Baixe o app para aproveitar ainda mais
Prévia do material em texto
PÓS-GRADUAÇÃO “LATO SENSU” GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO FACULDADE ESTÁCIO FASE GENEILSON ANDRADE DOS SANTOS GESTÃO DE RISCO DE SEGURANÇA DA INFORMAÇÃO EM APLICAÇÕES DE CLOUD COMPUTING ARACAJU 2015 GENEILSON ANDRADE DOS SANTOS GESTÃO DE RISCO DE SEGURANÇA DA INFORMAÇÃO EM APLICAÇÕES DE CLOUD COMPUTING Artigo científico elaborado por Geneilson Andrade dos Santos sob a orientação do Prof. Cleberton Carvalho Soares apresentado a Câmara de Pesquisa da Faculdade Estácio Fase de Aracaju para a conclusão do MBA em Governança em Tecnologia da Informação. ARACAJU 2015 SUMÁRIO 1. INTRODUÇÃO................................................................................................................................5 1.1 OBJETIVOS GERAIS..........................................................................................................5 1.2 OBJETIVOS ESPECÍFICOS..............................................................................................5 2. SEGURANÇA DA INFORMAÇÃO...............................................................................................6 3. GESTÃO DE RISCO EM SEGURANÇA DA INFORMAÇÃO – ISO/IEC 27005....................7 4. COMPUTAÇÃO NAS NUVENS...................................................................................................9 4.1 CLASSIFICAÇÃO..............................................................................................................10 5. MODELO DE GESTÃO DE RISCO PARA COMPUTAÇÃO NA NUVEM............................12 5.1. IDENTIFICAÇÃO DOS FATORES DE RISCO..............................................................13 5.1.1.FATORES INTERNOS: 13 5.1.2.FATORES EXTERNOS: 14 5.2. AVALIAÇÃO DE RISCO NA NUVEM.............................................................................15 5.3. PLANEJAMENTO DAS RESPOSTAS AOS RISCOS NA NUVEM............................16 6. CONCLUSÃO...............................................................................................................................18 7. REFERÊNCIAS............................................................................................................................19 RESUMO Este artigo consiste em demonstrar como a Gestão de Risco de Segurança da Informação poderá contribuir para que as empresas melhor utilizem os serviços da computação nas nuvens, onde a nuvem é utilizada neste contexto como uma metáfora para descrever o conceito de Internet e a computação nas nuvens é a forma utilizada para oferecer serviços pela Internet. Sendo a Internet o grande foco de ataques cibernéticos, busca-se encontrar meios de aderir à computação nas nuvens de modo que não afete a continuidade dos serviços oferecidos pelas organizações, bem como formas para identificar antecipadamente riscos que possam vir a ocorrer ao aderir a essa nova tecnologia, chegando à conclusão que através da gestão de risco de Segurança da Informação, decisões poderão ser tomadas antes de aderir à computação nas nuvens de forma a garantir a disponibilidade, integridade e autenticidade das informações das organizações que outrora estarão no ambiente virtual. Palavras chave: Gestão de Risco, Computação nas Nuvens, Segurança da Informação. • INTRODUÇÃO A informação é considerada segundo a ABNT (2007), como um dos ativos mais importantes das organizações e que consequentemente a mesma precisa ser protegida, relatando ainda, que com o aumento da interconectividade, a informação está agora exposta a um crescente número e a uma variedade de ameaças e vulnerabilidades. É com a informação que se trabalha a estratégia de oferecimento de serviço e consequentemente a melhor forma de ganhar espaço no mercado. Com o surgimento da computação nas nuvens que tende elevar as informações do mundo físico para o virtual fazendo com as empresas aumentem a maturidade do nível de serviço e de inovação tecnológica, somos levados a aprofundar os conhecimentos sobre as técnicas necessárias para manter a segurança da informação. Com a computação nas nuvens as organizações que oferecem esses serviços devem transparecer a seus clientes um ambiente seguro, pois os mesmos deixarão de possuírem suas informações em ambientes físicos (hardwares) e por eles mesmos gerenciados para transportarem para um ambiente virtual (Internet) que para muitos ainda parece ser algo inseguro e de difícil gerenciamento. Com isso o maior desafio das empresas será gerenciar os riscos que podem ser gerados ou identificados buscando manter o nível de confiabilidade, integridade e disponibilidade das informações para seus clientes. • OBJETIVOS GERAIS Demonstrar a forma como ocorre à gestão de risco de segurança da informação na computação na nuvem. • OBJETIVOS ESPECÍFICOS • Mostrar os tipos de serviços oferecidos pela Computação na Nuvem. • Explanar sobre a segurança na computação na nuvem e como se dá o gerenciamento de riscos na mesma. • SEGURANÇA DA INFORMAÇÃO Com o alto grau de informações geradas, as organizações se preocupam em manter as informações bem guardadas, de forma que a sua integridade e disponibilidade possam ser mantidas, pois como vimos anteriormente, a informação é o ativo mais precioso para uma organização. Segundo Marinho (2004, apud Spafford, 2000) o único sistema verdadeiramente seguro é aquele que está desligado, desplugado, trancado num cofre de titânio, lacrado, enterrado em um bunker de concreto, envolto por gás nervoso e vigiado por guardas armados muito bem pagos e mesmo assim, não seria possível apostar 100% na sua segurança. Segurança da Informação é o meio pela qual se busca proteger a informação contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios (ISO 27002). Sendo assim, a Segurança da Informação é mantida de forma que possa garantir a: • Disponibilidade: garantia de que os usuários autorizados obtenham acesso á informação e aos ativos correspondentes sempre que necessário. • Integridade: garante que a informação não foi modificada ou destruída de maneira não autorizada ou acidental. • Confidencialidade: é a propriedade de que a informação não esteja disponível a quem não tem autorização. • Autenticidade: garante que a informação ou o usuário da mesma é autêntico; de acordo com a exatidão, a origem do dado ou informação. Dentre esses princípios básicos citados acima, existem outros como o não- repúdio, legalidade, privacidade e auditoria, todos com o principal objetivo de salvaguardar as informações empresariais e ou pessoais. Para manter o controle sobre as informações adquiridas é importante que seja levado em conta os benefícios com a segurança das informações, os possíveis riscos associados à falta de segurança e saber quais são os investimentos necessários em mecanismos para a segurança das informações. Dois mecanismos são principais para a proteção dos dados, sendo eles: • Controle Físico: são limitações que impedem o contato ou acesso as informações ou a infraestrutura que garante a segurança física das informações. Ex: Cofres, portas, paredes, guardas, etc. • Controle Lógico: são todos os softwares que ficam responsáveis pelo firewall, pela criptografia, entre outros. A segurança da informação deve ser tratada com o máximo de cuidado possível, pois qualquer erro com as informações pode acarretar em perdas drásticas, comprometendo toda a instituição. A Gestão de Riscos é outro ponto muito importante quandose trata da segurança da informação, pois a mesma tem o objetivo de se precaver a erros que possam vir a acontecer e se preparar antecipadamente para solucionar os problemas que possam ocorrer. • GESTÃO DE RISCO EM SEGURANÇA DA INFORMAÇÃO – ISO/IEC 27005 A norma ABNT NBR ISO/IEC 27005 fornece diretrizes para o processo de gestão de riscos em Segurança da Informação, podendo ser aplicada a todos os tipos de organização que pretendam gerir os riscos que poderiam comprometer a Segurança da Informação da organização. (ABNT, 2008) Risco de Segurança da Informação é o potencial que uma ameaça explore vulnerabilidades de um ativo ou conjunto de ativos e desta forma prejudique uma organização. Um risco é mensurado em termos de probabilidade de materialização do risco e seus impactos” (ISO/IEC, 2007). Segundo Fernandes (2011), risco é um evento hipotético, cuja ocorrência pode afetar de forma positiva ou negativa uma organização. Pode causar impacto ou oportunidades significantes para a organização. A figura 01 de acordo com a norma da ISO 27005:2011 especifica todo o modelo de como deve ser a Gestão de Risco da Segurança da Informação. Figura 01. O processo de gestão do risco da ISO 27005:2011 Fonte: Adaptado de ISO/IEC (2007). Como podemos observar na imagem acima o processo de Gestão de Risco se inicia com a definição do contexto, lidando com os critérios, com a formulação da equipe que vai gerir a gestão de risco, passando pela identificação, estimativa e avaliação dos riscos, sendo uma das fases mais longas desse processo. Depois chega-se a fase de tratamento do risco que envolve a decisão entre reter, evitar, compartilhar ou reduzir os riscos e consequente o registro formal e aceitação dos riscos pela organização. A comunicação dos riscos envolve a disseminação da existência destes riscos para todos os envolvidos da organização. Por último o processo de gestão de risco deve executar continuamente o monitoramento e a revisão dos riscos através de atividades pertinentes que deverão monitorar as caracterizações de riscos da organização. A falta de segurança e de gestão de risco garante a descontinuidade de operacionalização das empresas e o aumento pela preocupação com segurança cresce de acordo com o nível de expansão das organizações, ou seja, quanto maior o número de informações geradas, maior será os riscos que a empresa poderá sofrer. Segundo Fernandes (2011), a redução do risco de segurança é um processo iterativo, que depende do levantamento do perfil de riscos de segurança que afetam uma organização, da implementação de controles de segurança para mitigar esses riscos e da reavaliação do perfil de riscos diante das mudanças inevitáveis provocadas pelos controles. Se bem implantada a Gestão de Risco pode então reduzir a quantidade de risco que uma empresa poderá sofrer. • COMPUTAÇÃO NAS NUVENS Trata-se de um modelo eficiente para armazenamento de informações ou serviços em uma grande infraestrutura de TI alocada fora da empresa onde essas informações passam a ser acessadas através de outros meios tecnológicos como tablets, celulares, computadores, etc, com a utilização da Internet para localização e uso dessas informações, ou seja, toda a infraestrutura das empresas que antes eram mantidas fisicamente no ambiente organizacional, agora passam a ser acessadas e administradas apenas pela Internet. Os fornecedores dessas tecnologias serão responsáveis por toda a infraestrutura necessária para o funcionamento do negócio da empresa usuária. Dentro da computação em nuvem é possível identificar vários benefícios que economicamente ajudarão a empresa manter seu nível de satisfação diante da tecnologia. Para Marcon (2010): A migração de sistemas tradicionais para os serviços fornecidos pela nuvem oferecem economia em servidores, armazenamento, rede, licenças de software, energia, resfriamento e bens materiais; redução de trabalho na administração de sistemas; redução do tempo de configuração; diminuição de equipes de trabalho; desenvolvimento de aplicações com ciclo de vida mais curto e consequente redução do tempo de disponibilização de novos produtos e serviços no mercado; maior confiabilidade com custos menores e redução de gastos com manutenção, redução de custos com atualizações de hardware/infraestrutura. A computação em nuvem também beneficia a TI Verde, pois os grandes datacenters possuem soluções de energia e refrigeração muito mais eficazes dos que as praticadas pelas organizações que muitas das vezes, utilizam-se de uma grande infraestrutura de TI, com isso o consumo de energia será menor. Mesmo em meio a muitos benefícios muitas barreiras ainda precisam ser enfrentadas para que a computação em nuvem possa se desenvolver com mais facilidade e ganhar confiança no mercado. A segurança das informações e a privacidade das empresas usuárias se tornam um grande problema na hora de contratar um fornecedor desse tipo de serviço, afinal as empresas estarão dividindo os riscos da continuidade do seu negócio com outra empresa. Segundo Castro; Souza (2010), a solução mais adequada está vinculada à definição de padrões de governança de TI, que permitam as organizações identificar e catalogar as informações que serão armazenadas na nuvem. Sendo assim é necessário a adequação das políticas de Segurança da Informação à novas diretrizes que sirvam como um ponto de apoio aos serviços oferecidos na nuvem buscando assim atingir um nível de segurança aceitável. • CLASSIFICAÇÃO Prestadores de serviços na nuvem podem oferecer três categorias diferentes de recursos, onde os mesmos podem ser apenas simuladores de funções de aplicativos, de hardware ou do Sistema Operacional completo. Suas categorias são: Software como um Serviço (SaaS): é um modelo de aluguel de software que oferece aplicações completas que executam em servidores de um data center e podem ser acessadas por usuários finais, geralmente através de um cliente fino (thin client), geralmente um browser web ou um aplicativo móvel (ENDLER et al., 2011). Cambiucci (2009) complementa dizendo que as empresas que utilizam o SaaS não necessitam mais de altos investimentos em infraestruturas de TI para instalação do software, pois ele passa a ser hospedado nos datacenters dos fornecedores. Sendo assim o SaaS, muda radicalmente a forma como os softwares são comercializados pois nessa categoria de serviço os clientes não precisam instalar o software em seus hardwares, mas apenas acessá-los através de um ponto de acesso ao software instalado no servidor do fornecedor, o mesmo deixa de ser comprado, para ser utilizado como forma contrato de serviços. Os principais exemplos de SaaS são: Yahoo mail, Flickr, Gmail, Google Docs e Google calendar. Plataforma como um Serviço (PaaS): possui acesso a sistemas operacionais e fornece uma maneira para implantar aplicativos para a nuvem usando linguagens de programação e ferramentas suportadas pelo provedor. Não é função do cliente gerir ou controlar a infraestrutura básica, mas sim controlar os aplicativos implementados e, até certo ponto, sobre aplicação de hospedagem e configurações de ambiente. Exemplo: Microsoft Windows Azure e Google App Engine. Seus principais benefícios são: • Infraestrutura na nuvem e com alta disponibilidade. • Alta produtividade no desenvolvimento e manutenção de aplicações sob demanda, ou seja, o simples fato de não precisarmos instalar equipamentos físicos já é um ganho de produtividade. Sendo assim temos um serviço de baixo custo,confiabilidade e diminuição do tempo de entrega. Infraestrutura como um Serviço (IaaS): provê aos usuários acesso direto aos recursos de processamento, armazenamento e outros recursos, e permite que estes configurem os recursos e instalem sistemas operacionais de acordo com as suas necessidades específicas (Endler et Al., 2011). Segundo Paper (2012), existem ofertas de recursos pré-configurados para determinados fins, com objetivo de facilitar e agilizar o uso dos recursos, evitando parte do esforço de instalação e configuração. É o modelo mais flexível pois permite ao usuário configurar exatamente o que precisa, incluindo suas próprias aplicações. No IaaS, a cobrança é baseada no serviço e não em produto, ou seja, se você precisa de alguns servidores por um determinado período, você contrata a utilização destes servidores por este período determinado e depois, simplesmente cancela a utilização. O usuário nesse caso não tem acesso ao hardware onde o ambiente é executado. • MODELO DE GESTÃO DE RISCO PARA COMPUTAÇÃO NA NUVEM A computação nas nuvens não é considerada mais ou menos segura que um ambiente físico, porém sendo uma nova tecnologia, novos riscos e oportunidades de desastres e incidentes maliciosos deverão surgir. Desse modo as organizações devem estar preparadas para mudar a forma como têm gerido os riscos, buscando elaborar um modelo de gestão de risco totalmente ligado à computação em nuvem. Segundo Miller, et. al. (2009), os principais objetivos do processo de Gestão de Risco na nuvem, incluem: • O planejamento para proteção da informação baseados em ativos e em Planos de Mitigação de Riscos; • Reforçar a capacidade da organização para selecionar e aplicar a proteção baseada no risco específico e nas ameaças que afetam um determinado ativo; • Assegurar que uma metodologia de gestão de risco de Segurança da Informação está sendo utilizada e cumprida em toda organização. Segundo Partners (2013) os processos para a Gestão de Risco são identificar os fatores que provocam os riscos, avaliar os riscos identificados e responder a esses riscos. Tendo como base os objetivos citados acima e o processo de gestão de risco será então realizado o objetivo desse trabalho que é mostrar de que forma poderão ser encontrados os riscos referentes a computação na nuvem, como e de que forma poderão ser tratados. • IDENTIFICAÇÃO DOS FATORES DE RISCO Esta etapa tem como objetivo identificar os riscos que podem afetar, positivamente ou negativamente os serviços oferecidos na nuvem. É fundamental que todos façam parte do processo de identificação. Este processo é dinâmico e deve ocorrer continuamente, pois novos riscos podem surgir ao longo do tempo. A forma como acontecerão às reavaliações constantes deveram ser definidas no plano de gerenciamento de riscos. Dentre os fatores a ser observados existem os internos e os externos, sendo que para a empresa contratante, seu nível de gerenciamento deve acontecer na sua maior parte internamente. Quanto aos fatores: • FATORES INTERNOS: Infraestrutura: compreende os ativos ou bens fundamentais para o funcionamento de uma organização, em relação à nuvem a grande preocupação está no compartilhamento da infraestrutura contratada. Pessoal: relaciona-se com a capacidade de operações dos sistemas, com a saúde emocional e com a segurança dos mesmos em relação a ataques externos. Processo: diz respeito aos fornecedores de serviço na nuvem que estão de posse das informações dos seus contratantes, uma vez que, as informações poderão ser vendidas para empresas concorrentes, se tornando assim um risco quanto à Segurança da Informação. Tecnologia: relacionados à modelagem e adequação de sistemas de informação. • FATORES EXTERNOS: Negócio: riscos centrados na concorrência e na demanda de mercado. Tecnologia: relacionado à diversidade de negócios existentes (ex. comércio eletrônico); Meio Ambiente: são os desastres naturais que podem ocorrer prejudicando a infraestrutura contratada, dificultando a continuidade dos negócios, caso a prestadora de serviço não possua um plano de contingência. Em geral, a prestadora de serviço na nuvem não tem controle direto sobre este evento, mas mesmo assim ações podem ser tomadas quando necessário. Por exemplo: Não podemos controlar a incidência de raios, mas podemos instalar para-raios, bem como manter o backup das informações em um data Center localizado em uma posição geograficamente diferente. Políticos e Legais: referentes aos riscos relacionados as divergências políticas, a países onde a infraestrutura alocada possa ser alvo de atentados terroristas e quanto a legislação local que muda de país para país, onde muitos em muitos deles é liberado a prática da espionagem, prejudicando assim a privacidade das informações. Para Menegatt (2012) os governos devem trabalhar em conjunto com a indústria para desenvolver padrões e minimizar obrigações legais conflitantes impostas sobre provedores de nuvem. Segundo Partners (2013) as ferramentas mais utilizadas para identificação dos ricos que também poderão ser utilizadas para o ambiente virtual são: Brainstorming: tem o objetivo de se reunir em equipe multidisciplinar contendo representantes de setores e competências diferentes, para que assim possam ser identificados os riscos para que possa ser formulado uma lista com todos os riscos inicialmente identificados. Entrevistas: entrevistar as partes envolvidas, sendo que para a nuvem é indispensável à utilização de especialistas com o objetivo de identificar riscos que a empresa prestadora de serviço possa vir a oferecer para a estrutura do negócio. Análise de Listas de Verificação de Riscos: Verificar as listas de riscos previamente identificadas pela organização sobre processos ou programas similares. Utiliza lições aprendidas e informações já catalogadas pelas organizações, sendo um dos passos fundamentais para a padronização de métodos mais formais, uma vez que a computação em nuvem ainda é uma tecnologia nova necessita de lições composta de erros e acertos para melhorar sua execução no futuro. Cada organização deve executar as ferramentas que se adequar melhor a sua realidade e vários riscos poderão ser encontrados referentes a computação na nuvem, dentre eles devem ser considerados a exposição ou mineração dos dados, possibilidade dos dados serem copiados sem o devido conhecimento da empresa contratante, ataques de hackers, ataques de negação do serviço onde o objetivo é derrubar o acesso, espionagem por parte do governo como aconteceu recentemente com a presidenta atual do Brasil, provedor de serviço pode falir ou ser vendido, ser impossível investigar atividades ilegais na nuvem, a continuidade dos serviços, além dos riscos naturais e de pessoal que são comumente identificados. • AVALIAÇÃO DE RISCO NA NUVEM Após identificar os riscos associados aos serviços na nuvem que possam interromper o negócio, é fundamental que seja estabelecido uma escala ou desenvolvida uma matriz priorizando os riscos para que assim sejam tomadas as ações corretivas. O método mais utilizado é a avaliação por matriz de risco que deve está focado na análise de impactos e a probabilidade que esses risco venham ocorrer. Os serviços, além dos fornecedores, devem ser objeto de avaliação e mitigação de risco e sua avaliação aumenta de acordo com a movimentação na nuvem. Segundo Castro e Souza (2010), os modelos de serviço de construção de um sobre o outro, resulta em riscocumulativo, ou seja, se há uma movimentação de consumidores de IaaS para PaaS, chegando ao SaaS, ao término o ultimo carregará os riscos obtidos pelos demais serviços, trazendo grande risco de Segurança da Informação para o consumidor, uma vez que o provedor assume controle direto ao serviço. A tabela 01 resume a avaliação dos riscos relativos aos serviços oferecidos pela computação na nuvem. Modelo de Serviço Característica do Risco Risco Relativo Infraestrutura como Serviço (IaaS) Neste serviço o consumidor não administra ou controla a infraestrutura da nuvem subjacente, porém, tem controle sobre os sistemas operacionais, armazenamento de aplicativos implantados, e os componentes de rede selecionados. Médio Plataforma como Serviço (PaaS) Neste serviço o consumidor não administra ou controla os recursos de infraestrutura da nuvem subjacente. Porém o consumidor tem controle sobre os aplicativos utilizados na hospedagem de aplicativos e nas configurações de ambientes. Alto Software como Serviço (SaaS) Neste modelo de serviço o consumidor não administra ou controla a infraestrutura subjacente da nuvem. O que inclui componentes de rede, servidores, sistemas operacionais, armazenamento ou capacidade de aplicação individual. A possível exceção relaciona-se a algumas configurações específicas do usuário e de algumas configuração de aplicativos. Muito Alto Prováveis riscos quanto aos modelos de serviços na nuvem. Fonte: http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740-Seguranca%20em%20Cloud.pdf • PLANEJAMENTO DAS RESPOSTAS AOS RISCOS NA NUVEM Esta estratégia envolve a análise minuciosa das possíveis respostas e identifica a mais indicada para o evento de risco identificado. Dentre as opções de estratégias de respostas incluem: Evitar: toma-se ação para eliminar as atividades que permitem a aparição do risco. Reduzir: é a ação tomada para reduzir probabilidade e ocorrência ou o impacto do risco, ou ambos ao mesmo tempo; Compartilhar: toma-se ação para reduzir probabilidade de ocorrência ou impacto pela transferência ou compartilhamento de uma parte do risco. Uma técnica clássica é a compra de seguros. Aceitar: consiste em não se tomar nenhuma ação para reduzir probabilidade de ocorrência ou impacto. Mitigar: reduzir a probabilidade ou o impacto de uma ameaça, tornando-a um risco menor e removendo-a do alto da lista dos principais riscos. Eliminar: elimina a ameaça eliminando também a causa, por exemplo, evitar a possibilidade que os dados do CONTRATANTE sejam investigados pelos órgãos de justiça de outros países em que os dados possam estar alocados, impedindo que o provedor transfira ou processe esses dados em outros países; Transferir: Tornar outra parte responsável pelo risco contratando garantias, desempenho ou terceirizando o trabalho. Por exemplo, transferir a responsabilidade pelo armazenamento e processamento dos dados na nuvem, incluindo cláusulas de proteção dos dados, restringindo o acesso, violação ou perdas dos dados, com pena de multa. Como podemos perceber é possível sim gerenciar a transição do modelo de negócio físico, hoje comumente utilizado pelas organizações, para o modelo virtual, de forma eficaz sem ocasionar problemas. Esses processos de Gestão de Risco na Nuvem trarão melhoria contínua, bem como aumentarão a maturidade dos negócios que serão executados na nuvem. Outros pontos importantes da Gestão de Risco na Nuvem é que o mesmo servirá de apoio ao planejamento estratégico da organização e ao uso eficaz dos recursos, também proverá menos impactos para às organizações e trará melhoria nas comunicações entre os provedores e os clientes da computação na nuvem. • CONCLUSÃO A computação nas nuvens é um serviço novo e cada vez mais as empresas estão aderindo a este tipo de serviço, buscando promover a redução dos custos. Porém, é necessário analisar antes os aspectos de segurança do provedor de serviço, no qual o contratante irá armazenar os seus dados. Por ser nova, a mesma, tem muito a evoluir e tanto o fornecedor como contratante desse tipo serviços, deve dispor de uma equipe de gestão de risco eficaz, que estejam atentas para possíveis ameaças, uma vez que, é de responsabilidade de ambos, todo o serviço executado, desde o armazenamento até o acesso e usabilidade das informações. A Gestão de Riscos das informações contidas nas nuvens devem alinhar tanto a exposição ao risco, quanto a capacidade de identificar e gerenciar os riscos que as empresas usuárias estarão expostas a sofrerem. Com a Gestão de Risco identificando, tratando e monitorando suas ameaças contribuirá para que a Segurança da Informação na nuvem possa manter a confiabilidade, disponibilidade e integridade das informações. • REFERÊNCIAS ABNT – Associação Brasileira de Normas Técnicas. Tecnologia da Informação – Técnicas de Segurança – Gestão de Riscos de Segurança da Informação. NBR ISO/IEC 27005: 07/08/2008. Acesso em: 30/08/2014. ABNT – Associação Brasileira de Normas Técnicas. Tecnologia da Informação. Acesso em: 13/05/2015. Associação Brasileira de Normas Técnicas - ABNT. Norma NBR-ISO/IEC 27002:2006 e ISSO 27005. CASTRO, Rita de C. C.; SOUSA Verônica L. Pimentel. Segurança em Cloud Computing: Governança e Gerenciamento de Riscos de Segurança. Disponível em: <http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740-seguranca%20em%20Cloud. pdf>. Acesso em 30/08/2014. CAMBIUCCI, Waldemir. Uma introdução ao Software + Serviços, SaaS e SOA. Disponível em: <http://msdn.microsoft.com/pt-br/library/dd875466.aspx>. Acesso em: 10 de março de 2012. ENDLER M.; VITERBO J.; FONSECA H. Perspectivas e Desafios da Computac¸ ´ ao em Nuvem na Internet do Futuro (2011). Disponível em: http://www- di.inf.puc-rio.br/~endler//paperlinks/TechReports/CPqD-rel3.pdf. Acesso em: 26/11/2014. FERNANDES. Jorge Henrique Cabral. Introdução à Gestão de Riscos de Segurança da Informação. Disponível em: <http://www.cic.unb.br/~jhcf/MyBooks/cegsic/2009_2011/GSIC302_Introducao_Gestao_Ri scos_Seguranca_Informacao.pdf>. Acesso em 28/08/2014. MARINHO. Sergio. Segurança da Informação: Conceito e Modelo de Gestão. Publicado em Novembro de 2004. Acesso em: 02/12/2014. MARCON JR, Arlindo et al. Aspectos de Segurança e Privacidade em Ambientes de Computação em Nuvem. In: SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS. MINICURSOS DO SBSEG. 10, 2010, Porto Alegre. Anais... Porto Alegre, RS: SBC, 2010. p.55. Disponível em: <http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/research:2010-sbseg-mc.pdf>. Acesso em 30/08/2012. MENEGATT J. Segurança e Privacidade na Clound Computing. Disponível em: http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS11/Josimar%20Menegatt%20_% 20Artgo%20_%20Josimar%20Menegatt%20_%20Seguran%FEa%20e%20Privacidade %20na%20computa%FE%D2o%20em%20nuvem.pdf. Acesso em: 05/02/2015. MILLER, J, Candle, L., Wald, H., - Information Security Governance: Government Considerations for the Cloud Computing Environment, August 2009 – USA . Disponível em: <http://boozallen.com/publications>. Acesso em 28/08/2014. Norma Complementar nº 14/IN01/DSIC/GSIPR. Diretrizes relacionadas à Segurança da Informação e comunicações para o uso de computação em nuvem nos órgãos e entidades da administração pública federal. Disponível em: < http://dsic.planalto.gov.br/documentos/ nc_14_nuvem.pdf>. Acesso em: 14/01/2014. PARTNERS S. Projeto de desenvolvimento do guia de orientação para o gerenciamento de riscos. Disponível em:http://www.planejamento.gov.br/secretarias/upload/Arquivos/segep/projeto/2013_03_01_P roduto_VII_Risco_Oportunidade_PT.pdf. Acesso em: 04/02/2015. SILVA, F. H. R. Um estudo sobre os benefícios e os riscos de segurança na utilização de Cloud Computing; 2010. 15f. Artigo cientifíco de conclusão de curso apresentado no Centro Universitário Augusto Motta, UNISUAM-RJ. Disponível em: https://fabriciorhs.files.wordpress.com/2011/03/cloud_computing.pdf. Acesso en: 10/02/2015.
Compartilhar