Escolar Documentos
Profissional Documentos
Cultura Documentos
Revisão Textual:
Prof. Me. Claudio Brites
Segurança da Informação e Privacidade
de Dados na Computação em Nuvem
Objetivo
• Conhecer as Normas ISO/IEC 27.001/27.701 e as metodologias de Segurança e Privacidade
para adequação à Lei Geral de Proteção de Dados (LGPD) na Computação em Nuvem.
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl-
timo momento o acesso ao estudo, o que implicará o não aprofundamento no material
trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você
poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns
dias e determinar como o seu “momento do estudo”.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de
discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de
propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de
troca de ideias e aprendizagem.
Bons Estudos!
UNIDADE
Segurança da Informação e Privacidade
de Dados na Computação em Nuvem
Contextualização
O tema sobre a privacidade de dados vem sendo mais discutido com o advento da
Computação em Nuvem e dos novos serviços de internet. As informações digitais se tor-
naram matéria-prima para o desenvolvimento e sucesso de empresas em todo o mundo.
A privacidade de dados está vinculada, diretamente, com a Lei Geral de Proteção de Dados
(LGPD), pois essa é a legislação brasileira que regulamenta as leis vigentes de privacidade.
6
Introdução à Família das
Normas ISO/IEC 27000
Conceito
A família das normas International Organization of Standardization (ISO) e International
Electrotechnical Commission (IEC) de numeração 27000, identificada como ISO/IEC 27000,
constitui uma série de padrões internacionais que convergem para um ponto: o Sistema de
Gestão de Segurança da Informação (SGSI). Conforme ISO (2021), seu objetivo é possibilitar
às organizações a implementação de um Sistema de Gestão da Segurança da Informação
(SGSI), por meio do estabelecimento de uma Política de Segurança, Controles e avaliação de
Riscos, incluindo métodos de auditoria, métricas, controle e gerenciamento de riscos.
Definição
Conforme a ISO (2021), o conceito de Segurança da Informação (SI) vai além dos que-
sitos informáticos e tecnológicos, apesar de caminharem próximos. O Sistema de Gestão
de Segurança da Informação (SGSI) é uma metodologia de segurança para todos os tipos
de dados e informações, possuindo quatro princípios básicos: Confidencialidade, Integri-
dade, Disponibilidade e Autenticidade. Sobre esses:
• Confidencialidade: é o princípio que garante que as informações estarão acessí-
veis apenas às pessoas autorizadas, através da autenticação, controlando e restrin-
gindo os acessos. Seu controle impõe limitações aos dados sigilosos que as pessoas
e empresas possuem. Sem a confidencialidade, os dados ficam vulneráveis a cibera-
taques, roubo de informações confidenciais e até à utilização de dados pessoais dos
clientes, o que pode ocasionar diversos prejuízos, inclusive financeiros;
• Integridade: é o princípio que se refere às condições iniciais de produção e ar-
mazenamento das informações. Seu controle mantém a origem da informação
protegendo-a de modificações não autorizadas. Quando a integridade é pensada,
estrategicamente, é possível utilizar ferramentas para realizar a recuperação de in-
formações danificadas ou perdidas, através de rotinas de backup de dados;
• Disponibilidade: é o princípio em que os dados devem estar seguros e disponíveis
para serem acessados a qualquer momento pelos usuários autorizados. Seu contro-
le está relacionado à eficácia do sistema, da infraestrutura e do funcionamento da
rede de comunicação para se ter acesso à informação quando necessário, e deve
ser à prova de falhas lógicas e físicas, oferecendo mecanismos de redundância para
garantir a disponibilidade;
• Autenticidade: é o princípio da identificação e do registro dos acessos para criação,
modificação e exclusão da informação. Seu controle deve garantir a segurança das
informações de possíveis ameaças, tanto externas, quanto internas. Tais ameaças
podem estar relacionadas a uma ou mais pessoas, ou evento capaz de causar danos
ao sistema de roubo de dados, através de ataques externos ou engenharia social vinda
de dentro da empresa por colaboradores de forma intencional.
7
7
UNIDADE
Segurança da Informação e Privacidade
de Dados na Computação em Nuvem
A ISO
Dentre outros organismos internacionais, de acordo com a ISO – International
Organization for Standardization (2021) representa a federação mundial dos organis-
mos de normalização, contando com 148 países membros, incluindo o Brasil. A ISO
já publicou mais de 14000 normas internacionais e documentos normativos.
Segurança Cibernética
ISO 27000
27032 27004
Gestão da segurança
da informação – Medição
Introdução
Conforma a família das normas ISO 27000 (2021), a mais requisitadas são as ISO/
IEC 27001 e ISO/IEC 27701. Essas normas estão relacionadas à Segurança da Informa-
ção (Requisitos), avaliação e tratamento de riscos na Segurança da Informação e Gestão
da Privacidade de Dados (tratamento de dados).
A família ISO/IEC 27000 contém diversas normas e cada uma delas tem uma fun-
ção específica. O objetivo dessas normas são a criação, manutenção, melhoria, revisão,
acompanhamento e análise de um Sistema de Gestão de Segurança da Informação
(SGSI). Tais normas podem ser adotadas independentemente do tamanho ou tipo da
empresa, suas diretrizes tem por objetivo que as informações e os sistemas da organi-
zação estejam seguros; conceito de: Confidencialidade, Integridade, Disponibilidade e
Autenticidade.
8
A série de normas da ISO/IEC 27000 possui dois tipos de certificados, os certifica-
dos para as empresas e para os profissionais. Todas as certificações têm seus benefícios
e o recomendável é que tanto as empresas, quanto os profissionais, detenham certifica-
dos para estarem adequados às normas de segurança e boas práticas.
9
9
UNIDADE
Segurança da Informação e Privacidade
de Dados na Computação em Nuvem
Reduza as possibilidades de
falhas de segurança dentro do
seu ambiente de segurança
da informação.
Controle de riscos de Confidencialidade
segurança da informação das informações
Aumento da confiança no
Cumprimento de requisitos
que diz respeito a parceitos,
internacionalmente reconhecidos
clientes e público
Um método estruturado
para atender às necessidades
de conformidade
Critérios de Certificação
Conforme Rheinland (2021) a norma ISO/IEC 27001 é uma certificação para as
empresas e segue o padrão para adequação do Sistema de Gestão de Segurança da
Informação como diretrizes de implementação, mas é preciso se atentar ao monitora-
mento, funcionamento e à adoção de um programa de melhoria contínua do sistema.
A certificação é realizada em duas etapas: a primeira é uma revisão documental, a se-
gunda é uma auditoria detalhada.
10
ISO/IEC 27001 – Sistema de Gestão da Segurança da Informação
Com o avanço da tecnologia e com sistemas mais complexos, de acordo com Nor-
mas Técnicas (2021) o poder de processamento e armazenamento de uma infinidade de
informações se faz cada vez mais necessário; porém, ao mesmo tempo, se torna mais
difícil proteger essas informações. É nesse cenário que a certificação ISO 27001 agrega
valor à segurança da informação nas empresas, pois fornece uma análise de confor-
midade do Sistema de Gestão de Segurança de Informação, descrevendo os requisitos
para a implementação e documentação do projeto, utilizando uma norma globalmente
reconhecida e com os requisitos internacionais. A ISO/IEC 27001 visa mitigar os riscos
de segurança e otimização da qualidade dos sistemas das organizações.
11
11
UNIDADE
Segurança da Informação e Privacidade
de Dados na Computação em Nuvem
General Data Protection Regulation (GDPR), na União Europeia, e a Lei Geral de Proteção
de Dados (LGPD), no Brasil. SGPD visa, também, à mitigação dos riscos de que:
• os dados possam ser hackeados, roubados ou perdidos;
• os colaboradores não conheçam sobre segurança no trabalhar com dados;
• as organizações recebam multas por desobedecerem às regulamentações.
12
Conheça os principais Controles para o Assessment da ISO/IEC 27001 e 27701:
Tabela 1
27701 27001 Domínio ISO 27001/27701 Ref. ISO – Controle
Políticas de segurança Políticas para segurança da
6.2.1.1 A.5.1.1
da informação e privacidade informação e privacidade
Organização da segurança Responsabilidades e papéis pela
6.3.1.1 A.6.1.1
da informação e privacidade segurança da informação e privacidade
Organização da segurança
6.3.2.1 A.6.2.1 Política para o uso de dispositivo móvel
da informação e privacidade
Conscientização, educação e treinamento
6.4.2.2 A.7.2.2 Segurança em recursos humanos
em segurança da informação e privacidade
6.5.2.1 A.8.2.1 Gestão de ativos Classificação da informação
6.5.2.2 A.8.2.2 Gestão de ativos Rótulos e tratamento da informação
6.5.3.1 A.8.3.1 Gestão de ativos Gerenciamento de mídias removíveis
6.5.3.2 A.8.3.2 Gestão de ativos Descarte de mídias
6.5.3.3 A.8.3.3 Gestão de ativos Transferência física de mídias
6.6.2.1 A.9.2.1 Controle de acesso Registro e cancelamento de usuário
6.6.2.2 A.9.2.2 Controle de acesso Provisionamento para acesso de usuário
Procedimentos seguros de
6.6.4.2 A.9.4.2 Controle de acesso
entrada no sistema (login)
Política para o uso de
6.7.1.1 A.10.1.1 Criptografia
controles criptográficos
Reutilização e alienação
6.8.2.7 A.11.2.7 Segurança física e do ambiente
seguras de equipamentos
6.8.2.9 A.11.2.9 Segurança física e do ambiente Política de mesa limpa e tela limpa
6.9.3.1 A.12.3.1 Segurança nas operações Cópias de segurança das informações
6.9.4.1 A.12.4.1 Segurança nas operações Registros de eventos
Proteção das informações dos
6.9.4.2 A.12.4.2 Segurança nas operações
registros de eventos (logs)
Políticas e procedimentos para
6.10.2.1 A.13.2.1 Segurança nas comunicações
transferência de informações
Aquisição, desenvolvimento e Serviços de aplicação seguros
6.11.1.2 A.14.1.2
manutenção de sistemas sobre redes públicas
Aquisição, desenvolvimento e
6.11.2.1 A.14.2.1 Política de desenvolvimento seguro
manutenção de sistemas
Aquisição, desenvolvimento e Princípios para projetar
6.11.2.5 A.14.2.5
manutenção de sistemas sistemas seguros
Aquisição, desenvolvimento e
6.11.3.1 A.14.3.1 Proteção dos dados para teste
manutenção de sistemas
Relacionamento na Identificando segurança da informação e
6.12.1.2 A.15.1.2
cadeia de suprimento privacidade nos acordos com fornecedores
Gestão de incidentes de segurança
6.13.1.1 A.16.1.1 Responsabilidades e procedimentos
da informação e privacidade
Gestão de incidentes de segurança Resposta aos incidentes de segurança
6.13.1.5 A.16.1.5
da informação e privacidade da informação e privacidade
Identificação da legislação aplicável
6.15.1.1 A.18.1.1 Conformidade
e de requisitos contratuais
6.15.1.3 A.18.1.3 Conformidade Proteção de registros
Análise crítica independente da segurança
6.15.2.1 A.18.2.1 Conformidade
da informação e privacidade
Análise crítica da
6.15.2.3 A.18.2.3 Conformidade
conformidade técnica
13
13
UNIDADE
Segurança da Informação e Privacidade
de Dados na Computação em Nuvem
Segurança e Privacidade:
“by Design” e “by Default”
• Security: by Design | by Default;
• Privacy: by Design | by Default.
Não se engane, os nomes são semelhantes, mas os conceitos são diferentes. Cada metodo-
logia pode ser aplicada de acordo com o modelo de negócio, produto ou serviço.
Conforme a Westcon (2018) no Ano 2020, foi realizado um estudo pelo EY Global
Information Security Survey, envolvendo cerca de 1.300 líderes de segurança ciberné-
tica, a qual demonstrou que 65% das empresas só consideram a segurança depois que
um incidente acontece. Garantir a segurança e a privacidade dos dados tem provocado
grandes desafios e dificuldades para as empresas, pois, para muitas delas, definir as ca-
madas de proteção não é prioridade quando uma nova solução é desenvolvida.
14
• Security by Default (Segurança por padrão): é a metodologia determina que os
recursos de segurança devem estar ativados por padrão. Nas interfaces da Web, por
exemplo, o HTTPS (protocolo de criptografia) deve estar ativado, ao invés do HTTP
(protocolo sem criptografia). Da mesma forma, no conceito de segurança por padrão,
as senhas não devem ser iguais para todos os sistemas (senha padrão). É altamente
recomendável fornecer para cada sistema uma senha gerada aleatoriamente;
15
15
UNIDADE
Segurança da Informação e Privacidade
de Dados na Computação em Nuvem
16
Material Complementar
Indicações para saber mais sobre os assuntos abordados nesta Unidade:
Livros
Cloud Computing: Nova Arquitetura de TI
VERAS, M. Cloud Computing: Nova Arquitetura de TI. São Paulo: Brasport, 2012.
Cloud Computing
SRINIVASAN, A. Cloud Computing. Delhi: Pearson India, 2014.
Cloud Computing – Computação em Nuvem
TAURION, C. Cloud Computing – Computação em Nuvem. São Paulo: Brasport.
2012.
Distributed and Cloud Computing: From Parallel Processing to the Internet of Things
HWANG, K.; DONGARRA, J.; FOX, G. C. Distributed and Cloud Computing:
From Parallel Processing to the Internet of Things. São Paulo: Elsevier, 2013.
Filmes
Inimigo do Estado
Robert Clayton Dean, um advogado bem-sucedido em Washington, recebe um
vídeo que mostra a ligação entre um oficial do alto escalão da Agência Nacional de
Segurança a um assassinato político. A partir daí, Dean se transforma em um alvo
constante para a mais perigosa e treinada equipe do governo. Utilizando todos os
meios para arruinar sua carreira e conseguir o vídeo de volta, a equipe inicia uma
caçada sem tréguas. Dean precisa lutar para salvar sua vida e provar sua inocência.
https://youtu.be/wJcYEHlvTO8
Leitura
O Modelo de Computação em Nuvem e sua Aplicabilidade
https://bit.ly/31DXO7O
Os desafios e oportunidades da integração e migração de empresas com cloud computing
https://bit.ly/2Ppv6ow
17
17
UNIDADE
Segurança da Informação e Privacidade
de Dados na Computação em Nuvem
Referências
MÜLLER, S. “Security by Design” – uma nova abordagem para Segurança Ciberné-
tica. Wii, 20 ago. 2018. Disponivel em: <https://wii.com.br/security-by-design-uma-no-
va-abordagem-para-seguranca-cibernetica/#:~:text=A%20cria%C3%A7%C3%A3o%20
de%20um%20aplicativo,ser%20usadas%20as%20senhas%20padr%C3%A3o.>. Acesso
em: 08/02/2021.
Sites Visitados
GESTÃO de Privacidade Vs Segurança da Informação: entenda a diferença. Get Ahead
of Threats. Disponivel em: <https://www.gat.digital/blog/gestao-de-privacidade-vs-segu-
ranca-da-informacao-entenda-a-diferenca/>. Acesso em: 09/02/2021.
SEGURANÇA da informação ISO 27001. Vantix. 08 abr. 2020. Disponivel em: <ht-
tps://www.vantix.com.br/protecao-de-dados-privacy-by-design-privacy-by-default/>.
Acesso em: 08/02/2021.
18