PIM 3

Prévia do material em texto

PROJETO INTEGRADO MULTIDISCIPLINAR
III
Projeto de Consultoria de Segurança da Informação
Banco de Sangue de todo Território Nacional
Americana
2021
PROJETO INTEGRADO MULTIDISCIPLINAR
III
Projeto de Consultoria de Segurança da Informação
Banco de Sangue de todo Território Nacional
Leandro Borsato
RA: 2131952
 Segurança da Informação
Professor(a) e Orientador(a):
 RICARDO SEWAYBRIKER.
Americana
2021
RESUMO
Neste projeto foram propostas soluções seguras em forma de projeto que ligue todos os centros de doação de sangue públicos do Brasil. Será implementado o sistema em ambiente de desenvolvimento open Soure, sem custo financeiro, por meio de linguagem e programação e banco de dados que permita sua utilização em diferentes sistemas operacionais. 
A partir dos resultados será possível constatar que o sistema é uma ferramenta importante de gestão para banco de sangue.
Propomos soluções para redes e comunicação para interligar os centros de doação de sangue de forma a proteger os dados.
Criamos uma única estrutura de banco de dados em computação em nuvem para manter as informações do banco de sangue atualizadas em tempo real sem esquecer a segurança da informação. Por meio de funções matemáticas demonstramos eficiência que a unificação das bases de dados trouxe ao sistema. “A gestão da informação descreve o meio pela qual uma organização planeja, coleta, organiza, utiliza, controla, dissemina e descarta suas informações de forma eficiente, para garantir que o valor dessa informação seja identificado e explorado em toda sua extensão”.
Estabelecemos um programa de segurança da informação para assegurar as informações dos dados cadastrais dos doadores e bem antes da criação deste projeto sempre pensamos na segurança da informação desde o início para terminar com a satisfação das necessidades.
Neste projeto da empresa SOF HARD, também apresentamos o importante Trio: confidencialidade, integridade e disponibilidade.
Palavras-chave: Banco de Sangue; Computação em nuvem; Comunicação; Open Soure; Segurança da informação; Soluções.
ABSTRACT
In this project, safe solutions were proposed in the form of a project that links all public blood donation centers in Brazil. The system will be implemented in an open-source development environment, without financial cost, through language and programming and a database that allows its use in different operating systems. From the results it will be possible to verify that the system is an important management tool for blood banks. 
We propose solutions for networks and communication to connect blood donation centers in order to protect data. 
We have created a single database structure in cloud computing to keep blood bank information updated in real time without forgetting information security. Through mathematical functions we demonstrate efficiency that the unification of the databases brought to the system. "Information management describes the means by which an organization plans, collects, organizes, uses, controls, disseminates and disposes of its information efficiently, to ensure that the value of that information is identified and exploited to its full extent." 
We established an information security program to ensure the information on donor registration data and well before the creation of this project, we always thought about information security from the beginning to end meeting the needs. 
In this project of the company SOF HARD, we also present the important Trio: confidentiality, integrity and availability. 
 Keywords: Blood Bank; Cloud computing; Communication; Open source; information security, Solutions.
Sumario
Introdução
	Nossa empresa SOFT HARD veio com uma proposta de desonvolvimento, para o projato esta agragando segurança e particidade, aos usuarios, com asseço facil e com ferramentas simples mas seguras de todos arquivos dele contidos.
Com uma plataforma simples e dadicada e principalmente segura.
Estabelecemos um programa de segurança da informação para assegurar as informações dos dados cadastrais dos doadores e bem antes da criação deste projeto sempre pensamos na segurança da informação desde o início para terminar com a satisfação das necessidades.
Fomos designados para uma tarefa de ordem voluntária, dispor um projeto de consultoria de segurança da informação para atender os Bancos de Sangue de todo território nacional.
A SOFT HARD irá realizar tarefas que englobam, Matemática para computação, Segurança da Informação, Administração de Banco de Dados e de Rede de Dados e Comunicação.
Os objetivos específicos é desenvolver a capacidade de identificar necessidades e propor soluções seguras em forma de projeto ligando todos os centros de doação de sangue públicos do Brasil.
Este projeto vai propor soluções para redes de comunicação e proteção dos dados para interligar os centros de doação de sangue e com uma única estrutura de banco de dados em computação em nuvem para manter as informações dos bancos de sangue atualizadas em tempo real sem esquecer a segurança das informações, e mostraremos a eficiência que a unificação das bases de dados trará ao sistema.
Com a segurança da informação asseguramos as informações dos dados cadastrais dos doadores, do forma propor todo comteudo amplo e simplificado, proposta de integração e unificação de forma rapida e pretica com os meios tecnologigos existentes e de forma segura.
“Você sabe quantas gotas de sangue são necessárias para te manter vivo? A mesma quantidade para salvar uma vida!
Você não pode dar tudo o que tem para salvar alguém, mas pode ajudar a completar o que falta. Seja a gota que faltava”.
2
(Campanha de doação de sangue) Ket Antonio
2. Desenvolvimento do Projeto
No desenvolvimento deste projeto envolveremos a análise e o projeto de dois componentes: os dados e os processos.
Projeto de dados é considerado a parte estática que dificilmente sofre modificações após sua definição e o projeto de processos que é a parte dinâmica que quando realizadas sobre os dados e podem variar conforme a evolução do sistema.
2.1 Conceito Banco de Dados
É um conjunto de arquivos relacionados entre si com registros sobre pessoas, lugares ou coisas. São coleções organizadas de dados que se relacionam de forma a criar algum sentido (Informação) e dar mais eficiência durante uma pesquisa ou estudo científico.
2.2 Requisitos de Banco de Dados
Nesta etapa a SOFT HARD irá coletar as informações sobre os dados de interesse da aplicação.
Tarefas necessárias que serão realizadas:
· Entrevista com os futuros usuários do sistema
· Análise de documentações disponíveis
· Arquivos
· Relatórios e etc. 
Após as reuniões, os requisitos são documentados através do Documento de Especificação do Projeto (DEP), que detalha com todas as descrições tudo o que o sistema realizará, e esquematizados pelo Diagrama de Casos de Uso, que é uma orientação lógica para os desenvolvedores.
Projeto Conceitual a fase de análise de dados ou requisitos das tarefas anteriores.
Projeto Lógico mapeamento de um tipo de diagrama de acordo com o modelo de dados que foi definido pela SOFT HARD, que será a modelagem de alto nível a E-R Entidade-Relacionamento como propõe o Dr. Peter Chen. O resultado é uma estrutura lógica com um conjunto de tabelas relacionadas.
2.3 Sistemas de Banco de Sangue
Permite o controle total do ciclo de sangue. Totalmente web, proporciona acesso remoto através da internet com computadores cliente de baixa capacidade de processamento e gerencia toda rotina operacional, técnica e administrativa.
2.4 Recursos do Sistema:
1. Cadastro de Doadores: Seguindo padrões da ANVISA, o cadastro de doadores controla o bloqueio automático por idade, sexo e preenchimento de campos obrigatórios. Mantém o histórico de doações e histórico desituação do doador.
2. Recepção: Praticidade ao atendimento, identifica o tipo de doação, tipo de material a ser coletadoe o motivo do comparecimento. Faz validações específicas, controle de intervalo de doação por sexo, período de inaptidão de triagem ou inaptidão sorológica.
3. Triagem: Registra os sinais vitais do doador, pode ser configurado de acordo com a unidade do hemocentro e de acordo com as normas técnicas. Visualiza ficha do doador e seu histórico, verifica os dados de outras doações na mesma tela. Emite etiquetas de código de barras, de bolsas e de tubos. Compreende também o serviço de auto exclusão.
4. Coleta: Visando a maior eficácia dos processos, o sistema possibilita alto nível de exatidão quanto ao registro de tempo de doação e ao volume coletado. Mantém os registros de informações de coletas conforme a ultima realizada. Gera automaticamente o código da doação com base no código do doado, sequencial e com a padronização universal do ISBT.
5. Fracionamento: Cálculo automático de validade de acordo com o hemocomponente. Cálculo automático do volume e da emissão de etiquetas com código de barras de acordo com as regras estabelecidas nos cadastros.
6. Liberação e Descarte: Controle sobre as bolsas liberadas e descartadas, sendo que as bolsas somente poderão ser expedidas após serem liberadas, garantindo total controle e segurança.
7. Estoque: Total controle de estoque de hemocomponentes, gerando relatórios para visualização da real situação do estoque e facilitando o gerenciamento das bolsas com validade vencida e a vencer, que ainda estejam no hemocentro. Indicadores de estoque na página principal 
2
8. Expedição: As informações de expedição poderão ser personalizadas ou não por pacientes, podem também ser registradas diretamente no sistema que permite o acesso rápido às informações e ao rastreamento de bolsas.
2.5 Comunicação e Processo de Automação
A comunicação corporativa será responsável pela captação e fidelização de doares de sangue (voluntários e vinculados), por meio de campanhas específicas de sensibilização, estabelecendo ações de comunicação com o doador para manter os estoques de sangue e os componentes.
Responde pela Assessoria de Imprensa, com publicação de textos relativos à empresa e ao trabalho que desenvolve, dando atendimento aos veículos de comunicação e sugerindo pautas para TV, rádio, revistas, internet e jornais.
O processo de automação é um dos principais destaques para os bancos de sangue por ter a menor interferência humana possível, os equipamentos da fase de testagem das amostras, são capazes de garantir ensaios 100% sensíveis elevando a eficácia e eficiência das testagens de bolsas de sangue. 
“A automação traz benefícios de evitar o erro humano, sempre com o objetivo de levar o melhor para o paciente que está na ponta”. Ela agiliza o processo, permitindo analisar uma quantidade maior de exames com resultados confiáveis, e consequentemente atender um maior número de pacientes.
2.6 Computação em Nuvem
Disponibiliza uma demanda de recursos do sistema computacional especialmente armazenamento de dados e capacidade de computação, sem o gerenciamento ativo direto do utilizador.
O armazenamento de dados poderá ser acedido de qualquer lugar do mundo, a qualquer hora, não havendo necessidade de instalação de programas ou armazenar dados. O acesso a programas, serviços e arquivos é remoto através da internet. 
A Empresa SOFT HARD escolheu esse modelo de ambiente por ser mais viável do que o uso de unidades físicas neste projeto.
3. Sistema de Gerenciamento de Banco de Dados
O software a ser utilizado será o SGBD Web pode ser instalado em um ambiente totalmente open source, eliminando os custos. O sistema gerencia o acesso e faz a correta manutenção dos dados armazenados em um ou mais Banco de Dados. O acesso aos dados é disponibilizado por meio de uma interface que permite a comunicação com a aplicação desenvolvida.
· SGBD
· Software
a) Software para processar consultas
b) Software para Acessar dados armazenados
· Programas de Aplicação / Consultas
· Usuário
· Metadados armazenados
· Base de Dados armazenados
Esquema de um SGBD
Os SGBD têm interfaces bem parecidas. Todos possuem o que chamamos de Object Explorer no lado esquerdo, onde é exibida a estrutura do banco de dados.
Eles utilizam um formato análogo ao do Windows Explorer, permitindo a navegação entre os objetos do banco de dados. Do lado direito, temos uma tela dividida em duas partes na vertical. Normalmente, a parte de cima é onde se digitam os comandos SQL, e a parte de baixo é onde se visualizam os resultados.
Todos os relatórios técnicos e gerenciais definidos pela ANVISA estão disponíveis no SGBD Web, sistema totalmente modular que atende as funções específicas de uma ou mais unidades hemoterápica. Possui uma plataforma flexível que pode ser configurada de acordo com as necessidades da unidade.
3.1 Administração de Banco de Dados
Controla procedimentos de segurança, executa backup e recuperação de falhas de meio de armazenamento, assim como monitoração de performance de acesso de dados e tomada de decisões para melhorias no SGBD.
Mantém um banco de dados corporativo “no ar” por todo o tempo que o sistema necessita, sem erros, com rapidez e confiabilidade. Certificar-se que o banco de dados é rápido e que a performance do servidor não afetará negativamente sua disponibilidade e usabilidade.
O backup é considerado uma das atividades mais importantes e críticas de administração de banco de dados. Consiste em fazer uma cópia de segurança (dump) dos dados e da estrutura do banco de dados, além das operações realizadas na linha do tempo, entre uma cópia e outra. Será feito o backup todos os dias para não ter problemas com as falhas que podem ser de dois tipos: soft crash e hard crash.
 
A primeira são falhas do sistema (por exemplo, queda de energia) que afetam todas as transações em curso no momento, mas não danificam fisicamente o banco de dados. 
A segunda são falhas da mídia (por exemplo, queda da cabeça de gravação sobre o disco) que causam danos ao banco de dados ou uma parte dele e afetam pelo menos todas as transações que, no momento, estão usando essa parte.
3.2 Entidade-Relacionamento (DER)
Ferramenta escolhida por apresentar poucos conceitos, fácil compreensão e é considerada praticamente um padrão para modelagem conceitual. Um diagrama E-R é uma representação gráfica, na forma de um diagrama, no qual são utilizados apenas três conceitos: entidades, relacionamentos e atributos.
Modelo relacional foi utilizado para representar quais tabelas seriam implementadas no banco de dados. 
O Diagrama Entitidade-Relacionamento (DER), além de representar as tabelas do sistema, apresenta seus atributos e relacionamentos, sendo, portanto, uma modelagem lógica para o banco de dados. 
É possível visualizar o DER do banco de dados do sistema de informação desenvolvido no ambiente de modelagem do MySQL Workbench.
Com base nos diagramas de concepção do DER, foi desenvolvida a programação Java no IDE Eclipse e implementado o banco de dados no Sistema de Gerenciamento de Banco de Dados (SGBD) MySQL, com o auxílio da ferramenta MySQL Workbench. A programação Java para os cálculos de previsão de demanda teve como base a modelagem proposta por Ferreira et al. (2013).
3.3 Rede de Dados e Comunicação
A rede será substituída pela comutação por célula que é uma grande evolução se comparada a outras duas (comutação por circuito e por pacotes). Só se tornou possível devido a baixa taxa de erros dos meios de transmissão existentes, hoje baseados em fibra óptica.
Consiste no uso de células de tamanho fixo. Nessa tecnologia, a banda é alocada dinamicamente, o que garante o suporte a aplicações de taxa constante, como serviços de voz e vídeo em tempo real, e taxa variável, como serviços de dados.
As principais vantagens da fibra óptica são: imunidade a interferências, alcance de grandes distâncias e alta velocidade
Serão utilizadas redes WAN classificadas em três níveis: nível1, estão os ISPs responsáveis pelas conexões nacionais e internacionais,
dando forma à internet; no nível 2, estão os ISPs de serviços regionais, que se conectam ao nível 1 (nesse nível, são vendidos serviços de rede WAN); por fim, no nível 3 os provedores locais, normalmente para usuários domésticos.
Para aumentar a segurança, é possível utilizar algum esquema de criptografia nesse nível, sendo que os dados só serão decodificados na camada 6 do dispositivo receptor. Assim, no dispositivo de origem, a mensagem é enviada criptografada, quer dizer, os dados da informação original são modificados em um formato para envio. A formatação de dados serve para que o nó receptor entenda o que o nó emissor envia.
A camada de sessão é responsável pelo estabelecimento, gerenciamento e finalização de sessões entre a entidade transmissora e a receptora.
Os principais serviços oferecidos pela camada de sessão são: Intercâmbio de dados, Gerenciamento de diálogos, Sincronização, Gerenciamento de atividades, Relatório de exceções.
Cada camada oferece seus serviços para a camada diretamente acima. O chamado Ponto de Acesso aos Serviços da Sessão (PASS) permite a utilização dos serviços da camada de sessão pela camada de apresentação.
4. Segurança da Informação
Mecanismos de segurança
O suporte para as recomendações de segurança pode ser encontrado em:
Controles físicos: são barreiras que limitam o contato ou acesso direto a informação ou a infraestrutura (que garante a existência da informação) que a suporta. Mecanismos de segurança que apoiam os controles físicos: portas, trancas, paredes, blindagem, guardas, etc.
Controles lógicos: são barreiras que impedem ou limitam o acesso a informação, que está em ambiente controlado, geralmente eletrônico, e que, de outro modo, ficaria exposta a alteração não autorizada por elemento mal intencionado. Mecanismos de segurança que apoiam os controles lógicos:
Mecanismos de cifração ou encriptação: permitem a transformação reversível da informação de forma a torná-la ininteligível a terceiros. Utiliza-se para tal, algoritmos determinados e uma chave secreta para, a partir de um conjunto de dados não criptografados, produzir uma sequência de dados criptografados. A operação inversa é a decifração.
Assinatura digital: Um conjunto de dados criptografados, associados a um documento do qual são função, garantindo a integridade e autenticidade do documento associado, mas não a sua confidencialidade.
Mecanismos de garantia da integridade da informação: usando funções de "Hashing" ou de checagem, é garantida a integridade através de comparação do resultado do teste local com o divulgado pelo autor.
Mecanismos de controle de acesso: palavras-chave, sistemas biométricos, firewalls, cartões inteligentes.
Mecanismos de certificação: atesta a validade de um documento.
Honeypot: é uma ferramenta que tem a função de propositalmente simular falhas de segurança de um sistema e colher informações sobre o invasor enganando-o, fazendo-o pensar que esteja de fato explorando uma vulnerabilidade daquele sistema. É uma espécie de armadilha para invasores. O honeypot não oferece nenhum tipo de proteção.
Protocolos seguros: uso de protocolos que garantem um grau de segurança e usam alguns dos mecanismos citados aqui.
Atualmente existe uma grande variedade de ferramentas e sistemas que pretendem fornecer segurança. Alguns exemplos: antivírus, firewalls, filtros anti-spam, fuzzers, detectores de intrusões (IDS), analisadores de código, etc.[2]
4.1 Ameaças à segurança
As ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas três principais características, quais sejam:
Perda de confidencialidade: há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou administrador de sistema) permitindo que sejam expostas informações restritas as quais seriam acessíveis apenas por um determinado grupo de usuários.
Perda de integridade: determinada informação fica exposta a manuseio por uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
Perda de disponibilidade: a informação deixa de estar acessível por quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, que aconteceu com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.
No caso de ameaças à rede de computadores ou a um sistema, estas podem vir de agentes maliciosos, muitas vezes conhecidos como crackers, (hackers não são agentes maliciosos, pois tentam ajudar a encontrar possíveis falhas). Os crackers são motivados a fazer esta ilegalidade por vários motivos, dentre eles: notoriedade, autoestima, vingança e enriquecimento ilícito. 
De acordo com pesquisa elaborada pelo Computer Security Institut, mais de 70% dos ataques partem de usuários legítimos de sistemas de informação (incides), o que motiva corporações a investir largamente em controles de segurança para seus ambientes corporativos (intranet).
“Ninguém está seguro na internet, ninguém nunca esteve seguro na internet, ninguém nUUUnca estará 100% seguro na internet. E todo mundo sabe disso. E todo mundo se esquece disso, porque todo mundo se acomoda com isso”.
Georgeana Alves
“Segurança da Informação tem a finalidade de estabelecer procedimentos no sentido de proteger as informações e dados de seus computadores, garantindo a privacidade, solidez, disponibilidade e integridade de seus programas e equipamentos”.
Jair Barbosa
4.2 Invasões na Internet
Todo sistema de computação necessita de um sistema para proteção de arquivos. Este sistema é um conjunto de regras que garantem que a informação não seja lida, ou modificada por quem não tem permissão.
A segurança é usada especificamente para referência do problema genérico do assunto, já os mecanismos de proteção são usados para salvar as informações a serem protegidas. 
A segurança é analisada de várias formas, sendo os principais problemas causados com a falta dela a perda de dados e as invasões de intrusos. A perda de dados na maioria das vezes é causada por algumas razões:
Fatores naturais: incêndios, enchentes, terremotos, e vários outros problemas de causas naturais;
Erros de hardware ou de software: falhas no processamento, erros de comunicação, ou bugs em programas;
Erros humanos: entrada de dados incorreta, montagem errada de disco ou perda de um disco.
Para evitar a perda destes dados é necessário manter um backup confiável, armazenado geograficamente distante dos dados originais.
Nível de segurança
Depois de identificado o potencial de ataque, as organizações têm que decidir o nível de segurança a estabelecer para uma rede ou sistema os recursos físicos e lógicos a necessitar de proteção. No nível de segurança devem ser quantificados os custos associados aos ataques e os associados à implementação de mecanismos de proteção para minimizar a probabilidade de ocorrência de um ataque.
· Segurança física
Considera as ameaças físicas como incêndios, desabamentos, relâmpagos, alagamento, algo que possa danificar a parte física da segurança, acesso indevido de estranhos (controle de acesso), forma inadequada de tratamento e manuseio dos veículos.
· Segurança lógica
Atenta contra ameaças ocasionadas por vírus, acessos remotos à rede, backup desatualizados, violação de senhas, furtos de identidades, etc.
Segurança lógica é a forma como um sistema é protegido no nível de sistema operacional e de aplicação. Normalmente é considerada como proteção contra ataques, mas também significa proteção de sistemas contra erros não intencionais, como remoção acidental de importantes arquivos de sistema ou aplicação. É fácil manipular a informação usando palavras-chave, como nesse caso: informação; segurança; e controle.
4.3 Segurança dos Dadosem Nuvem
A segurança na nuvem, ou cloud security, é a proteção de dados, aplicações e infraestruturas envolvidas na cloud computing. Muitos aspectos da segurança de ambientes de nuvem (pública, privada ou híbrida) são os mesmos de qualquer arquitetura de TI on-premise.
As preocupações com segurança de alto nível afetam a TI tradicional e os sistemas de cloud computing do mesmo jeito. Elas incluem a exposição e vazamento de dados não autorizados, controles de acesso fracos, suscetibilidade a ataques e interrupções na disponibilidade. Como qualquer ambiente de computação, a segurança na nuvem inclui a manutenção de medidas de proteção preventivas para que você:
· Ter certeza de que os dados e os sistemas estão seguros.
· Ter visibilidade sobre o estado atual da segurança.
· Saber imediatamente se algo incomum acontecer.
· Acompanhar e solucione eventos inesperados.
Nós sabemos que é difícil compreender algo que existe entre os recursos abstratos enviados pela Internet e o servidor físico. Trata-se de um ambiente dinâmico onde tudo está sempre mudando, como as ameaças à segurança.
Quebra de perímetros
A segurança está muito relacionada ao acesso. Os ambientes tradicionais costumam controlá-lo usando um modelo de segurança por perímetro.
Os ambientes de cloud computing estão altamente conectados, o que facilita a passagem do tráfego pelas defesas tradicionais de perímetro. Interfaces de programação de aplicações (APIs) não seguras, gerenciamento fraco de identidades e credenciais, invasões de conta e usuários internos mal-intencionados são ameaças ao sistema e aos dados. 
Para impedir o acesso não autorizado à nuvem, você precisa de uma abordagem centrada nos dados. Criptografe os dados. Fortaleça o processo de autorização. Exija senhas mais fortes e use a autenticação em dois fatores. Criar segurança em cada nível.
Atualmente, tudo é baseado em software
O termo "nuvem", ou “cloud”, se refere aos recursos hospedados que são entregues ao usuário por meio de um software. As infraestruturas de cloud computing – e todos os dados processados por elas – são dinâmicas, escaláveis e portáteis. 
Seja como partes inerentes das cargas de trabalho (por exemplo, criptografia) ou de forma dinâmica por meio de APIs e sistema de gerenciamento de nuvem, os controles de segurança precisam responder às variáveis do ambiente e acompanhar as cargas de trabalho e os dados tanto em repouso quanto em movimento. 
Dessa forma, você protege os ambientes de cloud computing contra a deterioração do sistema e perda de dados.
Cenário de ameaças sofisticadas
Ameaças sofisticadas englobam tudo o que afeta negativamente a computação moderna, incluindo a cloud computing. Malwares cada vez mais sofisticados e outros ataques, como as ameaças persistentes avançadas (APTs), foram projetados para burlar as defesas de rede, tendo como alvo as vulnerabilidades no stack de computação. 
As violações de dados podem resultar em adulteração e divulgação não autorizada de informações. Não há uma solução evidente para essas ameaças. No entanto, você tem a responsabilidade de se manter atualizado sobre as práticas de segurança na nuvem que estão evoluindo para acompanhar os novos riscos.
4.4 A segurança na nuvem é responsabilidade de todos
Seja qual for o seu tipo de implantação de nuvem, é sua responsabilidade protegê-la. Usar uma nuvem com manutenção terceirizada não elimina suas responsabilidades e preocupações. 
Uma das principais causas das falhas na segurança é a falta de diligência prévia. A segurança na nuvem é responsabilidade de todos
Segurança na nuvem pública
OK, vamos discutir esse assunto. Em vez de falar sobre as diferenças de segurança nas três implantações de nuvem (pública, privada e híbrida), vamos abordar o que está em questão: “As nuvens públicas são seguras?”. A resposta depende de alguns fatores.
As nuvens públicas oferecem a segurança apropriada para diversos tipos de carga de trabalho. No entanto, elas não são adequadas para tudo, principalmente porque elas não têm o isolamento das nuvens privadas. As nuvens públicas oferecem suporte a múltiplos locatários. 
Ou seja, você aluga capacidade de computação (ou espaço de armazenamento) do fornecedor de serviços de nuvem junto com outros “locatários”. Cada um deles assina um SLA com o fornecedor, que documenta quem é responsável pelo quê. É muito parecido com o aluguel de um espaço físico.
 O proprietário (fornecedor da nuvem) se compromete a manter o edifício (infraestrutura em nuvem), guardar as chaves (acesso) e não perturbar o locatário (privacidade). 
Em retorno, o locatário promete não fazer nada que afete negativamente a integridade do edifício ou incomode os vizinhos (por exemplo, executar aplicações não seguras). No entanto, não é possível escolher seus vizinhos. 
Consequentemente, existe uma probabilidade de haver ameaças à segurança. Embora a equipe de segurança de infraestrutura do fornecedor da nuvem fique de olho nos eventos incomuns, as ameaças escondidas ou agressivas – como ataques distribuídos de negação de serviço (DDoS) maliciosos – ainda podem afetar negativamente outros locatários.
Felizmente, há alguns padrões de segurança, regulamentos e estruturas de controle aceitos pelo setor, como o Cloud Controls Matrix da Cloud Security Alliance. 
Também é possível se isolar em um ambiente de vários locatários ao implantar mais medidas de segurança, como criptografia e técnicas de redução de DDoS, que protegem as cargas de trabalho contra uma infraestrutura comprometida. 
Se isso não for suficiente, será possível implantar brokers de segurança de acesso à nuvem para monitorar as atividades e aplicar políticas de segurança em funções corporativas de baixo risco. No entanto, tudo isso pode não ser suficiente nos setores que operam sob regulamentos rígidos de privacidade, segurança e conformidade.
Diminua riscos com a nuvem híbrida
As medidas de segurança estão muito relacionadas à tolerância a riscos e à análise do custo-benefício. Como os possíveis riscos e benefícios afetam a integridade geral da organização? O que é mais importante? Nem toda carga de trabalho requer o mais alto nível de criptografia e segurança. Pense da seguinte forma: trancar a porta de casa mantém todos os pertences relativamente seguros, mas você ainda pode querer guardar os objetos de valor em um cofre. É bom ter opções.
É por isso que cada vez mais empresas estão adotando as nuvens híbridas, que proporcionam o que há de melhor em todas as nuvens. A nuvem híbrida é a combinação de dois ou mais ambientes de nuvem (pública ou privada) interconectados.
Com as nuvens híbridas, é possível escolher a localização das cargas de trabalho e dos dados com base nos requisitos de conformidade, auditoria, política ou segurança. Isso mantém as cargas confidenciais protegidas na nuvem privada, enquanto você opera as mais comuns na nuvem pública. 
Há alguns desafios de segurança específicos da cloud híbrida, como migração de dados, maior complexidade e extensa superfície de ataque. No entanto, a presença de vários ambientes é uma das defesas mais fortes contra os riscos à segurança.
5. CONCIDERAÇÕES FINAIS 
Como foi visto, a segurança da informação depende de tecnologias, mas também de pessoal preparado. Necessita de planejamento, mas também de ações efetivas. Exige que se conheça as ameaças e os riscos, mas também a própria organização e acima de tudo o negócio, pois a segurança da informação existe em função do negócio. Se tais medidas forem ignoradas, poderão haver sérias consequências e, por isso, investimentos nessa área são imprescindíveis. 
Segurança da Informação é muito mais que ter um software antivírus instalado ou utilizar um firewall que impeça o ataque de agentes indevidos a sua rede corporativa. Segurança da Informação está relacionada a proteção de dados, a segurança física, a segurança ambiental, o alinhamento da Tecnologia da Informação com os objetivos e a missão da empresa, dentre outras funções essenciais para a continuidade dos negócios.
A informaçãoé o bem mais precioso para uma empresa/indivíduo, sendo a principal fonte para as tomadas de decisão. Qualquer conteúdo que seja gerado pela empresa por meio de suas operações diárias, seja pelas transações de compra e venda, os registros de atividades dos funcionários ou qualquer outro conteúdo que necessite ser armazenamento.
Nos dias atuais, a informação passou a ser gerada na maioria das transações por meios digitais. Dessa forma, a segurança da informação existe para determinar o que pode ser afetado caso ocorram problemas relacionados a perda de acesso, o roubo de dados, a indisponibilidade de serviços, dentre outros eventos que podem interferir o funcionamento correto das atividades da empresa.
A conclusão é de que o mais importante é atingir um nível de segurança aceitável, de modo a minimizar os impactos na organização, pois, no final das contas segurança absoluta não existe. 
As informações aqui contidas são suficientes para que, no mínimo, se tenha uma visão geral sobre as ameaças e soluções associadas à segurança da informação, permitindo até mesmo a elaboração de uma política de segurança da informação ou a melhoria dessa, caso já exista.
Para trabalhos futuros, julgo serem interessantes uma análise sobre a profissionalização do setor de segurança da informação, a segurança da informação para a computação em nuvem e, é claro, o aperfeiçoamento dos mecanismos de proteção frente às novas ameaças.
Referências
 ABNT NBR ISO/IEC 27002:2013
 'Meu amigo foi atacado por um hacker'; sistema da Microsoft tenta evitar roubo de senhas no Hotmail, acessado em 08 de outubro de 2021
 Adrielle Fernanda Silva do Espírito Santo (2012). «Segurança da Informação» (PDF). ICE.EDU. Consultado em 10 de outubro de 2021
 Como criar senhas mais fortes, seguras e protegidas, acessado em 10 de outubro de 2021.
 GUEDES, MARIA HELENA (2016). Os Mecanismos! [S.l.]: Clube de Autores. pp. 51–53 11 de outubro de 2021
Terpstra, John (2005). Segurança para Linux. RJ: Elsevier. ISBN 85-352-1599-9
Melhorar a usabilidade de Gerenciamento de senha com políticas de senha padronizados 11 de outubro de 2021
Claudia Dias, Segurança e Auditoria da Tecnologia da Informação, 2000, Editora: Axcel Books 142, ISBN 85-7323-231-9 12 de outubro de 2021
Brostoff, S. (2004). Improving password system effectiveness. Tese de Doutorado. University College London. 13 de outubro de 2021
https://www.redhat.com Segurança nas nuvens 13 de outubro de 2021