4

Prévia do material em texto

20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 1/25
introduçãoIntrodução
SEGURANÇA E AUDITORIA DE SISTEMASSEGURANÇA E AUDITORIA DE SISTEMAS
SEGURANÇA E AUDITORIA EMSEGURANÇA E AUDITORIA EM
COMPUTAÇÃO EM NUVEM E IOTCOMPUTAÇÃO EM NUVEM E IOT
– POLÍTICAS DE SEGURANÇA– POLÍTICAS DE SEGURANÇA
Autor: Me. Ariel da Si lva Dias
R e v i s o r : J a i m e G r o s s G a r c i a
I N I C I A R
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 2/25
A Internet das Coisas (IoT) mudou a maneira como fazemos as tarefas diárias. Por outro lado, a IoT gera
tantos dados grandes que causa muita pressão na infraestrutura da Internet. Esse cenário fez as empresas
procurarem opções para reduzir essa carga. Aqui é onde a computação em nuvem entra em cena; é uma
entrega sob demanda de energia, banco de dados, armazenamento e outros recursos. É inegável como a
computação em nuvem se tornou uma corrente principal em TI e infraestruturas tradicionais. De posse disso,
devemos nos preocupar com a segurança dos dispositivos (coisas) e da nuvem para onde os dados são
enviados. Discutiremos sobre esses assuntos neste capítulo.
Bons estudos!
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 3/25
A computação em nuvem é a prestação de serviços de computação sob demanda – de aplicativos à
capacidade de armazenamento e processamento – geralmente pela Internet e com o pagamento conforme o
uso.
Com a computação em nuvem, uma empresa não necessita possuir uma infraestrutura própria de
computação ou data centers, em seu lugar, ela pode alugar acesso a esses recursos com provedores de
serviço em nuvem. Esses serviços (conforme veremos adiante) podem ser de armazenamento, aplicativos,
ferramentas de desenvolvimento entre outros tipos de serviços (ARORA; PARASHAR, 2013; DIAS, 2014).
Uma vez que a empresa contrata serviços de computação em nuvem, acaba por evitar custos iniciais de
implantação de data centers e, principalmente, evita o gasto de manter sua infraestrutura de TI. Ao invés
disso, ela paga aos fornecedores de serviço em nuvem o que usa (ARORA; PARASHAR, 2013; DIAS, 2014;
TAURION, 2009).
Computação em NuvemComputação em Nuvem
Figura 4.1 - Computação em nuvem
Fonte: melpomen / 123RF.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 4/25
No mercado existem diversos fornecedores de serviços de computação em nuvem, com uma vasta gama de
opções como: armazenamento, serviço de rede e processamento. Destaca-se ainda que qualquer serviço é
gerenciado pela empresa fornecedora do mesmo, deixando o cliente apenas preocupado com o negócio e
não com a área de TI. Qualquer nova necessidade (novo software ou mais espaço para armazenamento), o
cliente entra em contato com o fornecedor e contrata o serviço (DIAS, 2014; TAURION, 2009).
A computação em nuvem sustenta um grande número de serviços. Isso inclui serviços ao consumidor como o
Gmail ou o backup em nuvem das fotos em seu smartphone, embora os serviços é que permitem que grandes
empresas hospedem todos os dados e executem todos os aplicativos na nuvem. A Net�ix conta com serviços
de computação em nuvem para executar seu serviço de streaming de vídeo e outros sistemas comerciais,
além de ter várias outras organizações.
A computação em nuvem torna-se uma opção-padrão para diversas aplicações que são oferecidas como
serviços pela internet. Por outro lado, a computação em nuvem pode trazer riscos de segurança para as
empresas e pessoas comuns (TAURION, 2014).
Infraestrutura como Serviço
A computação em nuvem é dividida em três modelos, são eles: Infraestrutura como serviço (IaaS),
Plataforma como serviço (PaaS) e Software como serviço (SaaS). A IaaS refere-se aos componentes
fundamentais da computação que podem ser alugados: servidores físicos ou virtuais, armazenamento e rede.
A IaaS é apropriada para as empresas que desejam criar e controlar os aplicativos desde o início e todos os
elementos (de hardware a software). Apesar de ser atraente, a IaaS pode não ser segura o su�ciente para a
maioria dos dados críticos.
Plataforma como Serviço
A plataforma como serviço (PaaS) é a próxima camada, assim como o armazenamento, a rede e os servidores
virtuais subjacentes. Nesse modelo de serviço, estão incluídas as ferramentas e o software que os
desenvolvedores precisam para criar aplicativos além de sistemas de gerenciamento de banco de dados,
sistemas operacionais e ambientes de desenvolvimento.
Software como Serviço
Software como serviço (SaaS) é a entrega de aplicativos como serviço, provavelmente a versão da
computação em nuvem à qual a maioria das pessoas está acostumada no dia a dia. O hardware e o sistema
operacional subjacentes são irrelevantes para o usuário �nal, que acessará o serviço por meio de um
navegador ou aplicativo; geralmente é comprado por assento ou por usuário.
Nuvem privada
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 5/25
Uma solução de hospedagem em nuvem privada, também conhecida como nuvem interna ou corporativa,
reside na intranet da empresa ou no data center hospedado, onde todos os seus dados são protegidos por um
�rewall. Essa pode ser uma ótima opção para empresas que já possuem data centers caros porque podem
usar sua infraestrutura atual. No entanto, a principal desvantagem que as pessoas veem com uma nuvem
privada é que todo o gerenciamento, manutenção e atualização dos data centers é de responsabilidade da
empresa. Com o tempo, espera-se que seus servidores precisem ser substituídos, o que pode �car muito
caro. Por outro lado, as nuvens privadas oferecem um nível aumentado de segurança e compartilham muito
poucos, se houver, recursos com outras organizações.
Nuvem pública
Enquanto a nuvem privada é interna, a pública é uma nuvem externa cujo principal diferencial é que você não
é responsável por nenhum gerenciamento da hospedagem. Logo, seus dados são armazenados no data
center do provedor e o provedor é responsável pelo gerenciamento e manutenção do data center. Note que
esse tipo tipo de nuvem é atraente para muitas empresas, pois reduz os prazos de execução nos testes e na
implantação de novos produtos (TAURION, 2009). No entanto, a desvantagem é que muitas empresas acham
que falta segurança com uma nuvem pública. Mesmo que você não controle a segurança de uma nuvem
pública, todos os seus dados permanecem separados dos outros e as violações de segurança das nuvens
públicas são raras. Então, o que é certo para você? Em última análise, tudo se resume ao controle. Uma
grande empresa pode escolher uma nuvem privada, enquanto uma empresa menor pode escolher uma
nuvem pública.
Segurança da Computação em Nuvem
Certamente, muitas empresas continuam preocupadas com a segurança dos serviços em nuvem, embora
sejam raras as violações da segurança. O quão seguro você considera a computação em nuvem dependerá
em grande parte da segurança dos seus sistemas existentes. Os sistemas internos gerenciados por uma
equipe com muitas outras coisas com que se preocupar provavelmente serão mais vazados do que os
sistemas monitorados pelos engenheiros de um provedor de nuvem dedicados a proteger essa
infraestrutura.
Empresas que movem seus dados para a nuvem são cautelosas e preocupadas com os riscos desses dados em
um ambiente público. Apesar dessas preocupações, existem inúmeras medidas de segurança na computação
em nuvem que até superam os padrões da TI tradicional. As vantagens de segurança da computação em
nuvem se resumem a dois fatores básicos: economia de escala e divisão do trabalho.
Na verdade, é aí que a nuvem realmente importa; de fato, a geopolítica está forçando mudanças signi�cativas
nos usuários e fornecedores de computação em nuvem. Em primeiro lugar, háo problema da latência: se o
aplicativo vier de um data center do outro lado do planeta ou do outro lado de uma rede congestionada, você
poderá encontrá-lo lento em comparação com uma conexão local. Esse é o problema da latência.
Em segundo lugar, há a questão da soberania de dados. Muitas empresas, principalmente na Europa,
precisam se preocupar com o local onde os dados estão sendo processados e armazenados. As empresas
europeias estão preocupadas com o fato de que, por exemplo, se os dados de seus clientes estiverem sendo
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 6/25
armazenados em centros de dados nos EUA ou pertencentes a empresas americanas, eles possam ser
acessados pelas autoridades policiais dos EUA. Como resultado, os grandes fornecedores de nuvem
construíram uma rede regional de data center para que as organizações possam manter seus dados em sua
própria região.
Na Alemanha, a Microsoft deu um passo adiante, oferecendo seus serviços de nuvem a partir de dois data
centers, que foram con�gurados para tornar muito mais difícil para as autoridades dos EUA (TIINSIDE, 2015)
– e outras – exigir o acesso aos dados de clientes armazenados lá. Os dados do cliente nos data centers estão
sob o controle de uma empresa alemã independente que atua como um "administrador de dados", e a
Microsoft não pode acessar dados nos sites sem a permissão dos clientes ou do administrador de dados.
Certamente veremos fornecedores de nuvem abrindo mais data centers em todo o mundo para atender aos
clientes com requisitos para manter os dados em locais especí�cos (TIINSIDE, 2015).
E a regulamentação da computação em nuvem varia amplamente em outros lugares do mundo: por exemplo,
a AWS vendeu recentemente uma parte de sua infraestrutura de nuvem na China a seu parceiro local, devido
às rígidas regulamentações tecnológicas da China. Desde então, a AWS abriu uma segunda região da China
(Ningxia), operada pela Ningxia Western Cloud Data Technology.
A segurança na nuvem é outra questão; a agência de cibersegurança do governo do Reino Unido alertou que
as agências governamentais precisam considerar o país de origem quando se trata de adicionar serviços de
nuvem em suas cadeias de suprimentos. Embora tenha alertado sobre o software antivírus em particular, o
problema é o mesmo para outros tipos de serviços.
De modo geral, deve haver um esforço conjunto entre o fornecedor de serviço de nuvem e a empresa
contratante para garantir a segurança. As empresas não podem terceirizar a responsabilidade pela
segurança. Eles podem terceirizar a infraestrutura, terceirizar alguns dos serviços, mas não terceirizam a
segurança. O provedor de serviços em nuvem é responsável pela segurança da nuvem, mas o cliente é
responsável pela segurança na nuvem. De�nitivamente, é uma responsabilidade conjunta, estamos
começando a ver empresas implementando novos tipos de segurança, novos tipos de tecnologia para tirar
proveito disso. Podemos então dizer que se trata de um ambiente realmente robusto para segurança hoje, e
podemos alcançar níveis de e�ciência muito mais altos, níveis de segurança muito mais altos e custos muito
mais baixos puramente por meio de software.
praticarVamos Praticar
Computação em nuvem é um termo geral relacionado à entrega de serviços pela Internet. Esses serviços são
amplamente divididos em três categorias: Infraestrutura como Serviço (IaaS), Plataforma como serviço (PaaS) e
Software como Serviço (SaaS). Independentemente da categoria do serviço, eles podem estar em três tipos de nuvens
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 7/25
conforme visto durante os estudos. Assinale a alternativa que apresenta como pode ser de�nida a privada, um tipo de
nuvem:
a) Um serviço em nuvem oferecido pela internet.
b) Fornece apenas software como serviço.
c) Uma arquitetura em nuvem mantida em um data center corporativo.
d) Um serviço em nuvem inacessível a qualquer pessoa, exceto para pesquisadores.
e) Fornece apenas infraestrutura como serviço.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 8/25
O conceito de Internet das Coisas (IoT) é muito utilizado no campo das tecnologias da informação e
comunicação (TICs). Muito é dito e escrito sobre a IoT, mas muitas vezes esse conceito é difícil de entender e
categorizar. A razão disso é que o conceito de IoT está relacionado a quase todos os campos da atividade
humana e, portanto, é grande.
A Internet das Coisas signi�ca uma rede de objetos vinculados (itens) que são endereçáveis de maneira
única, com o fato de que essa rede é baseada em protocolos de comunicação padronizados que permitem o
intercâmbio e o compartilhamento de dados e informações, cuja análise permitirá obter maior valor
agregado.
Rede: a palavra rede pode não representar apenas a Internet (como se poderia sugerir na noção IoT) – daí o
sistema mundial de redes de computadores interconectadas, nas quais os computadores se comunicam
usando a família de protocolos TCP/IP. No entanto, pode signi�car uma rede local (LAN), onde as coisas
podem se comunicar, mas com o uso da Internet para o compartilhamento dos resultados. A rede garante
conectividade.
Coisa: do ponto de vista da IoT, é um objeto inanimado (físico ou virtual) que contém eletrônicos, software e
sensores (atuadores), que são usados para coletar determinada quantidade ou quantidades e fornece a
capacidade de servir a um propósito individual. Portanto, é um dispositivo (um sistema) que fornece dados
de forma autônoma (computador pessoal que não fornece os dados não representa nada da perspectiva da
IoT), que são compartilhados por �o ou sem �o com outras coisas ou sistemas. O paradoxo, no entanto, é que
aquilo não é um núcleo da Internet das Coisas, mas um DADO gerado por essas coisas.
A Internet das coisas, portanto, representa um conceito dentro do qual objetos físicos e virtuais (coisas)
trocam dados pela Internet. As coisas (sistemas) podem estar no contexto da Internet de coisas
arbitrariamente ligadas entre si para alcançar objetivos mais altos (nova funcionalidade, tarefas mais
complexas etc.).
IoT (IoT (Internet of ThingsInternet of Things ou ou
Internet das Coisas)Internet das Coisas)
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 9/25
Objetivo
O objetivo da IoT é vincular equipamentos, sistemas e serviços para fornecer mais dados que podem ser
convertidos em informações e, em seguida, informações em conhecimento que podem ser aplicados. Os
sistemas de IoT poderão tomar decisões com base no conhecimento adquirido e, consequentemente, realizar
ações autônomas.
Dito de forma simples, quanto mais dispositivos conseguirem fornecer dados sobre o mundo real, mais dados
para análise estarão disponíveis e isso poderá levar a mais conhecimento que poderíamos obter e usar. Esse
aumento de conhecimento permitirá alcançar progresso nesse domínio e, como resultado, isso pode levar a
progresso para toda a humanidade, seja a simpli�cação da vida cotidiana (CIoT = IoT do consumidor =
Internet das coisas do consumidor) ou o uso mais e�ciente dos recursos (IIoT = IoT industrial = Internet das
coisas industrial). O uso mais e�ciente dos recursos e, assim, obter economias signi�cativas será o principal
motivo para investir na IoT (principalmente na IIoT).
Podemos dizer que a IoT é uma evolução da Internet, cujo compartilhamento de dados será permitido entre
vários dispositivos, sistemas e redes conectados em diferentes domínios. Esse compartilhamento de dados
será possível a qualquer momento e em qualquer lugar (no caso, é claro, se for �sicamente possível, e entre o
nó existir um link e a autenticação e a autorização forem executadas).
Requisitos
Os principais requisitos da IoT são baseados no objetivo apresentado notópico anterior. A arquitetura da
Internet das Coisas deve permitir:
coletar dados / informações / conhecimentos;
armazenar dados / informações / conhecimentos;
analisar dados / informação / conhecimento;
compartilhar resultados.
Além disso, existem alguns requisitos menores adicionais, por exemplo, transferência e compartilhamento de
dados interoperáveis e e�cientes. Eles requerem uma escolha adequada de um padrão de comunicação e
modelo de dados apropriados. Outro requisito nos sistemas de IoT é o processamento de grandes volumes
de dados heterogêneos gerados por dispositivos conectados ao sistema de IoT. Também é necessário obter
interoperabilidade semântica para poder combinar e compor (mesclar) dados, informações e conhecimentos.
Do ponto de vista da solução �nal (do ponto de vista do usuário), também é importante que a solução seja
prontamente implantável, facilmente integrável a outros aplicativos e sistemas e também que seja obtida
uma organização e apresentação claras dos dados processados.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 10/25
Mas, como é a IoT dentro de uma empresa? Cada empresa é diferente, mas aqui estão alguns exemplos de
conectividade de IoT no trabalho:
As fechaduras inteligentes permitem que um executivo de negócios destranque uma porta do
smartphone, fornecendo acesso a um fornecedor no sábado.
Os termostatos e as luzes controlados com inteligência são ligados e desligados para economizar
dinheiro com custos de energia.
Assistentes de voz como o Siri ou o Alexa abrem aplicativos que permitem fazer anotações, de�nir
lembretes, acessar seu calendário ou enviar e-mails.
Os sensores conectados nas impressoras detectam baixos níveis de tinta e solicitam
automaticamente mais.
Câmeras de CFTV que permitem transmitir conteúdo pela Internet.
Ameaças à Segurança
Os dispositivos conectados estão criando ótimas experiências para os consumidores, mas também
representam novos alvos para hackers. A Internet das Coisas (IoT) e a atividade de criminosos cibernéticos
compartilham duas características importantes: elas são invisíveis a olho nu e nos cercam a qualquer
momento.
À medida que mais organizações usam uma mistura de sensores e aplicativos de software so�sticados para
criar casas inteligentes, ambientes de escritórios inteligentes e até cidades inteligentes, os resultados
geralmente parecem mágicos. As luzes acendem quando você entra em uma sala. Um equipamento solicita
proativamente uma atualização para evitar falhas. Uma loja de varejo reabastece automaticamente uma
prateleira antes que os consumidores �quem frustrados com a falta de itens. Essas são todas as maneiras
pelas quais a IoT torna a tecnologia mais onipresente e integrada.
saiba maisSaiba mais
A IoT desempenha um grande papel na alavancagem da
mobilidade. No entanto, seria incompleta sem segurança. É aí que
a nuvem vem com suas soluções de segurança para tornar a IoT
mais segura. Ele fornece, por exemplo, protocolos de
autenticação e criptogra�a, que são fortes medidas de segurança
para os usuários. Saiba mais no artigo “Internet das Coisas: a
proteção da privacidade em um mundo conectado”.
ACESSAR
https://repositorio.enap.gov.br/bitstream/1/4125/1/MANUELLA%20DE%20FARIAS%20NARDELLI%20COSTA.pdf
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 11/25
Infelizmente, os cibercriminosos mais bem-sucedidos se comportam da mesma maneira. Hackear bancos de
dados, atacar sites e roubar senhas raramente envolve um encontro cara a cara. Quando a tecnologia se
torna essencial, os problemas de segurança relacionados à tecnologia tendem a aumentar. Com o tempo,
esses problemas passaram de e-mail para mensagens de texto, de PCs para smartphones e agora para a IoT.
Os problemas de segurança com a IoT podem ser muito mais terríveis do que se imagina hoje, pois os alvos
em potencial variam de eletrodomésticos a quase tudo que se conecta à Internet.
Considere como exemplo os carros autônomos. Eles estão constantemente conectados com um servidor
central, enviando informações diversas como localização, velocidade, entre outras. O carro é um sistema
computacional em deslocamento. Como qualquer sistema computacional, ele está vulnerável a ataques,
inclusive, pode ser controlado por um hacker, o qual pode guiar o carro para um local especí�co e, no melhor
dos casos, realizar um assalto.
Os semáforos da cidade, controlados por sistemas computacionais, podem ser controlados também por
pessoas não autorizadas que, intencionalmente, pode causar grandes danos ao trânsito, colocando a vida de
pessoas em perigo.
Segurança em IoT
Os dispositivos conectados podem dar um impulso real à sua empresa, mas qualquer coisa que esteja
conectada à Internet pode ser vulnerável a ataques cibernéticos.
Alguns pro�ssionais de TI apontam que a segurança de IoT é a principal prioridade. De servidores
corporativos a armazenamento em nuvem, os cibercriminosos podem encontrar uma maneira de explorar
informações em muitos pontos de um ecossistema de IoT. Isso não signi�ca que você deve abandonar seu
tablet de trabalho para caneta e papel. Isso signi�ca apenas que você deve levar a segurança da Internet das
Coisas a sério. Aqui estão algumas dicas de segurança da IoT:
Manter guias em dispositivos móveis: veri�que se os dispositivos móveis, como tablets, estão registrados e
bloqueados no �nal de cada dia útil. Se os tablets desaparecerem, dados e informações poderão ser
acessados e comprometidos. Certi�que-se de usar uma senha de acesso forte ou biométrica, para que
ninguém possa entrar em um dispositivo perdido ou roubado. Use um produto de segurança que permita
restringir aplicativos que serão executados no dispositivo, segregar dados comerciais e pessoais e limpar
dados comerciais se um dispositivo for roubado.
Implementar atualizações automáticas de antivírus: você precisa de software em todos os dispositivos para
proteger contra vírus que dão aos hackers acesso ao seu sistema e dados. Con�gure atualizações
automáticas de antivírus para proteger os dispositivos de um ataque cibernético.
Exigir credenciais fortes de login: muitas pessoas usam o mesmo login e senha para todos os dispositivos
que usam. Embora seja mais fácil para as pessoas lembrarem, também é mais fácil para os cibercriminosos
invadirem. Veri�que se todo login é exclusivo para cada funcionário e exige senhas fortes. Sempre altere a
senha-padrão em novos dispositivos. Nunca reutilize a mesma senha nos dispositivos.
Implantar criptogra�a de ponta a ponta: os dispositivos conectados conversam entre si e, quando o fazem,
as transferências de dados ocorrem de um ponto para outro. Você precisa criptografar dados em todas as
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 12/25
interseções. Em outras palavras, você precisa de criptogra�a de ponta a ponta para proteger as informações
conforme elas viajam de um ponto a outro.
Veri�que se as atualizações do dispositivo e do software estão disponíveis e instale-as no prazo: ao
comprar um dispositivo, sempre veri�que se o fornecedor fornece atualizações e sempre as aplica assim que
estiverem disponíveis. Implemente atualizações automáticas quando possível, conforme observado acima.
Acompanhe os recursos disponíveis no dispositivo e desative os recursos não utilizados: veri�que os
recursos disponíveis no seu dispositivo e desative os que você não pretende usar para reduzir as possíveis
oportunidades de ataque.
Escolha um provedor especializado de segurança cibernética: você deseja que a IoT alimente seus negócios,
não prejudique. Para ajudar, muitas empresas contam com um provedor de segurança cibernética e antivírus
respeitável para acessar vulnerabilidades e fornecer soluções exclusivas que evitam ataques cibernéticos.
IoT não é uma moda tecnológica. Mais empresas podemrealizar seu potencial com dispositivos conectados,
mas você não pode ignorar preocupações de segurança. Ao criar seu ecossistema de IoT, veri�que se sua
empresa, dados e processos estão protegidos.
Controle de Acesso
O primeiro lugar para começar a estabelecer uma estratégia e�caz de segurança da IoT é garantir que você
possa ver e rastrear todos os dispositivos da rede. Os problemas, desde correções até monitoramento e
quarentena, começam com o estabelecimento de visibilidade a partir do momento em que um dispositivo
toca a rede. As tecnologias de controle de acesso precisam ser capazes de reconhecer automaticamente os
dispositivos de IoT, determinar se eles foram comprometidos e fornecer acesso controlado com base em
fatores como o tipo de dispositivo, seja ele baseado no usuário ou não e, se houver, o papel do usuário. E eles
precisam ser capazes de fazer isso em velocidades digitais.
Outro fator de controle de acesso a considerar é a localização. Os dispositivos de controle de acesso
precisam determinar se um dispositivo de IoT está se conectando remotamente e, se não, de onde está
efetuando login na rede. Pode ser necessário acesso diferente, dependendo se um dispositivo está se
conectando remotamente, ou mesmo a partir do lobby, de uma sala de conferências, de um laboratório
seguro ou de um armazém. As políticas de acesso com base no local são especialmente relevantes para
organizações com �liais ou um sistema SD-WAN em vigor. As tecnologias de controle de acesso remoto
precisam ser capazes de sincronizar perfeitamente com os controles de rede e segurança para garantir a
imposição direta de políticas na rede distribuída.
Depois que um dispositivo é identi�cado e autenticado, o sistema de controle de acesso precisa atribuí-lo a
um segmento de rede especí�co automaticamente. Idealmente, os segmentos de rede aos quais os
dispositivos IoT estão conectados já foram isolados da rede de produção. Manter os dispositivos IoT e o
tráfego isolados ajuda a evitar a exposição de recursos internos críticos a possíveis ameaças e vetores de
ataque. Os �rewalls de segmentação interna, por exemplo, podem monitorar e inspecionar aplicativos e
tráfego de IoT para identi�car e impedir dispositivos potencialmente comprometidos e a propagação lateral
de malware, enquanto os �rewalls de borda podem impedir que dispositivos comprometidos se comuniquem
com um servidor externo de comando e controle.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 13/25
Os sistemas de controle de acesso também precisam ser capazes de transmitir informações do dispositivo
para outros dispositivos de segurança, rede e gerenciamento. A inteligência do dispositivo IoT, incluindo os
aplicativos que estão sendo executados e os dados que estão fornecendo e coletando, todos precisam ser
coletados e correlacionados com outros recursos de rede. Essas ferramentas precisam fazer coisas como
estabelecer e monitorar as linhas de base do tráfego da IoT, para que os dispositivos não autorizados possam
ser facilmente rastreados e monitorados usando técnicas como análise comportamental.
Depois que um dispositivo não autorizado é identi�cado, a profunda integração entre as tecnologias de
segurança e rede desempenha um papel crítico na abordagem imediata dessa ameaça. A detecção de tráfego
incomum ou mal-intencionado proveniente de um dispositivo IoT, independentemente da ferramenta de
segurança que o encontra, precisa disparar automaticamente uma resposta coordenada, incluindo
redirecionar o tráfego, fechar caminhos de comunicação e usar a tecnologia de controle de acesso para isolá-
lo. Uma maneira de fazer isso é simplesmente reatribuir o dispositivo a um segmento de rede em quarentena
onde ele pode ser preparado para avaliação, correção ou remoção.
Princípio Geral
Os dispositivos de IoT fazem parte do novo normal de hoje, pois desempenham um papel crítico na
transformação digital radical dos negócios e de nossa sociedade em geral. No entanto, eles não são apenas
componentes essenciais dos mercados digitais de hoje, mas também para atividades de criminosos
cibernéticos. Proteger as organizações contra o risco de dispositivos IoT comprometidos sem comprometer
os objetivos de negócios é cada vez mais desa�ador, não apenas devido ao volume de dispositivos e tráfego
relacionado estar conectado às redes atuais e sua relativa insegurança, mas também porque os perímetros
de rede defensáveis corroem e pro�ssionais de segurança quali�cados são cada vez mais difíceis de
encontrar.
Infelizmente, dada a velocidade dos negócios digitais hoje em dia, um dispositivo IoT comprometido que
destrói até um pequeno pedaço da sua infraestrutura pode ter consequências �nanceiras e de reputação
signi�cativas. O que as organizações precisam é de uma estrutura de segurança automatizada e integrada
que proteja o acesso à rede, monitore o tráfego e os comportamentos e possa implementar uma resposta
coordenada quando uma ameaça for detectada em qualquer lugar da rede distribuída. Os sistemas de
controle de acesso desempenham um papel crítico nessa abordagem, garantindo que a visibilidade seja
estabelecida, os controles de acesso sejam aplicados universalmente, a inteligência do dispositivo seja
compartilhada e os dispositivos não autorizados possam ser rapidamente removidos com um impacto
mínimo nas transações e �uxos de trabalho críticos.
praticarVamos Praticar
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 14/25
A Internet das Coisas, ou IoT, refere-se aos bilhões de dispositivos físicos em todo o mundo que agora estão
conectados, coletando e compartilhando dados. Graças a processadores baratos e a conexão entre eles, é possível
transformar qualquer coisa, de uma pílula a um avião em parte da IoT. Assinale a alternativa que apresenta o que
permite que dispositivos digitais (coisas) interconectem e transmitam dados.
a) Uma rede digital.
b) Um sensor.
c) Um smartphone.
d) Um geolocalizador.
e) Um microcontrolador.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 15/25
Uma auditoria de TI pode ser de�nida como qualquer auditoria que englobe a revisão e avaliação de sistemas
automatizados de processamento de informações, processos não automatizados relacionados e as interfaces
entre eles.
O planejamento da auditoria de TI envolve duas etapas principais. O primeiro passo é coletar informações e
planejar um pouco. O segundo passo é entender a estrutura de controle interno existente. Mais e mais
organizações estão adotando uma abordagem de auditoria baseada em riscos, usada para avaliar riscos e
ajuda um auditor de TI a decidir se deve executar testes de conformidade ou substantivos.
Em uma abordagem baseada em risco, os auditores de TI contam com controles internos e operacionais,
além do conhecimento da empresa ou dos negócios. Esse tipo de decisão de avaliação de risco pode ajudar a
relacionar a análise de custo-benefício do controle ao risco conhecido. Na etapa "Coletando informações", o
auditor de TI precisa identi�car cinco itens:
Conhecimento de negócios e indústria;
Resultados da auditoria do ano anterior;
Informações �nanceiras recentes;
Estatutos regulatórios;
Avaliações de risco inerentes.
Note que, no decorrer de uma auditoria de TI, se você encontrar uma descoberta materialmente
signi�cativa, ela deve ser comunicada à gerência imediatamente, e não no �nal da auditoria. Quando você
comunica os resultados da auditoria à organização, isso geralmente é feito em uma entrevista de saída, você
terá a oportunidade de discutir com a gerência quaisquer conclusões e recomendações.
Auditoria de Computação em Nuvem
Em geral, uma auditoria ocorre quando um grupo independente de terceiros é contratado para obter
evidências por meio de investigação, inspeção física, observação, con�rmação, procedimentosanalíticos e/ou
Auditoria e Políticas deAuditoria e Políticas de
SegurançaSegurança
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 16/25
reexecução.
Em uma auditoria de computação em nuvem, uma variação dessas etapas é concluída para formar uma
opinião sobre o design e a e�cácia operacional dos controles identi�cados nas seguintes áreas:
Comunicação;
Incidentes de segurança;
Segurança de rede;
Desenvolvimento de sistema ou gerenciamento de mudanças;
Gerenciamento de riscos;
Gestão de dados;
Gerenciamento de vulnerabilidade e correção;
Tom no topo ou comprometimento das lideranças com a transparência e o comportamento ético.
As auditorias de computação em nuvem tornaram-se um padrão, pois os usuários percebem que existem
riscos, já que seus dados estão sendo hospedados por outras organizações. Para combater isso, eles estão
solicitando diferentes formas de auditorias de computação em nuvem para obter garantia e reduzir o risco
de suas informações serem perdidas ou invadidas.
Objetivos da Auditoria de Computação em
Nuvem
Durante os estágios de planejamento e execução de uma auditoria, é importante ter um entendimento claro
do que os objetivos da auditoria incluem. As empresas devem se esforçar para alinhar seus objetivos de
negócios com os objetivos da auditoria. Isso garantirá que o tempo e os recursos gastos ajudem a alcançar
um forte ambiente de controle interno e reduzam o risco de uma opinião quali�cada.
Os auditores usam os objetivos como forma de concluir as evidências que obtêm. A seguir está uma lista de
amostra de objetivos de computação em nuvem que podem ser usados por auditores e empresas.
De�nir um plano estratégico de TI: o uso dos recursos de TI deve se alinhar às estratégias de
negócios da empresa. Ao de�nir esse objetivo, algumas considerações importantes devem incluir
se os investimentos em TI são suportados por um forte caso de negócios e qual educação será
necessária durante a implantação de novos investimentos em TI.
De�nir a arquitetura da informação: a arquitetura da informação inclui os requisitos de rede,
sistemas e segurança necessários para proteger a integridade e a segurança das informações. Se
as informações estão em repouso, em trânsito ou em processamento.
De�nir processos, organização e relacionamentos de TI: a criação de processos documentados,
padronizados e repetíveis cria um ambiente de TI mais estável. As empresas devem se concentrar
na criação de políticas e procedimentos que incluam estrutura, funções e responsabilidades da
organização, propriedade do sistema, gerenciamento de riscos, segurança da informação,
segregação de funções, gerenciamento de mudanças, gerenciamento de incidentes e recuperação
de desastres.
Comunicar metas e direção da gerência: a gerência deve garantir que suas políticas, missão e
objetivos sejam comunicados por toda a organização.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 17/25
Avaliar e gerenciar riscos de TI: o gerenciamento deve documentar os riscos que podem afetar os
objetivos da empresa. Isso pode incluir vulnerabilidades, leis e regulamentos de segurança, acesso
ao cliente ou outras informações con�denciais etc.
Identi�que os controles de segurança de gerenciamento de fornecedores: como as empresas
con�am em outros fornecedores, como a AWS, para hospedar sua infraestrutura ou ADP para
processamento de folha de pagamento, as empresas precisam identi�car os riscos que podem
afetar a con�abilidade, a precisão e a segurança de informações con�denciais.
De modo geral, o objetivo geral da auditoria é a segurança. Há uma ampla variedade de controles de
segurança que precisam ser considerados, desde o controle de acesso e criptogra�a até as defesas e
monitoramento cibernético. Como o provedor de serviços em nuvem implementa padrões de segurança
reconhecidos também será crítico e deve ser considerado.
Escopo de uma Auditoria de Computação em
Nuvem
O escopo de uma auditoria de computação em nuvem incluirá os procedimentos especí�cos para o assunto
da auditoria. Além disso, incluirá os controles gerais de TI relacionados à organização e administração,
comunicação, avaliação de riscos, atividades de monitoramento, acesso lógico e físico, operações de sistemas
e gerenciamento de mudanças.
Um auditor é livre para revisar e exigir evidências de qualquer um dos controles identi�cados nessas áreas
para obter a garantia necessária de que os controles são projetados e operam de maneira e�caz. Também é
importante observar que os controles mantidos por um fornecedor não estão incluídos no escopo de uma
auditoria de computação em nuvem.
Os auditores contam com diferentes tipos de procedimentos, como inquérito, inspeção física, observação,
con�rmação, procedimentos analíticos e/ou reexecução para coletar evidências. Esses procedimentos de
teste serão usados em conjunto para obter evidências para fornecer uma opinião sobre o serviço que está
sendo auditado. A seguir estão exemplos de testes realizados para cada uma das áreas de controle geral de TI
identi�cadas acima. Observe que esta não é uma lista completa.
Organização e Administração:
Inspecionar a estrutura organizacional da empresa;
Inspecionar cargos com funções e responsabilidades dos funcionários;
Observe entrevistas para determinar se as competências técnicas de teste da empresa foram
concluídas;
Inspecione evidências de veri�cações de antecedentes concluídas.
Comunicação
Inspecionar políticas e procedimentos;
Inspecionar evidências de que políticas e procedimentos estão disponíveis para todos os
funcionários para referência;
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 18/25
Inspecione os Termos de Uso ou a documentação de Privacidade da empresa para determinar se
eles identi�cam responsabilidades ou compromissos;
Informe-se da gerência sobre seu compromisso com os valores éticos.
Avaliação de Risco
Inspecionar a avaliação de risco documentada da empresa;
Inspecione a avaliação de riscos para determinar se as atividades de mitigação são identi�cadas,
conforme necessário.
Atividades de Monitoramento
Inspecionar a documentação que identi�ca vulnerabilidades do sistema;
Inspecione as con�gurações do sistema para determinar se as noti�cações são fornecidas quando
vulnerabilidades ou falhas são identi�cadas;
Inspecionar evidências de que as vulnerabilidades identi�cadas são corrigidas.
Acesso Lógico e Físico
Observe que o escritório exige um crachá para entrar;
Inspecionar evidências de que indivíduos com acesso no nível do administrador estão autorizados;
Inspecione a política de senha usada para entrar na rede.
Operações de Sistemas
Inspecione as ferramentas de monitoramento usadas para monitorar o tráfego e alertar sobre
atividades suspeitas;
Inspecione evidências de que as ferramentas enviam alertas com êxito, conforme necessário;
Inspecionar evidências de que as noti�cações são acompanhadas e corrigidas conforme
necessário.
Mudar a Gestão
Inspecione as evidências para con�rmar se as alterações estão de�nidas e documentadas,
aprovadas para desenvolvimento, testadas e aprovadas para implementação.
À medida que o uso da tecnologia em nuvem amadurece, as organizações adotam novos modelos
operacionais com maior automação que se afasta do gerenciamento tradicional de TI e do design de serviços.
A auditoria precisa considerar como esses serviços serão prestados em tempo real no decorrer do tempo de
contrato.
Política de Segurança da Informação
A Política de Segurança da Informação é um conjunto de regras promulgadas por uma organização para
garantir que todos os usuários ou redes da infraestrutura de TI no domínio da organização obedeçam às
prescrições relativas à segurança dos dados armazenados digitalmente dentro dos limites em que a
organização amplia sua autoridade.
20/06/2020Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 19/25
O objetivo ao escrever uma política de segurança da informação é fornecer orientação e valor relevantes
para os indivíduos dentro de uma organização. Embora livros inteiros tenham sido publicados sobre como
escrever políticas de segurança e�cazes, a seguir estão alguns princípios a serem lembrados quando você
estiver pronto para começar a tocar (ou revisar) as políticas de segurança existentes.
Como as políticas de segurança devem re�etir o apetite ao risco do gerenciamento executivo em uma
organização, comece pelos riscos de�nidos na organização. Comece por escrever uma política que oriente de
modo adequado os usuários com o objetivo de reduzir possíveis riscos. Se uma organização corre um risco
com relação à engenharia social, deve haver uma política que re�ita o comportamento desejado para reduzir
o risco de os funcionários serem socialmente projetados. Uma dessas políticas seria a de que todo
funcionário deve fazer um treinamento anual de conscientização sobre segurança (que inclui táticas de
engenharia social).
As políticas de segurança são geralmente escritas para tópicos como uso aceitável dos ativos da empresa,
segurança de pessoal, senhas, gerenciamento de alterações, controle de acesso, acesso físico etc. Os
requisitos de conformidade também direcionam a necessidade de desenvolver políticas de segurança, mas
não escreva uma política apenas por uma questão de política.
O que Levar em Consideração ao Escrever
uma Política de Segurança
Entenda o Papel das Políticas de Segurança em sua Organização
Um dos principais objetivos de uma política de segurança é fornecer proteção - proteção para sua
organização e seus funcionários. As políticas de segurança protegem as informações críticas/propriedade
intelectual de sua organização, descrevendo claramente os papéis e responsabilidades dos funcionários,
relacionando os tipos de informações que devem ser protegidas e o motivo dessa proteção. Quando o quê e o
porquê são claramente comunicados a quem (funcionários), as pessoas podem agir de acordo e ser
responsabilizadas por suas ações. Os funcionários estão protegidos e não devem temer represálias, desde
que ajam de acordo com as políticas de segurança de�nidas.
De qualquer forma, não escreva políticas de segurança no vácuo. Se o �zer, provavelmente não se alinhará às
necessidades da sua organização. Escrever políticas de segurança é um processo iterativo e exigirá a
participação da gerência executiva antes que elas possam ser publicadas.
Garanta que suas Políticas de Segurança Sejam Aplicáveis
Se a política não será aplicada, por que desperdiçar tempo e recursos para escrevê-la? Todos em uma
organização, desde o CEO até o mais novo dos funcionários, devem cumprir as políticas de segurança. Se o
gerenciamento superior não cumprir as políticas de segurança e as consequências do não cumprimento da
política não forem impostas, a descon�ança e a apatia em relação à conformidade com a política poderão
prejudicar sua organização.
Olhe em toda a sua organização. A política pode ser aplicada de maneira justa a todos? Caso contrário,
repense sua política. As políticas de segurança são normas as quais têm como objetivo orientar e controlar o
comportamento dos funcionários. A não aplicação das políticas de segurança pode abrir precedentes para
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 20/25
práticas de computação improdutivas e inseguras por parte dos funcionários, o que resulta em maior risco
para a sua organização. Note que, antes de serem divulgadas as políticas de segurança, é importante que os
funcionários compreendam o motivo delas existirem e, consequentemente, re�itam as consequências da
violação da política.
Para a sólida aplicabilidade e aceitabilidade das políticas de segurança, é vital que a empresa garanta que
todos as leiam e as reconheçam (geralmente assinando um termo de compromisso ou de ciência). Esse termo
deve deixar claro que a não conformidade com a política pode levar a ações administrativas, incluindo a
rescisão do contrato de trabalho, mas se o funcionário não assinar essa declaração, a aplicabilidade da
política será enfraquecida.
Explique como as Exceções de Política são Tratadas
Você já ouviu a expressão "há uma exceção a todas as regras". Bem, a mesma perspectiva geralmente vale
para as políticas de segurança. Muitas vezes, existem razões legítimas pelas quais uma exceção a uma política
é necessária. Nos casos em que uma exceção a uma política é necessária, a política deve de�nir como a
aprovação da exceção à política é obtida. O gerenciamento deve estar ciente das exceções às políticas de
segurança, pois a exceção à política pode introduzir riscos que precisam ser mitigados de outra maneira.
Faça suas Políticas de Segurança Breves e Sucintas
As políticas de segurança não devem incluir tudo, exceto a pia da cozinha. Os procedimentos, linhas de base e
diretrizes de suporte podem preencher o "como" e "quando" de suas políticas. Cada política de segurança da
informação deve abordar tópicos especí�cos, por exemplo, controle de acesso, uso aceitável das
informações, entre outros; essa ação tornará as coisas mais fáceis de gerenciar e manter. Mantenha a
simplicidade: não sobrecarregue suas políticas com jargão técnico ou termos legais. Use linguagem simples;
a�nal, você deseja que seus funcionários entendam a política. Quando os funcionários entenderem as
políticas de segurança, será mais fácil para eles cumprirem.
Políticas de Segurança Atualizadas
O objetivo das políticas de segurança não é decorar os espaços vazios da sua estante. Assim como o pão
deixado no balcão �ca obsoleto após um período de tempo (aqueles com �lhos sabem do que estou falando),
as políticas de segurança podem �car obsoletas com o tempo, se não forem mantidas ativamente. No mínimo,
as políticas de segurança devem ser revisadas anualmente e atualizadas conforme necessário. É uma boa
prática que os funcionários reconheçam o recebimento e concordem em cumpri-los anualmente. Em
preparação para esse evento, revise as políticas com base nas mudanças que sua organização sofreu no ano
passado. Que novos vetores de ameaças surgiram no cenário no ano passado? O que você aprendeu dos
incidentes de segurança que sofreu no ano passado? Pegue essas lições aprendidas e incorpore-as à sua
política.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 21/25
praticarVamos Praticar
Durante uma análise de segurança de aplicativos da web, Maria descobriu que um dos aplicativos de sua organização
é vulnerável a ataques de injeção de sql. Assinale a alternativa que apresenta qual seria o melhor local para Maria
resolver o problema de causa-raiz.
a) Con�guração do servidor de banco de dados.
b) Firewall do aplicativo da Web.
c) Código do aplicativo.
d) Con�guração do servidor da Web.
e) Con�guração do servidor de arquivos.
reflitaRe�ita
Se observarmos a integração da computação em nuvem
e da Internet das coisas, podemos ver um grande passo
no universo da internet. Existem muitas novas
aplicações nessa junção que abrem novos caminhos
para as empresas e também para a pesquisa.
Entretanto, a empresa não deve jamais esquecer de
investir em segurança, pois esta é a responsabilidade
do fornecedor do serviço e da empresa contratante.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 22/25
indicações
Material
Complementar
FILME
Batman: o Cavaleiro das Trevas
Ano: 2008
Comentário: Batman, sempre amante da tecnologia, levou as coisas um pouco
longe demais nessa luta épica contra o Coringa. Aconselhado a não fazê-lo, ele
criou uma tecnologia que lhe permitia ver o mundo ao seu redor através dos
telefones das pessoas, usando o que equivalia à geolocalização.Ele percebe
que o poder dessa tecnologia é grande demais para qualquer pessoa, exceto
ele, lidar com isso; portanto, no �nal, para mantê-la fora do alcance de outras
pessoas, ele destrói várias telas. O �lme oferece uma maneira divertida de
explorar inofensivamente as implicações da tecnologia e, à medida que
avançamos e criamos o futuro da Internet das Coisas, vamos aprender com os
erros da �cção e criar o melhor mundo conectado possível.
T R A I L E R
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 23/25
L IVRO
A Quarta Revolução Industrial
Editora: Edipro; Edição: 1 (1º de fevereiro de 2018)
Autor: Klaus Schwab
ISBN: 857283978X
Comentário: supercomputação móvel onipresente. Robôs inteligentes. Carros
autônomos. Aprimoramentos neurotecnológicos do cérebro. Edição genética.
A evidência de mudanças dramáticas está ao nosso redor e está acontecendo a
uma velocidade exponencial. Nesse livro, Klaus Schwab analisa
profundamente o futuro de IoT e como podemos assumir a responsabilidade
coletiva para garantir que esse futuro seja positivo para todos nós.
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 24/25
conclusão
Conclusão
Depois de decidir migrar para a nuvem, reavalie sua estratégia de TI para enfrentar quaisquer riscos de
segurança na nuvem. Comece pesquisando os recursos dos provedores de nuvem para determinar se suas
certi�cações e ferramentas atendem aos seus requisitos de segurança. Não assuma que seu provedor
cuidará de todas as suas necessidades de segurança. Às vezes, é necessário adicionar ferramentas de
terceiros para solucionar vulnerabilidades. De igual modo, a segurança no sistema IoT não pode ser omitida
de forma alguma. O sistema IOT deve suportar recursos de segurança para nós �nais, bem como para
transferência e compartilhamento de dados. Os principais problemas de segurança, tanto para a nuvem
como para o ambiente IoT, podem ser autenticação (veri�cação de identidade) e criptogra�a de
comunicação.
referências
Referências
Bibliográ�cas
ARORA, R.; PARASHAR, A. Secure user data in cloud computing using encryption algorithms. International
Journal of Engineering Research and Applications (IJERA), v. 3, n. 4, p. 1922-1926, jul./ago. 2013.
BARRETO, J. S. et al. Fundamentos de segurança da informação. Porto Alegre: SAGAH, 2018.
BERNARDO, H. G. Alan Turing: a tragédia de um gênio. São Paulo: Chambel Multimedia, 2015.
CORMEN, H. T. Desmisti�cando Algoritmos. Rio de Janeiro: Elsevier Brasil, 2017.
COSTA, M. de F. N. Internet das Coisas: a proteção da privacidade em um mundo conectado. Artigo
(Especialização) – Escola Nacional de Administração Pública, Brasília, 2019. Disponível em:
https://repositorio.enap.gov.br/bitstream/1/4125/1/MANUELLA%20DE%20FARIAS%20NARDELLI%20COSTA.pd
Acesso em: 22 nov. 2019.
DIAS, A. et al. "Providing IaaS resources automatically through prediction and monitoring approaches" In:
IEEE SYMPOSIUM ON COMPUTERS AND COMMUNICATIONS (ISCC), 2014, Funchal. Anais [...]. Funchal:
[S.n.], 2014. p. 1-7. Doi: 10.1109/ISCC.2014.6912590.
https://repositorio.enap.gov.br/bitstream/1/4125/1/MANUELLA%20DE%20FARIAS%20NARDELLI%20COSTA.pdf
20/06/2020 Ead.br
https://unifacs.blackboard.com/webapps/late-Course_Landing_Page_Course_100-BBLEARN/Controller 25/25
GOODRICH, M. T.; TAMASSIA, R. Introdução à segurança de computadores. Porto Alegre: Bookman, 2013.
HINTZBERGEN, J. Fundamentos de segurança da informação, com base na ISO 27001 e na ISO 27002. Rio
de Janeiro: Brasport, 2018.
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC,
2014.
MICROSOFT instala mais um data center fora dos EUA para atender exigências de clientes no exterior.
Tiinside, nov. 2015. Disponível em: https://tiinside.com.br/11/11/2015/microsoft-instala-data-center-fora-
dos-eua-para-atender-exigencias-de-seguranca-de-clientes-estrangeiros/. Acesso em: 20 dez. 2019.
SÊMOLA, M. Gestão da segurança da informação. Rio de Janeiro: Elsevier Brasil, 2014.
TAURION, C. Cloud computing: computação em nuvem: transformando o mundo da tecnologia da
informação. Rio de Janeiro: Brasport, 2009.
https://tiinside.com.br/11/11/2015/microsoft-instala-data-center-fora-dos-eua-para-atender-exigencias-de-seguranca-de-clientes-estrangeiros/