Segurança em Cloud Computing_APOSTILA

Prévia do material em texto

SEGURANÇA EM CLOUD COMPUTING 1 
 
 
Segurança em cloud 
computing 
 
 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 2 
Segurança em nuvem 
 
O uso da computação em nuvem traz um novo paradigma para o fornecimento de 
serviços computacionais, em que não é necessário possuir todos os recursos para 
poder disponibilizar um serviço e, principalmente, só é preciso pagar a quantidade de 
recursos consumida. Contudo, o custo financeiro não é o único fator determinante 
para a adoção ou migração para nuvens computacionais, mas, sim, a segurança dos 
serviços. 
 
Dessa forma, melhores práticas em segurança da informação devem ser incorporadas 
pelas organizações modernas para assegurar o monitoramento contínuo dos dados e 
a integridade das informações corporativas. 
 
Um sistema de gestão de segurança da informação (SGSI) é um conjunto de processos 
e procedimentos, baseado em normas e na legislação, que uma organização 
implementa para prover segurança no uso de seus ativos tecnológicos. Tal sistema 
deve ser conhecido e seguido por todos aqueles que se relacionam direta ou 
indiretamente com a infraestrutura de TI da organização, tais como: funcionários, 
prestadores de serviço, parceiros e terceirizados. 
 
A implementação de um SGSI deve possuir obrigatoriamente o aval da direção e das 
demais áreas da organização para conferir sua legitimidade. Uma parte fundamental 
da implementação de um SGSI envolve primeiramente a análise de riscos na 
infraestrutura de TI. Essa análise permite identificar os pontos vulneráveis e as falhas 
nos sistemas, que deverão ser corrigidos. Além disso, no SGSI, são definidos processos 
para detectar e responder a incidentes de segurança e procedimentos para auditorias. 
A implementação de um Sistema de Gestão de Segurança da Informação (SGSI) deve 
ser uma decisão estratégica da organização. 
 
 
SEGURANÇA EM CLOUD COMPUTING 3 
A Norma ISO 27001 foi a primeira norma a abordar segurança da informação com uma 
visão sistêmica de gestão, e não somente como recomendações de instalação de 
controles de segurança isolados. Ela tem como objetivo oferecer um modelo para que 
as organizações possam estabelecer, implementar, operar, monitorar e analisar 
criticamente um Sistema de Gestão de Segurança da Informação (SGSI). Ela adota o 
ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos 
envolvidos em um SGSI (Figura 1). O PDCA é uma ferramenta gerencial que possibilita 
a melhoria contínua de processos e a solução de problemas. 
 
 
 
 
 
Figura 1. Ciclo PDCA. (Fonte: Norma 27001) 
 
A Norma 27001 apresenta em seu anexo 14 controles de segurança da informação: 
 
1) Políticas de segurança da informação: controles sobre como as 
políticas são escritas e revisadas; 
Estabelecimento 
do SGSI
Manutenção e 
melhoria
Monitoramento e 
análise críticia
Implementação e 
Operação
DO 
 PLAN 
 CHECK 
ACT 
Partes 
interessadas 
 
 
Expectativas e 
requisitos de 
segurança da 
informação 
Partes 
interessadas 
 
 
Segurança da 
informação 
gerenciada 
 
 
SEGURANÇA EM CLOUD COMPUTING 4 
2) Organização da segurança da informação: controles sobre como as 
responsabilidades são designadas; também inclui os controles para dispositivos 
móveis e trabalho remoto; 
3) Segurança em recursos humanos: controles para antes da contratação, 
durante e após a contratação; 
4) Gestão de ativos: controles relacionados ao inventário de ativos e uso 
aceitável, e também para a classificação de informação e manuseio de mídias; 
5) Controle de acesso: controles para a política de controle de acesso, 
gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e 
responsabilidades dos usuários; 
6) Criptografia: controles relacionados à gestão de chaves criptográficas; 
7) Segurança física e do ambiente: controles definindo áreas seguras, 
controles de entrada, proteção contra ameaças, segurança de equipamentos, 
descarte seguro, política de mesa limpa e tela limpa etc.; 
8) Segurança nas operações: vários controles relacionados à gestão da 
produção de TI: gestão de mudança, gestão de capacidade, software malicioso, 
cópia de segurança, registro de eventos, monitoramento, instalação, 
vulnerabilidades etc.; 
9) Segurança nas comunicações: controles relacionados à segurança em rede, 
segregação, serviços de rede, transferência de informação, mensageria etc.; 
10) Aquisição, desenvolvimento e manutenção de sistemas: controles 
definindo requisitos de segurança e segurança em processos de 
desenvolvimento e suporte; 
11) Relacionamento na cadeia de suprimento: controles sobre o que 
incluir em acordos e como monitorar os fornecedores; 
12) Gestão de incidentes: controles para reportar eventos e fraquezas, definindo 
responsabilidades, procedimentos de resposta e coleta de evidências; 
13) Continuidade do negócio: controles requisitando o planejamento da 
continuidade do negócio, procedimentos, verificação e revisão e redundância 
da TI; 
 
 
SEGURANÇA EM CLOUD COMPUTING 5 
14) Conformidade: controles requisitando a identificação de leis e 
regulamentações aplicáveis, proteção da propriedade intelectual, proteção de 
dados pessoais e revisões da segurança da informação. 
 
Gestão de risco 
 
Uma das premissas básicas da segurança é o fato de que não existe segurança total 
ou completa. O que torna algo seguro ou não está muito mais ligado à gerência de 
uma série de fatores do que à compra ou implementação de uma solução de software 
ou hardware definitiva. No âmbito da segurança da informação, a gestão de riscos é 
utilizada com o intuito de prevenir incidentes e melhorar o nível de segurança das 
informações sob o escopo do Sistema de Gestão de Segurança da Informação (SGSI), 
sendo um dos componentes mais importantes. É por meio desse processo que os 
riscos são identificados e tratados de forma sistemática e contínua. 
 
Existem diferentes motivações que podem levar à ocorrência de um incidente de 
segurança nas organizações. Essa ocorrência, dependendo do seu impacto, pode 
deixar o serviço oferecido por essa organização indisponível por minutos ou até horas. 
Dessa forma, as organizações deverão estabelecer uma rotina de trabalho para realizar 
o levantamento de suas vulnerabilidades, das possíveis ameaças e os possíveis 
impactos em seu negócio caso alguma dessas ameaças se concretizem. Estudaremos 
os principais fundamentos e terminologias relacionadas a risco, seu ciclo de vida e 
como calcular o impacto nos negócios na ocorrência de um evento. 
 
Segundo o Guia de orientação para gerenciamento de riscos corporativos do 
IBGC (Instituto Brasileiro de Governança Corporativa), o risco é inerente a qualquer 
atividade na vida pessoal, profissional ou nas organizações, e pode envolver perdas e 
oportunidades. Já para a norma ABNT NBR ISSO 31000:2009 – Gestão de risco, 
princípios e diretrizes, o risco afeta as organizações de todos os tipos e tamanhos 
que enfrentam influências e fatores internos e externos que tornam incerto se e 
quando elas atingirão seus objetivos. 
 
 
SEGURANÇA EM CLOUD COMPUTING 6 
Alguns termos e definições: 
 
 Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco; 
 Parte envolvida: Indivíduos, grupos ou organizações que são afetados 
diretamente por um determinado risco; 
 Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos 
ativos. Pode ser: ambiental e humana; 
 Incidente: Quando uma ameaça se concretiza; 
 Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, 
acarretando prejuízo; 
 Análise de vulnerabilidades: Processo de identificar as proteções existentes e 
ausentes, identificar falhas nas existentes e levantar dados que possam prever 
a efetividade desse conjunto de proteções; 
 Avaliação das vulnerabilidades: quando esses dados são combinados com uma 
lista de possíveis ameaças, gerando aindicação da real probabilidade de uma 
ameaça se concretizar explorando as vulnerabilidades existentes. 
 
Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de 
manifestação cujo valor compõe o cálculo da estimativa do risco. Em muitos casos, a 
probabilidade associada a uma ameaça é calculada com base na frequência de 
ocorrência; em outros, quando dados de frequência não estão disponíveis, a 
probabilidade pode ser estimada com base no grau de confiança atribuído à 
ocorrência. 
 
Você sabia? 
 
Quando os riscos não podem ser completamente eliminados... a porção do risco 
existente após todas as medidas de tratamento terem sido tomadas é chamada de 
risco residual. 
 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 7 
Etapas da gestão de risco 
 
A gestão de riscos contempla uma série de atividades relacionadas à forma como uma 
organização lida com o risco e utiliza o ciclo do PDCA, que nos permite entender a 
gestão do risco como um processo contínuo (Figura 2): 
 
 
Figura 2. Etapas gestão de riscos 
 
Para um melhor entendimento do processo de gestão de risco, podemos utilizar uma 
forma mais detalhada e que facilita a análise do processo de gestão de risco e que 
cobre todo o ciclo de vida do risco, desde a sua identificação até a sua comunicação 
às partes envolvidas (Figura 3): 
 
Identificar e avaliar 
os riscos
Selecionar, 
implementar e 
operar controles 
para tratra os riscos
Verificar e analisar 
criticamente os 
riscos
Manter e melhorar 
os controles
 
 
SEGURANÇA EM CLOUD COMPUTING 8 
 
Figura 3. Detalhamento das etapas gestão de risco 
 
Tratamento dos riscos 
 
Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos 
que foram previamente identificados. Existem várias classificações disponíveis para as 
medidas de proteção (Figura 4): 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 9 
 
Figura 4. Medidas de proteção 
 
É importante percebermos que aceitar um risco também é uma forma de tratá-lo. 
Ocorre quando o custo de proteção contra um determinado risco não vale a pena. 
 
Normas e regulamentações na área de segurança da informação 
 
A evolução tecnológica e a internet trouxeram um novo pensamento, um novo 
comportamento no cenário mundial. Nesse contexto da sociedade da informação, 
existe a necessidade de reflexões sobre a importância da existência de um marco 
jurídico que permita a livre circulação de bens e serviços, além de garantir a liberdade 
dos cidadãos. 
 
No contexto mundial, várias discussões estão sendo travadas para se atingir um 
denominador comum nas políticas de novas tecnologias de informação, a qual só pode 
ser assegurada por leis que permitam a regulamentação de cada país, a 
regulamentação entre empresas privadas e públicas e inclusive a regulamentação 
entre as pessoas físicas. 
 
 
Preventivas
Corretivas
Detectivas
 
 
SEGURANÇA EM CLOUD COMPUTING 10 
A evolução tecnológica e a internet trouxeram um novo pensamento, um novo 
comportamento no cenário mundial. Na sociedade da informação, existe a necessidade 
de reflexões sobre a importância da existência de marco jurídico que permita a livre 
circulação de bens e serviços, além de garantir a liberdade dos cidadãos. Nesse 
sentido, várias leis e normas foram promulgadas ou criadas com o objetivo de 
disciplinar essa nova forma de relacionamento entre governos, empresas e pessoas 
físicas (Figura 5). 
 
 
Figura 5. Normas x Regulamentações 
 
 
Norma 
Uma norma é um “documento estabelecido por consenso e aprovado por um 
organismo reconhecido que fornece, para uso comum e repetido, regras, diretrizes ou 
características para atividades ou seus resultados, visando à obtenção de um grau 
ideal de ordenação em um dado contexto” e que podem ser seguidas ou não. Podem 
ser jurídica, técnica, de segurança etc. 
 
Exemplo de norma: ISO 27002. 
 
Regulamento 
Um regulamento é uma exigência imposta pelo governo que especifica características 
do produto, processo ou serviço, inclusive as cláusulas administrativas aplicáveis com 
as quais a conformidade é obrigatória. Ou seja, é a legislação vigente de um 
determinado assunto. 
Exemplo de regulamento: Lei nº 12.737, de 30 de novembro de 2012 (Lei “Carolina 
Dieckmann”). 
 
 Normas 
 Regulamentações 
 
 
SEGURANÇA EM CLOUD COMPUTING 11 
É importante que os profissionais que atuam na área de segurança da informação 
conheçam as diferentes regulamentações e normas existentes sobre o assunto de 
forma que possam compreender quando e onde aplicá-las. Cada país desenvolve e 
implementa regulamentações específicas. Analisaremos algumas das regulamentações 
disponíveis na área (Figura 6): 
 
 
 
HIPAA (Lei de proteção à privacidade da informação de pacientes) 164.310 
 
Lei federal dos Estados Unidos criada em 1999 com o intuito de melhorar a eficiência 
e eficácia do sistema de cuidados de saúde. HIPAA é um acrônimo de Health Insurance 
Portability e Accountability Act. Seu principal objetivo é proteger a privacidade e a 
segurança das informações dos indivíduos na área de saúde. Ela especifica normas 
rígidas quanto à liberação de informações sobre a saúde de um indivíduo sem 
autorização e é aplicável a todas as empresas de saúde, segurados e centros de 
processamento de informações nos EUA. 
 
 Regulamentações 
 
 HIPPA 
 
 GLB 
 
 PIPEDA 
 FISMA 
 
 SOX 
 
 
Acordo de 
Basileia 
 
 
SEGURANÇA EM CLOUD COMPUTING 12 
As informações de saúde protegidas (PHI) possibilitam a identificação do paciente 
e coletadas ao longo da utilização do sistema de cuidados à saúde. São consideradas 
informações de saúde protegidas: 
 
 
Figura 7. Informações de saúde protegidas 
 
Para atender aos requisitos da HIPAA, as empresas de saúde devem proteger as 
informações de ameaças previsíveis, proporcionando segurança e integridade, e 
evitando o uso ou divulgação não autorizada dessas informações. Devem também 
assegurar que todos os envolvidos nos processos de trabalho cumpram com os 
requisitos e que o sigilo seja mantido. Dessa forma, ela fornece orientações sobre a 
utilização das PHI de forma que os funcionários com acesso aos dados do paciente 
somente possam: 
 
● Utilizar ou divulgar essas informações apenas em uma "necessidade de saber". 
Caso contrário, essas informações são confidenciais; 
● Acessar ou usar essas informações somente quando necessário para realizar o 
trabalho; 
 PHI 
 
 Nome 
 
 
Número da 
Segurança 
Social 
 
 
Endereços e 
e-mail 
 
 Empregador 
 
 
Números de 
telefone e fax 
 
 
Números de 
usuários ou 
contas 
 
 
Nomes de 
parentes 
 
 
Data do 
serviço, 
nascimento ou 
morte 
 
 
Impressões 
digitais, 
fotografias, 
gravações de 
voz 
 
 
Qualquer 
outro número, 
código ou 
características 
 
 
SEGURANÇA EM CLOUD COMPUTING 13 
● Fornecer as informações mínimas necessárias ao responder a pedidos de 
informação; 
● Não discutir essas informações com outras pessoas, a menos que seja 
administrativa ou clinicamente necessário fazê-lo; 
● Não usar meios eletrônicos para copiar ou transmitir informações a menos que 
esteja especificamente autorizado a fazê-lo. 
 
A regra de privacidade da HIPPA não tem o objetivo de proibir a troca de informações 
entre prestadores e/ou pacientes, já que muitas vezes essas comunicações são 
inevitáveis e pertinentes, como, por exemplo: 
 
 A fim de tratar um paciente; 
 Justificando o pagamento para o tratamento de um paciente; 
 Certos atos administrativos, financeiros, legais e de melhoria da qualidade 
atividades em saúde. 
 
Estabelece ainda que a PHI poderá ser divulgada dentro dos limites da lei para as 
situações abaixo e que qualquer outra situação necessitará de autorização por escrito 
ou do próprio paciente: 
 
● Autoridades de saúde pública e órgãos de fiscalização de saúde; 
● Legistas, médicos legistas e diretores de funeral;● Captação de órgãos; 
● Responder a ordens judiciais e intimações. 
 
Para fins de pesquisa na área de saúde, os procedimentos específicos podem permitir 
que as PHI sejam utilizadas ou divulgadas de forma específica, ou seja, parte dela e 
sem a possibilidade de identificação do paciente. Para alcançar os objetivos propostos 
pela HIPPA, as seguintes ações estão previstas: 
 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 14 
 
 
Figura 8. Lei de proteção à privacidade da informação de pacientes 
 
Lei Graham-Leach-Billy (GBL) 
 
A Lei Graham-Leach-Bliley exige que as instituições financeiras expliquem suas práticas 
de compartilhamento de informações e proteção de dados sensíveis para os seus 
clientes (Figura 9). 
 
Essa lei obriga as instituições financeiras a garantir a segurança e confidencialidade 
desse tipo de informação. Um ponto importante para as empresas é determinar quais 
informações devem ser recolhidas e armazenadas – e se são relevantes aos seus 
negócios. 
 HIPPA 
 
 
Controle de 
Acesso 
 
 
Controle de 
configuração 
 
 
Detecção de 
software 
malicioso 
 
 
Reforço de 
políticas 
 
 
Gerenciamento 
e 
monitoramento 
de usuários 
 
 
Segurança do 
ambiente e 
das 
transmissões 
 
 
SEGURANÇA EM CLOUD COMPUTING 15 
 
Figura 9. Dados sensíveis do cliente 
 
Entendemos como instituições financeiras empresas que oferecem aos consumidores 
produtos ou serviços financeiros, como empréstimos, aconselhamento financeiro ou 
de investimento, ou ainda aconselhamento de seguros. Na verdade, a regra se aplica 
a todas as empresas, independentemente do tamanho, que estão envolvidas no 
fornecimento de produtos ou serviços financeiros. 
 
Também faz parte de sua implementação uma regra de salvaguardas que exige que 
as instituições financeiras tenham medidas locais para manter informações de clientes 
seguras (Figura 10): 
 
 
 
 
 
 
 
 
 
 
 
Figura 10. Medidas de segurança 
 
 
 
 nome endereço 
números de 
telefone 
 
números de 
banco 
número 
cartão de 
crédito 
 
histórico de 
renda 
 
histórico de 
crédito 
número de 
Segurança 
Social 
 
 
Gestão e 
formação 
de 
colaborado
res 
Sistemas de 
informação 
 
Detecção e 
gestão de 
falhas do 
sistema 
 
 
SEGURANÇA EM CLOUD COMPUTING 16 
PIPEDA (Lei de proteção à informação pessoal e documentos eletrônicos) 
(Canadá) 
 
Lei canadense, promulgada em 13 de abril de 2000, que visa à proteção de 
informações pessoais e documentos eletrônicos. Ela estabelece regras básicas de como 
organizações do setor privado e público podem coletar, usar ou divulgar informações 
pessoais no decurso das suas atividades comerciais. As informações pessoais incluem 
qualquer informação factual ou subjetiva, registrada ou não, sobre um indivíduo 
identificável. Ela concede ao indivíduo o direito de decidir para quem suas informações 
pessoais serão fornecidas, além da finalidade de sua utilização. Entre outras ações 
descritas: 
 
● Obtenção do consentimento de uma pessoa quando coletar, usar ou divulgar 
informações pessoais do indivíduo; 
● O indivíduo tem o direito de acesso a informações pessoais na posse de uma 
organização e pode questionar sua precisão se for necessário; 
● Informações pessoais só podem ser utilizadas para os fins para os quais foram 
coletadas. Se ocorrerem mudanças de uso, o consentimento deve ser obtido 
novamente; 
● Indivíduos também devem ter certeza de que suas informações serão 
protegidas por garantias específicas, incluindo medidas, tais como armários 
trancados, senhas de computador ou criptografia. 
FISMA (Lei federal de gestão de segurança de informação) 
 
A FISMA (Federal Information Security Management Act) é uma lei federal dos Estados 
Unidos que rege as atividades de segurança da informação dos órgãos federais para 
o processo de certificação e acreditação. É aplicável às agências federais ou 
organizações que atuam em nome do governo. 
Dessa forma, a FISMA orienta o estabelecimento de um programa de segurança de 
informação integrado, baseado no risco e aderente aos requisitos de alto nível das 
organizações. Nesse sentido, a FISMA estabelece as seguintes atividades: 
 
 
SEGURANÇA EM CLOUD COMPUTING 17 
 
● Avaliação do nível atual de risco associado aos sistemas de informação e da 
informação; 
● Definição dos controles para proteção dos sistemas de informação; 
● Implementação de políticas e procedimentos para a redução do risco percebido; 
● Teste e avaliação periódica dos controles; 
● Treinamento de pessoal sobre as políticas e procedimentos de segurança da 
informação; 
● Gerenciamento de incidentes (resposta a incidentes de plano/processo). 
 
SOX (Lei Sarbanes-Oxley) ou Sarbox 
 
Lei criada em 30 de Julho de 2002 com o objetivo de evitar a fuga de investidores 
causada pela insegurança e perda de confiança em relação às ações contábeis e aos 
princípios da governança. Foi criada a partir de fraudes e escândalos contábeis que 
atingiram grandes corporações nos Estados Unidos. 
 
As penalidades pelo descumprimento dessa lei preveem multas de até USD 1.000.000 
e/ou a reclusão por até 10 anos. Quando o descumprimento da lei for intencional 
(normalmente com finalidades fraudulentas), a multa aumenta para até USD 
5.000.000 e a reclusão pode chegar a 20 anos. É aplicável a todas as empresas, sejam 
elas americanas ou estrangeiras, que tenham ações registradas na SEC (Securities and 
Exchange Comission, o equivalente americano da CVM brasileira). 
 
Tem por objetivo coibir a fraude, aumentar a responsabilidade corporativa e a 
revelação de informações relevantes nas demonstrações financeiras. Está estruturada 
em onze títulos (capítulos), com um número variável de seções cada um, totalizando 
69 seções (artigos). As seções consideradas mais importantes são (Figura 11): 
 
 
SEGURANÇA EM CLOUD COMPUTING 18 
Figura 11. Seções mais importantes 
 
A primeira parte ou título da lei estabelece uma nova agência, o Public Company 
Accounting Oversight Board (PCAOB), que tem o encargo de supervisionar, 
regulamentar, inspecionar e disciplinar as empresas de auditoria externa em seus 
papéis de auditores de companhias abertas. 
 
Nos demais capítulos, a SOX obriga as empresas a reestruturar seus processos para 
aumentar os controles, a segurança e a transparência na condução dos negócios, na 
administração financeira, nas escriturações contábeis e na gestão e divulgação das 
informações. Na prática, ela define por lei uma série de medidas que já são 
consideradas, no mundo todo, como práticas de boa governança corporativa. 
 
Ela prevê a criação, nas empresas, de mecanismos de auditoria e segurança confiáveis, 
definindo regras para a criação de comitês encarregados de supervisionar as atividades 
e operações, formados em boa parte por membros independentes. Isso com o intuito 
explícito de evitar a ocorrência de fraudes e criar meios de identificá-las quando 
ocorrerem, reduzindo os riscos nos negócios e garantindo a transparência na gestão. 
 
 
 
 
 
 
 302 401 404 409 802 906 
 
 
SEGURANÇA EM CLOUD COMPUTING 19 
Visão geral dos principais títulos da Lei Sarbanes-Oxley 
 
Título 1: PCAOB 
 
Seção 101: Cria o Public Company Accounting Oversight Board; 
Seção 102: Trata da organização do PCAOB e de suas atribuições; 
Seção 103: Define regras e padrões de auditoria, controle de qualidade e 
independência; 
Seção 104: Determina que o PCAOB crie um programa permanente de inspeção nas 
empresas de auditoria registradas na SEC; 
Seção 109: Define o financiamento e taxas de funcionamento do PCAOB. 
 
Título 2: Independência do auditor 
 
Artigo 201: Define serviços que são proibidos para os auditores dentro das companhias 
que auditam; 
Seção 202: Determina a necessidade da aprovação prévia do comitê de auditoria 
para qualquer outro serviço prestado pelos auditores independentes da companhia; 
Seção203: Determina a rotatividade a cada 5 anos do sócio responsável por cada 
cliente em empresa de auditoria; 
Seção 204: Cria regras para comunicação entre os auditores contratados e o comitê 
de auditoria da companhia. 
 
Título 3: Responsabilidades da empresa 
 
Seção 301: Define as funções atribuídas e nível de independência do comitê de 
auditoria em relação à direção da empresa; 
Seção 302: Determina a responsabilidade dos diretores das empresas, que devem 
assinar os relatórios certificando que as demonstrações e outras informações 
financeiras incluídas no relatório do período apresentam todos os fatos materiais e que 
não contém nenhuma declaração falsa ou que fatos materiais tenham sido omitidos. 
 
 
SEGURANÇA EM CLOUD COMPUTING 20 
Também devem declarar que divulgaram todas e quaisquer deficiências significativas 
de controles, insuficiências materiais e atos de fraude ao seu comitê de auditoria; 
Seção 303: Proíbe a conduta imprópria de auditor por influência fraudulenta, coação 
ou manipulação, não importando se intencional ou por negligência. Proíbe diretores e 
funcionários da empresa de tomar qualquer medida para influenciar os auditores; 
Seção 305: Define as responsabilidades e penalidades a cargo dos diretores da 
empresa; 
Seção 307: Cria regras de responsabilidade para advogados, obrigando-os a relatar 
evidências de violação importante da companhia para a qual prestam serviços, 
devendo reportar-se ao comitê de auditoria, se não forem ouvidos pela diretoria. 
 
Título 4: Aprimoramento das divulgações financeiras 
 
Seção 401: Obriga a divulgação das informações trimestrais e anuais sobre todo fato 
material não relacionado com o balanço patrimonial, tais como: transações, acordos, 
obrigações realizadas com entidades não consolidadas, contingências e outras. 
Também exige a divulgação de informações financeiras não relacionadas com as 
normas geralmente aceitas; 
 Seção 402: Obriga a divulgação das principais transações envolvendo a diretoria e 
os principais acionistas da companhia. Nenhum diretor ou funcionário graduado de 
companhia aberta poderá receber, direta ou indiretamente, empréstimos em 
companhia aberta; 
Seção 404: Determina uma avaliação anual dos controles e procedimentos internos 
para a emissão de relatórios financeiros. Além disso, o auditor independente deve 
emitir um relatório distinto que ateste a asserção da administração sobre a eficácia 
dos controles internos e dos procedimentos executados para a emissão dos relatórios 
financeiros; 
Seção 406: Define o Código de ética para os administradores, alta gerência e 
gerência; 
Seção 409: Obriga a divulgação imediata e atual de informações adicionais relativas 
a mudanças importantes na situação financeiras ou nas operações da companhia. 
 
 
SEGURANÇA EM CLOUD COMPUTING 21 
 
Título 8: Responsabilidade por fraude corporativa ou criminal 
 
Seção 802: Define as penalidades criminais por alteração/destruição/falsificação de 
documentos a serem utilizados nas vistorias da SEC; 
Seção 806: Cria os meios de proteção aos funcionários de empresas de capital aberto 
que denunciarem fraude na companhia em que trabalham; 
Seção 807: Define as penalidades criminais por prejudicar acionistas minoritários de 
empresas de capital aberto com informações inverídicas. 
 
Título 9: Aumento das penalidades para crimes de colarinho branco 
 
Seção 906: Aumenta a responsabilidade da diretoria sobre as demonstrações 
financeiras e define as penalidades para as infrações. 
 
Acordo de Basileia 
 
Após instabilidades e distúrbios nos mercados financeiros internacionais, os 
responsáveis pela supervisão bancária nos países do G-10 decidiram criar o Comitê de 
regulamentação bancária e práticas de supervisão, sediado no Banco de 
compensações internacionais (BIS), em Basileia, na Suíça. Assim, surgiu o Comitê de 
Basileia. 
 
Esse comitê é constituído por representantes dos bancos centrais dos países membros 
do G-10 que discutem questões relacionadas à indústria bancária com o objetivo de 
melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema 
bancário internacional. 
 
O acordo de Basileia ou Basileia I definiu mecanismos para mensuração do risco de 
crédito com o objetivo de reforçar a solidez e a estabilidade do sistema bancário 
 
 
SEGURANÇA EM CLOUD COMPUTING 22 
internacional e minimizar as desigualdades competitivas entre os bancos 
internacionalmente ativos (Figura 12): 
 
 
Figura 12. Mecanismos para mensuração de riscos 
Em junho de 2004, o comitê propôs revisão no acordo, conhecido por Basileia II, com 
os seguintes objetivos: 
 
● Promover a estabilidade financeira; 
● Fortalecer a estrutura de capital das instituições; 
● Favorecer a adoção das melhores práticas de gestão de riscos; 
● Estimular maior transparência e disciplina de mercado. 
 
Dessa forma, propõe um enfoque mais flexível para exigência de capital e mais 
abrangente com relação ao fortalecimento da supervisão bancária e ao estímulo para 
maior transparência na divulgação das informações ao mercado, baseado em três 
grandes premissas: 
 
● Fortalecimento da estrutura de capitais das instituições; 
● Estímulo à adoção das melhores práticas de gestão de riscos; 
● Redução da assimetria de informação e favorecimento da disciplina de mercado. 
 
Com a ocorrência de novas crises financeiras que demonstraram que os acordos de 
Basileia I e II mostraram-se insuficientes, em dezembro de 2010, o Comitê de Basileia 
emitiu dois novos documentos: 
 
 
 
 Capital regulatório 
 
 Fatores de ponderação de riscos ativos 
 
 
Índice mínimo de capital para cobertura de risco de 
crédito (BIS) 
 
 
SEGURANÇA EM CLOUD COMPUTING 23 
● Framework global de regulação para bancos e sistemas bancários mais 
resilientes; 
● Framework internacional para medição de risco de liquidez, padrões e 
monitoramento. 
 
Esses documentos ficaram conhecidos como Basileia III e visam ao aperfeiçoamento 
da capacidade das instituições financeiras absorverem choques provenientes do 
próprio sistema financeiro ou dos demais setores da economia, reduzindo o risco de 
transferência de crises financeiras para a economia real. 
Normas 
 
As normas de segurança da informação foram criadas para fornecer as melhores 
práticas, diretrizes e princípios gerais para a implementação de sua gestão para 
qualquer organização. 
Com o crescimento da utilização da informática pelas organizações, nas décadas de 
80 e 90, o Departamento de Defesa (DoD – Department of Defense) disponibilizou 
uma série de publicações com padrões e orientações sobre segurança da informação 
que ficaram conhecidas como “Rainbow series” ou “Rainbow books” (Figura 13). 
 
Figura 13. Rainbow books 
No Reino Unido, na década de 1990, surgiram as normas BS (British Standard). No 
contexto da segurança da informação, em 1995 foi publicada a BS7799 que, anos mais 
tarde, iria se transformar na ISO 27002 e 27001. 
 
 
SEGURANÇA EM CLOUD COMPUTING 24 
Inspirada no “Orange book”, foi publicada a Norma ISO 15408, que trata do 
desenvolvimento de software seguro, e publicada a RFC, do IETF, que é um guia para 
desenvolvimento de políticas de segurança de computador e procedimentos para sites 
que têm seus sistemas na internet. 
Como podemos concluir, existem várias instituições reconhecidas que produzem 
padrões na área de segurança da informação: 
● ISO – International Standardization Organization; 
● IEC – International Electrotechnical Comission; 
● ABNT – Associação Brasileira de Normas Técnicas; 
● IETF – Internet Engineering Task Force; 
● IEEE – Institute of Electrical and Electronics Engineers. 
 
NIST (Instituto Nacional de Normas e Tecnologia) 
O NIST é uma agência de tecnologia do governo americano que trabalha em conjunto 
com a indústria para o desenvolvimento e aplicação de tecnologia, metrologia e 
padrões. Ele possui um departamentodedicado à segurança da informação e possui 
uma vasta quantidade de publicações relevantes na área, entre as quais destaca-se: 
● NIST Special Publications (SPs): 
 
Orientações em segurança e privacidade, recomendações e materiais de referência. 
▪ SP 800 subseries – Segurança na computação; 
▪ SP 1800 subseries – Criada para complementar a SP 800 na 
implementação de boas práticas na segurança (cibersegurança); 
▪ SP 500 series – Tecnologia da informação (relevantes para a 
segurança e privacidade da computação/cyber/informação). 
 
 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 25 
 
Visão geral da família de normas ISO 27K 
 
No nosso país, quem é responsável por manter as normas de gestão de segurança 
da informação (ISO 27000) é a ABNT, representante da ISO no Brasil e responsável 
por normatizar essa questão (Figura 14). 
 
 
 
 
Figura 14. Normas ISO 27K 
 
• ISO 27000 – Revisão dos termos e definições comumente utilizados em 
sistemas de gestão em segurança da informação; 
• ISO 27001 - Especifica os requisitos para estabelecer, implementar, manter e 
melhorar continuamente um sistema de gestão da segurança da informação 
dentro do contexto da organização. Inclui requisitos para a avaliação e 
tratamento de riscos de segurança da informação voltados para as necessidades 
da organização; 
 
 Normas 
 
 Vocabulário 
 
 Requisitos 
 
 
Orientações 
Gerais 
 
 
Orientações 
específicas por 
setor 
 
 
Orientações de 
controles 
específicos 
IS
O 
27000 
 
ISO 27001 
ISO 27006 
ISO 27009 
ISO 27006 
ISO 27009 
 
ISO 27010 
ISO 27011 
ISO TR 27015 
ISO 27017 
ISO 27018 
ISO TR 27019 
ISO 27799 
 
ISO 27002 
ISO 27003 
ISO 27004 
ISO 27005 
ISO 27007 
ISO TR 27008 
ISO TR 27013 
ISO 27014 
ISO TR 27016 
ISO 27021 
ISO 270023 
 
ISO 27031-39 
ISO 27041-3 
ISO 27050 
 
 
 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 26 
• ISO 27002 - Diretrizes para práticas de gestão de segurança da informação e 
normas de segurança da informação para as organizações, incluindo a seleção, 
a implementação e o gerenciamento de controles, levando em consideração os 
ambientes de risco da segurança da informação da organização; 
• ISO 27003 - Foca os aspectos críticos necessários para a implantação de 
projetos bem-sucedidos de um Sistema de Gestão da Segurança da Informação 
(SGSI), de acordo com a ABNT NBR ISO IEC 27001:2005. Descreve o processo 
de especificação e projeto do SGSI desde a concepção até a elaboração dos 
planos de implantação; 
• ISO 27004 - Diretrizes para o desenvolvimento e uso de métricas e medições 
a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da 
Informação (SGSI) implementado e dos controles ou grupos de controles, 
conforme especificado na ABNT NBR ISO/IEC 27001; 
• ISO 27005 - Diretrizes para o processo de gestão de riscos de segurança da 
informação; 
• ISO 27006 - Requisitos para auditorias externas em um Sistema de 
Gerenciamento de Segurança da Informação. Especifica como o processo de 
auditoria de um sistema de gerenciamento de segurança da informação deve 
ocorrer; 
• ISO 27007 - Diretrizes sobre como gerenciar um programa de auditoria de 
Sistema de Gestão da Segurança da Informação (SGSI) e sobre como executar 
as auditorias e a competência de auditores de SGSI; 
• ISO 27008 - Diretrizes sobre a análise da implementação e operação dos 
controles, incluindo a verificação de conformidade técnica dos controles com as 
normas de segurança da informação estabelecidas pela organização; 
• ISO 27009 - Define os requisitos para a utilização da ISO 27001 em um setor 
específico e como incluir novos controles; 
 
 
SEGURANÇA EM CLOUD COMPUTING 27 
• ISO 27010 - Diretrizes para a gestão da segurança da informação através das 
comunicações interempresariais. Provê controles e orientações especificamente 
relacionadas em como iniciar, implementar, manter e melhorar a segurança da 
informação em comunicações interorganizacionais e intersetoriais; 
• ISO 27011 - Diretrizes que suportem a implementação da gestão de 
segurança da informação em organizações de telecomunicações; 
• ISO 27013 - Guia para implementar a ISO 27001 em uma organização de 
forma integrada com a ISO 20000; 
• ISO 27014 - Orientação sobre conceitos e princípios para a governança de 
segurança da informação, pela qual as organizações podem avaliar, dirigir, 
monitorar e comunicar as atividades relacionadas com a segurança da 
informação dentro da organização; 
• ISO 27015 - Provê informações para a implementação da ISO 27001, ou seja, 
a gestão da segurança da informação, em empresas que prestam serviços 
financeiros; 
• ISO 27016 - Fornece orientações sobre como uma organização pode tomar 
decisões para proteger a informação e compreender as consequências 
econômicas dessas decisões no contexto das necessidades de seus 
concorrentes; 
• ISO 27017 - Fornece diretrizes para os controles de segurança da informação 
aplicáveis à prestação e utilização de serviços em nuvem; 
• ISO 27019 - Complementa a norma ISO 27017. Diretrizes para a 
implementação de proteção especificamente de informação pessoalmente 
identificável em serviços em nuvem; 
• ISO 27031 - Conceitos e princípios da prontidão esperada para a tecnologia 
de comunicação e informação (TIC) na continuidade dos negócios, além de 
fornecer uma estrutura de métodos e processos para identificar e especificar 
todos os aspectos (como critérios de desempenho, projeto e implementação) 
 
 
SEGURANÇA EM CLOUD COMPUTING 28 
para fornecer essa premissa nas organizações e garantir a continuidade dos 
negócios; 
• ISO 27032 - Diretrizes para a cibersegurança. Contêm diretrizes para a 
preservação da confidencialidade, integridade e disponibilidade da informação 
no cyberspace; 
• ISO 27033 - Técnicas de segurança - segurança de rede - parte 1: visão geral 
e conceitos; 
• ISO 27033-2 -Técnicas de segurança - segurança de rede - parte 2: diretrizes 
para a concepção e implementação de segurança de rede; 
• ISO 27033-3 - Técnicas de segurança - segurança de rede – parte 3: cenários 
de rede de referência - ameaças, técnicas de design e problemas de controle; 
• ISO 27033-4 - Técnicas de segurança - segurança de rede – parte 4: 
protegendo as comunicações entre redes usando gateways de segurança; 
• ISO 27033-5 - Técnicas de segurança - segurança de rede – parte 5: rede de 
comunicação segura usando redes privadas virtuais (VPNs); 
• ISO 27033-6 - Técnicas de segurança - segurança de rede – parte 6: 
protegendo rede IP sem fio; 
• ISO 27034 - Técnicas de segurança - segurança da aplicação - parte 1: visão 
geral e conceitos; 
• ISO 27035 - Técnicas de segurança - gerenciamento de incidentes de 
segurança das informações; 
• ISO 27037 - Diretrizes para atividades específicas no manuseio de evidências 
digitais que são a identificação, coleta, aquisição e preservação de evidência 
digital que possam possuir valor probatório; 
 
 
SEGURANÇA EM CLOUD COMPUTING 29 
• ISO 27036 - Diretrizes para atividades específicas no manuseio de evidências 
digitais que são a identificação, coleta, aquisição e preservação de evidência 
digital que possam possuir valor probatório; 
• ISO 27038 - Especifica características de técnicas para realizar a redação 
digital em documentos digitais. Especifica requisitos para ferramentas de 
software para redação e métodos para testar se a produção digital foi 
seguramente concluída. 
Padrão de segurança de dados da indústria de cartões de pagamento (PCI 
DSS) 
 
O PCI DSS foi desenvolvido pelas empresas do ramo (American Express, Discover 
Financial Services, JCB International, MasterCard Worldwide e Visa Inc.) para 
incentivar e aprimorar a segurança dos dados dos portadores de cartão de crédito 
(Figura 15). O objetivo é oferecer um conjunto de requisitos técnicos e operacionais 
para a proteção dos dados do portador do cartão durante o processode pagamento 
realizado pelo cliente. 
 
 
Figura 15. Fluxo de pagamento com cartão de crédito 
 
 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 30 
É aplicável a todas as entidades envolvidas nos processos de pagamento do cartão – 
inclusive comerciantes, processadores, adquirentes, emissores e prestadores de 
serviço, bem como todas as entidades que armazenam, processam ou transmitem os 
dados do portador do cartão (CHD) e/ou dados de autenticação confidenciais (SAD). 
Estabelece ainda que os dados de autenticação confidencial não podem ser 
armazenados. 
 
 
 
Ele é constituído de seis seções, subdividas em 12 requerimentos: 
 
Seção Requerimento 
Construir e manter a segurança de 
rede e sistemas 
1. Instalar e manter uma 
configuração de firewall para 
proteger os dados do titular do 
cartão 
2. Não usar padrões disponibilizados 
pelo fornecedor para senhas do 
sistema e outros parâmetros de 
segurança 
Proteger os dados do titular do 
cartão 
1. Proteger os dados armazenados 
do titular do cartão 
 
 
Dados do 
portador do 
cartão 
 
Número da conta principal 
Nome do portador do cartão 
Conta de serviço 
 
Dados de 
autenticação 
confidencial 
 
Dados de rastreamento completo 
CVV 
PIN 
 
 
SEGURANÇA EM CLOUD COMPUTING 31 
2. Criptografar a transmissão dos 
dados do titular do cartão em 
redes abertas e públicas 
Manter um programa de 
gerenciamento de vulnerabilidades 
1. Usar e atualizar regularmente o 
software ou programas antivírus 
2. Desenvolver e manter sistemas e 
aplicativos seguros 
Implementar medidas rigorosas de 
controle de acesso 
1. Restringir o acesso aos dados do 
titular do cartão de acordo com a 
necessidade de conhecimento 
para o negócio 
2. Identificar e autenticar o acesso 
aos componentes do sistema 
3. Restringir o acesso físico aos 
dados do titular do cartão 
Monitorar e testar as redes 
regularmente 
 
1. Acompanhar e monitorar todos os 
acessos com relação aos recursos 
da rede e aos dados do titular do 
cartão 
Manter uma política de segurança 
das informações 
1. Manter uma política que aborde a 
segurança das informações para 
todas as equipes 
 
Norma ISO 27002 
 
A Norma ISO 27002 apresenta um conjunto de melhores práticas a serem seguidas 
pelas organizações. Em seu capítulo introdutório, ela apresenta os conceitos básicos 
sobre segurança da informação e como estabelecer os requisitos de segurança nas 
organizações. Esses requisitos são identificados por meio de uma análise/avaliação 
sistemática dos riscos de segurança da informação e para a implementação dos 
controles selecionados para a proteção contra os riscos. 
 
 
SEGURANÇA EM CLOUD COMPUTING 32 
Com os requisitos de segurança e os riscos identificados, e as decisões para o 
tratamento dos riscos tomadas, as organizações devem selecionar e implementar os 
controles apropriados para que as organizações possam assegurar que os riscos sejam 
reduzidos a um nível aceitável. 
 
Essa norma pode ser o ponto de partida para a implementação da segurança da 
informação pelas organizações. Está estruturada em 11 seções: 
a) Política de segurança da informação; 
b) Organizando a segurança da informação; 
c) Gestão de ativos; 
d) Segurança em recursos humanos; 
e) Segurança física e do ambiente; 
f) Gestão das operações e comunicações; 
g) Controle de acesso; 
h) Aquisição, desenvolvimento e manutenção de sistemas de informação; 
i) Gestão de incidentes de segurança da informação; 
j) Gestão da continuidade do negócio; 
k) Conformidade. 
 
Normas e padrões em nuvem 
 
Atualmente existem diversos padrões em desenvolvimento sobre nuvem: 
 
 
Figura 16. Normas & padrões e em nuvem 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 33 
IEEE P2301 working group (cloud profiles) 
 
O objetivo desse grupo de trabalho é desenvolver um guia para portabilidade e perfis 
de interoperabilidade (CPIP) em nuvem. O guia orienta os envolvidos em um 
ecossistema de computação em nuvem (fornecedores de nuvem, provedores de 
serviços e usuários) à utilização no desenvolvimento, construção e utilização de 
produtos e serviços de computação em nuvem baseados em padrões, o que levar a 
maior portabilidade, uniformidade e interoperabilidade. 
 
IEEE P2302 working group (intercloud) 
 
O objetivo desse grupo de trabalho é definir topologia, funções e governança para 
interoperabilidade e federação de nuvem a nuvem. Os elementos topológicos incluem 
nuvens, raízes, trocas (que medeiam a governança entre nuvens) e gateways (que 
medeiam a troca de dados entre nuvens). Os elementos funcionais incluem espaços 
de nomes, presença, mensagens, ontologias de recursos (incluindo unidades de 
medida padronizadas) e infraestrutura de confiança. Elementos de governança incluem 
registro, geoindependência, âncora de confiança, conformidade e auditoria. 
NIST-SP 500-291 (cloud computing standards roadmap) 
Através desse documento, o NIST examinou e identificou padrões de segurança, de 
portabilidade e de interoperabilidade, modelos, estudos e caso de uso relevantes para 
a computação em nuvem. 
NIST SP 500-292 NIST (cloud computing reference architecture) 
Documento que apresenta uma arquitetura de referência e taxonomia para utilização 
pelo governo americano. 
 
 
SEGURANÇA EM CLOUD COMPUTING 34 
Special publication 800-144 guidelines on security and privacy in public 
cloud computing 
Essa publicação fornece uma visão geral dos desafios de segurança e privacidade 
pertinentes à utilização da computação em nuvem pública. Ela ressalta as 
considerações que as organizações devem considerar terceirizando seus dados, 
aplicativos e infraestrutura para um ambiente de nuvem pública. 
ISO/IEC 17788 (cloud computing - overview and vocabulary) 
Fornece definições de termos de computação em nuvem comuns, incluindo aqueles 
para categorias de serviços em nuvem, como Software como Serviço (SaaS), 
Plataforma como Serviço (PaaS) e Infraestrutura como Serviço (IaaS), bem como 
modelos para implantação, como nuvem pública e nuvem privada. 
ISO/IEC 17789 (cloud computing - reference architecture) 
Fornece um padrão de arquitetura de referência que inclui diagramas e descrições de 
como os vários aspectos da computação em nuvem se relacionam entre si. 
ISO/IEC 19770 código de prática para controles de segurança para serviços 
em nuvem 
Código de prática para controles de segurança da informação com base na ABNT NBR 
ISO/IEC 27002 para serviços em nuvem. 
Continuidade de negócio, segurança física e lógica 
 
Plano de continuidade do negócio consiste num conjunto de estratégias e 
procedimentos que devem ser adotados quando a instituição ou uma área depara-se 
com problemas que comprometem o andamento normal dos processos e a 
consequente prestação dos serviços. É um conjunto de medidas (Figura 17): 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 35 
 
Figura 17. Tipos de medidas 
 
 
Essas medidas deverão minimizar o impacto sofrido diante do acontecimento de 
situações inesperadas, desastres, falhas de segurança, entre outras, até que a 
organização retorne à normalidade. Para que essas medidas tenham sucesso, é 
necessário que a organização conheça os requisitos para sua elaboração (Figura 18): 
 
 
Figura 18. Requisitos para elaboração de medias de segurança 
 
Ciclo de vida da gestão da continuidade de negócios 
Riscos a que está exposta a instituição, probabilidade de ocorrência e os 
impactos decorrentes (tanto aqueles relativos à escala do dano como ao 
tempo de recuperação); 
Consequências que poderão advir da interrupção de cada sistema 
computacional; 
Identificação e priorização de recursos, sistemas, processos 
críticos; 
Tempo limite para recuperação dos recursos, sistemas, processos; 
Alternativas para recuperação dos recursos, sistemas, processos, 
mensurando os custos e benefícios de cada alternativa.
 
 
SEGURANÇA EM CLOUD COMPUTING 36 
 
O ciclo de vidada gestão de continuidade de negócios é composto por seis elementos 
obrigatórios que podem ser implementados em todos os tipos de organizações de 
diferentes tamanhos e setores. Cada organização, ao implementar a gestão da 
continuidade de negócios, deverá adaptar as suas necessidades: o escopo, a estrutura 
do programa de GCN e o esforço gasto (Figura 19). 
 
 
 
Figura 19. Inserindo a GCN na cultura da organização 
Para que um programa de GCN seja implementado nas organizações e alcance os 
objetivos definidos na política de continuidade de negócios, a gestão desse programa 
deverá envolver as seguintes atividades (Figura 20): 
Entendendo a 
organização
Determinando 
a estratégia
Desenvolvendo 
uma resposta 
de GCN
Testando, 
mantendo e 
analisando 
criticamente 
 
 
SEGURANÇA EM CLOUD COMPUTING 37 
 
Figura 20. Atividades da GCN 
Análise do impacto do negócio (BIA) 
 
É imprescindível que a equipe responsável pela elaboração e implementação da 
continuidade de negócio defina e documente o impacto das atividades que suportam 
seus produtos e serviços. A esse processo damos o nome de análise de impacto nos 
negócios, conhecido mundialmente por BIA. A análise do impacto dos negócios é 
fundamental para fornecer informações para o perfeito dimensionamento das demais 
fases de elaboração do plano de continuidade de negócio. 
O objetivo dessa análise é levantar o grau de relevância dos processos ou atividades 
que compõem a entrega de produtos e serviços fundamentais para a organização e 
dentro do escopo do programa de GCN. Devem ser mapeados os ativos físicos, 
tecnológicos e humanos, assim como quaisquer atividades interdependentes que 
também precisem ser mantidas continuamente ou recuperadas ao longo do tempo de 
cada processo ou atividade, para então apurar os impactos quantitativos que 
poderiam ser gerados com a sua paralisação total ou parcial. É possível, nesse 
momento, estabelecer o período máximo de interrupção tolerável de cada atividade 
através da relação entre o: 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 38 
 
 
Identificação das atividades críticas 
 
Após a realização do levantamento e da análise do impacto do negócio, a organização 
deve categorizar suas atividades de acordo com suas prioridades recuperação. Mas 
como classificar as atividades? 
Atividades cuja perda, baseado no resultado do BIA, teriam o maior impacto no menor 
tempo e que necessitem ser recuperadas mais rapidamente devem ser chamadas de 
atividades críticas. 
A organização deve considerar também que existem outras não consideradas críticas, 
mas que devem ser recuperadas dentro do seu período máximo de interrupção 
tolerável e estimar os recursos que cada atividade necessitará durante a sua 
recuperação: 
 
• Recursos de pessoal (quantidade, habilidades e conhecimento); 
• Localização dos trabalhos e instalações necessárias; 
• Tecnologia, equipamentos e plantas que suportam o negócio; 
• Informação sobre trabalhos anteriores ou trabalhos atualmente em progresso, 
de forma a permitir que as atividades continuem no nível acordado; 
• Serviços e fornecedores externos 
 
Tempo máximo decorrido de interrupção 
toléravel de cada atividade
Nível minimo no qual a atividade tem que 
ser desempenhada após o seu reinício
Tempo máximo até a retomada dos níveis 
normais de operação
 
 
SEGURANÇA EM CLOUD COMPUTING 39 
Identificação das ameaças das atividades críticas 
 
A organização deverá, no contexto da GCN, entender os níveis do risco no que diz 
respeito às atividades críticas da organização e aos riscos de uma interrupção delas. 
Dessa forma, é importante que a organização entenda as ameaças e vulnerabilidades 
de cada recurso envolvido e o impacto que haveria se uma ameaça se tornasse um 
incidente e causasse uma interrupção no negócio através de uma análise de risco. 
 
Determinando a estratégia de continuidade de negócios 
 
A organização deve implementar medidas apropriadas para reduzir a probabilidade de 
ocorrência de incidentes e seus efeitos. Na adoção dessas medidas, deverão ser levado 
em consideração os seguintes fatores: 
 
 Período máximo de interrupção tolerável da atividade crítica; 
 Os custos de implementação de cada estratégia; 
 As consequências de não se tomar uma ação. 
Devem considerar também que, para a continuidade dos negócios, pode ser necessário 
o estabelecimento de estratégias para todos os recursos envolvidos nos processos 
considerados críticos, tais como: 
 
 
Figura 21. Recursos nos processos críticos 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 40 
Determinando a estratégia de continuidade de negócios 
 
A organização deve definir uma estratégia de resposta a incidente que permita uma 
resposta efetiva e uma recuperação pós-incidente, e também a implementação de uma 
estrutura que, caso ocorra um acidente, possa rapidamente ser formada. Essa equipe 
pode receber a denominação de equipe de gerenciamento de incidente ou equipe de 
gerenciamento de crise. A estrutura implementada deve possuir: planos, processos e 
procedimentos de gerenciamento de incidentes, ferramentas de continuidade de 
negócio, planos para ativação, operação, coordenação e comunicação de resposta ao 
incidente. No caso de um incidente, a organização deverá ser capaz de: 
 
 
 
 
 Confirmar a natureza e extensão do incidente; 
 Tomar controle da situação; 
 Controlar o incidente; 
 Comunicar-se com as partes interessadas. 
 
Os planos elaborados de gerenciamento de incidentes, continuidade ou de 
recuperação de negócios devem ser concisos, de fácil leitura e compreensão, além de 
estarem acessíveis a todos que tenham responsabilidades definidas nesses planos, e 
devem conter: 
 
 Objetivo e escopo; 
 Definição dos papéis e responsabilidades; 
 O método como o plano será colocado em prática; 
 Responsável pelo plano; 
 Mantenedor do documento do plano (análise crítica, correção e atualização do 
plano). 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 41 
Determinando a estratégia de continuidade de negócios 
 
Para que a organização garanta que as implementações de continuidade de negócios 
e de gerenciamento de incidentes sejam consideradas confiáveis e que estejam 
atualizados, é necessário que elas sejam verificadas através de testes, auditoria e 
autoavaliação (Figura 22). 
 
 
Figura 22. Ciclo de continuidade dos negócios e gerenciamento de acidentes 
 
Deve-se implementar também um programa de manutenção da GCN claramente 
definido e documentado. O programa deve garantir que quaisquer mudanças internas 
ou externas que causem um impacto à organização sejam analisadas criticamente 
quanto à GCN, inclusive a inclusão de novos produtos e serviços. 
 
A realização da análise crítica da capacidade de GCN da organização irá garantir sua 
aplicabilidade, adequação, funcionalidade e conformidade com a política de GCN da 
organização, suas leis, normas e melhores práticas. Pode ser realizada através de 
auditoria ou autoavaliação. 
 
Incluindo a GCN na cultura da organização 
 
Para que a continuidade de negócios tenha êxito na organização, é necessário que se 
torne parte da gestão da organização. Em cada fase do processo de GCN, existem 
oportunidades de se introduzir e melhorar a cultura de GCN na organização, tornando-
 
 
SEGURANÇA EM CLOUD COMPUTING 42 
se parte dos valores básicos e da gestão da organização. Esse processo é dividido 
basicamente nas fases de desenvolvimento, promoção e incorporação da cultura pela 
organização, sendo suportado por (Figura 23): 
 
 
Figura 23. Suporte ao processo de desenvolvimento 
 
Controle de acesso 
 
Os controles de acesso lógico são implantados com o objetivo de garantir que apenas 
usuários autorizados tenham acesso aos recursos e apenas aos recursos realmente 
necessários para a execução de suas tarefas. Permitem ainda que o acesso a recursos 
críticos seja monitorado e restrito a poucas pessoas,e que usuários estejam impedidos 
de executar transações incompatíveis com sua função ou além de suas 
responsabilidades. Eles controlam a forma como os dados devem ser acessados. 
 
Se o controle de acesso não fizer parte das políticas de segurança da empresa, pouco 
irá adiantar a teoria de se usar as melhores práticas em segurança. Existem diferentes 
modelos de controle de acesso a informações que são utilizados em diferentes cenários 
e organizações. Modelos de controle de acesso: 
 
 Bell La Padula; 
 Biba; 
 Clark-Wilson; 
 Onformation Flow; 
 Noninterference. 
 
 
SEGURANÇA EM CLOUD COMPUTING 43 
O controle de acesso é a forma que uma empresa vai controlar o uso de recursos de 
uma forma geral. Os modelos de controle de acesso estão divididos em três tipos 
básicos (Figura 24): 
 
 
Figura 24. Tipos de controle de acesso 
 
MAC (mandatory access control) 
 
Modelo em que o administrador do sistema é responsável por atribuir as devidas 
permissões para os usuários. 
 
DAC (discretionary access control) 
 
Nesse modelo, o usuário tem o controle de garantir privilégios de acesso a recursos 
aos que estão sob seu poder. É importante um cuidado especial nesse modelo, pois 
os usuários podem dar mais permissões do que deveriam e, com isso, abrirem uma 
brecha que pode ser explorada por usuários maliciosos. 
 
RBAC (role-based access control) 
 
Nesse modelo, o administrador do sistema garante privilégios de acordo com a função 
exercida pelo usuário. Esse modelo é totalmente voltado ao papel (função) que o 
usuário desempenha na organização. A fragilidade desse modelo está quando um 
usuário muda de cargo na organização. 
 
 
SEGURANÇA EM CLOUD COMPUTING 44 
 
 
 
 
Criptografia 
 
A criptografia iniciou basicamente como uma maneira de duas partes se comunicarem 
com segurança mesmo que suas mensagens possam ser lidas por um intruso. 
Exemplos atuais de aplicações de criptografia incluem atestar a identidade de uma 
organização que opera um servidor web, assinar digitalmente documentos eletrônicos, 
proteger a confidencialidade de arquivos armazenados em um disco rígido e proteger 
a confidencialidade de pacotes enviados por uma rede sem fio. 
A criptografia é o meio de permitir que dois participantes estabeleçam uma 
comunicação confidencial sobre um canal inseguro sujeito à intromissão. 
 
Texto puro + algoritmo de encriptação = texto cifrado 
 
Criptografia simétrica 
Os algoritmos de encriptação e decriptação são escolhidos de modo que seja 
impraticável para alguém além dos dois participantes descobrir o texto puro a partir 
do texto cifrado. 
O algoritmo de decriptação deve usar alguma informação secreta conhecida pelos dois 
participantes e ninguém mais (chave de decriptação) (Figura 25). 
 
 
 
 
 
Figura 25. Chave secreta compartilhada 
 
Texto cifrado transmitido 
Chave secreta compartilhada 
Algoritmo de decriptografia 
Texto Chave secreta compartilhada 
Algoritmo de criptografia 
Texto 
 
 
SEGURANÇA EM CLOUD COMPUTING 45 
Na criptografia de chave simétrica, a chave do emissor deve ser compatível com a do 
receptor para, assim, as informações serem extraídas. 
 
 
Criptografia assimétrica 
 
A criptografia de chave assimétrica é uma forma de criptossistema em que a 
criptografia e a decriptografia são realizadas usando diferentes chaves, uma chave 
pública e uma chave privada. Ela transforma o texto claro em texto cifrado usando 
uma de duas chaves e um algoritmo de criptografia. Usando a outra chave associada 
a um algoritmo de decriptografia, o texto claro é recuperado a partir do texto cifrado. 
 
 
 
 
 
Figura 26. Chave pública compartilhada 
 
Segurança em rede 
 
O TCP/IP é o protocolo mais utilizado atualmente devido à arquitetura da internet. Na 
realidade, ele é um conjunto de protocolos, ou melhor, uma pilha de protocolos (Figura 
27). Esse conjunto de protocolos é a base da internet; entretanto, ele apresenta uma 
série de problemas básicos de segurança, como, por exemplo, autenticação ou 
criptografia. Nesse sentido, a segurança passa a ser um desafio a cada dia em que 
novas falhas são descobertas. 
 
 
 
 
Texto cifrado transmitido 
Chave Privada 
Algoritmo de decriptografia 
Texto 
Chave pública compartilhada 
Algoritmo de criptografia 
Texto 
 
 
SEGURANÇA EM CLOUD COMPUTING 46 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Figura 27. Conjunto de protocolos 
 
Como podemos verificar acima, o protocolo TCP/IP possui quatro camadas que se 
comunicam entre si. Os programas executados comunicam-se com a camada de 
aplicação e através de um determinado protocolo (HTTP, FTP, Telnet, DHCP etc.). A 
camada de aplicação se comunica com a camada de transporte, que é a camada 
responsável por pegar os dados da camada superior, dividi-los em pacotes e enviar 
para a camada inferior; no caso, a camada de rede ou internet, como também é 
conhecida. 
 
A camada de rede pega os pacotes recebidos da camada de transporte, adiciona 
informações de endereçamento virtual e, em seguida, os pacotes são enviados para a 
camada imediatamente inferior, a camada interface de rede. Nessa camada, os 
pacotes são chamados datagramas. A camada interface de rede recebe os pacotes 
enviados pela camada rede e envia pela rede para o endereço destino. 
 
Rede 
Aplicação 
Transporte 
Rede 
Interface 
de rede 
HTTP, FTP, 
Telnet, NTP, 
DHCP, PING 
Aplicação 
Apresentação 
Seção 
Transporte 
TCP, UDP 
Enlace
 Físico 
IP, ARP, ICMP, 
IGMP 
Ethernet 
 
 
SEGURANÇA EM CLOUD COMPUTING 47 
 
 
 
 
Falhas de segurança nos protocolos TCP/IP 
 
 Ataque TCP SYN (Syn Flood); 
 Ataque Árvore de Natal (Xmas Tree); 
 Spoofing; 
 Man in the Middle; 
 Null Session; 
 Session Hijack; 
 Replay; 
 Dns Cache Poison; 
 ARP Poison; 
 DoS e DDoS; 
 Ataque Smurf. 
Segurança em aplicações WEB 
 
A World Wide WEB (WWW) mudou completamente a maneira como as pessoas 
utilizam os computadores. Utilizamos a web para os mais diversos serviços, desde 
serviços bancários, de comércio eletrônico, de educação, colaboração e redes sociais. 
À medida que a web evolui para fornecer experiências dinâmicas e sofisticadas aos 
usuários, surgiram novas preocupações com segurança e privacidade. 
 
Toda essa comunicação é realizada através de requisições e respostas HTTP que são 
enviadas ao protocolo TCP para a porta 80. O protocolo HTTP não fornece nenhum 
meio de encriptar os dados. Dessa forma, se um atacante conseguir interceptar os 
pacotes que estão sendo enviados entre um site e um navegador, poderá ter pleno 
acesso a qualquer informação que o usuário esteja transmitindo. 
 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 48 
 
 
 
Os ataques em aplicações web podem ser divididos em dois momentos: 
 
 
Ataques a clientes 
 Sequestro de sessão; 
 Phishing; 
 Sequestro de clique; 
 Vulnerabilidades em conteúdo de mídia; 
 Ataques à privacidade; 
 Cross-site scripting (XSS); 
 Cross-site request forgery (CSRF). 
Ataques a servidores 
 Scripts de servidores; 
 Vulnerabilidade de inclusão de script no servidor; 
 Injeção de SQL; 
 Negação de serviço; 
 Privilégios de servidor web. 
 
Controle de acesso e privacidade 
 
Os controles de acesso, físicos ou lógicos, têm como objetivo proteger equipamentos, 
aplicativos e arquivos de dados contra perda, modificação ou divulgação não 
 
 
SEGURANÇA EM CLOUD COMPUTING 49 
autorizada. Os sistemas computacionais, bem diferentes de outros tipos de recursos, 
não podem ser facilmente controlados apenas com dispositivos físicos, como 
cadeados, alarmes ou guardas de segurança. 
Em segurança, especialmente segurança física, o termo controle de acesso é uma 
referência à prática de permitir o acessoa uma propriedade, prédio ou sala apenas 
para pessoas autorizadas. O controle físico de acesso pode ser obtido através de 
pessoas (um guarda, segurança ou recepcionista); através de meios mecânicos, como 
fechaduras e chaves; ou através de outros meios tecnológicos, como sistemas 
baseados em cartões de acesso. 
 
A proteção aos recursos computacionais baseia-se nas necessidades de acesso de cada 
usuário, enquanto a identificação e a autenticação do usuário (confirmação de que o 
usuário realmente é quem ele diz ser) são feitas normalmente por meio de um 
identificador de usuário (ID) e uma senha durante o processo de logon no sistema. 
 
Os controles de acesso lógico são implantados com o objetivo de garantir que: 
 
 Apenas usuários autorizados tenham acesso aos recursos; 
 Os usuários tenham acesso apenas aos recursos realmente necessários para a 
execução de suas tarefas; 
 O acesso a recursos críticos seja bem monitorado e restrito a poucas pessoas; 
 Os usuários estejam impedidos de executar transações incompatíveis com sua 
função ou além de suas responsabilidades; 
 Para identificar a importância da utilização de controle de acesso; 
 Conceituar a diferença entre controle de acesso físico e lógico. 
 
Ameaças e vulnerabilidades 
 
As ameaças podem explorar as possíveis vulnerabilidades no ambiente de TI das 
organizações. Nesta aula, iremos compreender as principais ameaças e 
vulnerabilidades, e veremos que uma vulnerabilidade sozinha não é o problema; 
http://pt.wikipedia.org/wiki/Seguran%C3%A7a
http://pt.wikipedia.org/wiki/Autoriza%C3%A7%C3%A3o
 
 
SEGURANÇA EM CLOUD COMPUTING 50 
entretanto, caso seja explorada por uma ameaça, ela poderá ser a porta de entrada 
para ações maliciosas e de acesso às informações de valor para essa organização. Vale 
ressaltar que essas ameaças estão sempre relacionadas com a perda de um (ou mais) 
dos três aspectos da segurança da informação e que, ao explorar uma vulnerabilidade, 
isso irá afetar pelo menos um destes aspectos: 
 
 A perda da Integridade, que ocorre quando a informação fica exposta 
ao manuseio de uma pessoa não autorizada. Podemos então realizar 
alterações não aprovadas e sem o controle do proprietário da 
informação; 
 A perda de confidencialidade, que ocorre quando há quebra de sigilo 
de uma determinada informação, consequentemente permitindo que 
informações restritas, que deveriam estar acessíveis apenas para um 
determinado grupo de usuários, fiquem expostas; 
 A perda de disponibilidade, que ocorre quando a informação deixa de 
estar acessível justamente a quem necessita dela. 
 
Dessa forma, torna-se necessário compreender o que são essas vulnerabilidades e 
ameaças – e quando e onde ocorrem. 
 
Códigos maliciosos - malware 
 
O termo malware é proveniente do inglês malicious software e refere-se a um software 
destinado a se infiltrar em um sistema de computador alheio, de forma ilícita, com o 
intuito de causar algum dano ou roubo de informações confidenciais ou não. Vírus de 
computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers, bots, 
rootkits e spywares são considerados malwares. Também pode ser considerado 
malware uma aplicação legal que, por uma falha de programação, intencional ou não, 
execute funções que se enquadrem na definição acima. 
 
Vírus 
 
 
SEGURANÇA EM CLOUD COMPUTING 51 
Vírus é um programa ou parte de um programa malicioso criado para gerar resultados 
indesejados, que se disseminam sem o conhecimento do usuário, “contagiando” os 
computadores que tiverem contato com ele. O vírus é normalmente malicioso e se 
propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros 
programas e arquivos de um computador. 
 
Para se tornar ativo e dar continuidade no processo de infecção, o vírus depende da 
execução do programa ou arquivo hospedeiro. Ele precisa de um programa executável 
para nele se instalar, infecta o sistema, faz cópias de si mesmo e tenta se espalhar 
para outros computadores, utilizando-se de diversos meios. Alguns vírus e outros 
programas maliciosos, incluindo o spyware, estão programados para “reinfectar” o 
computador mesmo depois de detectados e removidos. 
 
Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, 
desde mostrar uma mensagem de “feliz aniversário” até alterar ou destruir programas 
e arquivos do disco. 
 
Uma máquina pode ser infectada através de um programa previamente infectado que 
seja executado. Isso pode ocorrer de diversas maneiras, tais como: 
 
 Abrir arquivos anexados aos e-mails; 
 Abrir arquivos do Word, Excel, entre outros; 
 Abrir arquivos armazenados em outros computadores através do 
compartilhamento de recursos; 
 Instalar programas de procedência duvidosa ou desconhecida, obtidos pela 
internet, de disquetes, pen drives, CDs, DVDs, entre outros; 
 Ter alguma mídia removível infectada conectada ou inserida no computador 
quando ele é ligado. 
 
Tipos de vírus: 
 E-mail; 
 
 
SEGURANÇA EM CLOUD COMPUTING 52 
 Macro; 
 Telefone celular. 
Cavalos de Troia 
 
Também conhecido como Trojans, é um invasor que não se reproduz. São programas 
que parecem úteis, mas têm código destrutivo embutido se instalando, geralmente, 
via e-mail – e, toda vez em que o computador é ligado, o trojan automaticamente é 
executado sem o conhecimento do usuário. As ações maliciosas mais comuns são o 
furto de senhas e outras informações, como número de cartões de crédito. Os trojans 
atuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou de 
worms, não criem réplicas de si, e esse é o motivo pelo qual o cavalo de Troia não é 
considerado um vírus. 
 
Adware 
É um tipo de software especificamente projetado para apresentar propagandas, seja 
através de um browser, seja através de algum outro programa instalado em um 
computador. Em muitos casos, os adwares têm sido incorporados a softwares e 
serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para 
aqueles que desenvolvem software livre ou prestam serviços gratuitos. 
 
Spyware 
Termo utilizado para se referir a uma grande categoria de software que tem o objetivo 
de monitorar atividades de um sistema, ou seja, é um aplicativo ou programa espião, 
e enviar as informações coletadas para terceiros. Consiste num programa automático 
de computador que recolhe informações sobre o usuário, sobre os seus costumes na 
internet e transmite essa informação a uma entidade externa sem o seu conhecimento 
nem o seu consentimento. Existem adwares que também são considerados um tipo 
de spyware, pois são projetados para monitorar os hábitos do usuário durante a 
navegação na internet, direcionando as propagandas que serão apresentadas. 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 53 
 
 
Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, 
na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa. 
Diferem dos cavalos de Troia por não terem como objetivo que o sistema do usuário 
seja dominado e manipulado por uma entidade externa comandada pelo invasor. 
 
É importante ressaltar que esses programas, na maioria das vezes, comprometem a 
privacidade do usuário e a segurança de seu computador, dependendo das ações 
realizadas pelo spyware e de quais informações são monitoradas e enviadas para 
terceiros. 
 
Backdoors 
Backdoor é uma falha de segurança que pode existir em um programa de computador 
ou sistema operacional que pode permitir a invasão do sistema para que se possa 
obter um total controle da máquina. São programas que permitem o retorno de um 
invasor a um computador comprometido utilizando serviços criados ou modificados 
para esse fim sem precisar recorrer aos métodos utilizados na invasão. Na maioria dos 
casos, é intenção do atacante poder retornar ao computador comprometidosem ser 
notado. 
 
A forma usual de inclusão de um backdoor consiste na disponibilização de um novo 
serviço ou substituição de um determinado serviço por uma versão alterada, 
normalmente possuindo recursos que permitam acesso remoto através da internet. O 
backdoor pode ser incluído por um vírus através de um cavalo de Troia ou pela 
instalação de pacotes de software. 
 
Keyloggers 
São programas capazes de capturar e armazenar as teclas digitadas pelo usuário no 
teclado de um computador a fim de descobrir suas senhas de banco, números de 
cartão de crédito e afins. As informações capturadas podem ser desde o texto de um 
 
 
SEGURANÇA EM CLOUD COMPUTING 54 
e-mail até informações mais sensíveis, como senhas bancárias e números de cartões 
de crédito. Sua ativação está condicionada a uma ação prévia do usuário e 
normalmente contém mecanismos que permitem o envio automático das informações 
capturadas para terceiros, por exemplo, através de e-mails. A contaminação por 
keyloggers geralmente vem acompanhada de uma infecção por outros tipos de vírus, 
em geral os Trojans. 
 
Os screenloggers são formas mais avançadas de keyloggers que, além de serem 
capazes de armazenar a posição do cursor e a tela apresentada no monitor nos 
momentos em que o mouse é clicado, também são capazes de armazenar a região 
que circunda a posição onde o mouse é clicado. 
 
Rootkits 
Conjunto de programas que fornecem mecanismos para esconder e assegurar a 
presença de um invasor. Sua principal intenção é se camuflar, impedindo que seu 
código seja encontrado por qualquer antivírus. Um rootkit não deixa de ser um trojan 
que busca se esconder de softwares de segurança e do usuário utilizando diversas 
técnicas avançadas de programação. 
 
O nome rootkit não indica que o conjunto de ferramentas que o compõe seja usado 
para obter acesso privilegiado através de um root ou administrador em um 
computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, 
terá acesso privilegiado ao computador previamente comprometido sem precisar 
recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades 
serão escondidas do responsável e/ou dos usuários do computador. 
 
Worms 
São programas capazes de se propagar por meio de redes, enviando cópias de si 
mesmo de computador para computador. Diferentemente do vírus, o worm não 
embute cópias de si mesmo em outros programas ou arquivos e não necessita ser 
explicitamente executado para se propagar. Sua propagação se dá através da 
 
 
SEGURANÇA EM CLOUD COMPUTING 55 
exploração de vulnerabilidades existentes ou falhas na configuração de softwares 
instalados em computadores. Enquanto um vírus infecta um programa e necessita 
desse programa hospedeiro para se propagar, o worm é um programa completo e não 
precisa de outro para se propagar. 
 
Geralmente o worm não tem como consequência os mesmos danos gerados por um 
vírus, mas é notadamente responsável por consumir muitos recursos. Degrada 
sensivelmente o desempenho de redes e pode lotar o disco rígido de computadores 
devido à grande quantidade de cópias de si mesmo que costuma propagar. 
 
Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema; 
além de se autorreplicar, pode deletar arquivos em um sistema ou enviar documentos 
por e-mail. 
 
Importância da implementação de um GRC (governança, risco e 
compliance) 
 
Integrar as atividades de governança corporativa, gestão de riscos e compliance (GRC) 
significa entender as exigências dos “stakeholders” de uma instituição e de seus 
investimentos em termos de desempenho e conformidade, além de alinhar a instituição 
e seus investimentos na entrega desses objetivos em retribuição ao apetite pelo risco 
e à tolerância ao risco da instituição. 
 
As pessoas, os processos e a tecnologia devem ser desenhados e direcionados de tal 
maneira que o alcance dos objetivos seja mensurado, os riscos sejam avaliados e 
melhorias contínuas sejam realizadas para apoiar a prática da governança corporativa, 
a atividade de gestão de riscos e a de compliance de forma eficaz. 
 
Dessa forma, governança, risco e conformidade formam uma proposta única em que 
uma área está relacionada à outra na busca pela maior eficiência, transparência e 
melhores resultados para todos os envolvidos na empresa. 
 
 
SEGURANÇA EM CLOUD COMPUTING 56 
 
 
 
Nesse sentido, será essencial que os envolvidos tenham conhecimento sobre: 
 
● Os processos internos da organização; 
● A área de atuação da empresa; 
● As funções exercidas por cada profissional; 
● O conhecimento do mercado; 
● O conhecimento do desempenho atual (indicadores de desempenho); 
● O conhecimento dos planos futuros (orçamento empresarial e projeções 
financeiras). 
 
Com uma análise profunda das necessidades e dos riscos da organização, será possível 
traçar objetivos e estratégias que contribuam para uma maior eficiência e para 
melhores resultados. Dessa forma, é possível mapear o modelo operacional interno e 
adequá-lo aos mecanismos legais e aos objetivos da organização. 
 
O termo “compliance” é utilizado para designar o conjunto de atividades empresariais, 
permanentes e independentes voltadas a: 
 
 Propagar a lei, seus princípios e regulamentos internos; 
 Orientar como essas normas devem ser cumpridas; 
 Fiscalizar a execução dessas normas; 
 Promover internamente os meios necessários à aplicação de 
sanções a eventuais infratores, tendo por finalidade salvaguardar os ativos 
materiais e imateriais da empresa. 
 
Podemos concluir então que compliance é o dever de cumprir, estar em conformidade 
e fazer cumprir regulamentos internos e externos impostos às atividades da instituição. 
 
 
 
SEGURANÇA EM CLOUD COMPUTING 57 
 
 
 
Qual a diferença entre ser compliance e estar em compliance? 
 
Ser compliance é conhecer as normas da organização, seguir os procedimentos 
recomendados, agir em conformidade e sentir quão fundamentais são a ética e a 
idoneidade em todas as nossas atitudes. Enquanto estar em compliance é estar em 
conformidade com leis e regulamentos internos e externos. Dessa forma, o compliance 
vai além das barreiras legais e regulamentares, incorporando princípios de integridade 
e conduta ética. 
 
Diferença entre auditoria e compliance 
 
Auditoria 
Realiza seus trabalhos de forma aleatória 
e temporal, por meio de amostragens, a 
fim de certificar o cumprimento das 
normas e processos instituídos pela alta 
administração. 
 
 
 
 
 
Para que a “função de compliance” seja eficaz nas organizações, é necessário o 
comprometimento da alta administração e que ela faça parte da cultura organizacional, 
contando com o comprometimento de todos os funcionários. Todos são responsáveis 
por compliance. 
 
O compliance officer é o responsável pela supervisão e gerenciamento do compliance 
da companhia. Tem como missão garantir que todos os procedimentos realizados pelos 
Compliance 
Realiza suas atividades de forma rotineira 
e permanente, sendo responsável por 
monitorar e assegurar de maneira 
corporativa e tempestiva que as diversas 
unidades da instituição estejam 
respeitando as regras aplicáveis a cada 
negócio por meio do cumprimento das 
normas, dos processos internos, da 
prevenção e do controle de riscos 
envolvidos em cada atividade. 
 
 
SEGURANÇA EM CLOUD COMPUTING 58 
funcionários estejam de acordo com os regulamentos internos e com as leis externas 
à empresa. É muito comum que seja um profissional formado em Direito, já que suas 
responsabilidades estão diretamente ligadas às questões jurídicas. A organização 
deverá ainda criar normas de conduta e um canal sigiloso para que os funcionários se 
sintam seguros de comunicar eventuais desvios, além de dotar a área de compliance 
de recursos humanos, materiais e tecnológicos para proceder às investigações. 
 
Fazem parte