GESTÃO DE RISCO DE SEGURANÇA DA INFORMAÇÃO EM APLICAÇÕES DE CLOUD COMPUTING[1]

Prévia do material em texto

PÓS-GRADUAÇÃO “LATO SENSU”
GOVERNANÇA EM TECNOLOGIA DA INFORMAÇÃO
FACULDADE ESTÁCIO FASE
GENEILSON ANDRADE DOS SANTOS
GESTÃO DE RISCO DE SEGURANÇA DA INFORMAÇÃO EM APLICAÇÕES DE
CLOUD COMPUTING
ARACAJU
2015
GENEILSON ANDRADE DOS SANTOS
GESTÃO DE RISCO DE SEGURANÇA DA INFORMAÇÃO EM APLICAÇÕES DE
CLOUD COMPUTING
Artigo científico elaborado por Geneilson Andrade
dos Santos sob a orientação do Prof. Cleberton
Carvalho Soares apresentado a Câmara de
Pesquisa da Faculdade Estácio Fase de Aracaju
para a conclusão do MBA em Governança em
Tecnologia da Informação.
ARACAJU
2015
 
SUMÁRIO
1. INTRODUÇÃO................................................................................................................................5
1.1 OBJETIVOS GERAIS..........................................................................................................5
1.2 OBJETIVOS ESPECÍFICOS..............................................................................................5
2. SEGURANÇA DA INFORMAÇÃO...............................................................................................6
3. GESTÃO DE RISCO EM SEGURANÇA DA INFORMAÇÃO – ISO/IEC 27005....................7
4. COMPUTAÇÃO NAS NUVENS...................................................................................................9
4.1 CLASSIFICAÇÃO..............................................................................................................10
5. MODELO DE GESTÃO DE RISCO PARA COMPUTAÇÃO NA NUVEM............................12
 5.1. IDENTIFICAÇÃO DOS FATORES DE RISCO..............................................................13
 5.1.1.FATORES INTERNOS: 13
 5.1.2.FATORES EXTERNOS: 14
 5.2. AVALIAÇÃO DE RISCO NA NUVEM.............................................................................15
5.3. PLANEJAMENTO DAS RESPOSTAS AOS RISCOS NA NUVEM............................16
6. CONCLUSÃO...............................................................................................................................18
7. REFERÊNCIAS............................................................................................................................19
RESUMO
Este artigo consiste em demonstrar como a Gestão de Risco de Segurança da
Informação poderá contribuir para que as empresas melhor utilizem os serviços
da computação nas nuvens, onde a nuvem é utilizada neste contexto como uma
metáfora para descrever o conceito de Internet e a computação nas nuvens é a
forma utilizada para oferecer serviços pela Internet. Sendo a Internet o grande
foco de ataques cibernéticos, busca-se encontrar meios de aderir à computação
nas nuvens de modo que não afete a continuidade dos serviços oferecidos pelas
organizações, bem como formas para identificar antecipadamente riscos que
possam vir a ocorrer ao aderir a essa nova tecnologia, chegando à conclusão
que através da gestão de risco de Segurança da Informação, decisões poderão
ser tomadas antes de aderir à computação nas nuvens de forma a garantir a
disponibilidade, integridade e autenticidade das informações das organizações
que outrora estarão no ambiente virtual.
Palavras chave: Gestão de Risco, Computação nas Nuvens, Segurança da
Informação.
• INTRODUÇÃO
A informação é considerada segundo a ABNT (2007), como um dos ativos mais
importantes das organizações e que consequentemente a mesma precisa ser protegida,
relatando ainda, que com o aumento da interconectividade, a informação está agora
exposta a um crescente número e a uma variedade de ameaças e vulnerabilidades. 
É com a informação que se trabalha a estratégia de oferecimento de serviço e
consequentemente a melhor forma de ganhar espaço no mercado. 
Com o surgimento da computação nas nuvens que tende elevar as
informações do mundo físico para o virtual fazendo com as empresas aumentem a
maturidade do nível de serviço e de inovação tecnológica, somos levados a aprofundar
os conhecimentos sobre as técnicas necessárias para manter a segurança da informação.
Com a computação nas nuvens as organizações que oferecem esses serviços
devem transparecer a seus clientes um ambiente seguro, pois os mesmos deixarão de
possuírem suas informações em ambientes físicos (hardwares) e por eles mesmos
gerenciados para transportarem para um ambiente virtual (Internet) que para muitos ainda
parece ser algo inseguro e de difícil gerenciamento.
Com isso o maior desafio das empresas será gerenciar os riscos que podem
ser gerados ou identificados buscando manter o nível de confiabilidade, integridade e
disponibilidade das informações para seus clientes. 
• OBJETIVOS GERAIS
Demonstrar a forma como ocorre à gestão de risco de segurança da
informação na computação na nuvem.
• OBJETIVOS ESPECÍFICOS
• Mostrar os tipos de serviços oferecidos pela Computação na
Nuvem.
• Explanar sobre a segurança na computação na nuvem e como se
dá o gerenciamento de riscos na mesma.
• SEGURANÇA DA INFORMAÇÃO 
Com o alto grau de informações geradas, as organizações se preocupam em
manter as informações bem guardadas, de forma que a sua integridade e disponibilidade
possam ser mantidas, pois como vimos anteriormente, a informação é o ativo mais
precioso para uma organização. 
Segundo Marinho (2004, apud Spafford, 2000) o único sistema
verdadeiramente seguro é aquele que está desligado, desplugado, trancado num cofre de
titânio, lacrado, enterrado em um bunker de concreto, envolto por gás nervoso e vigiado
por guardas armados muito bem pagos e mesmo assim, não seria possível apostar 100%
na sua segurança. 
Segurança da Informação é o meio pela qual se busca proteger a informação
contra vários tipos de ameaças para garantir a continuidade do negócio, minimizar
riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios (ISO
27002). 
Sendo assim, a Segurança da Informação é mantida de forma que possa
garantir a:
• Disponibilidade: garantia de que os usuários autorizados obtenham
acesso á informação e aos ativos correspondentes sempre que necessário. 
• Integridade: garante que a informação não foi modificada ou destruída de
maneira não autorizada ou acidental. 
• Confidencialidade: é a propriedade de que a informação não
esteja disponível a quem não tem autorização. 
• Autenticidade: garante que a informação ou o usuário da mesma é
autêntico; de acordo com a exatidão, a origem do dado ou informação.
Dentre esses princípios básicos citados acima, existem outros como o não-
repúdio, legalidade, privacidade e auditoria, todos com o principal objetivo de
salvaguardar as informações empresariais e ou pessoais. 
Para manter o controle sobre as informações adquiridas é importante que seja
levado em conta os benefícios com a segurança das informações, os possíveis riscos
associados à falta de segurança e saber quais são os investimentos necessários em
mecanismos para a segurança das informações. 
Dois mecanismos são principais para a proteção dos dados, sendo eles: 
• Controle Físico: são limitações que impedem o contato ou acesso as
informações ou a infraestrutura que garante a segurança física das
informações. Ex: Cofres, portas, paredes, guardas, etc. 
• Controle Lógico: são todos os softwares que ficam responsáveis pelo
firewall, pela criptografia, entre outros. 
A segurança da informação deve ser tratada com o máximo de cuidado
possível, pois qualquer erro com as informações pode acarretar em perdas drásticas,
comprometendo toda a instituição. A Gestão de Riscos é outro ponto muito importante
quandose trata da segurança da informação, pois a mesma tem o objetivo de se precaver
a erros que possam vir a acontecer e se preparar antecipadamente para solucionar os
problemas que possam ocorrer.
 
• GESTÃO DE RISCO EM SEGURANÇA DA INFORMAÇÃO – ISO/IEC
27005
A norma ABNT NBR ISO/IEC 27005 fornece diretrizes para o processo de
gestão de riscos em Segurança da Informação, podendo ser aplicada a todos os tipos de
organização que pretendam gerir os riscos que poderiam comprometer a Segurança da
Informação da organização. (ABNT, 2008) 
Risco de Segurança da Informação é o potencial que uma ameaça explore
vulnerabilidades de um ativo ou conjunto de ativos e desta forma prejudique uma
organização. Um risco é mensurado em termos de probabilidade de materialização do
risco e seus impactos” (ISO/IEC, 2007).
Segundo Fernandes (2011), risco é um evento hipotético, cuja ocorrência pode
afetar de forma positiva ou negativa uma organização. Pode causar impacto ou
oportunidades significantes para a organização.
A figura 01 de acordo com a norma da ISO 27005:2011 especifica todo o
modelo de como deve ser a Gestão de Risco da Segurança da Informação.
Figura 01. O processo de gestão do risco da ISO 27005:2011
Fonte: Adaptado de ISO/IEC (2007).
Como podemos observar na imagem acima o processo de Gestão de Risco se
inicia com a definição do contexto, lidando com os critérios, com a formulação da equipe
que vai gerir a gestão de risco, passando pela identificação, estimativa e avaliação dos
riscos, sendo uma das fases mais longas desse processo. 
Depois chega-se a fase de tratamento do risco que envolve a decisão entre
reter, evitar, compartilhar ou reduzir os riscos e consequente o registro formal e
aceitação dos riscos pela organização.
A comunicação dos riscos envolve a disseminação da existência destes
riscos para todos os envolvidos da organização. 
Por último o processo de gestão de risco deve executar continuamente o
monitoramento e a revisão dos riscos através de atividades pertinentes que deverão
monitorar as caracterizações de riscos da organização.
A falta de segurança e de gestão de risco garante a descontinuidade de
operacionalização das empresas e o aumento pela preocupação com segurança cresce
de acordo com o nível de expansão das organizações, ou seja, quanto maior o número de
informações geradas, maior será os riscos que a empresa poderá sofrer.
Segundo Fernandes (2011), a redução do risco de segurança é um processo
iterativo, que depende do levantamento do perfil de riscos de segurança que afetam uma
organização, da implementação de controles de segurança para mitigar esses riscos e da
reavaliação do perfil de riscos diante das mudanças inevitáveis provocadas pelos
controles. Se bem implantada a Gestão de Risco pode então reduzir a quantidade de
risco que uma empresa poderá sofrer.
• COMPUTAÇÃO NAS NUVENS
Trata-se de um modelo eficiente para armazenamento de informações ou
serviços em uma grande infraestrutura de TI alocada fora da empresa onde essas
informações passam a ser acessadas através de outros meios tecnológicos como tablets,
celulares, computadores, etc, com a utilização da Internet para localização e uso dessas
informações, ou seja, toda a infraestrutura das empresas que antes eram mantidas
fisicamente no ambiente organizacional, agora passam a ser acessadas e administradas
apenas pela Internet. 
Os fornecedores dessas tecnologias serão responsáveis por toda a
infraestrutura necessária para o funcionamento do negócio da empresa usuária.
Dentro da computação em nuvem é possível identificar vários benefícios que
economicamente ajudarão a empresa manter seu nível de satisfação diante da tecnologia.
Para Marcon (2010):
A migração de sistemas tradicionais para os serviços fornecidos pela
nuvem oferecem economia em servidores, armazenamento, rede, licenças
de software, energia, resfriamento e bens materiais; redução de trabalho
na administração de sistemas; redução do tempo de configuração;
diminuição de equipes de trabalho; desenvolvimento de aplicações com
ciclo de vida mais curto e consequente redução do tempo de
disponibilização de novos produtos e serviços no mercado; maior
confiabilidade com custos menores e redução de gastos com manutenção,
redução de custos com atualizações de hardware/infraestrutura. 
A computação em nuvem também beneficia a TI Verde, pois os grandes
datacenters possuem soluções de energia e refrigeração muito mais eficazes dos que as
praticadas pelas organizações que muitas das vezes, utilizam-se de uma grande
infraestrutura de TI, com isso o consumo de energia será menor.
Mesmo em meio a muitos benefícios muitas barreiras ainda precisam ser
enfrentadas para que a computação em nuvem possa se desenvolver com mais facilidade
e ganhar confiança no mercado. 
A segurança das informações e a privacidade das empresas usuárias se
tornam um grande problema na hora de contratar um fornecedor desse tipo de serviço,
afinal as empresas estarão dividindo os riscos da continuidade do seu negócio com outra
empresa.
Segundo Castro; Souza (2010), a solução mais adequada está vinculada à
definição de padrões de governança de TI, que permitam as organizações identificar e
catalogar as informações que serão armazenadas na nuvem.
Sendo assim é necessário a adequação das políticas de Segurança da
Informação à novas diretrizes que sirvam como um ponto de apoio aos serviços
oferecidos na nuvem buscando assim atingir um nível de segurança aceitável.
• CLASSIFICAÇÃO
Prestadores de serviços na nuvem podem oferecer três categorias diferentes
de recursos, onde os mesmos podem ser apenas simuladores de funções de aplicativos,
de hardware ou do Sistema Operacional completo. Suas categorias são:
Software como um Serviço (SaaS): é um modelo de aluguel de software que
oferece aplicações completas que executam em servidores de um data center e podem
ser acessadas por usuários finais, geralmente através de um cliente fino (thin client),
geralmente um browser web ou um aplicativo móvel (ENDLER et al., 2011).
Cambiucci (2009) complementa dizendo que as empresas que utilizam o SaaS
não necessitam mais de altos investimentos em infraestruturas de TI para instalação do
software, pois ele passa a ser hospedado nos datacenters dos fornecedores. 
Sendo assim o SaaS, muda radicalmente a forma como os softwares são
comercializados pois nessa categoria de serviço os clientes não precisam instalar o
software em seus hardwares, mas apenas acessá-los através de um ponto de acesso ao
software instalado no servidor do fornecedor, o mesmo deixa de ser comprado, para ser
utilizado como forma contrato de serviços. Os principais exemplos de SaaS são: Yahoo
mail, Flickr, Gmail, Google Docs e Google calendar.
Plataforma como um Serviço (PaaS): possui acesso a sistemas operacionais
e fornece uma maneira para implantar aplicativos para a nuvem usando linguagens de
programação e ferramentas suportadas pelo provedor. Não é função do cliente gerir ou
controlar a infraestrutura básica, mas sim controlar os aplicativos implementados e, até
certo ponto, sobre aplicação de hospedagem e configurações de ambiente. Exemplo:
Microsoft Windows Azure e Google App Engine.
Seus principais benefícios são: 
• Infraestrutura na nuvem e com alta disponibilidade.
• Alta produtividade no desenvolvimento e manutenção de aplicações sob
demanda, ou seja, o simples fato de não precisarmos instalar equipamentos
físicos já é um ganho de produtividade.
Sendo assim temos um serviço de baixo custo,confiabilidade e diminuição do
tempo de entrega.
Infraestrutura como um Serviço (IaaS): provê aos usuários acesso direto aos
recursos de processamento, armazenamento e outros recursos, e permite que estes
configurem os recursos e instalem sistemas operacionais de acordo com as suas
necessidades específicas (Endler et Al., 2011). Segundo Paper (2012), existem ofertas de
recursos pré-configurados para determinados fins, com objetivo de facilitar e agilizar o uso
dos recursos, evitando parte do esforço de instalação e configuração. É o modelo mais
flexível pois permite ao usuário configurar exatamente o que precisa, incluindo suas
próprias aplicações.
No IaaS, a cobrança é baseada no serviço e não em produto, ou seja, se você
precisa de alguns servidores por um determinado período, você contrata a utilização
destes servidores por este período determinado e depois, simplesmente cancela a
utilização. O usuário nesse caso não tem acesso ao hardware onde o ambiente é
executado.
• MODELO DE GESTÃO DE RISCO PARA COMPUTAÇÃO NA NUVEM 
A computação nas nuvens não é considerada mais ou menos segura que um
ambiente físico, porém sendo uma nova tecnologia, novos riscos e oportunidades de
desastres e incidentes maliciosos deverão surgir. Desse modo as organizações devem
estar preparadas para mudar a forma como têm gerido os riscos, buscando elaborar um
modelo de gestão de risco totalmente ligado à computação em nuvem.
Segundo Miller, et. al. (2009), os principais objetivos do processo de Gestão de
Risco na nuvem, incluem:
• O planejamento para proteção da informação baseados em ativos e em
Planos de Mitigação de Riscos;
• Reforçar a capacidade da organização para selecionar e aplicar a proteção
baseada no risco específico e nas ameaças que afetam um determinado
ativo;
• Assegurar que uma metodologia de gestão de risco de Segurança da
Informação está sendo utilizada e cumprida em toda organização.
Segundo Partners (2013) os processos para a Gestão de Risco são identificar
os fatores que provocam os riscos, avaliar os riscos identificados e responder a esses
riscos. 
Tendo como base os objetivos citados acima e o processo de gestão de risco
será então realizado o objetivo desse trabalho que é mostrar de que forma poderão ser
encontrados os riscos referentes a computação na nuvem, como e de que forma poderão
ser tratados. 
• IDENTIFICAÇÃO DOS FATORES DE RISCO 
Esta etapa tem como objetivo identificar os riscos que podem afetar,
positivamente ou negativamente os serviços oferecidos na nuvem. É fundamental que
todos façam parte do processo de identificação. Este processo é dinâmico e deve ocorrer
continuamente, pois novos riscos podem surgir ao longo do tempo. A forma como
acontecerão às reavaliações constantes deveram ser definidas no plano de
gerenciamento de riscos. 
Dentre os fatores a ser observados existem os internos e os externos, sendo
que para a empresa contratante, seu nível de gerenciamento deve acontecer na sua
maior parte internamente. Quanto aos fatores:
• FATORES INTERNOS:
Infraestrutura: compreende os ativos ou bens fundamentais para o
funcionamento de uma organização, em relação à nuvem a grande
preocupação está no compartilhamento da infraestrutura contratada.
Pessoal: relaciona-se com a capacidade de operações dos sistemas, com a
saúde emocional e com a segurança dos mesmos em relação a ataques
externos. 
Processo: diz respeito aos fornecedores de serviço na nuvem que estão de
posse das informações dos seus contratantes, uma vez que, as informações
poderão ser vendidas para empresas concorrentes, se tornando assim um risco
quanto à Segurança da Informação.
Tecnologia: relacionados à modelagem e adequação de sistemas de
informação.
• FATORES EXTERNOS:
Negócio: riscos centrados na concorrência e na demanda de mercado.
Tecnologia: relacionado à diversidade de negócios existentes (ex. comércio
eletrônico);
Meio Ambiente: são os desastres naturais que podem ocorrer prejudicando a
infraestrutura contratada, dificultando a continuidade dos negócios, caso a
prestadora de serviço não possua um plano de contingência. Em geral, a
prestadora de serviço na nuvem não tem controle direto sobre este evento,
mas mesmo assim ações podem ser tomadas quando necessário. Por
exemplo: Não podemos controlar a incidência de raios, mas podemos instalar
para-raios, bem como manter o backup das informações em um data Center
localizado em uma posição geograficamente diferente.
Políticos e Legais: referentes aos riscos relacionados as divergências
políticas, a países onde a infraestrutura alocada possa ser alvo de atentados
terroristas e quanto a legislação local que muda de país para país, onde muitos
em muitos deles é liberado a prática da espionagem, prejudicando assim a
privacidade das informações. Para Menegatt (2012) os governos devem
trabalhar em conjunto com a indústria para desenvolver padrões e minimizar
obrigações legais conflitantes impostas sobre provedores de nuvem.
Segundo Partners (2013) as ferramentas mais utilizadas para identificação dos
ricos que também poderão ser utilizadas para o ambiente virtual são:
Brainstorming: tem o objetivo de se reunir em equipe multidisciplinar contendo
representantes de setores e competências diferentes, para que assim possam
ser identificados os riscos para que possa ser formulado uma lista com todos
os riscos inicialmente identificados.
Entrevistas: entrevistar as partes envolvidas, sendo que para a nuvem é
indispensável à utilização de especialistas com o objetivo de identificar riscos
que a empresa prestadora de serviço possa vir a oferecer para a estrutura do
negócio.
Análise de Listas de Verificação de Riscos: Verificar as listas de riscos
previamente identificadas pela organização sobre processos ou programas
similares. Utiliza lições aprendidas e informações já catalogadas pelas
organizações, sendo um dos passos fundamentais para a padronização de
métodos mais formais, uma vez que a computação em nuvem ainda é uma
tecnologia nova necessita de lições composta de erros e acertos para melhorar
sua execução no futuro.
 Cada organização deve executar as ferramentas que se adequar melhor a sua
realidade e vários riscos poderão ser encontrados referentes a computação na nuvem,
dentre eles devem ser considerados a exposição ou mineração dos dados, possibilidade
dos dados serem copiados sem o devido conhecimento da empresa contratante, ataques
de hackers, ataques de negação do serviço onde o objetivo é derrubar o acesso,
espionagem por parte do governo como aconteceu recentemente com a presidenta atual
do Brasil, provedor de serviço pode falir ou ser vendido, ser impossível investigar
atividades ilegais na nuvem, a continuidade dos serviços, além dos riscos naturais e de
pessoal que são comumente identificados.
• AVALIAÇÃO DE RISCO NA NUVEM
Após identificar os riscos associados aos serviços na nuvem que possam
interromper o negócio, é fundamental que seja estabelecido uma escala ou desenvolvida
uma matriz priorizando os riscos para que assim sejam tomadas as ações corretivas. O
método mais utilizado é a avaliação por matriz de risco que deve está focado na análise
de impactos e a probabilidade que esses risco venham ocorrer.
Os serviços, além dos fornecedores, devem ser objeto de avaliação e
mitigação de risco e sua avaliação aumenta de acordo com a movimentação na nuvem. 
Segundo Castro e Souza (2010), os modelos de serviço de construção de um
sobre o outro, resulta em riscocumulativo, ou seja, se há uma movimentação de
consumidores de IaaS para PaaS, chegando ao SaaS, ao término o ultimo carregará os
riscos obtidos pelos demais serviços, trazendo grande risco de Segurança da Informação
para o consumidor, uma vez que o provedor assume controle direto ao serviço.
 A tabela 01 resume a avaliação dos riscos relativos aos serviços oferecidos
pela computação na nuvem. 
Modelo de 
Serviço
Característica do Risco Risco Relativo
Infraestrutura 
como Serviço 
(IaaS)
Neste serviço o consumidor não administra ou
controla a infraestrutura da nuvem subjacente,
porém, tem controle sobre os sistemas
operacionais, armazenamento de aplicativos
implantados, e os componentes de rede
selecionados. 
Médio
Plataforma como 
Serviço (PaaS)
Neste serviço o consumidor não administra ou
controla os recursos de infraestrutura da nuvem
subjacente. Porém o consumidor tem controle
sobre os aplicativos utilizados na hospedagem de
aplicativos e nas configurações de ambientes. 
Alto
Software como 
Serviço (SaaS)
Neste modelo de serviço o consumidor não
administra ou controla a infraestrutura subjacente
da nuvem. O que inclui componentes de rede,
servidores, sistemas operacionais, armazenamento
ou capacidade de aplicação individual. A possível
exceção relaciona-se a algumas configurações
específicas do usuário e de algumas configuração
de aplicativos. 
Muito Alto
Prováveis riscos quanto aos modelos de serviços na nuvem.
Fonte: http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740-Seguranca%20em%20Cloud.pdf
• PLANEJAMENTO DAS RESPOSTAS AOS RISCOS NA NUVEM
Esta estratégia envolve a análise minuciosa das possíveis respostas e
identifica a mais indicada para o evento de risco identificado. Dentre as opções de
estratégias de respostas incluem:
Evitar: toma-se ação para eliminar as atividades que permitem a aparição do
risco. 
Reduzir: é a ação tomada para reduzir probabilidade e ocorrência ou o impacto
do risco, ou ambos ao mesmo tempo;
Compartilhar: toma-se ação para reduzir probabilidade de ocorrência ou
impacto pela transferência ou compartilhamento de uma parte do risco. Uma
técnica clássica é a compra de seguros.
Aceitar: consiste em não se tomar nenhuma ação para reduzir probabilidade
de ocorrência ou impacto.
Mitigar: reduzir a probabilidade ou o impacto de uma ameaça, tornando-a um
risco menor e removendo-a do alto da lista dos principais riscos. 
Eliminar: elimina a ameaça eliminando também a causa, por exemplo, evitar a
possibilidade que os dados do CONTRATANTE sejam investigados pelos
órgãos de justiça de outros países em que os dados possam estar alocados,
impedindo que o provedor transfira ou processe esses dados em outros países;
Transferir: Tornar outra parte responsável pelo risco contratando garantias,
desempenho ou terceirizando o trabalho. Por exemplo, transferir a
responsabilidade pelo armazenamento e processamento dos dados na nuvem,
incluindo cláusulas de proteção dos dados, restringindo o acesso, violação ou
perdas dos dados, com pena de multa. 
Como podemos perceber é possível sim gerenciar a transição do modelo de
negócio físico, hoje comumente utilizado pelas organizações, para o modelo virtual, de
forma eficaz sem ocasionar problemas. Esses processos de Gestão de Risco na
Nuvem trarão melhoria contínua, bem como aumentarão a maturidade dos negócios
que serão executados na nuvem.
Outros pontos importantes da Gestão de Risco na Nuvem é que o mesmo
servirá de apoio ao planejamento estratégico da organização e ao uso eficaz dos
recursos, também proverá menos impactos para às organizações e trará melhoria nas
comunicações entre os provedores e os clientes da computação na nuvem.
• CONCLUSÃO
A computação nas nuvens é um serviço novo e cada vez mais as empresas
estão aderindo a este tipo de serviço, buscando promover a redução dos custos. Porém, é
necessário analisar antes os aspectos de segurança do provedor de serviço, no qual o
contratante irá armazenar os seus dados.
Por ser nova, a mesma, tem muito a evoluir e tanto o fornecedor como
contratante desse tipo serviços, deve dispor de uma equipe de gestão de risco eficaz, que
estejam atentas para possíveis ameaças, uma vez que, é de responsabilidade de ambos,
todo o serviço executado, desde o armazenamento até o acesso e usabilidade das
informações.
A Gestão de Riscos das informações contidas nas nuvens devem alinhar tanto
a exposição ao risco, quanto a capacidade de identificar e gerenciar os riscos que as
empresas usuárias estarão expostas a sofrerem.
Com a Gestão de Risco identificando, tratando e monitorando suas ameaças
contribuirá para que a Segurança da Informação na nuvem possa manter a confiabilidade,
disponibilidade e integridade das informações.
• REFERÊNCIAS
ABNT – Associação Brasileira de Normas Técnicas. Tecnologia da Informação
– Técnicas de Segurança – Gestão de Riscos de Segurança da Informação. NBR ISO/IEC
27005: 07/08/2008. Acesso em: 30/08/2014.
ABNT – Associação Brasileira de Normas Técnicas. Tecnologia da Informação.
Acesso em: 13/05/2015.
Associação Brasileira de Normas Técnicas - ABNT. Norma NBR-ISO/IEC
27002:2006 e ISSO 27005.
CASTRO, Rita de C. C.; SOUSA Verônica L. Pimentel. Segurança em Cloud
Computing: Governança e Gerenciamento de Riscos de Segurança. Disponível em:
<http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740-seguranca%20em%20Cloud.
pdf>. Acesso em 30/08/2014.
CAMBIUCCI, Waldemir. Uma introdução ao Software + Serviços, SaaS e SOA.
Disponível em: <http://msdn.microsoft.com/pt-br/library/dd875466.aspx>. Acesso em: 10
de março de 2012. 
ENDLER M.; VITERBO J.; FONSECA H. Perspectivas e Desafios da
Computac¸ ´ ao em Nuvem na Internet do Futuro (2011). Disponível em: http://www-
di.inf.puc-rio.br/~endler//paperlinks/TechReports/CPqD-rel3.pdf. Acesso em: 26/11/2014.
FERNANDES. Jorge Henrique Cabral. Introdução à Gestão de Riscos de 
Segurança da Informação. Disponível em: 
<http://www.cic.unb.br/~jhcf/MyBooks/cegsic/2009_2011/GSIC302_Introducao_Gestao_Ri
scos_Seguranca_Informacao.pdf>. Acesso em 28/08/2014.
MARINHO. Sergio. Segurança da Informação: Conceito e Modelo de Gestão.
Publicado em Novembro de 2004. Acesso em: 02/12/2014. 
MARCON JR, Arlindo et al. Aspectos de Segurança e Privacidade em
Ambientes de Computação em Nuvem. In: SIMPÓSIO BRASILEIRO EM SEGURANÇA
DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS. MINICURSOS DO SBSEG.
10, 2010, Porto Alegre. Anais... Porto Alegre, RS: SBC, 2010. p.55. Disponível em:
<http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/research:2010-sbseg-mc.pdf>.
Acesso em 30/08/2012.
MENEGATT J. Segurança e Privacidade na Clound Computing. Disponível em:
http://www.ppgia.pucpr.br/~jamhour/RSS/TCCRSS11/Josimar%20Menegatt%20_%
20Artgo%20_%20Josimar%20Menegatt%20_%20Seguran%FEa%20e%20Privacidade
%20na%20computa%FE%D2o%20em%20nuvem.pdf. Acesso em: 05/02/2015.
MILLER, J, Candle, L., Wald, H., - Information Security Governance:
Government Considerations for the Cloud Computing Environment, August 2009 – USA .
Disponível em: <http://boozallen.com/publications>. Acesso em 28/08/2014.
Norma Complementar nº 14/IN01/DSIC/GSIPR. Diretrizes relacionadas à
Segurança da Informação e comunicações para o uso de computação em nuvem nos
órgãos e entidades da administração pública federal. Disponível em: <
http://dsic.planalto.gov.br/documentos/ nc_14_nuvem.pdf>. Acesso em: 14/01/2014.
PARTNERS S. Projeto de desenvolvimento do guia de orientação para o
gerenciamento de riscos. Disponível em:http://www.planejamento.gov.br/secretarias/upload/Arquivos/segep/projeto/2013_03_01_P
roduto_VII_Risco_Oportunidade_PT.pdf. Acesso em: 04/02/2015.
SILVA, F. H. R. Um estudo sobre os benefícios e os riscos de segurança na
utilização de Cloud Computing; 2010. 15f. Artigo cientifíco de conclusão de curso
apresentado no Centro Universitário Augusto Motta, UNISUAM-RJ. 
Disponível em: https://fabriciorhs.files.wordpress.com/2011/03/cloud_computing.pdf.
Acesso en: 10/02/2015.