SEGURANA DA INFORMAO A Internet tem revolucionado o mundo das comunicaes como nenhuma inveno foi capaz de fazer antes.

Ela , de uma vez e ao mesmo tempo, um mecanismo de disseminao da informao e divulgao mundial e um meio para colaborao e interao entre indivduos e seus computadores,independentemente de suaslocalizaes geogrficas. J a Segurana da informao pode ser definida como um conjunto de medidas que se constituem basicamente de controles e polticas de segurana, tendo como principal objetivo a proteo das informaes de clientes e empresa (bens/ativos), controlando o risco de revelao ou alterao por pessoas no autorizadas. Na figura 1.0, logo abaixo, contextualizado os trs princpios bsicos da Segurana da Informao: Confidencialidade, Integridade e Disponibilidade.

Figura 1.0 Princpios da Segurana da Informao. Alm dos trs princpios bsicos, existem outros princpios que devem ser seguidos conforme a figura 1.1:

Figura 1.1 Princpios Auxiliares da Segurana da Informao.

3.1. Principais Ameaas De acordo com Cunha (2005), podemos definir ameaas como sendo agentes ou condies que causam incidentes que comprometem as informaes e seus ativos por meio da explorao de vulnerabilidades. As ameaas, quanto a sua intencionalidade, podem ser divididas nos seguintes grupos: Naturais: so decorrentes de fenmenos da natureza, como incndios, enchentes, terremotos, tempestades eletromagnticas, maremotos, aquecimento e poluio. Involuntrias: so ameaas inconscientes, quase sempre causadas pelo desconhecimento, elas podem ser causadas por acidentes, erros, faltas de energia e etc. Voluntrias: so propositais, causadas por agentes humanos como hackers, invasores, espies, ladres e etc.

3.2. Necessidade de Segurana da Informao

Diariamente as organizaes, seus sistemas e redes de computadores so expostos a diversos tipos de ameaas a segurana das informaes. A International Organization for Standardization (ISO/IEC 17799, 2005), afirma que a segurana da informao importante para os negcios, tanto do setor pblico quanto o privado, e para proteger as infraestruturas crticas A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. Muitos sistemas de informao no foram projetados para serem seguros. A segurana da informao que pode ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por procedimentos apropriados. (ISO/IEC 17799, 2005) Atualmente, numa era onde o conhecimento e a informao so fatores de suma importncia para qualquer indivduo, organizao ou nao, a Segurana da Informao um pr-requisito para todo e qualquer sistema de informaes estarem, de certa forma, protegidos.

3.3. Segurana Lgica Segurana Lgica a forma como um sistema protegido, seja por softwares ou regras de restries de acesso. Normalmente considerada como proteo contra ataques, mas tambm significa proteo de sistemas contra erros no intencionais, como remoo acidental de importantes arquivos de sistema ou aplicao. Fazendo com que o Emprego de recursos tecnolgicos nos processos, como por exemplo, utilizao de firewalls, antivrus, anti-spam entre outros, sejam extremamente necessrios. A norma tcnica NBR ISSO/IEC 17799 - Cdigo de Prtica para a Segurana da Informao, estabelece que as regras para concesso de acesso devam ser baseadas na premissa Tudo deve ser proibido a menos que expressamente permitido, ao invs da regra Tudo permitido a menos que expressamente proibido. O controle de acesso lgico procura assegurar que s os usurios que tenham autorizao possam acessar aos recursos, como tambm, ter acesso apenas aos recursos realmente indispensveis para a execuo de suas atividades. Os usurios sejam impedidos de efetuar tarefas que no sejam compatveis com a sua funo e o acesso a recursos sendo constantemente monitorado e restrito. O controle para o acesso dos usurios pode ser diminudo em termos de funes de identificao e autenticao, monitoramento e gerenciamento de privilgios, limitao e desabilitao de acessos e na preveno de acessos no autorizados. Os controles de acessos podem ser feitos nos processos de logon,

identificao e autenticao do usurio, controle de senhas de acesso e sistemas biomtricos. 3.3.1 Principais riscos Segurana Lgica As principais ameaas no que diz respeito a segurana lgica esto ligadas aos acessos indevidos, erros provocados e a perda de dados decorrente a esses erros, falhas na rede provocadas por software estranho, fraudes e sabotagens. Podemos ver abaixo alguns exemplos. Perda de Confidencialidade: quando h uma quebra de sigilo de uma determinada informao permitindo que sejam expostas informaes restritas as quais seriam acessveis apenas por um determinado grupo de usurios. Perda de Integridade: quando uma determinada informao fica exposta a manuseio por uma pessoa no autorizada. Perda de Disponibilidade: acontece quando a informao deixa de estar acessvel por quem necessita dela. 3.4. Prejuzos causados com a ausncia da Segurana da Informao Uma parada repentina nos sistemas informatizados de uma empresa pode comprometer seus negcios ocasionando prejuzos financeiros, como tambm, afetando a credibilidade perante seus clientes e o mercado. Principalmente se essa parada for ocasionada por algum tipo de ataque bem sucedido que teve por objetivo o captura das informaes da empresa. Ferreira (2003) afirma que alguns dos maiores riscos que uma empresa est vulnervel pela falta de um nvel adequado de segurana de informaes so: Perdas por fraudes e erros; Imagem e credibilidade podendo ser afetadas; Vazamento de informaes; Indisponibilidade da informao; e outros.

4.3. Desafios A Computao nas Nuvens oferece inmeras vantagens, mas tambm possui uma srie de desafios a serem superados na utilizao desse tipo de tecnologia. Dentre eles, podemos citar:

4.3.1 - Segurana O maior desafio a ser enfrentado pela Computao nas Nuvens a segurana. Para entender os potenciais riscos de segurana, as empresas devem fazer uma avaliao completa de um servio de nuvem comeando com a rede, checando as operaes do fornecedor e desenvolvendo o aplicativo em nuvem. Em um relatrio do Gartner (2008, aput Brodkin, 2008), h um alerta para sete principais riscos de segurana na utilizao de Computao nas Nuvens: 1. Dados sensveis sendo processados forada empresa trazem, obrigatoriamente, um nvel inerente de risco. Os serviosterceirizados fogem de controles fsicos, lgicos e de pessoal que as reas de TIcriam em casa. Consiga o mximo de informao que voc precisa sobre quem vaigerenciar seus dados. Pea aos fornecedores que dem informaes especficassobre quem ter privilgio de administrador no acesso aos dados para, da, controlar esses acessos. (GARTNER, 2010, pag.68) 2. Compliance com regulamentao. As empresas so as responsveis pela segurana e integridade de seus prprios dados, mesmo quando essas informaes so gerenciadas por um provedor de servios. Provedores de servios tradicionais esto sujeitos a auditores externos e a certificaes de segurana. J os fornecedores de Cloud computing que se recusem a suportar a esse tipo de escrutnio esto sinalizando aos clientes que o nico uso para Cloud para questes triviais. (GARTNER, 2010, pag.68) 3. Localizao dos dados. Quando uma empresa est usando o cloud, ela provavelmente no sabe exatamente onde os dados esto armazenados. Na verdade, a empresa pode nem saber qual o pas em que as informaes esto guardadas. 4. Segregao dos dados. Dados de uma empresa na nuvem dividem tipicamente um ambiente com dados de outros clientes. A criptografia efetiva, mas no a cura para tudo. Descubra o que feito para separar os dados, aconselha o Gartner. 5. Recuperao dos dados. Mesmo se a empresa no sabe onde os dados esto, um fornecedor em cloud devem saber o que acontece com essas informaes em caso de desastre. 6. Apoio investigao. A investigao de atividades ilegais pode se tornar impossvel em cloud computing, alerta o Gartner. Servios em cloud so especialmente difceis de investigar, por que o acesso e os dados dos vrios usurios podem estar localizado em vrios lugares, espalhados em uma srie de servidores que mudam o tempo todo. Se no for possvel conseguir um compromisso contratual para dar apoio a formas especficas de investigao, junto com a evidncia de que esse fornecedor j tenha feito isso com sucesso no passado., alerta.

Servios em Cloud so especialmente difceis deinvestigar, por que o acesso e os dados dos vrios usuriospodem estar localizado em vrios lugares, espalhados em umasrie de servidores que mudam o tempo todo. Se no for possvel conseguir um compromisso contratual para dar apoioas formas especficas de investigao, junto com a evidnciade que esse fornecedor j tenha feito isso com sucesso nopassado. (GARTNER, 2010, pag.69) 7. Viabilidade em longo prazo. No mundo ideal, o seu fornecedor de cloud computing jamais vai falir ou ser adquirido por uma empresa maior. Mas a empresa precisa garantir que os seus dados estaro disponveis caso isso acontea. Pergunte como voc vai conseguir seus dados de volta e se eles vo estar em um formato que voc pode import-lo em uma aplicao substituta, completa o Gartner. Avaliando essas informaes percebemos que antes de adquiri qualquer servio oferecido nas nuvens, devemos tomar todas as precaues devidas levando a este tema Cloud Computing no Brasil ser a principal prioridade tecnolgica do CIO (Chief Information Officer), e no resto do mundo este tema aparece em segundo lugar, isso pode ser justificado pelo cenrio econmico no pas que est aquecido, na viso da vicepresidente do programa executivo do Gartner, Ione Coco Hoje o mundo inteiro est de olho no Brasil e existe uma presso para que o CIO local traga respostas que acompanhem o crescimento esperado das empresas, analisa Ione, que acrescenta: E o cloud [computing] garante a flexibilidade para responder mais rapidamente s demandas do negcio. A preocupao nesse aspecto fez com que a entidade Cloud Security Alliance (CSA) lanasse a segunda verso de um documento com orientaes para segurana nas nuvens (www.cloudsecurityalliance.org) 4.3.2 Disponibilidade dos Servios O que acontecer quando a conexo estiver lenta ou simplesmente cair? a que vem a tempestade. Para Almeida (2009), com tudo rodando na Internet, teremos grandes problemas, pelo menos aqui no Brasil com questes como a conexo e com a estabilidade da Internet. Um dos motivos para a descentralizao de recursos de computao, isto , os recursos estarem prximos de quem usa foi a necessidade de garantir uma alta taxa de disponibilidade. Um exemplo verdadeiro foi o que aconteceu no incio da automao bancria no Brasil. A grande maioria das solues implementava o modelo descentralizado em funo da m qualidade das linhas de comunicao e com isso no se garantia o nvel de disponibilidade desejado. 4.3.3 Centralizao dos Dados

A Internet foi desenvolvida com a finalidade de se dar o fim na centralizao dos dados. Em plena guerra, o bombardeio s centrais de servidores poderiam deixar os Estados Unidos sem comunicao. O problema a centralizao mesmo. No caso de um ataque de hackers (ou terrorista de carne e osso) s centrais de servidores do Google, os 146 milhes de usurios do Gmail teriam uma grande dor de cabea. Moral da histria: a computao em nuvem muito melhor e mais confortvel que a de antes. Mas tambm menos segura (REVISTA SUPER INTERESSANTE, edio 273, 2009) E o que vemos no desenvolvimento da Computao nas Nuvens? O retorno na centralizao dos dados! Com isso, fica tentadora ataques direcionais a tais datacenters, pois haver uma enorme quantidade de informaes. Devido a isso, sero visadas por pessoas mal intencionadas utilizando-se, ou no, de pestes virtuais, comprometendo assim, a qualidade da nuvem. Gesto de Segurana na Nuvem De acordo com a gesto de processos atravs dos quadros de ITIL e ISO, identificamos os seguintes processos relevantes como os de segurana recomendadas reas de gesto de foco para assegurar os servios na nuvem: Gesto de Disponibilidade (ITIL) O controle de acesso (ISO / IEC 27002, ITIL) Vulnerabilidade de gesto (ISO / IEC 27002) Patch gesto (ITIL) gerenciamento de configurao (ITIL) Resposta a Incidentes (ISO / IEC 27002) O uso do sistema e monitoramento de acesso (ISO / IEC 27002) De acordo com a figura 6.1, podemos destacar a relevncia de vrias funes de segurana de gesto disponveis para cada um dos modelos SPI entrega nuvem no contexto de modelos de implantao (privado e pblico). Como podemos observar na tabela, gesto de segurana cortes prticas em todos os modelos de distribuio e implantao. Estas funes tm de ser levadas em conta na nuvem como modelo de operaes de segurana.

Cloud Public clouds deployment/SPI Software-as-a-service Access control (partial) (SaaS) Monitoring system use and access (partial) Incident response

Private clouds The following functions typically managed by your IT department or managed services: Availability management Access control Vulnerability management Patch management Configuration management Incident response

Platform-as-a-service The following are limited to (PaaS) customer applications deployed in PaaS (CSP is responsible for the PaaS platform): Availability management Access control Vulnerability management Patch management Configuration management Incident response

Monitoring system use and access

Monitoring system use and access Infrastructure-as-aservice (IaaS) Availability management (virtual instances) Access control (user and limited network) Vulnerability management (operating system and applications) Patch management (operating system and applications)

Cloud deployment/SPI

Public clouds

Private clouds

Configuration management

(operating system and applications)

Incident response

TABELA 6-1. Funes de segurana relevantes de gesto de modelos de entrega SPI nuvem no contexto modelos de system use (privado, pblico). de Monitoring implantao and Solues de segurana access (operating system and Segundo Joan Goodchild , em qualquer sistema de informao, o elo mais fraco applications) sempre o fator humano. Levando em considerao esta constatao, foi relacionada abaixo uma lista de solues em segurana, tendo como foco principal a autenticao do usurio de cloud computing. As solues propostas so: Utilizao de senha forte; Token; carto de segurana e biometria. Uma senha forte deveria ter algumas caractersticas, como: Ter no mnimo 6 caracteres; conter caracteres no-alfabticos, tais como 0-9, e caracteres no alfanumricos, como #,% ou &; conter letras maisculas e minsculas e no ser uma palavra de dicionrio. Certificando-se que a senha no o prprio nome ou de familiares e que o nome no est seguido de nmeros consecutivos. Utilizar senhas fortes dificulta o acesso de pessoas no autorizadas por evitar que sejam facilmente "quebradas". Token um dispositivo eletrnico gerador de senhas, geralmente sem conexo fsica com o computador, podendo tambm, em algumas verses, ser conectado uma porta USB. O modelo OTP, pode ser baseado em tempo, gerando senhas dinmicas a cada frao de tempo previamente determinada, ou ainda baseado em evento, que gera senhas a cada clicar do boto, sendo essa senha vlida at o momento da sua utilizao, no dependendo de tempo. Utilizar este dispositivo fornece uma camada extra de segurana, j que as senhas mudam constantemente. O carto de segurana uma ferramenta que oferece proteo adicional na utilizao de servios online. Ao realizar alguma operao, um dos cdigos do carto ser solicitado aleatoriamente, funcionando como dispositivo

adicional de segurana. comum em transaes bancrias, mas pode ser utilizado em qualquer setor empresarial. A biometria se baseia na idia de que alguns traos fsicos so exclusivos de cada ser e os transforma em padres. A tcnica foca as chamadas "mensuraes unvocas" do ser humano. Os aparelhos biomtricos funcionam por meio da captura de dados do ser humano, tais como: ris, retina, dedo, rosto, veias da mo, voz e at odores do corpo. Essa amostra transformada em um padro, que poder ser comparado para futuras identificaes. Desta forma, a biometria fornece um meio altamente eficaz na identificao de um usurio. Desvantagens Apesar de todas as vantagens observadas na computao em nuvem, muitosobstculos ainda precisam ser superados para que a tecnologia ganhe mais espaonas empresas. De acordo com a pesquisa feita pela Unisys com 90 respostas [14]:72% relatam preocupao com segurana; 34% identificaram problemas deintegrao; 14% mencionaram o TCO, que o custo total da tomada de umadeciso em TI; e 8% escolheram outros tipos de preocupaes, como pode ser vistona figura 3.3 abaixo.

As questes ligadas segurana representam um problema para a maior parte dospotenciais clientes desta tecnologia. Tendo em vista esta questo, existe uma sriede solues que podem ser utilizadas na computao em nuvem visando um nvelde segurana mais elevado.

ABNT, NBR ISO/IEC 17799. Tecnologia da Informao: cdigo de prtica para a gesto da segurana da informao. ABNT, 2005. ALECRIM, Emerson. O que Cloud Computing (Computao nas Nuvens)?. Disponvel em: <http://www.infowester.com/cloudcomputing.php>. Acessado em: 21 dez 2009. ALMEIDA, Juliana. Todos sob as nuvens: uma nova viso sobre a informtica. Disponvel em: <http://comunicacao2.0.vixtime.com.br/?tag=computacao-nas-nuvens>. Acessado em: 03 jan 2010. AMRHEIN, Dustin; QUINT, Scott. Computao em Nuvem para a Empresa: Parte 1: Capturando a Nuvem. Disponvel em: <http://www.ibm.com/developerworks/br/websphere/techjournal/0904_amrhein/ 0904_amrhein.html>. Acessado em: 15 jan 2010. BRODKIN, Jon. Conhea sete dos riscos de segurana em Cloud Computing. Disponvel em: <http://cio.uol.com.br/gestao/2008/07/11/conheca-sete-dos-riscos-de-seguranca-emcloud-computing>. Acessado em: 13 jan 2010. http://computacaonuvem.blogspot.com.br/2011/03/seguranca-em-computacao-nasnuvens.html www.facape.br/cynara/sas/6_Controle_de_Acesso_Logico.ppt http://www.projetoderedes.com.br/aulas/ugb_auditoria_e_analise/ugb_apoio_audito ria_e_analise_de_seguranca_aula_02.pdf http://www.mbi.com.br/mbi/biblioteca/artigos/20091013fontes/ Ricardo Jos Gouveia CARNEIRO (1); Cleisson Christian Lima da Costa RAMOS (2) http://www.fatecjp.com.br/revista/art-ed02-001.pdf

http://www.csoonline.com/author/440077/Joan+Goodchild

GOODCHILD, J. (2010) Polticas de segurana: o elo mais fraco est nas pessoas.

Disponvel em: http://cio.uol.com.br/tecnologia/2010/05/25/politicas-de-segurancao-elomais-fraco-esta-nas-pessoas/. Acessado em: 24 de julho de 2011. MOHAMED, A. (2009) A history of Cloud Computing. Disponvel em: < http://www.computerweekly.com/Articles/2009/06/10/235429/A-history-ofcloudcomputing.htm>. Acessando em 18 de julho de 2011.