboração de questionários. METODOLOGIA Será feito o levantamento bibliográfico. O levantamento realizado tem a finalidade de contribuir com essa discussão enriquecendo as análises sobre o tema. PaaS. ou seja. o que as empresas esperam dos serviços de cloud computing quando se trata de segurança e analisar como as empresas estão utilizando os serviços de cloud computing. o processo de seleção dos indivíduos que devem compor a amostra será de profissionais de TI com utilização de pergunta seletiva para eliminação de pessoas que não possuem conhecimento suficiente do assunto. ou que não tem experiência envolvendo coud computing. Será realizada a revisão bibliográfica. Com o possível quadro de muitas organizações se movendo rapidamente para a cloud computing sem a certeza de que a informação que eles colocarão “nas nuvens” esteja segura.9 PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO OBJETIVOS O objetivo desse levantamento é identificar quais os problemas de segurança encontrados por empresas situadas no Brasil que fazem uso dos serviços de cloud computing. quais os cuidados que estão tomando quanto as suas informações confidenciais e a quem delegam a reponsabilidade de garantir a segurança nos serviços IaaS. Podendo vir a colaborar com estudantes e profissionais que tenham interesse ou queiram se aprofundar no assunto. CONTRIBUIÇÃO Como mostrado pelo estudo do IDC aproximadamente um terço das empresas brasileiras serão usarias de cloud computing dentro dos próximos dois anos. tornando possível o aprendizado com erros e acertos dos outros. elaboração preliminar do texto e redação provisória. A coleta e seleção de dados serão realizadas através de uma pesquisa quantitativa e uso de documentação direta. tentamos mitigar esses riscos mostrando através do levantamento quais as medidas tomadas pelas empresas que fazem uso dos serviços de cloud computing e quais foram suas principais preocupações com segurança. iremos trabalhar com devolução mínima de 5% baseados nos resultados apresentados por um estudo similar realizado pelo instituto Ponemon. a apresentação dos resultados será através de gráficos de barra.

em seguida a revisão e redação final.10 PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO Será efetuada a entrega ao orientador. a entrega ao coordenador e finalmente a defesa da monografia. .

.11 PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO CRONOGRAMA ESPECIFICAÇÃO / ANO MESES LEVANTAMENTO BIBLIOGRÁFICO LEITURA E FICHAMENTO DE OBRAS ELABORAÇÃO DE QUESTIONÁRIOS COLETA E SELEÇÃO DADOS DE JUN JUL AGO 2011 SET OU NOV DEZ X X X X X X X X X X X X X X X X X X X REVISÃO BIBLIOGRÁFICA ANÁLISE CRITICA MATERIAL DO ELABORAÇÃO PRELIMINAR DO TEXTO REDAÇÃO PROVISÓRIA ENTREGA AO ORIENTADOR REVISÃO E FINAL REDAÇÃO ENTREGA AO COORDENADOR DEFESA DA MONOGRAFIA TODAS AS ATIVIDADES ACIMA LISTADAS SÃO DE RESPONSABILIDADE DE FABIO JANES E OSMAR NUNES CRUZ.

........................... ambos deveriam se alinhar.... que significa “tenha cuidado com o vão”.......... Microsoft Sharepoint Online)........................................................................................................15 Perguntas de seleção............. um WebService...........................................................................12 PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO CONCEITOS E TECNOLOGIAS UTILIZADOS (apoio à Introdução) IaaS – Infrastructure as a Service ou Infraestrutura como Serviço (em português): quando se utiliza uma porcentagem de um servidor....... PaaS – Plataform as a Service ou Plataforma como Serviço (em português): utilizando-se apenas uma plataforma como um banco de dados........... SaaS – Software as a Service ou Software como Serviço (em português): uso de um software em regime de utilização web (p.......................v PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO........: Windows Azure).. nesse caso entre cloud computing e segurança da mesma. (p...............................iii LISTA DE TABELAS..........iv LISTA DE SIGLAS....... já deve estar familiarizado com a frase “Mind the gap................................ um dos fatores que tem feito com que estas deixem de comprar seus próprios servidores.16 INTRODUÇÃO DO TRABALHO Atualmente as empresas focam em redução de custos.. Shahed.............................................. mas geralmente não se consegue assegurar ...... Segundo (Mather. O aviso te deixa alerta para tomar cuidado onde pisa........................ SUMÁRIO INICIAL PROPOSTO LISTA DE FIGURAS..... geralmente com configuração que se adéque à sua necessidade....: Google Docs......................”.. poderíamos usar o conceito de tomar cuidado com o vão................ A plataforma e os trens do Metro deveriam ter um perfeito alinhamento tanto horizontal como vertical... Se alguma vez andou de Metro em Londres...15 Informações gerais..................... Kumaraswamy........................................................ etc........ DaaS – Development as a Service ou Desenvolvimento como Serviço (em português): as ferramentas de desenvolvimento tomam forma no cloud computing como ferramentas compartilhadas................................ e se utilizem de serviços de cloud computing.....................ex............................ex............ mas geralmente não têm....15 Experiências com cloud computing...........15 Atribuições sobre segurança em cloud computing. Em alguns lugares a o vão entre os dois é significamente grande...................7 Pesquisa..... ferramentas de desenvolvimento web-based e serviços baseados em mashup.............. 2009).........................................

MANZATO. A ELABORAÇÃO DE QUESTIONÁRIOS NA PESQUISA QUANTITATIVA. 2011.unesp. Segundo (CHORAFAS. 2011. SANTOS. se esse papel deve ser dividido por ambas as parte. Portanto o novo ambiente (cloud computing) não é responsável por isso acontecer. Adriana Barbosa. Antonio José. vemos a necessidade de conhecer a opinião das empresas situadas no Brasil sobre cloud computing e segurança em cloud computing. Dr. Acesso em: 07 jun. Disponível em: <www. 2011) Antes mesmo da cloud computing.dcce. afinal ninguém quer reduzir custos arriscando seus dados. .bloomberg. o quão responsável cada parte é pela segurança. Ambos cloud computing e segurança em cloud computing parecem não se entender.13 PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO esse alinhamento.ibilce. 2011) a diferença agora é que estamos falando de milhões de servidores nas nuvens com um numero de acessos sem precedentes. com o crescimento no uso dos serviços de cloud computing no Brasil e previsão de grande aumento no uso dos mesmos. tínhamos o quadro de: dados não criptografados em web servers. o gerenciamento de segurança feito pelas empresas não é transparente. Ainda segundo (CHORAFAS. como as empresas vêm os serviços de cloud computing e o que esperam deles. Tom. O centro do problema pode se resumir em duas questões: Quem possui informação de que nas nuvens? Que parte é responsável pela segurança? A maioria dos autores reforça a ideia de que não e claro quem e o responsável por garantir a segurança dos dados em cloud computing. principalmente por uma falta de consenso de quem é o responsável pela segurança. No exterior há uma grande preocupação das empresas com segurança nas nuvens. REFERÊNCIAS BIBLIOGRÁFICAS THOMPSON. Através do levantamento pretendemos identificar problemas e falhas de segurança encontrados por empresas situadas no Brasil.com/video/69808318/>. Acesso em: 10 jun. Profa. Kellermann Interview on Cloud Computing: Sony Data Hack. falta de auditoria depois que as transações são efetuadas. KELLERMANN. A diferença e que antes esses eram casos isolados com possível dano reduzido em consequência de falhas de segurança. Nicholas. Prof.doc>. Disponível em: <http://www.br/~adriana/ensino/quest.

First Edition Sebastopol: O’reilly Media..ca. 2011. Acesso em: 12 maio 2010. Why Sony's PSN problem won't take down cloud computing: The hacks and Sony's incompetence involve bad security practice.pdf>. Dimimtris N. Billy. 2009.infoworld.. FORNECEDORES e utilizadores divergem sobre a segurança da cloud Disponível em: <http://www. LINTHICUM. 2011.com. Indiana. CHORAFAS. Acesso em: 04 maio 2011.com/~/media/Files/IndustryResearch/security-of-cloudcomputing-providers-final-april-2011. Russell Dean. Acesso em: 31 maio 2011. Llc.com/~/media/Files/IndustryResearch/security-cloud-computingusers_235659. Acesso em: 09 jun.. ADOPÇÃO desregrada da cloud preocupa executivos Disponível em: <http://www. Disponível em: <http://www. Cracks in the Cloud: Security Issues Loom Over Online Backup Services. Subra. PONEMON INSTITUTE LLC (Org. Boca Raton: Taylor And Francis Group.com/d/cloud-computing/why-sonys-psn-problemwont-take-down-cloud-computing-391>. Inc. Nitesh. DHANJANI. QUAIN. VINES.securitynewsdaily. Tim. Hackers Use Cloud Computing to Boost Firepower. Disponível em: <http://www.pdf>. KUMARASWAMY. Hacking: The Next Generation.securitynewsdaily. RIOS. Disponível em: <http://www. 2009. Cloud Security: A Comprehensive Guide to Secure Cloud Computing.com/cracks-in-cloud-securityissues-loom-over-online-backup-services-0752/>. Security of Cloud Computing Users: A Study of Practitioners in the US & Europe. Inc. Cloud Computing Strategies.pt/2011/05/26/fornecedores-e-utilizadores-divergemsobre-a-seguranca-da-cloud/>. HARDIN.pt/2011/06/14/a-inseguranca-da-cloud/>.computerworld. KRUTZ. Acesso em: 30 abr.). Brett. MATHER. John R. David. Acesso em: 26 jun. Acesso em: 30 maio 2011.com. A INSEGURANÇA da cloud Disponível em: <http://www. Shahed. 2010. not a flaw in cloud services per se. Security of Cloud Computing: Providers Study. 2011. John R. Acesso em: 16 mar..computerworld.computerworld. Cloud Security and Privacy. Disponível em: <http://www.com/hackers-cloud-computing-boost-firepower-0825/>.com. Disponível em: <http://www. QUAIN. . Ronald L.ca. Indianapolis: Wiley Publishing.. Inc.pt/2011/06/09/adopcao-desregrada-da-cloud-preocupaexecutivos/>. 2011. Acesso em: 14 jun. O QUE pensam realmente os auditores de segurança? Disponível em: <http://www..).pt/2011/03/16/o-que-pensam-realmente-os-auditores-deseguranca/>. First Edition Sebastopol: O’reilly Media. Indianapolis. 2011.computerworld.14 PROJETO DE MONOGRAFIA – PÓS GRADUAÇÃO PONEMON INSTITUTE LLC (Org. LATIF.com. 2011.

Discordo totalmente Discordo Concordo Concordo totalmente Minha organização é proativa em avaliar as informações que são muito sensíveis para serem armazenadas nas nuvens. Discordo totalmente Discordo Concordo Concordo totalmente Minha organização não utiliza aplicações de computação em nuvem que são não minuciosamente inspecionados quanto a riscos de segurança pra nenhum tipo de serviço. Discordo totalmente Discordo Concordo Concordo totalmente .Pesquisa 15 Informações gerais Nome: Cargo:       Data :             Departamento:       Perguntas de seleção Sua organização faz uso de pelo menos algum dos recursos de cloud computing? Sim Não (pare) Como você descreve o tipo de implementação de cloud computing utilizado pela sua empresa? Escolha somente uma opção. Usa principalmente nuvens publicas Usa principalmente nuvens privadas Usa uma combinação de nuvens publicas e privadas Atribuições sobre segurança em cloud computing Minha organização avalia o impacto que computação em nuvem tem na capacidade de proteger e assegurar informações de alta sensibilidade e confidenciais. Discordo totalmente Discordo Concordo Concordo totalmente Minha organização está atenta a realizar auditorias ou avaliações dos recursos de cloud computing antes de sua implantação. Discordo totalmente Discordo Concordo Concordo totalmente Os profissionais de segurança da minha organização são os que têm maior responsabilidade em garantir a segurança da minha empresa no uso de cloud computing.

Em sua opinião. quem é o maior responsável por garantir a segurança das aplicações SaaS utilizadas dentro de sua organização? O departamento de TI da minha empresa é o maior responsável. O fornecedor de serviços de cloud computing é o maior responsável. Não sei informar . qual o percentual de aplicações de missão crítica de sua organização utiliza aplicações SaaS? Menos de 10% Entre 51 e 60 % Não sei informar Entre 11 e 20% Entre 61 e 70% Entre 21 e 30% Entre 71 e 80% Entre 31 e 40 % Entre 81 e 90 % Entre 41 e 50 % mais de 90% Usuários finais da minha empresa são os maiores responsáveis. O departamento de segurança em TI da minha empresa é o maior responsável. A responsabilidade é dividida entre minha companhia e o fornecedor de cloud computing.16 Experiências com cloud computing Sua organização faz uso de recursos SaaS providos por fornecedores de cloud computing? Sim Não Não tenho certeza Se sim.