A Segurança em Computação nas Nuvens

Este estudo teve por objetivo analisar como ocorre a segurança da informação na computação nas nuvens. O método de pesquisa utilizado foi a pesquisa qualitativa de levantamento bibliográfico. No decorrer do estudo foram definidos conceitos sobre Cloud Computing, além de analisado o seu funcionamento e serviços oferecidos. Foram também definidos conceitos sobre segurança da informação, e analisado a segurança em ambiente nas nuvens, bem como o gerenciamento de riscos. Verificou-se que apesar do Cloud Computing ser um serviço novo, cada vez mais as empresas estão aderindo a este tipo de serviço, a fim de promover a redução dos custos, tanto operacionais como de infra-estrutura. Porém, alerta-se que é necessário analisar os aspectos de segurança do provedor, no qual irá armazenar os seus dados. Atualmente, a segurança em Cloud Computing ainda não é segura e eficaz, pois organizações como bancos, não utilizam este tipo de serviço devido não confiarem totalmente nesta segurança.

Palavras-Chave: Palavras-Chave: Cloud Computing; Segurança em Cloud Computing; Gerenciamento de Risco.

 

ABSTRACT

This study aimed to analyze how does the information security in cloud computing. The research method used was the qualitative research literature. In the course of the study were defined concepts of Cloud Computing, and analyzed its operation and services offered. Were also defined concepts of information security, and analyzed the security environment in the clouds, as well as risk management. It was found that although cloud computing is a new service, more and more companies are embracing this type of service in order to promote the reduction of costs, both operational and infrastructure. But, warns that it is necessary to analyze the security aspects of the provider, which will store your data. Currently, security in cloud computing is not yet safe and effective, organizations such as banks, do not use this service because they do not trust completely this security.

Keywords: Cloud Computing, Cloud Computing Security, Risk Management.

 

1. INTRODUÇÃO

A computação em nuvem está cada vez mais presente no dia a dia das empresas. Assim, este estudo visa discutir sobre a segurança da informação aplicada à computação em nuvem.

Segundo Carl Claunch (2008) Cloud Computing (Computação em Nuvem) é um estilo de computação, no qual os recursos de TI são fornecidos aos clientes através da Internet. Em outras palavras, a computação em nuvem é uma solução em que todos os recursos de informática (hardware, software, redes, armazenamento) são fornecidos aos usuários sem a necessidade de uma infra-estrutura presente, somente virtual.

[wp_ad_camp_2]

 

Devido as empresas não necessitarem de uma grande infra-estrutura de TI, a computação em nuvem permite que as empresas foquem no seu negócio com redução de custos.

Apesar da diversidade de benefícios oferecida pela computação em nuvem, na qual será discutida neste estudo, existe algumas situações que precisam ser melhor analisadas, para que a empresa possa usufruir desta tecnologia sem maiores problemas. É o caso da segurança da informação. Como ocorre a segurança da informação na computação nas nuvens? Ela é realmente segura e eficaz?

1. OBJETIVOS

Objetivo Geral

Assim, este trabalho tem por objetivo analisar como ocorre a segurança da informação na computação nas nuvens.

• Objetivos Específicos
• Definir conceitos sobre Cloud Computing;
• Analisar o funcionamento e os serviços oferecidos em Cloud Computing;
• Definir conceitos sobre segurança da informação;
• Analisar a segurança em Cloud Computing e Gerenciamento de Riscos.

1. METODOLOGIA DE PESQUISA

A metodologia de pesquisa utilizada neste estudo foi a pesquisa qualitativa de levantamento bibliográfico. Entende-se por pesquisa qualitativa aquela que procura não enumerar ou medir os fenômenos ou eventos estudados nem utiliza a análise estatística dos dados (GODOY, 1995). Assim, a pesquisa qualitativa busca compreender um fenômeno através de uma análise holística, com a coleta de diferentes tipos de informações no contexto em que o fenômeno ocorre (YIN, 2001).

O levantamento bibliográfico, de acordo com Oliveira (2002), tem por finalidade conhecer as diferentes formas de contribuições científicas realizadas sobre determinado assunto ou fenômeno. Este tipo de pesquisa para Martins (2002) tem como objetivo de recolher, selecionar, analisar e interpretar as contribuições teóricas já existentes sobre determinado assunto.

Sendo assim, a pesquisa seguiu as seguintes etapas:

1. Seleção de livros, artigos, publicações, dissertações e teses, através de pesquisas em acervos de bibliotecas e internet, a fim de conhecer e obter informações de publicações existentes sobre o tema e os aspectos que já foram abordados, verificando as opiniões similares e diferentes a respeito do tema ou de aspectos relacionados ao mesmo, ou ao problema de pesquisa.
2. Elaboração de fichas para análise. As fichas foram elaboradas conforme a seguir:

• Fichas Bibliográficas: com dados gerais sobre o artigo;
• Fichas de Citações: com a reprodução literal entre aspas e a indicação da página da parte dos textos lidos de interesse específico para a redação dos tópicos e itens da revisão;
• Fichas de Esboço: apresentando as principais idéias do autor lido de forma esquematizada com a indicação da página do documento lido;
• Fichas de Comentário: com a interpretação das idéias expressas pelo autor do texto lido.

Após o fichamento foi elaborado, a classificação, a análise, a interpretação e a crítica das informações coletadas.

 

       4. REVISÃO BIBLIOGRÁFICA

Para uma melhor compreensão, este estudo foi dividido em quatro capítulos. No primeiro capítulo é feito a introdução do estudo, definindo os objetivos e metodologia de pesquisa adotada. No segundo capítulo são discutidos conceitos sobre Cloud Computing, além de analisado o funcionamento e os serviços oferecidos por esta tecnologia. No terceiro capítulo são definidos conceitos sobre segurança da informação, além de analisado como ocorre à segurança em Cloud Computing e o gerenciamento de riscos. Por último são feitas as considerações finais sobre o estudo.

 

5. CLOUD COMPUTING

5.1 Conceitos

Cloud Computing ou Computação em Nuvens é a virtualização de produtos e serviços computacionais, ou seja, é uma maneira de armazenar todas as informações em servidores virtuais chamados de “nuvem”, onde há uma tendência mundial para este modelo não necessitando de máquinas velozes com um grande potencial de hardware e sim de um simples computador conectado à internet para rodar todos os aplicativos. (SANTOS; MENESES, 2011).

Hoje, há grandes empresas investindo nesta tecnologia para oferecerem esses serviços a seus clientes, como a gigante Google. Ela possui grandes parques computacionais armazenando todas as informações particulares de usuários no mundo, sendo esses produtos e serviços disponibilizados gratuitamente em sua maioria. Na realidade, uma simples troca está sendo feita, na qual dispõem-se de serviços e tem-se espaço para guardar informações. (SANTOS; MENESES, 2011).

Computação em Nuvens surgiu da necessidade de se compartilhar ferramentas computacionais pela interligação dos sistemas, utilizando-se a internet como principal meio de comunicação, em um aspecto semelhante às nuvens do céu. Ao invés de se ter toda essa estrutura localmente, em um cenário onde o usuário fica preso àquele hardware, com este modelo pode-se em qualquer lugar acessar conteúdos, assim, o grande diferencial do mesmo dar-se pelo acesso às informações de qualquer hora e lugar. (SANTOS; MENESES, 2011).

A mais recente edição da pesquisa que o Gartner faz com CIOs revelou que virtualização e computação em nuvem estão no topo das prioridades em TI. Desta forma, a TI irá se transformar em um agente estratégico de mudança e não será mais apenas um suporte de recursos. Mas há um problema: os gestores não estão muito familiarizados com o uso de cloud computing para liderar essa transformação, como sugere algumas de nossas pesquisas. (MURPHI, 2010 apud SANTOS, 2010),

O Cloud Computing é formado por uma nuvem de capacidade computacional e armazenamento de dados que evita a dependência de um único recurso físico e, ao mesmo tempo, proporciona escalabilidade para crescer e processamento garantido e isolado para cada cliente. A arquitetura da computação em nuvem também reduz de maneira inteligente o consumo de energia do Data Center, contribuindo para preservação do meio ambiente. (LOCAWEB, 2010 apud SANTOS, 2010).

As soluções de Cloud Computing costumam ser chamadas de Utility Computing também, mas na prática o termo “Cloud” significa que os recursos do cliente não ficam presos a uma única máquina física, como é feito na maioria das outras hospedagens. Significa que seus recursos literalmente estão numa “nuvem”, garantindo estabilidade e disponibilidade independente de defeitos em máquinas físicas. (CWCONNECT, 2009 apud SANTOS, 2010).

A computação na nuvem ou cloud computing é uma tendência no setor de TI que oferece os benefícios de uma plataforma como serviço, provisionável e elástica. O Windows Azure é uma plataforma de serviços e poder de computação com as características da computação na nuvem, que a Microsoft está desenvolvendo e em breve será oferecida para as empresas, como mais uma opção para a implementação de soluções com alta escalabilidade e disponibilidade na nuvem. (COELHO, 2010 apud SANTOS, 2010)

5.2. Funcionamento e Serviços Oferecidos pelo Cloud Computing

Segundo Taurion (2009) o Cloud Computing é formado por camadas e cada uma dessas, compostas por um conjunto de tecnologias específicas, que são:

 

 

 

 

Segundo Taurion (2009) o modelo de Cloud Computing é o resultado da evolução de diversas tecnologias, como grid computing, processamento paralelo, autonomic computing, virtualização, APIs assíncronos, browsers e outras. E através da integração de todas essas tecnologias é possível, por exemplo, permitir que uma aplicação seja executada perfeitamente em um ambiente constituído de tecnologias heterogêneas e distribuídas geograficamente por vários sistemas (TAURION, 2009).

Taurion (2009) cita algumas funcionalidades essenciais para o correto funcionamento de um ambiente computacional baseado na tecnologia de Cloud Computing.

• Identificação e autenticação: Necessidade de um controle rigoroso de acesso apenas a usuários autorizados, garantindo assim segurança total as informações presentes na nuvem.
• Autorização e aderência políticas: Validação das permissões legais de execução de determinada aplicação.
• Localização de recursos: Escolha dos componentes físicos presentes na nuvem que realizarão os processamentos solicitados.
• Caracterização dos recursos: Adequação dos computadores disponíveis as necessidades das aplicações.
• Alocação dos recursos: Determinação da quantidade de processamento disponibilizado a uma aplicação por cada computador presente na nuvem, e sua prioridade em relação a outras aplicações em execução simultânea.
• Contabilização/Billing/Nível de Serviço: Contabilizar os recursos utilizados por cada usuário e garantir que os serviços acordados estão sendo prestados de forma satisfatória.
• Segurança: Garantir que todas as políticas de segurança estão sendo cumpridas.

Ainda segundo Taurion (2009), em Cloud Computing é exigida a capacidade de interoperabilidade entre seus componentes, e para que isso seja possível é necessária a criação de protocolos e mecanismos flexíveis o suficiente para permitir que o usuário consiga acessar os seus dados presentes na nuvem a partir de diferentes sistemas operacionais em computadores de diferentes tecnologias e em diferentes geografias.
O Cloud Computing distribui os recursos na forma de serviços, dividido em três modelos, conforme a ilustração da figura 2.

 

• Software como Serviço (SaaS)

Segundo a Intel (2009) SaaS é uma nova forma de entregar via web programas com recursos disponíveis no mercado, sem que o usuário tenha necessidade de arcar com custos de licença anuais por uso.

Assim, Ruschel, Zanotto e Mota (2008) afirmam que as aplicações são acessíveis dos vários dispositivos do cliente através de uma relação do thin client tal como um web browser. Desta forma, conforme os autores, o consumidor não administra ou controla a infra-estrutura básica, incluindo nuvens de rede, servidores, sistemas operacionais, armazenamento, ou mesmo capacidades de aplicação individual, com a possível exceção de limitada aplicação específica e definições de configuração de utilizadores.

A Intel (2009) afirma que um dos principais benefícios deste modelo é a redução dos investimentos em infra-estrutura o que significa para o usuário uma alternativa mais atraente e econômica.

Ruschel, Zanotto e Mota (2008) afirmam que o SaaS representam as aplicações completas que são oferecidas aos usuários. Os prestadores de serviços disponibilizam o SaaS na camada de aplicação, o que leva a rodar inteiramente na nuvem e pode ser considerado uma alternativa a rodar um programa em uma máquina local, assim o SaaS traz aredução de custos, dispensando a aquisição de licença de softwares. Colocamos como exemplo de SaaS, sistemas de banco de dados e processadores de textos.

• Plataforma como Serviço (PaaS)

Bordini (2010) afirma que o PaaS tem como objetivo implementar uma infra-estrutura cloud, aplicações criadas ou adquiridas pelo usuário, usando linguagens de programação e ferramentas suportadas pelo provedor.

Desta forma Ruschel, Zanotto e Mota (2008) afirmam que este tipo de serviço oferece uma infra-estrutura de alto nível de integração para implementar e testar aplicações na nuvem. Também fornece um sistema operacional, linguagens de programação e ambientes de desenvolvimento para as aplicações, auxiliando a implementação de softwares, já que contém ferramentas de desenvolvimento e colaboração entre desenvolvedores.

• Infra-estrutura como Serviço (IaaS)

Segundo Ruschel, Zanotto e Mota (2008) o IaaS traz os serviços oferecidos na camada de infra-estrutura, roteadores, sistemas de armazenamento e outros recursos de computação. Também é responsável por prover toda a infra-estrutura necessária para a SaaS e o PaaS. O IaaS traz algumas características, como uma interface única para administração da infra-estrutura, a aplicação API (Application Programming Interface) para interação com hosts, switches, roteadores e o suporte para a adicionar novos equipamentos de forma simples e transparente.

O IaaS, conforme os autores, é baseado em técnicas de virtualização de recursos de computação. Observando do lado da economia, não será necessário a aquisição de novos servidores e equipamento de rede para a ampliação de serviços. Citamos como exemplo de IaaS o Amazon EC2 (Elastic Cloud Computing) e o Eucalyptus (Elastic Utility Computing Architecture Linking Your Programs To Useful Systems).

6. SEGURANÇA CLOUD COMPUTING E GESTÃO DE RISCOS

6.1 Segurança da Informação

Atualmente, vivemos em uma sociedade que se baseia em informações e que exibe uma crescente propensão para coletá-las e armazená-las permitindo às organizações aumentar a eficiência de suas operações (AURÉLIO, 2003). A visão de segurança da informação é cercada das necessidades do mundo atual em que valores como estratégia empresarial, a imagem da organização, produtos e projetos precisam ser protegidos de um ambiente cada vez mais competitivo. O valor estratégico da segurança da informação é de fortalecer as pernas da empresa para que seus braços possam desenvolver todo seu potencial comercial. (MANUNTA, 2004). A gestão da segurança da informação auxilia a empresa a uma direção estratégica do negócio.

Na sociedade da informação, a informação é o principal patrimônio da empresa e está sob constante risco (DIAS, 2000). As empresas já perceberam que o domínio da tecnologia como aliado para o controle da informação é vital. O controle da informação é um fator de sucesso crítico para os negócios e sempre teve fundamental importância para as corporações do ponto de vista estratégico e empresarial (MARTIN, 1987).
A eficácia de uma empresa pode ser definida pela relação entre resultados obtidos e resultados pretendidos. Para que uma empresa possa adotar políticas estratégicas eficazes, é necessário que estas sejam baseadas em informação, que passa a ser a principal matéria-prima de qualquer organização. (AURELIO, 2003).

Sêmola (2003) define a Segurança da Informação, como à proteção existente sobre as informações de uma determinada empresa ou pessoa, isto é, aplica-se tanto as informações corporativas quanto as pessoais. A segurança de uma determinada informação pode ser afetada por fatores comportamentais e de uso de quem se utiliza dela, pelo ambiente ou infra-estrutura que a cerca ou por pessoas mal intencionadas que têm o objetivo de furtar, destruir ou modificar tal informação.

As principais propriedades da segurança são a Confidencialidade, Integridade e Disponibilidade que, atualmente, orientam a análise, o planejamento e a implementação da segurança para um determinado grupo de informações que se deseja proteger. (SÊMOLA, 2003).

Confidencialidade: Segundo Sêmola (2003) é a propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação. Considera-se este princípio quando um sistema, ou ativo de informação, necessita de proteção contra a divulgação não autorizada dos seus bens de informação.

Integridade: Sêmola (2003) afirma que é a propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento,manutenção e destruição). Considera-se este princípio quando um sistema, ou ativo de informação, contém informação que deve ser protegida contra modificações não autorizadas, imprevistas ou até mesmo não intencionais, incluindo ainda mecanismos que permitam a detecção de tais tipos de alteração.

Disponibilidade: Conforme Sêmola (2003) é a propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação. Considera-se este princípio quando um sistema, ou ativo de informação precisa estar disponível para satisfazer os seus requisitos ou evitar perdas financeiras.

 

6.1.1 Ameaças e Ataques à Segurança da Informação

De acordo com Gabbay (2003) as ameaças à segurança da informação sempre vão existir, porém as vulnerabilidades podem ser tratadas. Um fator preocupante em relação às ameaças está na falta de consciência dos executivos de Tecnologia da Informação. Desde um faxineiro mal intencionado com acesso a sala do gerente depois do expediente até um aplicativo adquirido, o qual não foi devidamente testado, são ameaças que as organizações se deparam no cotidiano. Pode-se verificar na figura abaixo os tipos de ameaças enfrentados pelas empresas hoje:

Gabbay (2003, p.23) explica que “as ameaças existem tanto no ambiente externo quanto no ambiente interno, sendo fundamental entendê-las para que seja possível propor medidas de segurança voltadas a eliminar a causa do problema”.

Os ataques, conforme D’Avilla (2002) podem ser classificados em: Interceptação, Modificação e Fabricação. O autor afirma os ataques visam interromper o serviço oferecido, ou seja, ataca-se a disponibilidade das informações conforme pode ser observado nas figuras 4 e 5.

 

D’avilla (2002) afirma que o principal tipo de ataque classificado como interrupção é o Denial of Service (DoS), que é o envio de requisições em massa para um determinado computador, de modo que o mesmo não consegue responder todas elas, ficando sobrecarregado, fazendo com que o serviço pare de funcionar.
Interceptação: Segundo D’ávilla (2002) tem como objetivo capturar o que está sendo transmitido sem que o sistema perceba, ou seja, ataca-se a confidencialidade das informações, conforme pode ser observado na figura 6.

 

O autor cita como exemplo deste tipo ataque o Replay, onde parte de uma transmissão da rede é copiada e reproduzida posteriormente, simulando um usuário autorizado.

Fabricação: D’ávilla (2002) explica que nesta classificação, o atacante tem como finalidade se passar por um usuário do sistema, a fim de obter informações para transmitir dados na rede, ou seja, ataca-se a autenticidade das informações.

O autor afirma que o tipo de ataque mais comum de fabricação é o IP Spoofing, que consiste na substituição do endereço IP do computador do invasor, fazendo com que ele se passe por um computador confiável da rede, podendo assim obter privilégios na comunicação.

Sobre a questão jurídica da propriedade da informação, no que tange ao usuário, à empresa e ao detentor de direitos autorais, é preciso analisar as cláusulas contratuais de cada um dos serviços e das partes envolvidas. Além disso, também é necessário avaliar quais as informações que estamos lidando (obra intelectual, dados cadastrais, propriedade industrial etc).

Como fica uma empresa Brasileira que utiliza os serviços de Cloud Computing de uma empresa Alemã e que os servidores físicos estão na Estados Unidos?. Segundo Juliana Abrusio (2011) especialista em direito digital da Opice Blum Advogados, lembrou que o uso crescente da nuvem pode criar situações em que o fornecedor será local, mas a estrutura de TI estará quarteirizada para um data center nos Estados Unidos ou na Índia, por exemplo.  Na verdade o serviço ficará a mercê das leis do país que ele ficar hospedado. Não importa a nacionalidade da empresa, mas sim onde os dados ficam guardados, o que pode infringir regulamentações e leis locais de proteção de dados.

6.2 Segurança da Informação em Cloud Computing

 

Segundo Castro e Sousa (2010) a segurança em Cloud Computing leva questões relacionadas à privacidade e segurança das informações que residem nas nuvens. Os autores afirmam que apesar de inúmeras preocupações com o assunto, o debate sobre os riscos na nuvem muitas vezes ignora a importância de criar planos de contingência e Acordo de Níveis de Serviço (ANS) (em inglês SLA – Service Level Agreement), voltados a garantir confiabilidade e a certeza de que os negócios não sofrerão grandes baques no caso de um incidente.

Conforme os mesmos autores, os riscos referentes à segurança e privacidade das informações na Nuvem bem como a portabilidade dos dados delineia-se como sendo de alta criticidade. Além disso, quando as informações críticas das empresas estão nas mãos de outras pessoas também pode refletir em menos garantia do cumprimento das leis.

Na computação tradicional os usuários têm total controle sobre seus dados, processos e seu computador (Kandukuri et. al., 2009 apud CASTRO; SOUZA, 2010). Em contrapartida, na Computação em Nuvem todos os serviços e manutenção dos dados são fornecidos por um provedor de nuvem. Neste contexto o cliente (usuário) desconhece quais processos estão em execução ou onde os dados estão armazenados, essa abstração de atividades se deve justamente ao dinamismo inerente da nuvem. Sendo assim o cliente não tem controle sobre todas as movimentações de seus dados na nuvem. (CASTRO; SOUZA, 2010).

“Então como exigir garantias de que as informações residentes na nuvem estão realmente seguras?”

Neste sentido, Castro e Souza (2010) levantam o seguinte questionamento: “Então como exigir garantias de que as informações residentes na nuvem estão realmente seguras?”.

Segundo Castro e Souza (2010) o serviço de Computação em Nuvem, por ser novo no mercado, torna-se difícil criar padrões a partir de experiências adquiridas com a computação tradicional. Neste sentido, é necessário buscar cada vez mais adoção das melhores práticas em segurança, para que as organizações possam desfrutar dos benefícios da Computação em Nuvem.

De acordo com Marcon Junior et al (2010) os serviços fornecidos pela nuvem computacional podem ser disponibilizados em qualquer local físico de abrangência da mesma, ou utilizando componentes de infraestrutura compatíveis com o ambiente do consumidor. Os autores afirmam que a gerência de um grande número de serviços (SaaS, PaaS, IaaS) e recursos físicos pode gerar um volume considerável de dados a ser administrada de maneira centralizada, pois será necessário coletar, armazenar, analisar e processar estes dados. Assim, a administração centralizada pode ser considerada impraticável, e portanto faz-se necessário instanciar serviços de gerenciamento distribuídos e fracamente acoplados (com baixa dependência funcional).

Desta forma, para os autores, é necessário a implantação de um modelo de gerenciamento seguro e confiável. A implantação de mecanismos de autenticação robustos e esquemas de delegação de direitos funcionando de maneira confiável são fundamentais para o correto gerenciamento de identidades e para a prestação de serviços em nuvens computacionais.

Marcon Junior et al (2010) citam um modelo denominado CloudDataSec, a fim de prover a segurança em CloudComputing. Este modelo, conforme os autores, é composto das seguintes camadas:

• Análise de risco: estabelece e gerencia as avaliações de riscos sobre a terceirização de serviços na nuvem, auxiliando na identificação das informações e serviços que devem permanecer dentro dos limites da organização consumidora.
• Orientações de segurança: descreve as políticas e restrições legais relativas à privacidade aplicáveis ao ambiente de computação em nuvem.
• Monitoração de qualidade de serviço (QoS): um acordo de nível de serviço (Service Level Agreement – SLA) entre clientes e fornecedores especifica os níveis de exigência de segurança e privacidade, além de garantir a segurança jurídica dos contratos sobre os serviços.
• Criptografia dos dados e registros (logs): a criptografia visa proteger a confidencialidade e integridade das informações, enquanto os registros fornecem um histórico completo das atividades do usuário.
• Comunicação criptografada: nesta camada são utilizados os protocolos padronizados como SSH, IPSec e suas implementações.

 

Para os autores, a aplicação do modelo CloudDataSec garante a aderência à e a proteção das informações contra alguns ataques, como man-in-the-middle (ataque do intermediário). Este modelo sugere três níveis de garantia de segurança, sumarizados na tabela 1. Marcon et al (2010) afirmam que após uma análise de riscos, os seguintes níveis de segurança são identificados:

• Nível Básico para o desenvolvimento das páginas Web da empresa; não existem informações sensíveis armazenadas no servidor Web de desenvolvimento.
• Nível Avançado para hospedar o site da empresa. Não há restrição sobre o número de máquinas virtuais na mesma máquina física (host), mas somente máquinas virtuais desse domínio devem ser permitidas no mesmo host. No caso de um incidente de segurança, a máquina virtual comprometida é movida para a quarentena, e uma imagem íntegra da mesma é lançada, para propiciar alta disponibilidade ao serviço.
• Nível Premium para hospedar uma loja on-line; neste caso, um vazamento de dados dos usuários pode afetar a reputação da empresa. Em caso de incidente, o sistema é movido para a quarentena para evitar o vazamento de informações. O serviço não é relançado automaticamente, para evitar a repetição do ataque e a possibilidade de exposição de dados pessoais.

 

6.2.1 Gerenciamento de Risco em CloudComputing

Segundo Castro e Sousa (2010) no cenário corporativo é comum observar que as questões de segurança da informação não são tratadas em um nível de gestão da organização, tendo como conseqüência a falta de recursos para minimizar os riscos existentes ao nível exigido pela estratégia organizacional e definido pela análise de risco.

Desta forma, conforme afirmam os autores, o processo de Gestão de Risco na nuvem exigirá modificações significativas na forma como hoje as organizações trabalham para mitigar os riscos, principalmente os relacionados à segurança da informação. Segundo Miller, et al (2009 apud CASTRO;SOUSA, 2010, p.4), os principais objetivos do processo de Gestão de Risco na nuvem, incluem:

• O planejamento para proteção da informação baseados em ativos e em Planos de Mitigação de Riscos;
• Reforçar a capacidade da organização para selecionar e aplicar a proteção baseada no risco específico e nas ameaças que afetam um determinado ativo;
• Assegurar que uma metodologia de gestão de risco de segurança da informação está sendo utilizada em toda organização.

Castro e Sousa (2010) alertam que a adoção de um modelo de serviço de nuvem mal dimensionado pode representar sérias ameaças de segurança da informação para as empresas. Principalmente para aquelas que buscam economizar em licenciamento de software e serviços de infra-estrutura. Desta forma, um modelo de Gestão de Risco bem delineado se torna crucial para garantir que a informação está ao mesmo tempo disponível, protegida e segura.

Os autores citam alguns exemplos de riscos de computação em nuvem para a empresa que precisam ser gerenciados:

• A escolha de um provedor de nuvem caracteriza-se como sendo um ponto extremamente crítico no processo de adoção do modelo. As empresas precisam concentrar uma atenção especial nesse ponto. Quesitos como reputação, a história e a sustentabilidade são fatores que devem ser levados em consideração. A sustentabilidade é de especial importância para garantir que os serviços estarão disponíveis e os dados poderão ser rastreados.
• O fornecedor de nuvem muitas vezes assume a responsabilidade pela manipulação da informação, aspecto que deve ser tratado como crítico para o negócio. Qualquer dificuldade ou falha para se cumprir os SLAs acordados impactará não somente na confidencialidade, mas também na disponibilidade, afetando severamente as operações do negócio.
• A natureza dinâmica da computação em nuvem pode resultar em confusão a respeito de onde a informação realmente reside. Para negócios onde a recuperação da informação é crítica, isso poderá gerar atrasos.
• O acesso de terceiros às informações sensíveis cria um risco de comprometimento das informações confidenciais. Na nuvem, isto pode representar uma ameaça significativa para a proteção da propriedade intelectual e de segredos comerciais.
• Os aspectos legais relacionados à localização física dos Data Centers, quando esses estão localizados em países com um sistema legal instável, poderá levar à violação de leis de proteção de dados, afetando diretamente à empresa. Dessa forma a conformidade com os regulamentos e leis em diferentes regiões geográficas podem ser um desafio para segurança dos dados das empresas. Atualmente há pouco precedente em matéria de responsabilidade jurídica na nuvem.
• Devido à natureza dinâmica da nuvem, a informação não pode ser imediatamente localizada no caso de um desastre. Planos de Continuidade de Negócio e Recuperação de Desastres devem ser bem documentados e testados.
• Além do risco de ocorrer uma interrupção na continuidade dos negócios, outro fator que deve ser considerado são as invasões por hackers aos ambientes da nuvem, denominado por especialistas de Cyber-Cloud. Diferentemente dos hackers comuns esses se apresentam como empresas sofisticadas e bem estabelecidas. Por trás de uma lógica empresarial bem definida, esconde-se uma organização criminosa, que investe alto em pesquisas com a finalidade de ganhar dinheiro.
• Segregação de Dados. Segundo o Gartner Group (2009), é preciso descobrir como se dá a segregação dos dados pelo provedor e principalmente se este utiliza criptografia para os dados em trânsito e/ou armazenados. O fornecedor de nuvem precisa também fornecer evidências de que os esquemas de criptografia utilizados foram projetados e testados por especialistas experientes.
• Recuperação. Mesmo que o cliente não saiba onde os dados estão, e o que vai acontecer com seus dados e serviços em caso de catástrofe, o fornecedor de nuvem deve saber. Portanto é importante questionar o provedor de nuvem se o mesmo tem a capacidade de fazer uma restauração completa e quanto tempo vai demorar.
• Apoio à investigação. Auditar atividades inadequadas ou ilegais pode ser impossível em Computação em Nuvem. A dificuldade é devida as constantes mutações dos conjuntos de hosts e centros de dados. Se não for possível conseguir um compromisso contratual de apoio a formas específicas de investigação, os pedidos de investigação e descoberta serão impossíveis de se realizar.

Castro e Sousa (2010) afirmam que atualmente entidades como o Open Cloud Manifesto, Computing Use Cases Group e o Cloud Security Alliance trabalham no desenvolvimento de padrões de segurança para computação em nuvem, levando essas pesquisas para um grande número de áreas, incluindo auditoria, aplicativos, criptografia, governança, segurança de rede, gerenciamento de risco, armazenamento e virtualização.

7. RESULTADOS

Este estudo teve por objetivo analisar como ocorre a segurança da informação na computação nas nuvens. No decorrer do estudo foram definidos conceitos sobre Cloud Computing, além de analisado o seu funcionamento e serviços oferecidos. Foram também definidos conceitos sobre segurança da informação, e analisado a segurança em ambiente nas nuvens, bem como o gerenciamento de riscos.

Verificou-se que apesar do Cloud Computing ser um serviço novo, cada vez mais as empresas estão aderindo a este tipo de serviço, a fim de promover a redução dos custos, tanto operacionais como de infra-estrutura. Porém, alerta-se que é necessário analisar os aspectos de segurança do provedor, no qual irá armazenar os seus dados. Atualmente, a segurança em Cloud Computing ainda não é segura e eficaz, pois organizações como bancos, não utilizam este tipo de serviço devido não confiarem totalmente nesta segurança.

Castro e Souza (2010, p.6) sugerem para as empresas que:

[…] o primeiro passo é identificar as diferenças entre a segurança local e a segurança na nuvem e examinar quais padrões existentes combinam com as operações em nuvem. No final, eles esperam chegar a padrões que permitam que as empresas possam integrar, seguramente, serviços de computação em nuvem de diferentes fornecedores e ter a garantia de que seus dados ficarão seguros na nuvem.

Conclui-se que o Cloud Computing possui uma série de desafios a enfrentar. Para que a segurança seja eficaz, é necessário que as empresas adotem um sistema de gerenciamento de riscos, e analisem o custo/benefício da utilização desta nova tecnologia.

 

8. REFERÊNCIAS BIBLIOGRÁFICAS

CASTRO, R. C. C.; SOUSA, V. L. P. Segurança em Cloud Computing: Governança e Gerenciamento de Riscos de Segurança. Disponível em: <http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740-Seguranca%20em%20Cloud.pdf> Acesso em 20 out 2011.

D’ÁVILLA, Márcio H. C. Segurança de Redes. Belo Horizonte, 2001. Aula 2. Disponível em: <http://www.inet.com.br/~mhavila/aulas/seguranca/material.html>. Acesso em: 01 abr 2011.

DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. São Paulo: Axcel Books, 2000.

GABBAY, Max Simon. Fatores influenciadores na implementação de ações de gestão de segurança da informação: um estudo com executivos e gerentes de tecnologia da informação em empresas do Rio Grande do Norte. Tese (mestrado). Universidade Federal do Rio Grande do Norte, 2003.

INFORMATION Society. Towards a European Cloud Computing Strategy. Disponível em: <http://ec.europa.eu/information_society/activities/cloudcomputing/index_en.htm>. Acesso em: 13 jun 2012.

JULIANA, A. Regulamentação do uso da nuvem mexe com privacidade e soberania. 2011. Disponível em < http://www.nic.br/imprensa/clipping/2011/midia1020.htm> Acesso em 18 jul 2012.

MANUNTA, Roberto. Puzzle Seguridad Corporativa. Revista Hispánica de la Inteligencia competitiva. v.1 n.7 outubro de 2003. Disponível em <www.revistapuzzle.com> Acesso 30 out 2011.

MARCON JUNIOR, A. et al. Aspectos de Segurança e Privacidade em Ambiente em Computação em Nuvem. Disponível em: <http://www.insert.uece.br/sbseg2010/anais/04_minicursos/minicurso_02.pdf> Acesso em 20 out 2011.

MARTIN, James. Engenharia da Informação. Rio de Janeiro: Campus, 1987.

RUSCHEL, H.; ZANOTTO, M. S.; MOTA, W. C. Computação em Nuvem. 2008. Disponível em: <http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS08B/Welton%20Costa%20da%20Mota%20-%20Artigo.pdf> Acesso em 20 out 2010.

SANTOS, H. D. TI VERDE: Interesses organizacionais e tecnologia da informação  alinhados pela sustentabilidade.  Monografia apresentada ao curso de Tecnologia em Informática para Gestão de Negócios da Faculdade de Tecnologia da Zona Leste. São Paulo: FATEC, 2010.

SANTOS, B. C.; MENESES, F. G. A. Cloud Computing: conceitos, oportunidades e desafios da nova computação. 1Instituto Federal de Educação Ciência e Tecnologia. 2011.  Disponível em <http://www.ifpiparnaiba.edu.br/index.php?option=com> Acesso em 30 out 2011.

SÊMOLA, M. Gestão da Segurança da Informação. Rio de Janeiro: Campus, 2003.

TAURION, C. Cloud Computing – Computação em Nuvem – Transformando o mundo da Tecnologia da Informação. Rio de Janeiro: 2009.p.