slide4

Prévia do material em texto

WBA0482_v1.0
Segurança em Cloud 
Computing
Confidencialidade dos Dados 
Armazenados e Processados 
em Cloud Computing
Bloco 1
Marcia Maria Savoine
Segurança dos Dados
A IBM Security, após seu último estudo global, apresentou o Relatório de Custo da 
Violação de Dados (IBM SECURITY, 2020), e vale salientar:
• Uma violação custa, na média global, US$ 3,8 milhões para a empresa.
• As contas comprometidas de funcionários foram a causa mais cara.
• As violações de dados sofridas por mais de 500 organizações pelo mundo mostraram que
80% dos incidentes são exposição das informações de identificação 
pessoal do cliente (PII). 
• Os tipos de dados expostos nessas violações (informações pessoais de 
clientes) também foram as mais caras para as empresas.
• As organizações podem ter perdas financeiras, caso dados sejam 
comprometidos, à medida que companhias acessam cada vez mais 
dados sensíveis por meio do trabalho remoto e das operações de 
negócios na nuvem.
Segurança dos Dados
Algumas das principais descobertas do relatório da IBM Security (2020) incluem:
• Tecnologia inteligente reduz custos pela metade: US$ 2,45 milhões (implementados) versus US$ 6,03 
milhões (não implementados), em média.
• Pagamento pelas credenciais comprometidas: incidentes em que atacantes acessam a rede das empresas 
usando credenciais comprometidas ou roubadas  US$ 1 milhão mais alto em comparação à média global, 
chegando a US$ 4,77 milhões por violação.
 Ataques maliciosos: exploram a vulnerabilidade de terceiros, segunda origem com maior custo (US$ 4,5 
milhões) para esse grupo.
• Custo de megaviolações aumenta aos milhões: mais de 50 milhões de registros são comprometidos, 
subindo de US$388 milhões para US$ 392 milhões. 
 Violações nas quais 40 a 50 milhões de registros foram expostos, custando para as empresas US$364 
milhões em média  Aumento de US$ 19 milhões em comparação ao relatório de 2019.
• Ataques de estado-nação (a violação mais prejudicial): comparando com outros atores de ameaças 
examinados no relatório: ataques state-sponsored attacks tiveram média de U$4,43 milhões por violação, 
superando os cibercriminosos financeiramente motivados e os hackativistas.
Segurança dos Dados
• A segurança dos dados está relacionada a elementos essenciais, que são a confidencialidade, a integridade 
e a disponibilidade.
• Há tendência do crescimento das ameaças aos dados, em função do aumento do número de partes, 
dispositivos e aplicações envolvidas e impulsionamento ao aumento do número de pontos de acesso 
(Multicloud).
• O Relatório Top Threats to Cloud Computing - The Egregious 11 (CSA, 2019), cujo objetivo é aumentar a 
conscientização sobre ameaças, riscos e vulnerabilidades na nuvem, apontou:
1. Violações de dados.
2. Configuração incorreta e controle de mudança inadequado.
3. Falta de arquitetura e estratégia de segurança em nuvem.
4. Identidade, credencial, acesso e gerenciamento de chaves insuficientes.
5. Roubo de conta.
6. Ameaça interna.
7. Interfaces e APIs inseguras.
8. Plano de controle fraco.
9. Falhas na metaestrutura e na aplicação.
10. Visibilidade de uso de nuvem limitada.
11. Abuso e uso indevido de serviços em nuvem.
Confidencialidade dos dados armazenados e processados na nuvem
• Confidencialidade: garantia de que os dados serão acessados por aqueles que têm direito ou autorização para tal. 
• Garantia atribuída tanto para os dados armazenados em meio persistentes, evitando que terceiros acessem 
dados do meio de armazenamento, quanto na transferência dos dados para a nuvem.
• A confidencialidade dos dados na nuvem está associada à autenticação do usuário.
• A inexistência da autenticação leva ao acesso não autorizado de utilizadores na nuvem, gerando lacuna ou falha 
na privacidade.
 Condição do sistema em que os recursos estão livres de acesso 
não autorizado e alteração não autorizada ou acidental, 
destruição ou perda.
 Sinônimo de confidencialidade de dados. (SHIREY, 2007, 
p. 232)
• Privacidade composta por três elementos: sigilo (ou segredo), anonimato e 
isolamento (direito de ficar sozinho).
• O sigilo é um problema fortemente ligado à confidencialidade; o anonimato 
está relacionado à proteção da identidade do sujeito; e o isolamento é o 
direito de ficar indisponível para outros indivíduos (MARCON JR. et al., 2010, 
p. 82).
Confidencialidade dos dados armazenados e processados em 
nuvem
GRUPOS DE ATIVIDADES ATIVIDADES
1. Coleta de Informações Vigilância, interrogatório.
2. Processamento de Informações Agregação, identificação, insegurança, uso 
secundário, exclusão.
3. Disseminação de Informações Falha de confidencialidade, divulgação, exposição, 
chantagem, apropriação, distorção.
4. Invasão Intrusão, interferência nas decisões.
A privacidade é classificada de acordo a proposta de Solove (2009), composta por 
quatro grupos de atividades.
Tabela 1 – Classificação da privacidade dos dados
Fonte: adaptada de Solove (2009).
A confidencialidade é um meio para se conseguir a privacidade!
Confidencialidade dos Dados 
Armazenados e Processados 
em Cloud Computing
Bloco 2
Marcia Maria Savoine
Como os princípios da LGPD protegem o usuário
• LGPD – Lei Geral de Proteção de Dados Pessoais (BRASIL, 2018): legislação brasileira sobre coleta, 
armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades 
para o não cumprimento. 
• No art. 6º: atividades de tratamento de dados pessoais deverão observar alguns princípios:
 1º Princípio, Da Finalidade  Garante a realização do tratamento para propósitos legítimos, específicos, 
explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com 
essas finalidades. Na captação de dados  tratamento de dados não pode prosseguir sem novo 
consentimento do titular dos dados. Por isso que aplicativos como WhatsApp, Facebook, Deezer e sites 
diversos estão sempre perguntando se você aceita ou não um cookie, ou seja, se você aceita ou não ser 
identificado na web. 
 Outro princípio, Do Livre Acesso  Garante, aos titulares, consulta facilitada e gratuita sobre a forma e a 
duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
• No art. 18: garante, além do várias outras situações, que exista a eliminação dos dados pessoais tratados 
com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da lei.
 Entidades públicas e privadas devem fornecer informações ao titular quando ele solicitar.
Como os princípios da LGPD protegem o usuário
• Artigo 18 da LGPD  Aas entidades públicas e privadas devem fornecer informações ao titular quando ele 
solicitar. (BRASIL, 2018)
• O Código de Defesa do Consumidor (BRASIL, 1990) também traz previsão parecida voltada ao consumidor:
 Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, 
fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.
• A LGPD não imputa nenhum tipo de sanção criminal quanto ao 
descumprimento de tais medidas, mas, se a prática se enquadrar nas previsões 
do Código de Defesa do Consumidor, em seus artigos 72 e 73, haverá sim 
sanção criminal de detenção:
 Art. 72. Impedir ou dificultar o acesso do consumidor às informações que sobre ele 
constem em cadastros, banco de dados, fichas e registros:
 Pena Detenção de seis meses a um ano ou multa.
 Art. 73. Deixar de corrigir imediatamente informação sobre consumidor constante 
de cadastro, banco de dados, fichas ou registros que sabe ou deveria saber ser 
inexata:
 Pena Detenção de um a seis meses ou multa.
Confidencialidade dos Dados 
Armazenados e Processados 
em Cloud Computing
Bloco 3
Marcia Maria Savoine
Confidencialidade dos dados armazenados e processados em 
nuvem
Para garantir a confidencialidade dos dados em nuvem e a privacidade, há quatro categorias: 
1. Controle de acesso; 2. Encriptação; 3. Anonimização; e 4. Fragmentação• 1. Controle de Acesso  Capacidade de autorizar ou negar a utilização de um objeto (uma 
entidade passiva, como um sistema ou arquivo) por um indivíduo (uma entidade ativa ou um 
processo), sendo composto pelos processos de autenticação, autorização e auditoria.
 Se o consumidor é uma organização, deve ter políticas que compreendam a definição de 
regras para a totalidade do domínio da organização consumidora.
 Se consumidor for usuário da organização, as políticas precisam ser individualizadas.
• 2. Criptografia  Compreende as técnicas pelas quais a informação pode ser transformada da 
sua forma original para outra ilegível, de forma que possa ser conhecida apenas por alguém 
autorizado.
 A criptografia em nuvem deve ser utilizada tanto nos dados em trânsito (dados sendo 
transferidos ou processados) como nos dados em repouso.
Confidencialidade dos dados armazenados e processados em 
nuvem
Fonte: adaptada de Lima (2018, p. 98).
Figura 1 – Exemplo de criptografia de dados em trânsito
Confidencialidade dos dados armazenados e processados em 
nuvem
Fonte: adaptada de AWS (2013, p. 9).
Figura 2 – Exemplo de criptografia de dados em repouso
Confidencialidade dos dados armazenados e processados em 
nuvem
• 3. Anonimização dos Dados  Antes que qualquer dado seja publicado, deve ser sanitizado com 
a remoção de identificadores explícitos (isto é, deve-se torná-lo anônimo) – como nomes, 
endereços e números de telefone, entre outros – para que requisitos específicos de privacidade 
sejam atendidos.
Fonte: adaptada de Branco Jr. (2017, p. 56).
• 4. Fragmentação dos dados 
 Busca separar em 
fragmentos diferentes 
atributos que, utilizados em 
conjunto, possam 
identificar univocamente 
um sujeito em um conjunto 
de sujeitos.
Número 
Placa
Motorista CPF Data 
Nascimento
Data 
Infração
Tipo 
Infraçã
o
Valor 
Multa
* * * 03/1977 01/2013 1 170,00
* * * 03/1977 01/2013 2 250,00
* * * 05/1977 01/2013 1 170,00
* * * 04/1978 01/2013 1 170,00
* * * 05/1978 01/2013 2 250,00
* * * 05/1978 01/2013 2 250,00
* * * 05/1978 01/2013 1 170,00
Tabela 2 – Exemplo de dados públicos 
anonimizados sobre infrações de trânsito
Modelos de Preservação da Privacidade
• Para a maior preservação da privacidade dos dados armazenados/ processados na nuvem, indica-se a 
classificação em 3 categorias: Busca Criptográfica; Private Information Retrieval (PIR); e Secure Multiparty 
Computation (SMC).
• Busca Criptográfica  Técnica que fornece aplicabilidade de busca em dados encriptados sem solicitar a 
chave de encriptação.
Fonte: adaptada de Branco Jr. (2017, p. 65).
Busca 
Criptográfica com 
chave simétrica
Busca criptográfica 
com chave pública
Construção do 
texto cifrado 
pesquisável
Criado por uma 
chave secreta.
Criado por parâmetros 
públicos.
Gerenciamento da 
chave
Atributos de usuário 
único.
Atributos de 
multiusuário.
Funcionalidade
Busca por uma 
palavra-chave.
Busca por uma palavra-
chave e decriptação 
parcial dos dados.
Desempenho Mais eficiente. Menos eficiente.
• Pode usar estruturas criptográficas 
embasadas em chave simétrica ou 
chave pública:
 Chaves públicas: apropriadas para 
atributos multiusuário, em que cada 
cliente pode encriptar os dados 
usando parâmetros públicos, mas 
apenas um usuário pode fazer 
consultas aos dados.
 Chave simétrica: somente o dono da 
chave secreta pode criar as palavras-
chaves.
Tabela 3 – Comparação entre 
Esquemas de Busca Criptográfica
Modelos de Preservação da Privacidade
• Private Information Retrieval (PIR), ou Recuperação de Informação 
Privada  Técnica de busca em bancos de dados públicos não 
criptografados para preservar a violação na privacidade de acesso dos 
usuários, ou seja, com garantias e restrições de privacidade. 
• Ex.: o usuário pode querer saber o valor de 
alguma ação na bolsa de valores sem mostrar em 
quais ações está interessado. 
Modelos de Preservação da Privacidade
• Secure Multiparty Computation (SMC), ou Computação Multipartidária Segura  Técnica de 
processamento distribuído de dados, com garantia de privacidade, em que se avalia uma função com 
vários pares para que cada um deles aprenda o valor de saída, mas não as entradas uns dos outros. 
Figura 3 – Exemplo de segredo compartilhando dois valores
Fonte: adaptada de Sunfish (2017, [s.p.]).
 Segredo compartilhado de dois valores (laranja e azul) entre três nós 
de computação e um protocolo SMC, que resulta em um resultado 
compartilhado de segredo (verde).
Modelos de Preservação da Privacidade
Fonte: adaptada de tacktack/Andrii Tokarchuk/iStock.com.
Figura 4 – Confidencialidade, privacidade e seus componentes
Teoria em Prática
Bloco 4
Marcia Maria Savoine
Reflita sobre a seguinte situação
Você aplicou a Técnica de Anonimização dos Dados em 
um relatório que será publicado no site da empresa 
para mostrar a quantidade de funcionários que 
realizaram exames de rotina no último mês. No 
entanto, somente após a publicação do relatório, 
percebeu-se que alguns dados sensíveis foram 
expostos e todos na empresa tiveram acesso a eles.
Quais ações você deve tomar de imediato? Qual pilar 
de segurança foi exposto, confidencialidade ou 
privacidade? O que ocorreu durante a Anonimização 
dos Dados para dar errado? 
Norte para a resolução...
• Ação emergencial  Retirar o relatório do site da empresa e depois 
realizar a técnica de maneira correta.
• Faltou “sanitizar” as informações antes de aplicar a técnica de 
anonimização dos dados.
• O pilar rompido/exposto  Confidencialidade, atrelada à qual está a 
privacidade dos dados.
Dica da Professora
Bloco 5
Marcia Maria Savoine
Dica da Professora – Proteção de Dados em Nuvem: a arte imita a 
vida?
• Filmes sobre a Proteção de Dados – Confidencialidade e Privacidade:
1. Nada é Privado: O Escândalo da Cambridge Analytica (2019)
Documentário: 2h19 – Direção: Karim Amer.
2. Snowden: Herói ou traidor? (2016)
Thriller/Drama: 2h14 – Direção: Oliver Stone.
O que todos esses filmes têm em comum?
• Na era dos negócios digitais, com projetos, transações financeiras e interações 
entre amigos, são feitas denúncias de violações de dados pessoais.
• Questiona-se: onde está a responsabilidade das empresas que permitiram que 
os dados dos clientes fossem levados a conhecimento público a partir de seus 
colaboradores?
• Essas preocupações resultaram na promulgação da LGPD, que promete 
pressionar as organizações para não se adequarem à proteção de dados.
Referências
AWS. Amazon Web Services. Criptografando dados em repouso no AWS. EUA: Whitepaper, 2013.
BRANCO JR., Eliseu Castelo. Uma Estratégia para Assegurar a Confidencialidade de Dados Armazenados em Nuvem. Tese 
(Doutorado em Ciência da Computação) – Centro de Ciências, Universidade Federal do Ceará, Fortaleza, 2017.
BRASIL. Lei n. 8.078, de 11 de setembro de 1990. Código de Defesa do Consumidor. Brasília, DF: Presidência da República, 
[1990]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078.htm. Acesso em: 30 nov. 2020.
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília: Presidência da 
República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 30 
nov. 2020.
CSA. Cloud Security Alliance. CSA Releases New Research - Top Threats to Cloud Computing: Egregious Eleven. 2019. 
Disponível em: https://cloudsecurityalliance.org/press-releases/2019/08/09/csa-releases-new-research-top-threats-to-cloud-
computing-egregious-eleven/. Acesso em: 18 dez. 2020. 
CSA. Cloud Security Alliance. Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem. 2011. Disponível 
em: http://www.cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf. Acesso em: 27 set. 2020. 
http://www.planalto.gov.br/ccivil_03/leis/l8078.htm
Referências
IBM SECURITY. Estudo da IBM mostra que contas comprometidas de funcionários levaram às violações de dados mais caras durante 
o anopassado. 2020. Disponível em: https://www.ibm. com/blogs/ibm-comunica/estudo-da-ibm-mostra-que-contas-
comprometidas-de-funcionarios-levaram-as-violacoes-de-dados-mais-caras-durante-o-ano-passado/. Acesso em: 27 set. 2020.
LIMA, A. C. Segurança na computação em nuvem. São Paulo: Senac, 2018.
MARCON JR, A. et al. Aspectos de segurança e privacidade em ambientes de Computação em Nuvem. Curitiba: PUCPR, 2010.
NADA é privado: o escândalo da Cambridge Analytica. Direção de Karim Amer. Produção: Netflix. Estados Unidos: Black Rock City, 
2019. (139 min.)
SHIREY, R. Internet Security Glossary: Version 2. 2007. Disponível em: http://www.ietf.org/rfc/rfc4949.txt. Acesso em: 27 set. 2020.
SNOWDEN: herói ou traidor? Direção de Oliver Stone. Produção: Endgame Entertainment, Vendian Entertainment, Krautpack 
Entertainment. Estados Unidos: Buena Vista, 2016. 1 DVD. (130 min.)
SOLOVE, D. J. Understanding Privacy. Harvard: University Press, 2009. v. 10.
SUNFISH. Sunfish Plataform. Secure Multi-party Computation (SMC). 2017. Disponível em: https://sunfish-platform-
documentation.readthedocs.io/en/latest/smc.html. Acesso em: 18 dez. 2020.
https://www.ibm.com/blogs/ibm-comunica/estudo-da-ibm-mostra-que-contas-comprometidas-de-funcionarios-levaram-as-violacoes-de-dados-mais-caras-durante-o-ano-passado/
https://sunfish-platform-documentation.readthedocs.io/en/latest/smc.html
Bons estudos!