Baixe o app para aproveitar ainda mais
Prévia do material em texto
SEGURANÇA EM CLOUD COMPUTING 1 Segurança em cloud computing SEGURANÇA EM CLOUD COMPUTING 2 Segurança em nuvem O uso da computação em nuvem traz um novo paradigma para o fornecimento de serviços computacionais, em que não é necessário possuir todos os recursos para poder disponibilizar um serviço e, principalmente, só é preciso pagar a quantidade de recursos consumida. Contudo, o custo financeiro não é o único fator determinante para a adoção ou migração para nuvens computacionais, mas, sim, a segurança dos serviços. Dessa forma, melhores práticas em segurança da informação devem ser incorporadas pelas organizações modernas para assegurar o monitoramento contínuo dos dados e a integridade das informações corporativas. Um sistema de gestão de segurança da informação (SGSI) é um conjunto de processos e procedimentos, baseado em normas e na legislação, que uma organização implementa para prover segurança no uso de seus ativos tecnológicos. Tal sistema deve ser conhecido e seguido por todos aqueles que se relacionam direta ou indiretamente com a infraestrutura de TI da organização, tais como: funcionários, prestadores de serviço, parceiros e terceirizados. A implementação de um SGSI deve possuir obrigatoriamente o aval da direção e das demais áreas da organização para conferir sua legitimidade. Uma parte fundamental da implementação de um SGSI envolve primeiramente a análise de riscos na infraestrutura de TI. Essa análise permite identificar os pontos vulneráveis e as falhas nos sistemas, que deverão ser corrigidos. Além disso, no SGSI, são definidos processos para detectar e responder a incidentes de segurança e procedimentos para auditorias. A implementação de um Sistema de Gestão de Segurança da Informação (SGSI) deve ser uma decisão estratégica da organização. SEGURANÇA EM CLOUD COMPUTING 3 A Norma ISO 27001 foi a primeira norma a abordar segurança da informação com uma visão sistêmica de gestão, e não somente como recomendações de instalação de controles de segurança isolados. Ela tem como objetivo oferecer um modelo para que as organizações possam estabelecer, implementar, operar, monitorar e analisar criticamente um Sistema de Gestão de Segurança da Informação (SGSI). Ela adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI (Figura 1). O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas. Figura 1. Ciclo PDCA. (Fonte: Norma 27001) A Norma 27001 apresenta em seu anexo 14 controles de segurança da informação: 1) Políticas de segurança da informação: controles sobre como as políticas são escritas e revisadas; Estabelecimento do SGSI Manutenção e melhoria Monitoramento e análise críticia Implementação e Operação DO PLAN CHECK ACT Partes interessadas Expectativas e requisitos de segurança da informação Partes interessadas Segurança da informação gerenciada SEGURANÇA EM CLOUD COMPUTING 4 2) Organização da segurança da informação: controles sobre como as responsabilidades são designadas; também inclui os controles para dispositivos móveis e trabalho remoto; 3) Segurança em recursos humanos: controles para antes da contratação, durante e após a contratação; 4) Gestão de ativos: controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias; 5) Controle de acesso: controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários; 6) Criptografia: controles relacionados à gestão de chaves criptográficas; 7) Segurança física e do ambiente: controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa etc.; 8) Segurança nas operações: vários controles relacionados à gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades etc.; 9) Segurança nas comunicações: controles relacionados à segurança em rede, segregação, serviços de rede, transferência de informação, mensageria etc.; 10) Aquisição, desenvolvimento e manutenção de sistemas: controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte; 11) Relacionamento na cadeia de suprimento: controles sobre o que incluir em acordos e como monitorar os fornecedores; 12) Gestão de incidentes: controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências; 13) Continuidade do negócio: controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e revisão e redundância da TI; SEGURANÇA EM CLOUD COMPUTING 5 14) Conformidade: controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação. Gestão de risco Uma das premissas básicas da segurança é o fato de que não existe segurança total ou completa. O que torna algo seguro ou não está muito mais ligado à gerência de uma série de fatores do que à compra ou implementação de uma solução de software ou hardware definitiva. No âmbito da segurança da informação, a gestão de riscos é utilizada com o intuito de prevenir incidentes e melhorar o nível de segurança das informações sob o escopo do Sistema de Gestão de Segurança da Informação (SGSI), sendo um dos componentes mais importantes. É por meio desse processo que os riscos são identificados e tratados de forma sistemática e contínua. Existem diferentes motivações que podem levar à ocorrência de um incidente de segurança nas organizações. Essa ocorrência, dependendo do seu impacto, pode deixar o serviço oferecido por essa organização indisponível por minutos ou até horas. Dessa forma, as organizações deverão estabelecer uma rotina de trabalho para realizar o levantamento de suas vulnerabilidades, das possíveis ameaças e os possíveis impactos em seu negócio caso alguma dessas ameaças se concretizem. Estudaremos os principais fundamentos e terminologias relacionadas a risco, seu ciclo de vida e como calcular o impacto nos negócios na ocorrência de um evento. Segundo o Guia de orientação para gerenciamento de riscos corporativos do IBGC (Instituto Brasileiro de Governança Corporativa), o risco é inerente a qualquer atividade na vida pessoal, profissional ou nas organizações, e pode envolver perdas e oportunidades. Já para a norma ABNT NBR ISSO 31000:2009 – Gestão de risco, princípios e diretrizes, o risco afeta as organizações de todos os tipos e tamanhos que enfrentam influências e fatores internos e externos que tornam incerto se e quando elas atingirão seus objetivos. SEGURANÇA EM CLOUD COMPUTING 6 Alguns termos e definições: Escopo: Conjunto de ativos que será coberto pelo processo de gestão de risco; Parte envolvida: Indivíduos, grupos ou organizações que são afetados diretamente por um determinado risco; Ameaça: Tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. Pode ser: ambiental e humana; Incidente: Quando uma ameaça se concretiza; Vulnerabilidades: Criam situações que podem ser exploradas por uma ameaça, acarretando prejuízo; Análise de vulnerabilidades: Processo de identificar as proteções existentes e ausentes, identificar falhas nas existentes e levantar dados que possam prever a efetividade desse conjunto de proteções; Avaliação das vulnerabilidades: quando esses dados são combinados com uma lista de possíveis ameaças, gerando aindicação da real probabilidade de uma ameaça se concretizar explorando as vulnerabilidades existentes. Ameaça é um elemento do risco ao qual se pode associar uma probabilidade de manifestação cujo valor compõe o cálculo da estimativa do risco. Em muitos casos, a probabilidade associada a uma ameaça é calculada com base na frequência de ocorrência; em outros, quando dados de frequência não estão disponíveis, a probabilidade pode ser estimada com base no grau de confiança atribuído à ocorrência. Você sabia? Quando os riscos não podem ser completamente eliminados... a porção do risco existente após todas as medidas de tratamento terem sido tomadas é chamada de risco residual. SEGURANÇA EM CLOUD COMPUTING 7 Etapas da gestão de risco A gestão de riscos contempla uma série de atividades relacionadas à forma como uma organização lida com o risco e utiliza o ciclo do PDCA, que nos permite entender a gestão do risco como um processo contínuo (Figura 2): Figura 2. Etapas gestão de riscos Para um melhor entendimento do processo de gestão de risco, podemos utilizar uma forma mais detalhada e que facilita a análise do processo de gestão de risco e que cobre todo o ciclo de vida do risco, desde a sua identificação até a sua comunicação às partes envolvidas (Figura 3): Identificar e avaliar os riscos Selecionar, implementar e operar controles para tratra os riscos Verificar e analisar criticamente os riscos Manter e melhorar os controles SEGURANÇA EM CLOUD COMPUTING 8 Figura 3. Detalhamento das etapas gestão de risco Tratamento dos riscos Fase em que selecionamos e implementamos medidas de forma a reduzir os riscos que foram previamente identificados. Existem várias classificações disponíveis para as medidas de proteção (Figura 4): SEGURANÇA EM CLOUD COMPUTING 9 Figura 4. Medidas de proteção É importante percebermos que aceitar um risco também é uma forma de tratá-lo. Ocorre quando o custo de proteção contra um determinado risco não vale a pena. Normas e regulamentações na área de segurança da informação A evolução tecnológica e a internet trouxeram um novo pensamento, um novo comportamento no cenário mundial. Nesse contexto da sociedade da informação, existe a necessidade de reflexões sobre a importância da existência de um marco jurídico que permita a livre circulação de bens e serviços, além de garantir a liberdade dos cidadãos. No contexto mundial, várias discussões estão sendo travadas para se atingir um denominador comum nas políticas de novas tecnologias de informação, a qual só pode ser assegurada por leis que permitam a regulamentação de cada país, a regulamentação entre empresas privadas e públicas e inclusive a regulamentação entre as pessoas físicas. Preventivas Corretivas Detectivas SEGURANÇA EM CLOUD COMPUTING 10 A evolução tecnológica e a internet trouxeram um novo pensamento, um novo comportamento no cenário mundial. Na sociedade da informação, existe a necessidade de reflexões sobre a importância da existência de marco jurídico que permita a livre circulação de bens e serviços, além de garantir a liberdade dos cidadãos. Nesse sentido, várias leis e normas foram promulgadas ou criadas com o objetivo de disciplinar essa nova forma de relacionamento entre governos, empresas e pessoas físicas (Figura 5). Figura 5. Normas x Regulamentações Norma Uma norma é um “documento estabelecido por consenso e aprovado por um organismo reconhecido que fornece, para uso comum e repetido, regras, diretrizes ou características para atividades ou seus resultados, visando à obtenção de um grau ideal de ordenação em um dado contexto” e que podem ser seguidas ou não. Podem ser jurídica, técnica, de segurança etc. Exemplo de norma: ISO 27002. Regulamento Um regulamento é uma exigência imposta pelo governo que especifica características do produto, processo ou serviço, inclusive as cláusulas administrativas aplicáveis com as quais a conformidade é obrigatória. Ou seja, é a legislação vigente de um determinado assunto. Exemplo de regulamento: Lei nº 12.737, de 30 de novembro de 2012 (Lei “Carolina Dieckmann”). Normas Regulamentações SEGURANÇA EM CLOUD COMPUTING 11 É importante que os profissionais que atuam na área de segurança da informação conheçam as diferentes regulamentações e normas existentes sobre o assunto de forma que possam compreender quando e onde aplicá-las. Cada país desenvolve e implementa regulamentações específicas. Analisaremos algumas das regulamentações disponíveis na área (Figura 6): HIPAA (Lei de proteção à privacidade da informação de pacientes) 164.310 Lei federal dos Estados Unidos criada em 1999 com o intuito de melhorar a eficiência e eficácia do sistema de cuidados de saúde. HIPAA é um acrônimo de Health Insurance Portability e Accountability Act. Seu principal objetivo é proteger a privacidade e a segurança das informações dos indivíduos na área de saúde. Ela especifica normas rígidas quanto à liberação de informações sobre a saúde de um indivíduo sem autorização e é aplicável a todas as empresas de saúde, segurados e centros de processamento de informações nos EUA. Regulamentações HIPPA GLB PIPEDA FISMA SOX Acordo de Basileia SEGURANÇA EM CLOUD COMPUTING 12 As informações de saúde protegidas (PHI) possibilitam a identificação do paciente e coletadas ao longo da utilização do sistema de cuidados à saúde. São consideradas informações de saúde protegidas: Figura 7. Informações de saúde protegidas Para atender aos requisitos da HIPAA, as empresas de saúde devem proteger as informações de ameaças previsíveis, proporcionando segurança e integridade, e evitando o uso ou divulgação não autorizada dessas informações. Devem também assegurar que todos os envolvidos nos processos de trabalho cumpram com os requisitos e que o sigilo seja mantido. Dessa forma, ela fornece orientações sobre a utilização das PHI de forma que os funcionários com acesso aos dados do paciente somente possam: ● Utilizar ou divulgar essas informações apenas em uma "necessidade de saber". Caso contrário, essas informações são confidenciais; ● Acessar ou usar essas informações somente quando necessário para realizar o trabalho; PHI Nome Número da Segurança Social Endereços e e-mail Empregador Números de telefone e fax Números de usuários ou contas Nomes de parentes Data do serviço, nascimento ou morte Impressões digitais, fotografias, gravações de voz Qualquer outro número, código ou características SEGURANÇA EM CLOUD COMPUTING 13 ● Fornecer as informações mínimas necessárias ao responder a pedidos de informação; ● Não discutir essas informações com outras pessoas, a menos que seja administrativa ou clinicamente necessário fazê-lo; ● Não usar meios eletrônicos para copiar ou transmitir informações a menos que esteja especificamente autorizado a fazê-lo. A regra de privacidade da HIPPA não tem o objetivo de proibir a troca de informações entre prestadores e/ou pacientes, já que muitas vezes essas comunicações são inevitáveis e pertinentes, como, por exemplo: A fim de tratar um paciente; Justificando o pagamento para o tratamento de um paciente; Certos atos administrativos, financeiros, legais e de melhoria da qualidade atividades em saúde. Estabelece ainda que a PHI poderá ser divulgada dentro dos limites da lei para as situações abaixo e que qualquer outra situação necessitará de autorização por escrito ou do próprio paciente: ● Autoridades de saúde pública e órgãos de fiscalização de saúde; ● Legistas, médicos legistas e diretores de funeral;● Captação de órgãos; ● Responder a ordens judiciais e intimações. Para fins de pesquisa na área de saúde, os procedimentos específicos podem permitir que as PHI sejam utilizadas ou divulgadas de forma específica, ou seja, parte dela e sem a possibilidade de identificação do paciente. Para alcançar os objetivos propostos pela HIPPA, as seguintes ações estão previstas: SEGURANÇA EM CLOUD COMPUTING 14 Figura 8. Lei de proteção à privacidade da informação de pacientes Lei Graham-Leach-Billy (GBL) A Lei Graham-Leach-Bliley exige que as instituições financeiras expliquem suas práticas de compartilhamento de informações e proteção de dados sensíveis para os seus clientes (Figura 9). Essa lei obriga as instituições financeiras a garantir a segurança e confidencialidade desse tipo de informação. Um ponto importante para as empresas é determinar quais informações devem ser recolhidas e armazenadas – e se são relevantes aos seus negócios. HIPPA Controle de Acesso Controle de configuração Detecção de software malicioso Reforço de políticas Gerenciamento e monitoramento de usuários Segurança do ambiente e das transmissões SEGURANÇA EM CLOUD COMPUTING 15 Figura 9. Dados sensíveis do cliente Entendemos como instituições financeiras empresas que oferecem aos consumidores produtos ou serviços financeiros, como empréstimos, aconselhamento financeiro ou de investimento, ou ainda aconselhamento de seguros. Na verdade, a regra se aplica a todas as empresas, independentemente do tamanho, que estão envolvidas no fornecimento de produtos ou serviços financeiros. Também faz parte de sua implementação uma regra de salvaguardas que exige que as instituições financeiras tenham medidas locais para manter informações de clientes seguras (Figura 10): Figura 10. Medidas de segurança nome endereço números de telefone números de banco número cartão de crédito histórico de renda histórico de crédito número de Segurança Social Gestão e formação de colaborado res Sistemas de informação Detecção e gestão de falhas do sistema SEGURANÇA EM CLOUD COMPUTING 16 PIPEDA (Lei de proteção à informação pessoal e documentos eletrônicos) (Canadá) Lei canadense, promulgada em 13 de abril de 2000, que visa à proteção de informações pessoais e documentos eletrônicos. Ela estabelece regras básicas de como organizações do setor privado e público podem coletar, usar ou divulgar informações pessoais no decurso das suas atividades comerciais. As informações pessoais incluem qualquer informação factual ou subjetiva, registrada ou não, sobre um indivíduo identificável. Ela concede ao indivíduo o direito de decidir para quem suas informações pessoais serão fornecidas, além da finalidade de sua utilização. Entre outras ações descritas: ● Obtenção do consentimento de uma pessoa quando coletar, usar ou divulgar informações pessoais do indivíduo; ● O indivíduo tem o direito de acesso a informações pessoais na posse de uma organização e pode questionar sua precisão se for necessário; ● Informações pessoais só podem ser utilizadas para os fins para os quais foram coletadas. Se ocorrerem mudanças de uso, o consentimento deve ser obtido novamente; ● Indivíduos também devem ter certeza de que suas informações serão protegidas por garantias específicas, incluindo medidas, tais como armários trancados, senhas de computador ou criptografia. FISMA (Lei federal de gestão de segurança de informação) A FISMA (Federal Information Security Management Act) é uma lei federal dos Estados Unidos que rege as atividades de segurança da informação dos órgãos federais para o processo de certificação e acreditação. É aplicável às agências federais ou organizações que atuam em nome do governo. Dessa forma, a FISMA orienta o estabelecimento de um programa de segurança de informação integrado, baseado no risco e aderente aos requisitos de alto nível das organizações. Nesse sentido, a FISMA estabelece as seguintes atividades: SEGURANÇA EM CLOUD COMPUTING 17 ● Avaliação do nível atual de risco associado aos sistemas de informação e da informação; ● Definição dos controles para proteção dos sistemas de informação; ● Implementação de políticas e procedimentos para a redução do risco percebido; ● Teste e avaliação periódica dos controles; ● Treinamento de pessoal sobre as políticas e procedimentos de segurança da informação; ● Gerenciamento de incidentes (resposta a incidentes de plano/processo). SOX (Lei Sarbanes-Oxley) ou Sarbox Lei criada em 30 de Julho de 2002 com o objetivo de evitar a fuga de investidores causada pela insegurança e perda de confiança em relação às ações contábeis e aos princípios da governança. Foi criada a partir de fraudes e escândalos contábeis que atingiram grandes corporações nos Estados Unidos. As penalidades pelo descumprimento dessa lei preveem multas de até USD 1.000.000 e/ou a reclusão por até 10 anos. Quando o descumprimento da lei for intencional (normalmente com finalidades fraudulentas), a multa aumenta para até USD 5.000.000 e a reclusão pode chegar a 20 anos. É aplicável a todas as empresas, sejam elas americanas ou estrangeiras, que tenham ações registradas na SEC (Securities and Exchange Comission, o equivalente americano da CVM brasileira). Tem por objetivo coibir a fraude, aumentar a responsabilidade corporativa e a revelação de informações relevantes nas demonstrações financeiras. Está estruturada em onze títulos (capítulos), com um número variável de seções cada um, totalizando 69 seções (artigos). As seções consideradas mais importantes são (Figura 11): SEGURANÇA EM CLOUD COMPUTING 18 Figura 11. Seções mais importantes A primeira parte ou título da lei estabelece uma nova agência, o Public Company Accounting Oversight Board (PCAOB), que tem o encargo de supervisionar, regulamentar, inspecionar e disciplinar as empresas de auditoria externa em seus papéis de auditores de companhias abertas. Nos demais capítulos, a SOX obriga as empresas a reestruturar seus processos para aumentar os controles, a segurança e a transparência na condução dos negócios, na administração financeira, nas escriturações contábeis e na gestão e divulgação das informações. Na prática, ela define por lei uma série de medidas que já são consideradas, no mundo todo, como práticas de boa governança corporativa. Ela prevê a criação, nas empresas, de mecanismos de auditoria e segurança confiáveis, definindo regras para a criação de comitês encarregados de supervisionar as atividades e operações, formados em boa parte por membros independentes. Isso com o intuito explícito de evitar a ocorrência de fraudes e criar meios de identificá-las quando ocorrerem, reduzindo os riscos nos negócios e garantindo a transparência na gestão. 302 401 404 409 802 906 SEGURANÇA EM CLOUD COMPUTING 19 Visão geral dos principais títulos da Lei Sarbanes-Oxley Título 1: PCAOB Seção 101: Cria o Public Company Accounting Oversight Board; Seção 102: Trata da organização do PCAOB e de suas atribuições; Seção 103: Define regras e padrões de auditoria, controle de qualidade e independência; Seção 104: Determina que o PCAOB crie um programa permanente de inspeção nas empresas de auditoria registradas na SEC; Seção 109: Define o financiamento e taxas de funcionamento do PCAOB. Título 2: Independência do auditor Artigo 201: Define serviços que são proibidos para os auditores dentro das companhias que auditam; Seção 202: Determina a necessidade da aprovação prévia do comitê de auditoria para qualquer outro serviço prestado pelos auditores independentes da companhia; Seção203: Determina a rotatividade a cada 5 anos do sócio responsável por cada cliente em empresa de auditoria; Seção 204: Cria regras para comunicação entre os auditores contratados e o comitê de auditoria da companhia. Título 3: Responsabilidades da empresa Seção 301: Define as funções atribuídas e nível de independência do comitê de auditoria em relação à direção da empresa; Seção 302: Determina a responsabilidade dos diretores das empresas, que devem assinar os relatórios certificando que as demonstrações e outras informações financeiras incluídas no relatório do período apresentam todos os fatos materiais e que não contém nenhuma declaração falsa ou que fatos materiais tenham sido omitidos. SEGURANÇA EM CLOUD COMPUTING 20 Também devem declarar que divulgaram todas e quaisquer deficiências significativas de controles, insuficiências materiais e atos de fraude ao seu comitê de auditoria; Seção 303: Proíbe a conduta imprópria de auditor por influência fraudulenta, coação ou manipulação, não importando se intencional ou por negligência. Proíbe diretores e funcionários da empresa de tomar qualquer medida para influenciar os auditores; Seção 305: Define as responsabilidades e penalidades a cargo dos diretores da empresa; Seção 307: Cria regras de responsabilidade para advogados, obrigando-os a relatar evidências de violação importante da companhia para a qual prestam serviços, devendo reportar-se ao comitê de auditoria, se não forem ouvidos pela diretoria. Título 4: Aprimoramento das divulgações financeiras Seção 401: Obriga a divulgação das informações trimestrais e anuais sobre todo fato material não relacionado com o balanço patrimonial, tais como: transações, acordos, obrigações realizadas com entidades não consolidadas, contingências e outras. Também exige a divulgação de informações financeiras não relacionadas com as normas geralmente aceitas; Seção 402: Obriga a divulgação das principais transações envolvendo a diretoria e os principais acionistas da companhia. Nenhum diretor ou funcionário graduado de companhia aberta poderá receber, direta ou indiretamente, empréstimos em companhia aberta; Seção 404: Determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. Além disso, o auditor independente deve emitir um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros; Seção 406: Define o Código de ética para os administradores, alta gerência e gerência; Seção 409: Obriga a divulgação imediata e atual de informações adicionais relativas a mudanças importantes na situação financeiras ou nas operações da companhia. SEGURANÇA EM CLOUD COMPUTING 21 Título 8: Responsabilidade por fraude corporativa ou criminal Seção 802: Define as penalidades criminais por alteração/destruição/falsificação de documentos a serem utilizados nas vistorias da SEC; Seção 806: Cria os meios de proteção aos funcionários de empresas de capital aberto que denunciarem fraude na companhia em que trabalham; Seção 807: Define as penalidades criminais por prejudicar acionistas minoritários de empresas de capital aberto com informações inverídicas. Título 9: Aumento das penalidades para crimes de colarinho branco Seção 906: Aumenta a responsabilidade da diretoria sobre as demonstrações financeiras e define as penalidades para as infrações. Acordo de Basileia Após instabilidades e distúrbios nos mercados financeiros internacionais, os responsáveis pela supervisão bancária nos países do G-10 decidiram criar o Comitê de regulamentação bancária e práticas de supervisão, sediado no Banco de compensações internacionais (BIS), em Basileia, na Suíça. Assim, surgiu o Comitê de Basileia. Esse comitê é constituído por representantes dos bancos centrais dos países membros do G-10 que discutem questões relacionadas à indústria bancária com o objetivo de melhorar a qualidade da supervisão bancária e fortalecer a segurança do sistema bancário internacional. O acordo de Basileia ou Basileia I definiu mecanismos para mensuração do risco de crédito com o objetivo de reforçar a solidez e a estabilidade do sistema bancário SEGURANÇA EM CLOUD COMPUTING 22 internacional e minimizar as desigualdades competitivas entre os bancos internacionalmente ativos (Figura 12): Figura 12. Mecanismos para mensuração de riscos Em junho de 2004, o comitê propôs revisão no acordo, conhecido por Basileia II, com os seguintes objetivos: ● Promover a estabilidade financeira; ● Fortalecer a estrutura de capital das instituições; ● Favorecer a adoção das melhores práticas de gestão de riscos; ● Estimular maior transparência e disciplina de mercado. Dessa forma, propõe um enfoque mais flexível para exigência de capital e mais abrangente com relação ao fortalecimento da supervisão bancária e ao estímulo para maior transparência na divulgação das informações ao mercado, baseado em três grandes premissas: ● Fortalecimento da estrutura de capitais das instituições; ● Estímulo à adoção das melhores práticas de gestão de riscos; ● Redução da assimetria de informação e favorecimento da disciplina de mercado. Com a ocorrência de novas crises financeiras que demonstraram que os acordos de Basileia I e II mostraram-se insuficientes, em dezembro de 2010, o Comitê de Basileia emitiu dois novos documentos: Capital regulatório Fatores de ponderação de riscos ativos Índice mínimo de capital para cobertura de risco de crédito (BIS) SEGURANÇA EM CLOUD COMPUTING 23 ● Framework global de regulação para bancos e sistemas bancários mais resilientes; ● Framework internacional para medição de risco de liquidez, padrões e monitoramento. Esses documentos ficaram conhecidos como Basileia III e visam ao aperfeiçoamento da capacidade das instituições financeiras absorverem choques provenientes do próprio sistema financeiro ou dos demais setores da economia, reduzindo o risco de transferência de crises financeiras para a economia real. Normas As normas de segurança da informação foram criadas para fornecer as melhores práticas, diretrizes e princípios gerais para a implementação de sua gestão para qualquer organização. Com o crescimento da utilização da informática pelas organizações, nas décadas de 80 e 90, o Departamento de Defesa (DoD – Department of Defense) disponibilizou uma série de publicações com padrões e orientações sobre segurança da informação que ficaram conhecidas como “Rainbow series” ou “Rainbow books” (Figura 13). Figura 13. Rainbow books No Reino Unido, na década de 1990, surgiram as normas BS (British Standard). No contexto da segurança da informação, em 1995 foi publicada a BS7799 que, anos mais tarde, iria se transformar na ISO 27002 e 27001. SEGURANÇA EM CLOUD COMPUTING 24 Inspirada no “Orange book”, foi publicada a Norma ISO 15408, que trata do desenvolvimento de software seguro, e publicada a RFC, do IETF, que é um guia para desenvolvimento de políticas de segurança de computador e procedimentos para sites que têm seus sistemas na internet. Como podemos concluir, existem várias instituições reconhecidas que produzem padrões na área de segurança da informação: ● ISO – International Standardization Organization; ● IEC – International Electrotechnical Comission; ● ABNT – Associação Brasileira de Normas Técnicas; ● IETF – Internet Engineering Task Force; ● IEEE – Institute of Electrical and Electronics Engineers. NIST (Instituto Nacional de Normas e Tecnologia) O NIST é uma agência de tecnologia do governo americano que trabalha em conjunto com a indústria para o desenvolvimento e aplicação de tecnologia, metrologia e padrões. Ele possui um departamentodedicado à segurança da informação e possui uma vasta quantidade de publicações relevantes na área, entre as quais destaca-se: ● NIST Special Publications (SPs): Orientações em segurança e privacidade, recomendações e materiais de referência. ▪ SP 800 subseries – Segurança na computação; ▪ SP 1800 subseries – Criada para complementar a SP 800 na implementação de boas práticas na segurança (cibersegurança); ▪ SP 500 series – Tecnologia da informação (relevantes para a segurança e privacidade da computação/cyber/informação). SEGURANÇA EM CLOUD COMPUTING 25 Visão geral da família de normas ISO 27K No nosso país, quem é responsável por manter as normas de gestão de segurança da informação (ISO 27000) é a ABNT, representante da ISO no Brasil e responsável por normatizar essa questão (Figura 14). Figura 14. Normas ISO 27K • ISO 27000 – Revisão dos termos e definições comumente utilizados em sistemas de gestão em segurança da informação; • ISO 27001 - Especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização. Inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização; Normas Vocabulário Requisitos Orientações Gerais Orientações específicas por setor Orientações de controles específicos IS O 27000 ISO 27001 ISO 27006 ISO 27009 ISO 27006 ISO 27009 ISO 27010 ISO 27011 ISO TR 27015 ISO 27017 ISO 27018 ISO TR 27019 ISO 27799 ISO 27002 ISO 27003 ISO 27004 ISO 27005 ISO 27007 ISO TR 27008 ISO TR 27013 ISO 27014 ISO TR 27016 ISO 27021 ISO 270023 ISO 27031-39 ISO 27041-3 ISO 27050 SEGURANÇA EM CLOUD COMPUTING 26 • ISO 27002 - Diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização; • ISO 27003 - Foca os aspectos críticos necessários para a implantação de projetos bem-sucedidos de um Sistema de Gestão da Segurança da Informação (SGSI), de acordo com a ABNT NBR ISO IEC 27001:2005. Descreve o processo de especificação e projeto do SGSI desde a concepção até a elaboração dos planos de implantação; • ISO 27004 - Diretrizes para o desenvolvimento e uso de métricas e medições a fim de avaliar a eficácia de um Sistema de Gestão de Segurança da Informação (SGSI) implementado e dos controles ou grupos de controles, conforme especificado na ABNT NBR ISO/IEC 27001; • ISO 27005 - Diretrizes para o processo de gestão de riscos de segurança da informação; • ISO 27006 - Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurança da Informação. Especifica como o processo de auditoria de um sistema de gerenciamento de segurança da informação deve ocorrer; • ISO 27007 - Diretrizes sobre como gerenciar um programa de auditoria de Sistema de Gestão da Segurança da Informação (SGSI) e sobre como executar as auditorias e a competência de auditores de SGSI; • ISO 27008 - Diretrizes sobre a análise da implementação e operação dos controles, incluindo a verificação de conformidade técnica dos controles com as normas de segurança da informação estabelecidas pela organização; • ISO 27009 - Define os requisitos para a utilização da ISO 27001 em um setor específico e como incluir novos controles; SEGURANÇA EM CLOUD COMPUTING 27 • ISO 27010 - Diretrizes para a gestão da segurança da informação através das comunicações interempresariais. Provê controles e orientações especificamente relacionadas em como iniciar, implementar, manter e melhorar a segurança da informação em comunicações interorganizacionais e intersetoriais; • ISO 27011 - Diretrizes que suportem a implementação da gestão de segurança da informação em organizações de telecomunicações; • ISO 27013 - Guia para implementar a ISO 27001 em uma organização de forma integrada com a ISO 20000; • ISO 27014 - Orientação sobre conceitos e princípios para a governança de segurança da informação, pela qual as organizações podem avaliar, dirigir, monitorar e comunicar as atividades relacionadas com a segurança da informação dentro da organização; • ISO 27015 - Provê informações para a implementação da ISO 27001, ou seja, a gestão da segurança da informação, em empresas que prestam serviços financeiros; • ISO 27016 - Fornece orientações sobre como uma organização pode tomar decisões para proteger a informação e compreender as consequências econômicas dessas decisões no contexto das necessidades de seus concorrentes; • ISO 27017 - Fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem; • ISO 27019 - Complementa a norma ISO 27017. Diretrizes para a implementação de proteção especificamente de informação pessoalmente identificável em serviços em nuvem; • ISO 27031 - Conceitos e princípios da prontidão esperada para a tecnologia de comunicação e informação (TIC) na continuidade dos negócios, além de fornecer uma estrutura de métodos e processos para identificar e especificar todos os aspectos (como critérios de desempenho, projeto e implementação) SEGURANÇA EM CLOUD COMPUTING 28 para fornecer essa premissa nas organizações e garantir a continuidade dos negócios; • ISO 27032 - Diretrizes para a cibersegurança. Contêm diretrizes para a preservação da confidencialidade, integridade e disponibilidade da informação no cyberspace; • ISO 27033 - Técnicas de segurança - segurança de rede - parte 1: visão geral e conceitos; • ISO 27033-2 -Técnicas de segurança - segurança de rede - parte 2: diretrizes para a concepção e implementação de segurança de rede; • ISO 27033-3 - Técnicas de segurança - segurança de rede – parte 3: cenários de rede de referência - ameaças, técnicas de design e problemas de controle; • ISO 27033-4 - Técnicas de segurança - segurança de rede – parte 4: protegendo as comunicações entre redes usando gateways de segurança; • ISO 27033-5 - Técnicas de segurança - segurança de rede – parte 5: rede de comunicação segura usando redes privadas virtuais (VPNs); • ISO 27033-6 - Técnicas de segurança - segurança de rede – parte 6: protegendo rede IP sem fio; • ISO 27034 - Técnicas de segurança - segurança da aplicação - parte 1: visão geral e conceitos; • ISO 27035 - Técnicas de segurança - gerenciamento de incidentes de segurança das informações; • ISO 27037 - Diretrizes para atividades específicas no manuseio de evidências digitais que são a identificação, coleta, aquisição e preservação de evidência digital que possam possuir valor probatório; SEGURANÇA EM CLOUD COMPUTING 29 • ISO 27036 - Diretrizes para atividades específicas no manuseio de evidências digitais que são a identificação, coleta, aquisição e preservação de evidência digital que possam possuir valor probatório; • ISO 27038 - Especifica características de técnicas para realizar a redação digital em documentos digitais. Especifica requisitos para ferramentas de software para redação e métodos para testar se a produção digital foi seguramente concluída. Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS) O PCI DSS foi desenvolvido pelas empresas do ramo (American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc.) para incentivar e aprimorar a segurança dos dados dos portadores de cartão de crédito (Figura 15). O objetivo é oferecer um conjunto de requisitos técnicos e operacionais para a proteção dos dados do portador do cartão durante o processode pagamento realizado pelo cliente. Figura 15. Fluxo de pagamento com cartão de crédito SEGURANÇA EM CLOUD COMPUTING 30 É aplicável a todas as entidades envolvidas nos processos de pagamento do cartão – inclusive comerciantes, processadores, adquirentes, emissores e prestadores de serviço, bem como todas as entidades que armazenam, processam ou transmitem os dados do portador do cartão (CHD) e/ou dados de autenticação confidenciais (SAD). Estabelece ainda que os dados de autenticação confidencial não podem ser armazenados. Ele é constituído de seis seções, subdividas em 12 requerimentos: Seção Requerimento Construir e manter a segurança de rede e sistemas 1. Instalar e manter uma configuração de firewall para proteger os dados do titular do cartão 2. Não usar padrões disponibilizados pelo fornecedor para senhas do sistema e outros parâmetros de segurança Proteger os dados do titular do cartão 1. Proteger os dados armazenados do titular do cartão Dados do portador do cartão Número da conta principal Nome do portador do cartão Conta de serviço Dados de autenticação confidencial Dados de rastreamento completo CVV PIN SEGURANÇA EM CLOUD COMPUTING 31 2. Criptografar a transmissão dos dados do titular do cartão em redes abertas e públicas Manter um programa de gerenciamento de vulnerabilidades 1. Usar e atualizar regularmente o software ou programas antivírus 2. Desenvolver e manter sistemas e aplicativos seguros Implementar medidas rigorosas de controle de acesso 1. Restringir o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento para o negócio 2. Identificar e autenticar o acesso aos componentes do sistema 3. Restringir o acesso físico aos dados do titular do cartão Monitorar e testar as redes regularmente 1. Acompanhar e monitorar todos os acessos com relação aos recursos da rede e aos dados do titular do cartão Manter uma política de segurança das informações 1. Manter uma política que aborde a segurança das informações para todas as equipes Norma ISO 27002 A Norma ISO 27002 apresenta um conjunto de melhores práticas a serem seguidas pelas organizações. Em seu capítulo introdutório, ela apresenta os conceitos básicos sobre segurança da informação e como estabelecer os requisitos de segurança nas organizações. Esses requisitos são identificados por meio de uma análise/avaliação sistemática dos riscos de segurança da informação e para a implementação dos controles selecionados para a proteção contra os riscos. SEGURANÇA EM CLOUD COMPUTING 32 Com os requisitos de segurança e os riscos identificados, e as decisões para o tratamento dos riscos tomadas, as organizações devem selecionar e implementar os controles apropriados para que as organizações possam assegurar que os riscos sejam reduzidos a um nível aceitável. Essa norma pode ser o ponto de partida para a implementação da segurança da informação pelas organizações. Está estruturada em 11 seções: a) Política de segurança da informação; b) Organizando a segurança da informação; c) Gestão de ativos; d) Segurança em recursos humanos; e) Segurança física e do ambiente; f) Gestão das operações e comunicações; g) Controle de acesso; h) Aquisição, desenvolvimento e manutenção de sistemas de informação; i) Gestão de incidentes de segurança da informação; j) Gestão da continuidade do negócio; k) Conformidade. Normas e padrões em nuvem Atualmente existem diversos padrões em desenvolvimento sobre nuvem: Figura 16. Normas & padrões e em nuvem SEGURANÇA EM CLOUD COMPUTING 33 IEEE P2301 working group (cloud profiles) O objetivo desse grupo de trabalho é desenvolver um guia para portabilidade e perfis de interoperabilidade (CPIP) em nuvem. O guia orienta os envolvidos em um ecossistema de computação em nuvem (fornecedores de nuvem, provedores de serviços e usuários) à utilização no desenvolvimento, construção e utilização de produtos e serviços de computação em nuvem baseados em padrões, o que levar a maior portabilidade, uniformidade e interoperabilidade. IEEE P2302 working group (intercloud) O objetivo desse grupo de trabalho é definir topologia, funções e governança para interoperabilidade e federação de nuvem a nuvem. Os elementos topológicos incluem nuvens, raízes, trocas (que medeiam a governança entre nuvens) e gateways (que medeiam a troca de dados entre nuvens). Os elementos funcionais incluem espaços de nomes, presença, mensagens, ontologias de recursos (incluindo unidades de medida padronizadas) e infraestrutura de confiança. Elementos de governança incluem registro, geoindependência, âncora de confiança, conformidade e auditoria. NIST-SP 500-291 (cloud computing standards roadmap) Através desse documento, o NIST examinou e identificou padrões de segurança, de portabilidade e de interoperabilidade, modelos, estudos e caso de uso relevantes para a computação em nuvem. NIST SP 500-292 NIST (cloud computing reference architecture) Documento que apresenta uma arquitetura de referência e taxonomia para utilização pelo governo americano. SEGURANÇA EM CLOUD COMPUTING 34 Special publication 800-144 guidelines on security and privacy in public cloud computing Essa publicação fornece uma visão geral dos desafios de segurança e privacidade pertinentes à utilização da computação em nuvem pública. Ela ressalta as considerações que as organizações devem considerar terceirizando seus dados, aplicativos e infraestrutura para um ambiente de nuvem pública. ISO/IEC 17788 (cloud computing - overview and vocabulary) Fornece definições de termos de computação em nuvem comuns, incluindo aqueles para categorias de serviços em nuvem, como Software como Serviço (SaaS), Plataforma como Serviço (PaaS) e Infraestrutura como Serviço (IaaS), bem como modelos para implantação, como nuvem pública e nuvem privada. ISO/IEC 17789 (cloud computing - reference architecture) Fornece um padrão de arquitetura de referência que inclui diagramas e descrições de como os vários aspectos da computação em nuvem se relacionam entre si. ISO/IEC 19770 código de prática para controles de segurança para serviços em nuvem Código de prática para controles de segurança da informação com base na ABNT NBR ISO/IEC 27002 para serviços em nuvem. Continuidade de negócio, segurança física e lógica Plano de continuidade do negócio consiste num conjunto de estratégias e procedimentos que devem ser adotados quando a instituição ou uma área depara-se com problemas que comprometem o andamento normal dos processos e a consequente prestação dos serviços. É um conjunto de medidas (Figura 17): SEGURANÇA EM CLOUD COMPUTING 35 Figura 17. Tipos de medidas Essas medidas deverão minimizar o impacto sofrido diante do acontecimento de situações inesperadas, desastres, falhas de segurança, entre outras, até que a organização retorne à normalidade. Para que essas medidas tenham sucesso, é necessário que a organização conheça os requisitos para sua elaboração (Figura 18): Figura 18. Requisitos para elaboração de medias de segurança Ciclo de vida da gestão da continuidade de negócios Riscos a que está exposta a instituição, probabilidade de ocorrência e os impactos decorrentes (tanto aqueles relativos à escala do dano como ao tempo de recuperação); Consequências que poderão advir da interrupção de cada sistema computacional; Identificação e priorização de recursos, sistemas, processos críticos; Tempo limite para recuperação dos recursos, sistemas, processos; Alternativas para recuperação dos recursos, sistemas, processos, mensurando os custos e benefícios de cada alternativa. SEGURANÇA EM CLOUD COMPUTING 36 O ciclo de vidada gestão de continuidade de negócios é composto por seis elementos obrigatórios que podem ser implementados em todos os tipos de organizações de diferentes tamanhos e setores. Cada organização, ao implementar a gestão da continuidade de negócios, deverá adaptar as suas necessidades: o escopo, a estrutura do programa de GCN e o esforço gasto (Figura 19). Figura 19. Inserindo a GCN na cultura da organização Para que um programa de GCN seja implementado nas organizações e alcance os objetivos definidos na política de continuidade de negócios, a gestão desse programa deverá envolver as seguintes atividades (Figura 20): Entendendo a organização Determinando a estratégia Desenvolvendo uma resposta de GCN Testando, mantendo e analisando criticamente SEGURANÇA EM CLOUD COMPUTING 37 Figura 20. Atividades da GCN Análise do impacto do negócio (BIA) É imprescindível que a equipe responsável pela elaboração e implementação da continuidade de negócio defina e documente o impacto das atividades que suportam seus produtos e serviços. A esse processo damos o nome de análise de impacto nos negócios, conhecido mundialmente por BIA. A análise do impacto dos negócios é fundamental para fornecer informações para o perfeito dimensionamento das demais fases de elaboração do plano de continuidade de negócio. O objetivo dessa análise é levantar o grau de relevância dos processos ou atividades que compõem a entrega de produtos e serviços fundamentais para a organização e dentro do escopo do programa de GCN. Devem ser mapeados os ativos físicos, tecnológicos e humanos, assim como quaisquer atividades interdependentes que também precisem ser mantidas continuamente ou recuperadas ao longo do tempo de cada processo ou atividade, para então apurar os impactos quantitativos que poderiam ser gerados com a sua paralisação total ou parcial. É possível, nesse momento, estabelecer o período máximo de interrupção tolerável de cada atividade através da relação entre o: SEGURANÇA EM CLOUD COMPUTING 38 Identificação das atividades críticas Após a realização do levantamento e da análise do impacto do negócio, a organização deve categorizar suas atividades de acordo com suas prioridades recuperação. Mas como classificar as atividades? Atividades cuja perda, baseado no resultado do BIA, teriam o maior impacto no menor tempo e que necessitem ser recuperadas mais rapidamente devem ser chamadas de atividades críticas. A organização deve considerar também que existem outras não consideradas críticas, mas que devem ser recuperadas dentro do seu período máximo de interrupção tolerável e estimar os recursos que cada atividade necessitará durante a sua recuperação: • Recursos de pessoal (quantidade, habilidades e conhecimento); • Localização dos trabalhos e instalações necessárias; • Tecnologia, equipamentos e plantas que suportam o negócio; • Informação sobre trabalhos anteriores ou trabalhos atualmente em progresso, de forma a permitir que as atividades continuem no nível acordado; • Serviços e fornecedores externos Tempo máximo decorrido de interrupção toléravel de cada atividade Nível minimo no qual a atividade tem que ser desempenhada após o seu reinício Tempo máximo até a retomada dos níveis normais de operação SEGURANÇA EM CLOUD COMPUTING 39 Identificação das ameaças das atividades críticas A organização deverá, no contexto da GCN, entender os níveis do risco no que diz respeito às atividades críticas da organização e aos riscos de uma interrupção delas. Dessa forma, é importante que a organização entenda as ameaças e vulnerabilidades de cada recurso envolvido e o impacto que haveria se uma ameaça se tornasse um incidente e causasse uma interrupção no negócio através de uma análise de risco. Determinando a estratégia de continuidade de negócios A organização deve implementar medidas apropriadas para reduzir a probabilidade de ocorrência de incidentes e seus efeitos. Na adoção dessas medidas, deverão ser levado em consideração os seguintes fatores: Período máximo de interrupção tolerável da atividade crítica; Os custos de implementação de cada estratégia; As consequências de não se tomar uma ação. Devem considerar também que, para a continuidade dos negócios, pode ser necessário o estabelecimento de estratégias para todos os recursos envolvidos nos processos considerados críticos, tais como: Figura 21. Recursos nos processos críticos SEGURANÇA EM CLOUD COMPUTING 40 Determinando a estratégia de continuidade de negócios A organização deve definir uma estratégia de resposta a incidente que permita uma resposta efetiva e uma recuperação pós-incidente, e também a implementação de uma estrutura que, caso ocorra um acidente, possa rapidamente ser formada. Essa equipe pode receber a denominação de equipe de gerenciamento de incidente ou equipe de gerenciamento de crise. A estrutura implementada deve possuir: planos, processos e procedimentos de gerenciamento de incidentes, ferramentas de continuidade de negócio, planos para ativação, operação, coordenação e comunicação de resposta ao incidente. No caso de um incidente, a organização deverá ser capaz de: Confirmar a natureza e extensão do incidente; Tomar controle da situação; Controlar o incidente; Comunicar-se com as partes interessadas. Os planos elaborados de gerenciamento de incidentes, continuidade ou de recuperação de negócios devem ser concisos, de fácil leitura e compreensão, além de estarem acessíveis a todos que tenham responsabilidades definidas nesses planos, e devem conter: Objetivo e escopo; Definição dos papéis e responsabilidades; O método como o plano será colocado em prática; Responsável pelo plano; Mantenedor do documento do plano (análise crítica, correção e atualização do plano). SEGURANÇA EM CLOUD COMPUTING 41 Determinando a estratégia de continuidade de negócios Para que a organização garanta que as implementações de continuidade de negócios e de gerenciamento de incidentes sejam consideradas confiáveis e que estejam atualizados, é necessário que elas sejam verificadas através de testes, auditoria e autoavaliação (Figura 22). Figura 22. Ciclo de continuidade dos negócios e gerenciamento de acidentes Deve-se implementar também um programa de manutenção da GCN claramente definido e documentado. O programa deve garantir que quaisquer mudanças internas ou externas que causem um impacto à organização sejam analisadas criticamente quanto à GCN, inclusive a inclusão de novos produtos e serviços. A realização da análise crítica da capacidade de GCN da organização irá garantir sua aplicabilidade, adequação, funcionalidade e conformidade com a política de GCN da organização, suas leis, normas e melhores práticas. Pode ser realizada através de auditoria ou autoavaliação. Incluindo a GCN na cultura da organização Para que a continuidade de negócios tenha êxito na organização, é necessário que se torne parte da gestão da organização. Em cada fase do processo de GCN, existem oportunidades de se introduzir e melhorar a cultura de GCN na organização, tornando- SEGURANÇA EM CLOUD COMPUTING 42 se parte dos valores básicos e da gestão da organização. Esse processo é dividido basicamente nas fases de desenvolvimento, promoção e incorporação da cultura pela organização, sendo suportado por (Figura 23): Figura 23. Suporte ao processo de desenvolvimento Controle de acesso Os controles de acesso lógico são implantados com o objetivo de garantir que apenas usuários autorizados tenham acesso aos recursos e apenas aos recursos realmente necessários para a execução de suas tarefas. Permitem ainda que o acesso a recursos críticos seja monitorado e restrito a poucas pessoas,e que usuários estejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades. Eles controlam a forma como os dados devem ser acessados. Se o controle de acesso não fizer parte das políticas de segurança da empresa, pouco irá adiantar a teoria de se usar as melhores práticas em segurança. Existem diferentes modelos de controle de acesso a informações que são utilizados em diferentes cenários e organizações. Modelos de controle de acesso: Bell La Padula; Biba; Clark-Wilson; Onformation Flow; Noninterference. SEGURANÇA EM CLOUD COMPUTING 43 O controle de acesso é a forma que uma empresa vai controlar o uso de recursos de uma forma geral. Os modelos de controle de acesso estão divididos em três tipos básicos (Figura 24): Figura 24. Tipos de controle de acesso MAC (mandatory access control) Modelo em que o administrador do sistema é responsável por atribuir as devidas permissões para os usuários. DAC (discretionary access control) Nesse modelo, o usuário tem o controle de garantir privilégios de acesso a recursos aos que estão sob seu poder. É importante um cuidado especial nesse modelo, pois os usuários podem dar mais permissões do que deveriam e, com isso, abrirem uma brecha que pode ser explorada por usuários maliciosos. RBAC (role-based access control) Nesse modelo, o administrador do sistema garante privilégios de acordo com a função exercida pelo usuário. Esse modelo é totalmente voltado ao papel (função) que o usuário desempenha na organização. A fragilidade desse modelo está quando um usuário muda de cargo na organização. SEGURANÇA EM CLOUD COMPUTING 44 Criptografia A criptografia iniciou basicamente como uma maneira de duas partes se comunicarem com segurança mesmo que suas mensagens possam ser lidas por um intruso. Exemplos atuais de aplicações de criptografia incluem atestar a identidade de uma organização que opera um servidor web, assinar digitalmente documentos eletrônicos, proteger a confidencialidade de arquivos armazenados em um disco rígido e proteger a confidencialidade de pacotes enviados por uma rede sem fio. A criptografia é o meio de permitir que dois participantes estabeleçam uma comunicação confidencial sobre um canal inseguro sujeito à intromissão. Texto puro + algoritmo de encriptação = texto cifrado Criptografia simétrica Os algoritmos de encriptação e decriptação são escolhidos de modo que seja impraticável para alguém além dos dois participantes descobrir o texto puro a partir do texto cifrado. O algoritmo de decriptação deve usar alguma informação secreta conhecida pelos dois participantes e ninguém mais (chave de decriptação) (Figura 25). Figura 25. Chave secreta compartilhada Texto cifrado transmitido Chave secreta compartilhada Algoritmo de decriptografia Texto Chave secreta compartilhada Algoritmo de criptografia Texto SEGURANÇA EM CLOUD COMPUTING 45 Na criptografia de chave simétrica, a chave do emissor deve ser compatível com a do receptor para, assim, as informações serem extraídas. Criptografia assimétrica A criptografia de chave assimétrica é uma forma de criptossistema em que a criptografia e a decriptografia são realizadas usando diferentes chaves, uma chave pública e uma chave privada. Ela transforma o texto claro em texto cifrado usando uma de duas chaves e um algoritmo de criptografia. Usando a outra chave associada a um algoritmo de decriptografia, o texto claro é recuperado a partir do texto cifrado. Figura 26. Chave pública compartilhada Segurança em rede O TCP/IP é o protocolo mais utilizado atualmente devido à arquitetura da internet. Na realidade, ele é um conjunto de protocolos, ou melhor, uma pilha de protocolos (Figura 27). Esse conjunto de protocolos é a base da internet; entretanto, ele apresenta uma série de problemas básicos de segurança, como, por exemplo, autenticação ou criptografia. Nesse sentido, a segurança passa a ser um desafio a cada dia em que novas falhas são descobertas. Texto cifrado transmitido Chave Privada Algoritmo de decriptografia Texto Chave pública compartilhada Algoritmo de criptografia Texto SEGURANÇA EM CLOUD COMPUTING 46 Figura 27. Conjunto de protocolos Como podemos verificar acima, o protocolo TCP/IP possui quatro camadas que se comunicam entre si. Os programas executados comunicam-se com a camada de aplicação e através de um determinado protocolo (HTTP, FTP, Telnet, DHCP etc.). A camada de aplicação se comunica com a camada de transporte, que é a camada responsável por pegar os dados da camada superior, dividi-los em pacotes e enviar para a camada inferior; no caso, a camada de rede ou internet, como também é conhecida. A camada de rede pega os pacotes recebidos da camada de transporte, adiciona informações de endereçamento virtual e, em seguida, os pacotes são enviados para a camada imediatamente inferior, a camada interface de rede. Nessa camada, os pacotes são chamados datagramas. A camada interface de rede recebe os pacotes enviados pela camada rede e envia pela rede para o endereço destino. Rede Aplicação Transporte Rede Interface de rede HTTP, FTP, Telnet, NTP, DHCP, PING Aplicação Apresentação Seção Transporte TCP, UDP Enlace Físico IP, ARP, ICMP, IGMP Ethernet SEGURANÇA EM CLOUD COMPUTING 47 Falhas de segurança nos protocolos TCP/IP Ataque TCP SYN (Syn Flood); Ataque Árvore de Natal (Xmas Tree); Spoofing; Man in the Middle; Null Session; Session Hijack; Replay; Dns Cache Poison; ARP Poison; DoS e DDoS; Ataque Smurf. Segurança em aplicações WEB A World Wide WEB (WWW) mudou completamente a maneira como as pessoas utilizam os computadores. Utilizamos a web para os mais diversos serviços, desde serviços bancários, de comércio eletrônico, de educação, colaboração e redes sociais. À medida que a web evolui para fornecer experiências dinâmicas e sofisticadas aos usuários, surgiram novas preocupações com segurança e privacidade. Toda essa comunicação é realizada através de requisições e respostas HTTP que são enviadas ao protocolo TCP para a porta 80. O protocolo HTTP não fornece nenhum meio de encriptar os dados. Dessa forma, se um atacante conseguir interceptar os pacotes que estão sendo enviados entre um site e um navegador, poderá ter pleno acesso a qualquer informação que o usuário esteja transmitindo. SEGURANÇA EM CLOUD COMPUTING 48 Os ataques em aplicações web podem ser divididos em dois momentos: Ataques a clientes Sequestro de sessão; Phishing; Sequestro de clique; Vulnerabilidades em conteúdo de mídia; Ataques à privacidade; Cross-site scripting (XSS); Cross-site request forgery (CSRF). Ataques a servidores Scripts de servidores; Vulnerabilidade de inclusão de script no servidor; Injeção de SQL; Negação de serviço; Privilégios de servidor web. Controle de acesso e privacidade Os controles de acesso, físicos ou lógicos, têm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificação ou divulgação não SEGURANÇA EM CLOUD COMPUTING 49 autorizada. Os sistemas computacionais, bem diferentes de outros tipos de recursos, não podem ser facilmente controlados apenas com dispositivos físicos, como cadeados, alarmes ou guardas de segurança. Em segurança, especialmente segurança física, o termo controle de acesso é uma referência à prática de permitir o acessoa uma propriedade, prédio ou sala apenas para pessoas autorizadas. O controle físico de acesso pode ser obtido através de pessoas (um guarda, segurança ou recepcionista); através de meios mecânicos, como fechaduras e chaves; ou através de outros meios tecnológicos, como sistemas baseados em cartões de acesso. A proteção aos recursos computacionais baseia-se nas necessidades de acesso de cada usuário, enquanto a identificação e a autenticação do usuário (confirmação de que o usuário realmente é quem ele diz ser) são feitas normalmente por meio de um identificador de usuário (ID) e uma senha durante o processo de logon no sistema. Os controles de acesso lógico são implantados com o objetivo de garantir que: Apenas usuários autorizados tenham acesso aos recursos; Os usuários tenham acesso apenas aos recursos realmente necessários para a execução de suas tarefas; O acesso a recursos críticos seja bem monitorado e restrito a poucas pessoas; Os usuários estejam impedidos de executar transações incompatíveis com sua função ou além de suas responsabilidades; Para identificar a importância da utilização de controle de acesso; Conceituar a diferença entre controle de acesso físico e lógico. Ameaças e vulnerabilidades As ameaças podem explorar as possíveis vulnerabilidades no ambiente de TI das organizações. Nesta aula, iremos compreender as principais ameaças e vulnerabilidades, e veremos que uma vulnerabilidade sozinha não é o problema; http://pt.wikipedia.org/wiki/Seguran%C3%A7a http://pt.wikipedia.org/wiki/Autoriza%C3%A7%C3%A3o SEGURANÇA EM CLOUD COMPUTING 50 entretanto, caso seja explorada por uma ameaça, ela poderá ser a porta de entrada para ações maliciosas e de acesso às informações de valor para essa organização. Vale ressaltar que essas ameaças estão sempre relacionadas com a perda de um (ou mais) dos três aspectos da segurança da informação e que, ao explorar uma vulnerabilidade, isso irá afetar pelo menos um destes aspectos: A perda da Integridade, que ocorre quando a informação fica exposta ao manuseio de uma pessoa não autorizada. Podemos então realizar alterações não aprovadas e sem o controle do proprietário da informação; A perda de confidencialidade, que ocorre quando há quebra de sigilo de uma determinada informação, consequentemente permitindo que informações restritas, que deveriam estar acessíveis apenas para um determinado grupo de usuários, fiquem expostas; A perda de disponibilidade, que ocorre quando a informação deixa de estar acessível justamente a quem necessita dela. Dessa forma, torna-se necessário compreender o que são essas vulnerabilidades e ameaças – e quando e onde ocorrem. Códigos maliciosos - malware O termo malware é proveniente do inglês malicious software e refere-se a um software destinado a se infiltrar em um sistema de computador alheio, de forma ilícita, com o intuito de causar algum dano ou roubo de informações confidenciais ou não. Vírus de computador, worms, trojan horses (cavalos de troia), backdoors, keyloggers, bots, rootkits e spywares são considerados malwares. Também pode ser considerado malware uma aplicação legal que, por uma falha de programação, intencional ou não, execute funções que se enquadrem na definição acima. Vírus SEGURANÇA EM CLOUD COMPUTING 51 Vírus é um programa ou parte de um programa malicioso criado para gerar resultados indesejados, que se disseminam sem o conhecimento do usuário, “contagiando” os computadores que tiverem contato com ele. O vírus é normalmente malicioso e se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. Para se tornar ativo e dar continuidade no processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro. Ele precisa de um programa executável para nele se instalar, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos meios. Alguns vírus e outros programas maliciosos, incluindo o spyware, estão programados para “reinfectar” o computador mesmo depois de detectados e removidos. Normalmente o vírus tem controle total sobre o computador, podendo fazer de tudo, desde mostrar uma mensagem de “feliz aniversário” até alterar ou destruir programas e arquivos do disco. Uma máquina pode ser infectada através de um programa previamente infectado que seja executado. Isso pode ocorrer de diversas maneiras, tais como: Abrir arquivos anexados aos e-mails; Abrir arquivos do Word, Excel, entre outros; Abrir arquivos armazenados em outros computadores através do compartilhamento de recursos; Instalar programas de procedência duvidosa ou desconhecida, obtidos pela internet, de disquetes, pen drives, CDs, DVDs, entre outros; Ter alguma mídia removível infectada conectada ou inserida no computador quando ele é ligado. Tipos de vírus: E-mail; SEGURANÇA EM CLOUD COMPUTING 52 Macro; Telefone celular. Cavalos de Troia Também conhecido como Trojans, é um invasor que não se reproduz. São programas que parecem úteis, mas têm código destrutivo embutido se instalando, geralmente, via e-mail – e, toda vez em que o computador é ligado, o trojan automaticamente é executado sem o conhecimento do usuário. As ações maliciosas mais comuns são o furto de senhas e outras informações, como número de cartões de crédito. Os trojans atuais são disfarçados de programas legítimos, embora, diferentemente de vírus ou de worms, não criem réplicas de si, e esse é o motivo pelo qual o cavalo de Troia não é considerado um vírus. Adware É um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador. Em muitos casos, os adwares têm sido incorporados a softwares e serviços, constituindo uma forma legítima de patrocínio ou de retorno financeiro para aqueles que desenvolvem software livre ou prestam serviços gratuitos. Spyware Termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema, ou seja, é um aplicativo ou programa espião, e enviar as informações coletadas para terceiros. Consiste num programa automático de computador que recolhe informações sobre o usuário, sobre os seus costumes na internet e transmite essa informação a uma entidade externa sem o seu conhecimento nem o seu consentimento. Existem adwares que também são considerados um tipo de spyware, pois são projetados para monitorar os hábitos do usuário durante a navegação na internet, direcionando as propagandas que serão apresentadas. SEGURANÇA EM CLOUD COMPUTING 53 Os spywares, assim como os adwares, podem ser utilizados de forma legítima, mas, na maioria das vezes, são utilizados de forma dissimulada, não autorizada e maliciosa. Diferem dos cavalos de Troia por não terem como objetivo que o sistema do usuário seja dominado e manipulado por uma entidade externa comandada pelo invasor. É importante ressaltar que esses programas, na maioria das vezes, comprometem a privacidade do usuário e a segurança de seu computador, dependendo das ações realizadas pelo spyware e de quais informações são monitoradas e enviadas para terceiros. Backdoors Backdoor é uma falha de segurança que pode existir em um programa de computador ou sistema operacional que pode permitir a invasão do sistema para que se possa obter um total controle da máquina. São programas que permitem o retorno de um invasor a um computador comprometido utilizando serviços criados ou modificados para esse fim sem precisar recorrer aos métodos utilizados na invasão. Na maioria dos casos, é intenção do atacante poder retornar ao computador comprometidosem ser notado. A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitam acesso remoto através da internet. O backdoor pode ser incluído por um vírus através de um cavalo de Troia ou pela instalação de pacotes de software. Keyloggers São programas capazes de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador a fim de descobrir suas senhas de banco, números de cartão de crédito e afins. As informações capturadas podem ser desde o texto de um SEGURANÇA EM CLOUD COMPUTING 54 e-mail até informações mais sensíveis, como senhas bancárias e números de cartões de crédito. Sua ativação está condicionada a uma ação prévia do usuário e normalmente contém mecanismos que permitem o envio automático das informações capturadas para terceiros, por exemplo, através de e-mails. A contaminação por keyloggers geralmente vem acompanhada de uma infecção por outros tipos de vírus, em geral os Trojans. Os screenloggers são formas mais avançadas de keyloggers que, além de serem capazes de armazenar a posição do cursor e a tela apresentada no monitor nos momentos em que o mouse é clicado, também são capazes de armazenar a região que circunda a posição onde o mouse é clicado. Rootkits Conjunto de programas que fornecem mecanismos para esconder e assegurar a presença de um invasor. Sua principal intenção é se camuflar, impedindo que seu código seja encontrado por qualquer antivírus. Um rootkit não deixa de ser um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação. O nome rootkit não indica que o conjunto de ferramentas que o compõe seja usado para obter acesso privilegiado através de um root ou administrador em um computador, mas sim para mantê-lo. Significa que o invasor, após instalar o rootkit, terá acesso privilegiado ao computador previamente comprometido sem precisar recorrer novamente aos métodos utilizados na realização da invasão, e suas atividades serão escondidas do responsável e/ou dos usuários do computador. Worms São programas capazes de se propagar por meio de redes, enviando cópias de si mesmo de computador para computador. Diferentemente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Sua propagação se dá através da SEGURANÇA EM CLOUD COMPUTING 55 exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Enquanto um vírus infecta um programa e necessita desse programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro para se propagar. Geralmente o worm não tem como consequência os mesmos danos gerados por um vírus, mas é notadamente responsável por consumir muitos recursos. Degrada sensivelmente o desempenho de redes e pode lotar o disco rígido de computadores devido à grande quantidade de cópias de si mesmo que costuma propagar. Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema; além de se autorreplicar, pode deletar arquivos em um sistema ou enviar documentos por e-mail. Importância da implementação de um GRC (governança, risco e compliance) Integrar as atividades de governança corporativa, gestão de riscos e compliance (GRC) significa entender as exigências dos “stakeholders” de uma instituição e de seus investimentos em termos de desempenho e conformidade, além de alinhar a instituição e seus investimentos na entrega desses objetivos em retribuição ao apetite pelo risco e à tolerância ao risco da instituição. As pessoas, os processos e a tecnologia devem ser desenhados e direcionados de tal maneira que o alcance dos objetivos seja mensurado, os riscos sejam avaliados e melhorias contínuas sejam realizadas para apoiar a prática da governança corporativa, a atividade de gestão de riscos e a de compliance de forma eficaz. Dessa forma, governança, risco e conformidade formam uma proposta única em que uma área está relacionada à outra na busca pela maior eficiência, transparência e melhores resultados para todos os envolvidos na empresa. SEGURANÇA EM CLOUD COMPUTING 56 Nesse sentido, será essencial que os envolvidos tenham conhecimento sobre: ● Os processos internos da organização; ● A área de atuação da empresa; ● As funções exercidas por cada profissional; ● O conhecimento do mercado; ● O conhecimento do desempenho atual (indicadores de desempenho); ● O conhecimento dos planos futuros (orçamento empresarial e projeções financeiras). Com uma análise profunda das necessidades e dos riscos da organização, será possível traçar objetivos e estratégias que contribuam para uma maior eficiência e para melhores resultados. Dessa forma, é possível mapear o modelo operacional interno e adequá-lo aos mecanismos legais e aos objetivos da organização. O termo “compliance” é utilizado para designar o conjunto de atividades empresariais, permanentes e independentes voltadas a: Propagar a lei, seus princípios e regulamentos internos; Orientar como essas normas devem ser cumpridas; Fiscalizar a execução dessas normas; Promover internamente os meios necessários à aplicação de sanções a eventuais infratores, tendo por finalidade salvaguardar os ativos materiais e imateriais da empresa. Podemos concluir então que compliance é o dever de cumprir, estar em conformidade e fazer cumprir regulamentos internos e externos impostos às atividades da instituição. SEGURANÇA EM CLOUD COMPUTING 57 Qual a diferença entre ser compliance e estar em compliance? Ser compliance é conhecer as normas da organização, seguir os procedimentos recomendados, agir em conformidade e sentir quão fundamentais são a ética e a idoneidade em todas as nossas atitudes. Enquanto estar em compliance é estar em conformidade com leis e regulamentos internos e externos. Dessa forma, o compliance vai além das barreiras legais e regulamentares, incorporando princípios de integridade e conduta ética. Diferença entre auditoria e compliance Auditoria Realiza seus trabalhos de forma aleatória e temporal, por meio de amostragens, a fim de certificar o cumprimento das normas e processos instituídos pela alta administração. Para que a “função de compliance” seja eficaz nas organizações, é necessário o comprometimento da alta administração e que ela faça parte da cultura organizacional, contando com o comprometimento de todos os funcionários. Todos são responsáveis por compliance. O compliance officer é o responsável pela supervisão e gerenciamento do compliance da companhia. Tem como missão garantir que todos os procedimentos realizados pelos Compliance Realiza suas atividades de forma rotineira e permanente, sendo responsável por monitorar e assegurar de maneira corporativa e tempestiva que as diversas unidades da instituição estejam respeitando as regras aplicáveis a cada negócio por meio do cumprimento das normas, dos processos internos, da prevenção e do controle de riscos envolvidos em cada atividade. SEGURANÇA EM CLOUD COMPUTING 58 funcionários estejam de acordo com os regulamentos internos e com as leis externas à empresa. É muito comum que seja um profissional formado em Direito, já que suas responsabilidades estão diretamente ligadas às questões jurídicas. A organização deverá ainda criar normas de conduta e um canal sigiloso para que os funcionários se sintam seguros de comunicar eventuais desvios, além de dotar a área de compliance de recursos humanos, materiais e tecnológicos para proceder às investigações. Fazem parte
Compartilhar