e1t02022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga P—_ FOLHA DA SEGURANCA Seguranga empresarial em foco A Seguranga em Computacao nas Nuvens POrLUCAS MAZZER Este estudo teve por objetivo analisar como ocorre a seguranga da informagao na computagao nas nuvens. © método de pesquisa utilizado foi a pesquisa qualitativa de levantamento bibliogréfico. No decorrer do estudo foram definidos conceitos sobre Cloud Computing, além de analisado 0 seu funcionamento servigos oferecidos. Foram também definidos conceitos sobre seguranga da informagio, e analisado a seguranga em ambiente nas nuvens, bem como o gerenciamento de riscos. Verificou-se que apesar do Cloud Computing ser um servigo novo, cada vez mais as empresas esto aderindo a este tipo de servico, a fim de hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 420‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga Atualmente, a seguranga em Cloud Computing ainda ndo é segura e eficaz, pois organizagdes como bancos, nao utilizam este tipo de servigo devido nao confiarem totalmente nesta seguranca. Palavras-Chave: Palavras-Chave: Cloud Computing; Seguranca em Cloud Computing; Gerenciamento de Risco ABSTRACT This study aimed to analyze how does the information security in cloud computing. The research method used was the qualitative research literature, In the course of the study were defined concepts of Cloud Computing, and analyzed its operation and services offered. Were also defined concepts of information security, and analyzed the security environment in the clouds, as well as risk management. It was found that although cloud computing is a new service, more and more companies are embracing this type of service in order to promote the reduction of costs, both operational and infrastructure. But, warns that it is necessary to analyze the security aspects of the provider, which will store your data. Currently, security in cloud computing isnot yet safe and effective, organizations such as banks, do not use this service because they do not trust completely this security. Keywords: Cloud Computing, Cloud Computing Security, Risk Management. 1, INTRODUGAO ‘A computagao em nuvem esta cada vez mais presente no dia a dia das empresas. Assim, este estudo visa discutir sobre a seguranga da informagao aplicada a computagao em nuvem. Segundo Carl Claunch (2008) Cloud Computing (Computagao em Nuvem) € um estilo de computagdo, no qual os recursos de TI sao fornecidos aos clientes através da Internet. Em outras palavras, a computagdo em nuvem é uma solucdo em que todos os recursos de informatica (hardware, software, redes, armazenamento) sao fornecidos aos usuarios sem a necessidade de uma infra-estrutura presente, somente virtual. [wp_ad_camp.2] Devido as empresas nao necessitarem de uma grande infra-estrutura de TI, a computacao em nuvem permite que as empresas foquem no seu negécio com redugao de custos. hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 2120‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga desta tecnologia sem maiores problemas. E 0 caso da seguranga da informago. Como ocorre a seguranga da informagao na computagao nas nuvens? Ela é realmente segura e eficaz? 1. OBJETIVOS Objetivo Geral Assim, este trabalho tem por objetivo analisar como ocorre a seguranga da informagao na computagao nas nuvens. * Objetivos Especificos + Definir conceitos sobre Cloud Computing; + Analisar o funcionamento e os servigos oferecidos em Cloud Computing; * Definir conceitos sobre seguranca da informagai + Analisar a seguranca em Cloud Computing e Gerenciamento de Riscos. 1. METODOLOGIA DE PESQUISA A metodologia de pesquisa utiizada neste estudo foi a pesquisa qualitativa de levantamento bibliografico. Entende-se por pesquisa qualitativa aquela que procura nao enumerar ou medir os fenémenos ou eventos estudados nem utiliza a andlise estatistica dos dados (GODOY, 1995). Assim, a pesquisa qualitativa busca compreender um fenémeno através de uma andlise holistica, com a coleta de diferentes tipos de informagées no contexto em que o fendmeno ocorre (YIN, 2001). 0 levantamento bibliogréfico, de acordo com Oliveira (2002), tem por finalidade conhecer as diferentes formas de contribuigées cientificas realizadas sobre detetminado assunto ou fendmeno. Este tipo de pesquisa para Martins (2002) tem como objetivo de recolher, selecionar, analisar e interpretar as contribuigdes teéricas jé existentes sobre determinado assunto. Sendo assim, a pesquisa seguiu as seguintes etapas: 1. Selego de livros, artigos, publicagées, dissertacdes e teses, através de pesquisas em acervos de bibliotecas e internet, a fim de conhecer e obter informagées de publicagdes existentes sobre o tema € 08 aspectos que jd foram abordados, verificando as opinides similares e diferentes a respeito do tema ou de aspectos relacionados ao mesmo, ou ao problema de pesquisa. 2. Elaboragao de fichas para anélise. As fichas foram elaboradas conforme a seguit: * Fichas Bibliogréficas: com dados gerais sobre o artigo; * Fichas de Citagdes: com a reprodugdo literal entre aspas e a indicagao da pagina da parte dos textos lidos de interesse espectfico para a redagao dos tépicos e itens da revisio; hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 3120‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga * Fichas de Comentario: com a interpretagdo das idéias expressas pelo autor do texto lido Apés 0 fichamento foi elaborado, a classificagao, a anélise, a interpretaao e a critica das informagées coletadas. 4, REVISAO BIBLIOGRAFICA Para uma melhor compreenséo, este estudo foi dividido em quatro capitulos. No primeiro capitulo é feito a introdugao do estudo, definindo os objetivos e metodologia de pesquisa adotada. No segundo capitulo séo discutidos conceitos sobre Cloud Computing, além de analisado o funcionamento e os servigos oferecidos por esta tecnologia. No terceiro capitulo so definidos conceitos sobre seguranga da informagao, além de analisado como ocorre & seguranga em Cloud Computing e o gerenciamento de riscos. Por iltimo sao feitas as consideragées finais sobre o estudo. 5. CLOUD COMPUTING 5.1 Conceitos Cloud Computing ou Computagao em Nuvens é a virtualizacao de produtos e servicos computacionais, ou seja, é uma maneira de armazenar todas as informages em servidores virtuais chamados de "nuvem’, onde ha uma tendéncia mundial para este modelo nao necessitando de maquinas velozes com um grande potencial de hardware e sim de um simples computador conectado a internet para rodar todos os aplicativos. (SANTOS; MENESES, 2011). Hoje, hé grandes empresas investindo nesta tecnologia para oferecerem esses servigos a seus clientes, como a gigante Google. Ela possui grandes parques computacionais armazenando todas as informagées particulares de usuérios no mundo, sendo esses produtos e servigos disponibilizados gratuitamente em sua maioria, Na realidade, uma simples troca esta sendo feita, na qual dispdem-se de servigos e tem-se espaco para guardar informagdes. (SANTOS; MENESES, 2011). Computago em Nuvens surgiu da necessidade de se compartilhar ferramentas computacionais pela interligagao dos sistemas, utilizando-se a internet como principal meio de comunicagao, em um aspecto semelhante as nuvens do céu. Ao invés de se ter toda essa estrutura localmente, em um cenario onde o usustio fica preso aquele hardware, com este modelo pode-se em qualquer lugar acessar conteidos, assim, 0 grande diferencial do mesmo dar-se pelo acesso as informagdes de qualquer hora e lugar. (SANTOS; MENESES, 2011). hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 420‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga de mudanga e ndo serd mais apenas um suporte de recursos. Mas ha um problema: os gestores nao estéo muito familiarizados com o uso de cloud computing para liderar essa transformagao, como sugere algumas de nossas pesquisas. (MURPHI, 2010 apud SANTOS, 2010), 0 Cloud Computing é formado por uma nuvem de capacidade computacional e armazenamento de dados que evita a dependéncia de um tinico recurso fisico e, ao mesmo tempo, proporciona escalabilidade para crescer e processamento garantido e isolado para cada cliente. A arquitetura da computagao em nuvem também reduz de maneira inteligente o consumo de energia do Data Center, contribuindo para preservagao do meio ambiente. (LOCAWEB, 2010 apud SANTOS, 2010). AAs solugdes de Cloud Computing costumam ser chamadas de Utility Computing também, mas na prética 0 termo “Cloud” significa que os recursos do cliente nao ficam presos a uma dinica maquina fisica, como é feito na maioria das outras hospedagens. Significa que seus recursos literalmente esto numa “nuvem’, garantindo estabilidade e disponibilidade independente de defeitos em maquinas fisicas. (CWCONNECT, 2009 apud SANTOS, 2010). A computagao na nuvem ou cloud computing é uma tendéncia no setor de TI que oferece os beneficios de uma plataforma como servico, provisiondvel e eldstica. 0 Windows Azure é uma plataforma de servigos e poder de computagao com as caracteristicas da computagao na nuvem, que a Microsoft esta desenvolvendo e em breve serd oferecida para as empresas, como mais uma opedo para a implementago de solugdes com alta escalabilidade e disponibilidade na nuvem. (COELHO, 2010 apud SANTOS, 2010) 5.2. Funcionamento e Servicos Oferecidos pelo Cloud Computing Segundo Taurion (2009) o Cloud Computing é formado por camadas e cada uma dessas, compostas por um conjunto de tecnologias especificas, que sao: hitpsfolhadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 5120e1t02022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga Figura 1. Camadas que compde @ tecnologia Cloud Computing Segundo Taurion (2009) o modelo de Cloud Computing é o resultado da evolugao de diversas tecnologias, como grid computing, processamento paralelo, autonomic computing, virtualizagao, APIs assincronos, browsers e outras. E através da integragao de todas essas tecnologias é possivel, por exemplo, permitir que uma aplicagao seja executada perfeltamente em um ambiente constituido de tecnologias heterogéneas e distribuidas geograficamente por varios sistemas (TAURION, 2009) Taurion (2009) cita algumas funcionalidades essenciais para 0 corteto funcionamento de um ambiente computacional baseado na tecnologia de Cloud Computing, Identificagdo e autenticaco: Necessidade de um controle rigoroso de acesso apenas a usuétios autorizados, garantindo assim seguranga total as informagées presentes na nuvem. Autorizagao e aderéncia politicas: Validago das permissées legais de execugao de determinada aplicagao. Localizagao de recursos: Escolha dos componentes fisicos presentes na nuvem que realizardo os processamentos solicitados. Caracterizacao dos recursos: Adequa¢ao dos computadores disponiveis as necessidades das aplicagées. Alocagéo dos recursos: Determinacao da quantidade de processamento disponibilizado a uma aplicago por cada computador presente na nuvem, e sua prioridade em relagao a outras aplicagées em execugdo simultanea, hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 620e1t02022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga + Seguranga: Garantir que todas as politicas de seguranga estao sendo cumpridas. Ainda segundo Taurion (2009), em Cloud Computing ¢ exigida a capacidade de interoperabilidade entre seus componentes, e para que isso seja possivel & necesséria a criagao de protocolos e mecanismos flexiveis 0 suficiente para permitir que o usuério consiga acessar os seus dados presentes na nuvem a partir de diferentes sistemas operacionais em computadores de diferentes tecnologias e em diferentes geografias. 0 Cloud Computing distribui os recursos na forma de servigos, dividido em trés modelos, conforme a ilustrago da figura 2. fecha ene hens Figura 2. Modelos de servigos * Software como Servigo (SaaS) Segundo a Intel (2009) SaaS é uma nova forma de entregar via web programas com recursos disponiveis no mercado, sem que o usuario tenha necessidade de arcar com custos de licenga anuais por uso. Assim, Ruschel, Zanotto e Mota (2008) afirmam que as aplicagdes sao acessiveis dos varios dispositivos do cliente através de uma relago do thin client tal como um web browser. Desta forma, conforme os autores, 0 consumidor nao administra ou controla a infra-estrutura bésica, incluindo nuvens de rede, servidores, sistemas operacionais, armazenamento, ou mesmo capacidades de aplicacao individual, com a possivel excegdo de limitada aplicagao especifica e definigées de configuragao de utilizadores. A Intel (2009) afirma que um dos principais beneficios deste modelo é a redugdo dos investimentos em infra- estrutura o que significa para 0 usudrio uma alternativa mais atraente e econémica hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 720‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga leva a rodar inteiramente na nuvem e pode ser considerado uma alternativa a rodar um programa em uma méquina local, assim 0 SaaS traz aredugao de custos, dispensando a aquisicao de licenga de softwares. Colocamos como exemplo de SaaS, sistemas de banco de dados e processadores de textos. * Plataforma como Servico (PaaS) Bordini (2010) afirma que o PaaS tem como objetivo implementar uma infrarestrutura cloud, aplicacées criadas ou adquiridas pelo usuério, usando linguagens de programagdo e ferramentas suportadas pelo provedor. Desta forma Ruschel, Zanotto e Mota (2008) afirmam que este tipo de servico oferece uma infra-estrutura de alto nivel de integragao para implementar e testar aplicagdes na nuvem. Também fornece um sistema operacional, inquagens de programagao e ambientes de desenvolvimento para as aplicagées, auxiliando a implementagaéo de softwares, j4 que contém ferramentas de desenvolvimento e colaboragéo entre desenvolvedores * Infra-estrutura como Servigo (laaS) Segundo Ruschel, Zanotto e Mota (2008) o laaS traz os servigos oferecidos na camada de infra-estrutura, roteadores, sistemas de armazenamento e outros recursos de computagao. Também é responsavel por prover toda a infra-estrutura necesséria para a SaaS e o PaaS. 0 laaS traz algumas caracteristicas, como uma interface nica para administracgo da infra-estrutura, a aplicagéo API (Application Programming Interface) para interagao com hosts, switches, roteadores e o suporte para a adicionar novos equipamentos de forma simples e transparente. © laaS, conforme os autores, baseado em técnicas de virtualizagio de recursos de computacao. Observando do lado da economia, néo seré necessério a aquisi¢ao de novos servidores e equipamento de rede para a ampliagdo de servicos. Citamos como exemplo de laaS 0 Amazon EC? (Elastic Cloud Computing) e 0 Eucalyptus (Elastic 6. SEGURANGA CLOUD COMPUTING E GESTAO DE RISCOS 6.1 Seguranga da Informagao Atualmente, vivemos em uma sociedade que se baseia em informagdes e que exibe uma crescente y Computing Architecture Linking Your Programs To Useful Systems) propensio para coleté-las e armazené-las permitindo as organizagées aumentar a eficiéncia de suas operagdes (AURELIO, 2003). A visdo de seguranga da informacao é cercada das necessidades do mundo atual em que valores como estratégia empresarial, a imagem da organizacao, produtos e projetos precisam Ser protegidos de um ambiente cada vez mais competitivo. 0 valor estratégico da seguranca da informacao. hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! ar20‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga estratégica do negécio. Na sociedade da informagao, a informagao € o principal patriménio da empresa e esté sob constante risco (DIAS, 2000). As empresas jé perceberam que 0 dominio da tecnologia como aliado para o controle da informagao é vital. 0 controle da informagao é um fator de sucesso critico para os negécios e sempre teve fundamental importancia para as corporagdes do ponto de vista estratégico e empresarial (MARTIN, 1987) A eficdcia de uma empresa pode ser definida pela relagao entre resultados obtidos e resultados pretendidos. Para que uma empresa possa adotar politicas estratégicas eficazes, & necessério que estas sejam baseadas em informagao, que passa a ser a principal matéria-prima de qualquer organizagao. (AURELIO, 2003). sémola (2003) define a Seguranca da Informagao, como & protegdo existente sobre as informagées de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informages corporativas quanto as pessoais. A seguranga de uma determinada informacao pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que tem 0 objetivo de furtar, destruir ou modificar tal informagao. As principais propriedades da seguranga sdo a Confidencialidade, Integridade e Disponibilidade que, atualmente, orientam a andlise, 0 planejamento e a implementagéo da seguranga para um determinado grupo de informagdes que se deseja proteger. (SEMOLA, 2003). Confidencialidade: Segundo Sémola (2003) € a propriedade que limita 0 acesso a informagao tao somente as entidades legitimas, ou seja, aquelas autorizadas pelo proprietério da informagao. Considera-se este princpio quando um sistema, ou ativo de informacao, necessita de protegdo contra a divulgagao néo autorizada dos seus bens de informagao. Integridade: Sémola (2003) afirma que é a propriedade que garante que a informagao manipulada mantenha todas as caracteristicas originais estabelecidas pelo proprietario da informacao, incluindo controle de mudangas e garantia do seu ciclo de vida (nascimento,manutencao e destruigéo). Considera-se este prinefpio quando um sistema, ou ativo de informacao, contém informagao que deve ser protegida contra modificagées nao autorizadas, imprevistas ou até mesmo néo intencionais, incluindo ainda mecanismos que permitam a detecgdo de tais tipos de alteragao. Disponibilidade: Conforme Sémola (2003) é a propriedade que garante que a informacao esteja sempre disponivel para 0 uso legitimo, ou seja, por aqueles usudrios autorizados pelo proprietério da informacéo. Considera-se este principio quando um sistema, ou ativo de informagao precisa estar disponivel para satisfazer os seus requisitos ou evitar perdas financeiras, hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! r20e1t02022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga ‘vulnerabilidades podem ser tratadas. Um fator preocupante em relagdo as ameagas esta na falta de consciéncia dos executivos de Tecnologia da Informagao. Desde um faxineiro mal intencionado com acesso a sala do gerente depois do expediente até um aplicativo adquirido, o qual nao foi devidamente testado, so ameagas que as organizagées se deparam no cotidiano. Pode-se verificar na figura abaixo os tipos de ameagas enfrentados pelas empresas hoje: 1 Configuration of network sharing 1 Missing security patches |W Multiplevendor AV products Partially protected environment, Firmware vulnerability Freeware Figura 3. Quadro de Ameagas, Gabbay (2003, p.23) explica que “as ameagas existem tanto no ambiente externo quanto no ambiente interno, sendo fundamental entendé-las para que seja possivel propor medidas de seguranga voltadas a eliminar a causa do problema’. Os ataques, conforme D’Avilla (2002) podem ser classificados em: Interceptagao, Modificacao e Fabricagao. O autor afirma os ataques visam interromper o servigo oferecido, ou seja, ataca-se a disponibilidade das informacées conforme pode ser observado nas figuras 4 e 5. hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 10720e1t02022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga 3 oa 0) Fontede ere) rcs) ira tere Figura 4. Fluxo normal de uma informagéo Diavilla (2002) afirma que o principal tipo de ataque classificado como interrupeao é o Denial of Service (DoS), que € o envio de requisigdes em massa para um determinado computador, de modo que o mesmo nao consegue responder todas elas, ficando sobrecarregado, fazendo com que o servigo pare de funcionar. Interceptagao: Segundo D’4villa (2002) tem como objetivo capturar o que esté sendo transmitido sem que 0 sistema perceba, ou seja, ataca-se a confidencialidade das informagées, conforme pode ser observado na figura 6. hitpsfolnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! s1r0e1t02022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga Figura 6: Fluxo Interrompido 0 autor cita como exemplo deste tipo ataque o Replay, onde parte de uma transmissdo da rede é copiada e reproduzida posteriormente, simulando um usuério autorizado. Fabricagao: D’évilla (2002) explica que nesta classificacao, o atacante tem como finalidade se passar por um usuério do sistema, a fim de obter informagées para transmitir dados na rede, ou seja, ataca-se a autenticidade das informagées. O autor afirma que 0 tipo de ataque mais comum de fabricagao é o IP Spoofing, que consiste na substituiggo do enderego IP do computador do invasor, fazendo com que ele se passe por um computador confiével da rede, podendo assim obter privilégios na comunicagao. Sobre a questo juridica da propriedade da informacao, no que tange ao usuario, & empresa e ao detentor de direitos autorais, & preciso analisar as cléusulas contratuais de cada um dos servigos e das partes envolvidas. Além disso, também é necessério avaliat quais as informages que estamos lidando (obra intelectual, dados cadastrais, propriedade industrial etc). Como fica uma empresa Brasileira que utiliza os servigos de Cloud Computing de uma empresa Alema e que os servidores fisicos estéo na Estados Unidos?. Segundo Juliana Abrusio (2011) especialista em direito digital da Opice Blum Advogados, lembrou que 0 uso crescente da nuvem pode criar situacdes em que 0 fornecedor serd local, mas a estrutura de TI estard quarteirizada para um data center nos Estados Unidos ou na India, por exemplo. Na verdade o servico ficaré a mercé das leis do pafs que ele ficar hospedado. Nao hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 12R0‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga 6.2 Seguranga da Informagao em Cloud Computing Segundo Castro e Sousa (2010) a seguranga em Cloud Computing leva questées relacionadas a privacidade e seguranga das informagdes que residem nas nuvens. Os autores afirmam que apesar de intimeras preocupagées com o assunto, o debate sobre os riscos na nuvem muitas vezes ignora a importancia de criar planos de contingéncia e Acordo de Niveis de Servigo (ANS) (em inglés SLA ~ Service Level Agreement), voltados a garantir confiabilidade e a certeza de que os negécios nao sofrerdo grandes baques no caso de um incidente. Conforme os mesmos autores, os riscos referentes & seguranga e privacidade das informacdes na Nuvem bem como a portabilidade dos dados delineia-se como sendo de alta criticidade. Além disso, quando as informagées criticas das empresas estéo nas maos de outras pessoas também pode refletir em menos garantia do cumprimento das leis Na computagao tradicional os usuérios tém total controle sobre seus dados, processos e seu computador (Kandukuri et. al, 2009 apud CASTRO; SOUZA, 2010). Em contrapartida, na Computagao em Nuvem todos os servigos e manutengo dos dados sao fornecidos por um provedor de nuvem. Neste contexto o cliente (usuario) desconhece quais processos esto em execugao ou onde os dados esto armazenados, essa abstragao de atividades se deve justamente ao dinamismo inerente da nuvem. Sendo assim o cliente nao tem controle sobre todas as movimentagées de seus dados na nuvem. (CASTRO; SOUZA, 2010). “Entao como exigir garantias de que as informagées residentes na nuvem estao realmente seguras?” Neste sentido, Castro e Souza (2010) levantam o seguinte questionamento: “Entdo como exigir garantias de que as informagGes residentes na nuvem estao realmente seguras?”. Segundo Castro e Souza (2010) o servigo de Computagao em Nuvem, por ser novo no mercado, torna-se dificil criar padrées a partir de experiéncias adquiridas com a computacao tradicional. Neste sentido, é necessério buscar cada vez mais adogdo das melhores praticas em seguranga, para que as organizages possam desfrutar dos beneficios da Computagao em Nuvem. De acordo com Marcon Junior et al (2010) os servigos fornecidos pela nuvem computacional podem ser disponibilizados em qualquer local fisico de abrangéncia da mesma, ou utilizando componentes de infraestrutura compativeis com o ambiente do consumidor. Os autores afirmam que a geréncia de um grande hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 13120‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga dados. Assim, a administracao centralizada pode ser considerada impraticavel, e portanto faz-se necessério instanciar servigos de gerenciamento distribuldos e fracamente acoplados (com baixa dependéncia funcional). Desta forma, para os autores, é necessério a implantago de um modelo de gerenciamento seguro e confidvel. A implantagio de mecanismos de autenticagao robustos e esquemas de delegagao de direitos funcionando de maneira confidvel sao fundamentais para 0 correto gerenciamento de identidades e para a prestagao de servigos em nuvens computacionais. Marcon Junior et al (2010) citam um modelo denominado CloudDataSec, a fim de prover a seguranga em CloudComputing. Este modelo, conforme os autores, é composto das seguintes camadas: * Andlise de risco: estabelece e gerencia as avaliagdes de riscos sobre a terceirizagao de servigos na nuvem, auxiliando na identificagao das informagGes e servicos que devem permanecer dentro dos limites da organizacao consumidora. * Orientagdes de seguranga: descreve as politicas e restrigdes legais relativas a privacidade aplicaveis a0 ambiente de computagao em nuvem * Monitoragao de qualidade de servigo (QoS): um acordo de nivel de servigo (Service Level Agreement — SLA) entre clientes e fornecedores especifica os niveis de exigéncia de seguranga e privacidade, além de garantir a seguranga juridica dos contratos sobre os servigos. * Criptografia dos dados e registros (logs): a criptografia visa proteger a confidencialidade e integridade das informaces, enquanto os registros fornecem um historico completo das atividades do usuario. * Comunicagao criptografada: nesta camada so utilizados os protocolos padronizados como SSH, IPSec e suas implementacées. Para os autores, a aplicagao do modelo CloudDataSec garante a aderéncia a e a protegdo das informagées contra alguns ataques, como man-in-the-middle (ataque do intermedidrio). Este modelo sugere trés niveis de garantia de seguranga, sumarizados na tabela 1. Marcon et al (2010) afirmam que apés uma andlise de riscos, os seguintes niveis de seguranga sao identificados: + Nivel Bésico para o desenvolvimento das paginas Web da empresa; ndo existem informagées sensiveis armazenadas no servidor Web de desenvolvimento. * Nivel Avancado para hospedar o site da empresa, Ndo hé restricao sobre o numero de maquinas virtuais na mesma méquina fisica (host), mas somente méquinas virtuais desse dominio devem ser permitidas no mesmo host. No caso de um incidente de seguranga, a maquina virtual comprometida é hitps:fonadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 1420‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga + Nivel Premium para hospedar uma loja on-line; neste caso, um vazamento de dados dos usuérios pode afetar a reputagao da empresa. Em caso de incidente, o sistema é movido para a quarentena para evitar 0 vazamento de informagées. 0 servigo nao é relancado automaticamente, para evitar a repetigdo do ataque e a possibilidade de exposigdo de dados pessoas. 6.2.1 Gerenciamento de Risco em CloudComputing Segundo Castro e Sousa (2010) no cenério corporativo é comum observar que as questées de seguranga da informagao nao sdo tratadas em um nivel de gestao da organizagao, tendo como conseqiiéncia a falta de recursos para minimizar os riscos existentes ao nivel exigido pela estratégia organizacional e definido pela andlise de risco. Desta forma, conforme afirmam os autores, 0 processo de Gestdo de Risco na nuvem exigird modificagdes significativas na forma como hoje as organizagées trabalham para mitigar os riscos, principalmente os relacionados a seguranga da informacao. Segundo Miller, et al (2009 apud CASTRO;SOUSA, 2010, p.4), os principais objetivos do processo de Gestao de Risco na nuvem, incluem: * O planejamento para protegdo da informagao baseados em ativos e em Planos de Mitigagao de Riscos; * Reforcar a capacidade da organizagao para selecionar e aplicar a protegao baseada no risco especifico e nas ameacas que afetam um determinado ativo; + Assegurar que uma metodologia de gestao de risco de seguranga da informagao esté sendo utilizada em toda organizagao. Castro e Sousa (2010) alertam que a adogao de um modelo de servigo de nuvem mal dimensionado pode representar sérias ameacas de seguranca da informagao para as empresas. Principalmente para aquelas que buscam economizar em licenciamento de software e servigos de infraestrutura. Desta forma, um modelo de Gestio de Risco bem delineado se torna crucial para garantir que a informagao esté ao mesmo tempo disponivel, protegida e segura. Os autores citam alguns exemplos de riscos de computagdo em nuvem para a empresa que precisam ser gerenciados: + Aescolha de um provedor de nuvem caracteriza-se como sendo um ponto extremamente critico no proceso de adogao do modelo. As empresas precisam concentrar uma atengao especial nesse onto. Quesitos como reputagdo, a historia e a sustentabilidade so fatores que devem ser levados hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 15120‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga * 0 fornecedor de nuvem muitas vezes assume a responsabilidade pela manipulacao da informagao, aspecto que deve ser tratado como critico para o negécio. Qualquer dificuldade ou falha para se cumprir os SLAs acordados impactard nao somente na confidencialidade, mas também na disponibilidade, afetando severamente as operagdes do negécio. + Anatureza dinamica da computagao em nuvem pode resultar em confusdo a respeito de onde a informagao realmente reside. Para negécios onde a recuperacao da informagao é critica, isso poderd gerar atrasos. + O acesso de terceiros as informagdes sensiveis cria um risco de comprometimento das informagdes confidenciais. Na nuvem, isto pode representar uma ameaga significativa para a protegao da propriedade intelectual e de segredos comerciais. * Os aspectos legais relacionados & localizagao fisica dos Data Centers, quando esses estéo localizados em pafses com um sistema legal instavel, poderd levar & violagdo de leis de protegao de dados, afetando diretamente empresa. Dessa forma a conformidade com os regulamentos e leis em. diferentes regides geogréficas podem ser um desafio para seguranga dos dados das empresas. Atualmente hé pouco precedente em matéria de responsabilidade juridica na nuvem. * Devido & natureza dinémica da nuvem, a informagao nao pode ser imediatamente localizada no caso de um desastre. Planos de Continuidade de Negécio e Recuperagao de Desastres devem ser bem documentados e testados. * Além do risco de ocorrer uma interrup¢ao na continuidade dos negécios, outro fator que deve ser considerado so as invasdes por hackers aos ambientes da nuvem, denominado por especialistas de Cyber-Cloud. Diferentemente dos hackers comuns esses se apresentam como empresas sofisticadas e bem estabelecidas. Por trés de uma légica empresarial bem definida, esconde-se uma organizagao criminosa, que investe alto em pesquisas com a finalidade de ganhar dinheiro + Segregagao de Dados. Segundo o Gartner Group (2009), é preciso descobrir como se dé a segregagao dos dados pelo provedor e principalmente se este utiliza criptografia para os dados em transito e/ou armazenados. 0 fornecedor de nuvem precisa também fornecer evidéncias de que os esquemas de criptografia utilizados foram projetados e testados por especialistas experientes. * Recuperacao. Mesmo que o cliente nao saiba onde os dados esto, e o que vai acontecer com seus dados e servigos em caso de catastrofe, o forecedor de nuvem deve saber. Portanto é importante questionar o provedor de nuvem se o mesmo tem a capacidade de fazer uma restaurago completa e quanto tempo vai demorar. * Apoio & ivestigacao, Auditar atividades inadequadas ou ilegais pode ser impossivel em Computagao em Nuvem. A dificuldade é devida as constantes mutagdes dos conjuntos de hosts e centros de hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 16120‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga Castro e Sousa (2010) afirmam que atualmente entidades como o Open Cloud Manifesto, Computing Use Cases Group e 0 Cloud Security Alliance trabalham no desenvolvimento de padrées de seguranga para computagio em nuvem, levando essas pesquisas para um grande nimero de areas, incluindo auditoria, aplicativos, criptografia, governanga, seguranga de rede, gerenciamento de risco, armazenamento e virtualizagao. 7. RESULTADOS Este estudo teve por objetivo analisar como ocorre a seguranga da informacao na computagao nas nuvens. No decorrer do estudo foram definidos conceitos sobre Cloud Computing, além de analisado o seu funcionamento e servigos oferecidos. Foram também definidos conceitos sobre seguranga da informagao, ¢ analisado a seguranga em ambiente nas nuvens, bem como o gerenciamento de riscos. Verificou-se que apesar do Cloud Computing ser um servigo novo, cada vez mais as empresas esto aderindo a este tipo de servigo, a fim de promover a redugdo dos custos, tanto operacionais como de infra- estrutura. Porém, alerta-se que & necessério analisar os aspectos de seguranca do provedor, no qual iré armazenar os seus dados. Atualmente, a seguranga em Cloud Computing ainda nao é segura e eficaz, pois organizages como bancos, nao utilizam este tipo de servigo devido néo confiarem totalmente nesta seguranga Castro e Souza (2010, p.6) sugerem para as empresas que: [..] 0 primeiro passo ¢ identificar as diferengas entre a seguranca local e a seguranga na nuvem e examinar quais padrées existentes combinam com as operagdes em nuvem. No final, eles esperam chegar a padres que permitam que as empresas possam integrar, seguramente, servigos de computagao em nuvem de diferentes fornecedores e ter a garantia de que seus dados ficardo seguros na nuvem. Conclui-se que o Cloud Computing possui uma série de desafios a enfrentar. Para que a seguranga seja eficaz, é necessério que as empresas adotem um sistema de gerenciamento de riscos, e analisem 0 custo/beneficio da utilizagao desta nova tecnologia. 8. REFERENCIAS BIBLIOGRAFICAS CASTRO, R. C. C.; SOUSA, V. L. P. Seguranga em Cloud Computing: Governanca e Gerenciamento de Riscos de Seguranga. Disponivel em: Acesso em 20 out 2011 hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 170‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga DIAS, Cldudia, Seguranga e Auditoria da Tecnologia da Informagao. Séo Paulo: Axcel Books, 2000. GABBAY, Max Simon. Fatores influenciadores na implementagao de acdes de esto de seguranca da informagao: um estudo com executivos e gerentes de tecnologia da informagao em empresas do Rio Grande do Norte. Tese (mestrado). Universidade Federal do Rio Grande do Norte, 2003. INFORMATION Society. Towards a European Cloud Computing Strategy. Disponivel em: . Acesso em: 13 jun 2012. JULIANA, A. Regulamentagao do uso da nuvem mexe com privacidade e soberania, 2011. Disponivel em < http://www.nic.br/imprensa/clipping/2011/midia1020.htm> Acesso em 18 jul 2012. MANUNTA, Roberto. Puzzle Seguridad Corporativa. Revista Hispdnica de la Inteligencia competitiva. v.1 n.7 outubro de 2003. Disponivel em Acesso 30 out 2011. MARCON JUNIOR, A. et al. Aspectos de Seguranga e Privacidade em Ambiente em Computagao em Nuvem. Disponivel em: Acesso em 20 out 2011. MARTIN, James. Engenharia da Informagao. Rio de Janeiro: Campus, 1987, RUSCHEL, H.; ZANOTTO, M. S.; MOTA, W. C. Computagao em Nuvem. 2008. Disponivel em: Acesso em 20 out 2010. SANTOS, H. D. TI VERDE: Interesses organizacionais e tecnologia da informagao alinhados pela sustentabilidade. Monografia apresentada ao curso de Tecnologia em Informatica para Gestao de Negécios da Faculdade de Tecnologia da Zona Leste. Séo Paulo: FATEC, 2010 SANTOS, B. C.; MENESES, F. G. A. Cloud Computing: conceitos, oportunidades e desafios da nova computagao. lInstituto Federal de Educagao Ciéncia e Tecnologia. 2011. Disponivel em Acesso em 30 out 2011. SEMOLA, M. Gestao da Seguranga da Informagao. Rio de Janeiro: Campus, 2003. TAURION, C. Cloud Computing - Computagao em Nuvem Transformando o mundo da Tecnologia da Informagao. Rio de Janeiro: 2009.p. hitpsfhadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 18120‘e1n012022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga VU Quer Receber Aulas, E-Books E Muito Contetdo De Seguran¢a Empresarial Totalmente De Graca? Entre agora no Canal do Telegram do Folha da Seguranga e receba diariamente contetidos que vao turbinar mais ainda os seus conhecimentos de Seguranga Empresarial! Usar QR Code Prometemos nao enviar spam para vocé.Vocé pode cancelar sua inscri¢ao a qualquer momento. Cloud Computing Seguranga em Computagao nas Nuvens i « PPA Santos tem controle de Brasil Adota Investigagao em [Bas >> acesso ndo-clondvel Celulares Para Seguranga da Copa Sobre o Autor Lucas Mazzer , € graduado em Ciéncia da Computagao pela Universidade Paulista (UNIP) de Campinas-SP e tem MBA em gestéo da Seguranga da Informagao pela Faculdade IBTA de Campinas - SP. Atualmente trabalha como coordenador de T.|. em uma industria de ferramentas agricolas. hitpsfnadaseguranca,com.bria-seguranca-em-computacao-nas-nuvens! 19720e1t02022 23:00 'A Seguranga am Compulago nas Nuvens | Folha da Seguranga ‘y seu cnucreyy Ue CIHan Hay sera pubILaUU. Valmpus UUTyaLuTUS sau marLauuD uu Comentario * Nome E-mail Site Nao sou um rob6 recaPTCHA Publicar comentario Copyright ©2022 Folha da Seguranga. Todos os direitos reservados, hntps:fnadaseguranca,com.bria-sequranca-em-computacao-nas-nuvens! 20720