SOCIEDADE DE EDUCAÇÃO DO VALE DO IPOJUCA – SESVALI
FACULDADE DO VALE DO IPOJUCA – FAVIP
CORDENAÇÃO DE ADMINISTRAÇÃO
CURSO EM ADMINISTRAÇÃO COM HABILITAÇÃO EM SISTEMA DE
INFORMAÇÃO
SEGURANÇA DA INFORMAÇÃO NA COMPUTAÇÃO NA NUVEM: O EMPREGO DE
CRITÉRIOS QUE INFLUENCIAM NO ARMEZANAMENTO DE DADOS
KAREN CRISTINE BARBOSA DA SILVA
ORIENTADOR: ANTONIO JORGE
CARUARU - PE
2011
KAREN CRISTINE BARBOSA DA SILVA
SEGURANÇA DA INFORMAÇÃO NA COMPUTAÇÃO NA NUVEM: O EMPREGO DE
CRITÉRIOS QUE INFLUENCIAM NO ARMEZANAMENTO DE DADOS
Trabalho de Conclusão de Curso
apresentado a Coordenação de
Administração da Faculdade do
Vale do Ipojuca como requisito
para a obtenção do título de
Bacharel em Administração com
Habilitação em Sistema de
Informação.
Orientador: Antonio Jorge
CARUARU – PE
2011
S586s
Silva, Karen Cristine Barbosa da.
Segurança da informação na computação na nuvem: o emprego de
critérios que influenciam no armazenamento de dados / Karen Cristine
Barbosa da Silva. -- Caruaru : FAVIP, 2011.
43 f. : il.
Orientador(a) : Antonio Jorge da Silva Muniz.
Trabalho de Conclusão de Curso (Administração de Empresas) - Faculdade do Vale do Ipojuca.
1. Computação na nuvem. 2. Segurança da informação. 3. Varejo.
I. Título.
CDU 658[12.1]
Ficha catalográfica elaborada pelo bibliotecário: Jadinilson Afonso CRB-4/1367
KAREN CRISTINE BARBOSA DA SILVA
SEGURANÇA DA INFORMAÇÃO NA COMPUTAÇÃO NA NUVEM: O EMPREGO DE
CRITÉRIOS QUE INFLUENCIAM NO ARMEZANAMENTO DE DADOS
Trabalho de Conclusão de Curso
apresentado a Coordenação de
Administração da Faculdade do
Vale do Ipojuca como requisito
para a obtenção do título de
Bacharel em Administração com
Habilitação em Sistema de
Informação.
Orientador: Antonio Jorge
Aprovado em: ___/___/______
_____________________________________________
Prof. Antonio Jorge (Orientador) – FAVIP
_____________________________________________
Avaliador 1
_____________________________________________
Avaliador 2
CARUARU – PE
2011
Dedico este trabalho á minha família, amigos e a
todos que me ajudaram e estiveram comigo nessa
etapa de minha vida.
LISTA DE SIGLAS E ABREVIATURAS
ARPANET – Advanced Research Projects Agency Network (Departamento de Defesa dos
Estados Unidos da América)
CS2 – Criptografia Searchable
DLP – Data Loss Prevention (Prevenção de perda de dados)
IAAS – Infrastructure as a Service (Infraestrutura como Serviço)
IEC – Comissão Eletrotécnica Internacional
ISO – Organização Internacional para Padronização
PDCA - Plan-Do-Check-Act (Planejar-Fazer-Checar-Agir)
SGSI – Sistema de Gestão de Segurança de Informação
SI – Sistema de Informação
SOA – Service-Oriented Architecture (arquitetura orientada a serviços)
LISTA DE FIGURAS
Figura 1: Problemas que geraram perdas Financeiras........................................................
18
Figura 2: O Principal obstáculo para a implementação de Segurança................................ 20
Figura 3: Modelo PDCA aplicado aos processos do SGSI................................................. 24
Figura 4: Arquitetura da Computação na Nuvem...............................................................
27
Figura 5: Operação de copy-on-write no snapshot.............................................................
34
Resumo – A Computação na Nuvem é uma tecnologia que vem evoluindo cada vez mais, por
transpor ao usuário disponibilidade, acesso rápido com custos reduzidos. Por ser totalmente
utilizada na internet e tendo o gerenciamento feito por prestadores de serviços específicos,
criase a percepção de que é necessário o emprego de critérios de segurança para auxiliar seus
usuários no decorrer de sua utilização. Este trabalho tem como objetivo apresentar seu
conceito, suas vantagens e desvantagens e suas características, tal como as técnicas de
segurança que ajudam a combater possíveis ameaças que podem surgir no decorrer do
emprego de seus serviços, principalmente no serviço de armazenamento de dados. Este
trabalho acadêmico baseou-se numa pesquisa bibliográfica, bem como em reportagens e
artigos na internet.
Palavras-Chave: Computação na Nuvem; Segurança da Informação; Internet.
Abstract - Cloud computing is an evolving technology that is increasingly available to the
user by transpose quick access at reduced costs. By being fully utilized on the Internet and
having the management done by specific service providers, created the perception that it
is necessary to use safety criteria to help its users during their use. This paperaims to
present its concept, its advantages and disadvantages and their characteristics, such as security
techniques to help combat possible threats that may arise during the use of their services,
especially in the service of data storage . This academic work was based on a literature
search, as well as reports and articles on the Internet.
Keywords: Cloud Computing; Information Security; Internet.
Sumário
1.
INTRODUÇÃO ............................................................................................................... 10
1.1.
Apresentação do Tema ................................................................................................ 10
1.2.
Problema ...................................................................................................................... 11
1.3.
Justificativa .................................................................................................................. 11
1.4.
Objetivo geral e específico .......................................................................................... 12
1.4.1.
Objetivo geral ........................................................................................................... 12
1.4.2.
Objetivo específico ................................................................................................... 13
1.5.
Metodologia da pesquisa ............................................................................................. 13
1.5.1.
Classificação de Pesquisa ........................................................................................ 13
1.5.2.
Coleta de Dados ........................................................................................................ 13
2.
FUNDAMENTAÇÃO TEORICA ................................................................................. 14
2.1.
Dado e Informação: Diferentes, Semelhantes ou se Completam?........................... 14
2.2.
Tipos de Ameaças contra a Informação .................................................................... 14
2.3.
Segurança da Informação ........................................................................................... 16
2.3.1.
Confiabilidade e Necessidade de Segurança da Informação ............................... 18
2.3.2.
ISO IEC 17799 ......................................................................................................... 19
2.3.3.
A família ISO IEC 27000......................................................................................... 21
2.4.
Internet ......................................................................................................................... 23
2.5.
Computação na Nuvem ............................................................................................... 24
2.5.1.
Principais características da Computação na Nuvem .......................................... 26
2.5.2.
Elementos .................................................................................................................. 26
2.5.3.
As Vantagens e Desvantagens da Computação na Nuvem .................................. 27
2.5.4.
Nuvem Pública X Nuvem Privada .......................................................................... 28
2.5.5. O Recurso “IaaS” – Infrastructure as a Service (Infraestrutura como um
Serviço) 29
2.6.
CS2: A criptografia Searchable, sistema de armazenamento em nuvem ............... 31
2.7. Snapshot, Firewall e Framework: Recursos relevantes na segurança da
computação na nuvem ............................................................................................................ 31
2.8.
SOA (Arquitetura orientada em Serviços) e a computação na nuvem ................... 33
2.9.
DLP (Data loss prevention) – Prevenção de perda de dados .................................... 33
3. ANALISE DO ESTUDO - UMA MAIOR SEGURANÇA NA COMPUTAÇÃO NA
NUVEM PARA SEUS USUÁRIOS ...................................................................................... 35
4.
CONSIDERAÇÕES FINAIS ......................................................................................... 39
4.1.
Trabalhos Futuros ....................................................................................................... 40
REFERÊNCIA BIBLIOGRÁFICA ...................................................................................... 41
10
1. INTRODUÇÃO
O emprego da Computação na Nuvem traz um novo formato de execução para
recursos disponíveis no computador, facilitando e agilizando o cotidiano de seus usuários,
mas a computação nas nuvens também requer cuidados. Neste capitulo será indicado os
pontos iniciais para a elaboração deste trabalho.
1.1. Apresentação do Tema
O mundo teve a necessidade de evoluir pra facilitar e alcançar novos fatores que
possibilitariam aberturas de novas portas. Há tempos atrás os meios de comunicação
existentes não eram precisos e rápidos como os atuais. Hoje, já existem vários meios de
comunicação que possibilitam uma total aproximação sem exigir que as pessoas estejam
frente a frente. Motivos como esse, influenciaram para a criação dos meios de comunicação
existentes como rádio, televisão, celular, e a internet.
Assim, a internet acabou se tornando um dos meios de comunicação mais utilizados
em todo mundo, possuindo uma vasta gama de segmentos que passam a possibilitar a
realização de várias atividades que há alguns anos não seria possível. Às vezes, nem sempre é
necessário ir até uma biblioteca se você pode ter todo conteúdo bibliográfico em sites de
pesquisa, outra situação, é quando está longe da família em outro país e se deseja uma
comunicação mais fácil pode-se optar por um programa de comunicação instantânea, por
exemplo ICQ¹, Windons Live Messenger², Yahoo! Messenger³, entre outros. Então a internet
consegue levar o usuário ao mundo e também trazer o mundo até o usuário com apenas alguns
cliques. Além das conquistas pessoais, a internet também possibilitou várias conquistas para
as empresas estreitarem seus relacionamentos com seus clientes. O intuito de ter
computadores interligados em lugares diferentes possibilitou que empresas expandissem
aumentando assim o mercado competitivo.
Em meio a tantas vantagens a internet é um dos meios de comunicação que mais
___________________
¹ Criado em 1996 pela Mirabilis empresa sediada em Israel.
Fonte: http://tecnologia.culturamix.com/internet/sobre-icq
² Criado em 1999, atualmente o mais usado no mundo com mais de 230 milhões de usuários. Fonte:
http://pt.wikipedia.org/wiki/Windows_Live_Messenger
³ Criado em 1998 pela empresa Yahoo!, Fonte: http://pt.wikipedia.org/wiki/Yahoo!_Messenger
11
evolui, e com isso a computação segue no mesmo caminho. Uma das tecnologias mais
recentes foi o surgimento da computação na nuvem. A essência desta tecnologia é poder
proporcionar a ligação da internet com os recursos que a computação proporciona aos seus
usuários podendo ser acessados em qualquer lugar e em qualquer horário por qualquer
dispositivo. Tecnologia essa que dispõem facilidade e agilidade para uma organização que
está sempre atenta e que não pode perder nenhum minuto.
Não só os benefícios evoluíram com o tempo, os malefícios também, a existência de
ameaças que possam prejudicar esses acessos. Hoje já existem vários artifícios utilizados que
danificam dessa tendência que é a computação na nuvem fazendo que os usuários passem a
ter medo em utilizar à internet para fatores que são de extrema importância. Então, a falta de
segurança pode ser considerada uma desvantagem para a internet, refletindo assim para a
computação na nuvem, afetando assim a confiabilidade que a internet necessita.
Portanto, a computação na nuvem não passa a ser somente mais uma tecnologia no
mercado, ela passa a ser também um potencial econômico bem viável, pois ela possibilitará
agilidade e facilidade que beneficiará o cotidiano de seus usuários. Assim, a idéia deste
trabalho é apresentar critérios de segurança para a computação na nuvem quando o recurso
utilizado for o de armazenamento de dados, pois possibilitará um aumento da confiabilidade
entre seus usuários, proporcionando uma maior usabilidade, conseqüentemente, uma melhoria
no cotidiano de quem a utiliza por isso esta pesquisa se faz relevante.
1.2. Problema
Quais critérios de segurança são utilizados para garantir a confiabilidade dos dados
que ficam armazenados na computação na nuvem?
1.3. Justificativa
A Cloud Computing, mais conhecida como Computação na Nuvem, é um termo
utilizado para uma tecnologia que surgiu no mercado há pouco tempo, propondo a idéia da
utilização e armazenamento de programas, serviços e arquivos aos seus usuários de forma
simples, rápida e com custos mais baixos, podendo ser acessado em qualquer dispositivo
eletrônico a qualquer momento. A nuvem, termo utilizado metaforicamente para a internet,
onde estes recursos ficam disponíveis para o uso, é considerada uma rede global, aberta,
ilimitada e cada vez mais utilizada por todos.
12
Porém, pela internet ter uma facilidade de acesso para qualquer usuário, ela passa a
exigir um requisito importante para quem deseja utilizar-se da mesma, determinamdo a
segurança. Levando em conta a pesquisa realizada, quando se leva em consideração a
percepção de certa insegurança que pode surgir no tráfego na internet pela existência de
vários tipos de ameaças, passando a comprometer a utilização desses recursos, passando a
deixar perceptível o surgimento da infração de sua confiabilidade ao usuário. E porque pensar
tanto em segurança quando se pensa em utilizar a tecnologia da computação na nuvem? A
computação na nuvem propõe uma ligação entre tecnologia e usuário totalmente pela internet,
pois os recursos que estes usuários estarão utilizando ficarão armazenados na nuvem para o
acesso imediato.
Então, as empresas que fornecem ou pretendem fornecer estes recursos a partir da
computação na nuvem, criasse a necessidade de implantar padrões de seguranças que ajudem
a interromper possíveis danos que possam prejudicar a utilização, prejudicando os seus
usuários que estão movendo seus dados e suas aplicações para nuvem a fim de se
beneficiarem com esta recente tecnologia, principalmente quando se fala do recurso de
armazenamento de dados e informações sigilosas dos seus usuários.
Por fim, o presente trabalho irá apresentar uma pesquisa em uma área de interesse
acadêmico que é computação na nuvem, pois além de apresentar este recurso que pode ser
utilizado nessa tecnologia, ainda serão sugeridas recomendações de métodos de segurança que
possam auxiliar o gerenciamento do recurso de armazenamento de dados. Já que este recurso
se torna de grande importância a exigência de uma necessidade de segurança, pois é nesse
armazenamento que estarão todas as informações de seus usuários, por tanto é importante
amenizar perdas para os mesmos, concluindo assim um melhor uso deste moderno recurso
desta tecnologia.
1.4. Objetivo geral e específico
A seguir é apresentado o objetivo geral e os objetivos específicos que reproduziram a
pesquisa.
1.4.1. Objetivo geral
Analisar os critérios de segurança que são utilizados para garantir a confiabilidade no
recurso de armazenamento de dados da computação na nuvem.
13
1.4.2. Objetivo específico

Demonstrar as características que o modelo de computação na nuvem
apresenta.

Pontuar os problemas existentes no recurso de armazenamento de dados na
computação na nuvem oferecido pelas empresas.

Apresentar procedimentos que possam evitar a perda e a interceptação dos
dados.

Expor os motivos que influenciam as empresas a usar a computação na nuvem.
1.5. Metodologia da pesquisa
Logo abaixo é apresentado como foi classificado a pesquisa e sua coleta de dados para
a elaboração do trabalho.
1.5.1. Classificação de Pesquisa
A fim de elaborar este trabalho, o tipo de pesquisa a ser utilizada é descritiva. A
pesquisa descritiva tem como fim a investigação de um fato ocorrido, ou seja, ela proporciona
maior familiarização com este fato que não possui muitos estudos proporcionando assim um
maior entendimento deste. Quanto aos meios de investigações, esta pesquisa será
bibliográfica, sendo esta a ser desenvolvida com base em obras publicadas por autores da área
(VERGARA, 2003).
1.5.2. Coleta de Dados
A coleta de dados será executada por meio de obras nas quais as informações
coletadas já foram elaboradas e estarão disponíveis em livros e artigos. Alem dessas fontes
outro meio de coleta de dados que será utilizada é a internet (BELLO, 2004).
14
2. FUNDAMENTAÇÃO TEORICA
2.1. Dado e Informação: Diferentes, Semelhantes ou se Completam?
Dados podem ser definidos como uma ordem de símbolos que podem ser considerados
quantificados ou quantificáveis, ou seja, que é expresso matematicamente (SETZER, 1999).
Já Segundo Elmasri; Shamkant B. (2005), os dados são considerados fatos que estarão
gravados em determinado dispositivo e que ele pode não está claramente para o entendimento
do seu usuário, mas está subentendido.
Ao perguntar o conceito de informação a qualquer pessoa, muitas pensariam bastante e
não saberiam explicar a idéia. Segundo o IDICIONÁRIO AULETE, as definições que podem
ser consideradas são as de que a informação é a ação de informar, um conjunto de dados sobre
alguma coisa, um relato sobre algo ocorrido, ou nada mais que uma explicação dada para
alguma coisa de maneira que outras pessoas possam compartilhar, ou seja, a informação é a
ação de descrever para outro meio o desenvolvimento de um ou mais dados em mente.
Levando em consideração a informação dita para o meio da computação é nada mais
que o processamento de dados em um computador gerando uma resposta a um determinado
usuário. Conforme a ISO IEC 17799 (2005), “a informação pode existir em diversas formas.
Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou
armazenada, é recomendado que ela seja sempre protegida adequadamente.” Enfim, ela é
considerada um ativo essencial para uma organização gerando assim a carência de
procedimentos para sua proteção. Já segundo Mendes (2004), informação compreende
qualquer conteúdo que possa ser armazenado ou transferido de algum modo, servindo a
determinado propósito e sendo de utilidade ao ser humano. Trata-se de tudo aquilo que
permite a aquisição de conhecimento.
Então, conclui-se que para a informática que um dado pode ser qualquer numero ou
letra que está armazenado no sistema de um computador, gerando assim informação ao
usuário que o necessita.
2.2. Tipos de Ameaças contra a Informação
Nos dias de hoje, é incogitável trabalhar com armazenamento de dados sem pensar na
integridade deles, assim é necessária a obtenção de um plano de segurança evitando que as
15
possíveis ameaças existentes consigam invadir. Ameaças estas a serem consideradas de
caráter natural, involuntária ou voluntária ao o proprietário da informação.
Segundo Cunha (2005), os tipos de ameaças são divididos a partir do seu nível de
intencionalidade, sendo elas:

Naturais: são decorrentes de fenômenos da natureza, como incêndios, enchentes,
terremotos, tempestades eletromagnéticas, maremotos, aquecimentos e poluição.

Involuntárias:
são
ameaças
inconscientes,
quase
sempre
causadas
pelo
desconhecimento, elas podem ser causadas por acidentes, erros, falta de energias, entre
outros.

Voluntárias: são propositais, causadas por agentes humanos como hackers, invasores,
espiões, ladrões e etc.
Então, nas ameaças de caráter natural, na maioria das vezes as informações não são
recuperadas, são casos, mais difíceis de acontecer, mas de caráter bem relevante. Já a
involuntária, as empresas podem combater com equipamentos de energia mais potentes,
proteção para acessos, entre outras coisas. E por fim, a voluntária não pode ser prevista, mas
pode ser criada uma estratégia de segurança para estar mais preparado quando acontecer.
A ameaça de caráter voluntário é o tipo de ameaça em que é preciso a implantação de
métodos de segurança. Por essas, assim surge a necessidade de obtenção de métodos de
segurança para evitar ou amenizar possíveis acontecimentos pela perda de confidencialidade,
integridade e disponibilidade da informação, atributos básicos segundo a ISO IEC 17799
(2005).
A décima e ultima edição da Pesquisa Nacional de Segurança da Informação realizada
em 2007 trata-se de uma pesquisa que tem por intuito atualizar o mercado brasileiro sobre as
tendências, trazendo analises especificas sobre temas como: a condução de analise de riscos
na organização, capacitação de equipes e a conscientização de funcionários. Na ultima edição
realizada foram envolvido cerca de 600 profissionais atuantes nas áreas de segurança e
tecnologia da informação de organizações privadas, publicas e economia mista de vários
segmentos, tendo os dados da pesquisa foram por meio de questionários presenciais e on-line.
Na figura a seguir, mostra-se o resultado da pesquisa nacional de segurança da informação
sobre as ameaças a informação, é chegada à conclusão dos maiores problemas que geram
perdas principalmente financeiras as empresas.
16
Analisando a figura 1 a seguir, chegasse à conclusão que 72% das ameaças existentes
citadas na pesquisa são de caráter voluntário, ou seja, as ameaças que podemos caracterizar
como voluntarias no gráfico assim são os vírus, spam, fraudes, roubo de notebooks, lixo
informativo, divulgação e roubos de senhas invasão de sistemas internos, ataque de negação
de serviço, roubo de informações proprietárias, sabotagens, pirataria e espionagem.
Considerando as demais em caráter involuntário e podendo existir nos 5% restantes ameaças
naturais
15%
Vírus
10%
Spam
Fraudes
8%
Roubo de notebooks
8%
Falhas na segurança física
7%
Vazamento de Informações
7%
Erros e acidentes
6%
Lixo informático
6%
Acesso remoto indevido
6%
Outro(s)
5%
Divulgação/Roubos de senhas
5%
4%
Invasão de sistemas internos
3%
Ataque de negação de serviço
Roubo de informações proprietárias
2%
Sabotagens
2%
Não conformidade com nova Leg e Reg de SI
2%
Pirataria
2%
Espionagem
1%
Figura 1 - Problemas que geraram perdas Financeiras. Fonte: http://pt.scribd.com/doc/44878779/10apesquisa-nacional-1
2.3. Segurança da Informação
O conceito mais próximo para esta pesquisa sobre segurança é estar “livre de risco”,
assim a segurança da informação se dar por essencial a proteger as informações de possíveis
ameaças a fim de evitar prejuízos aos seus proprietários. Um dos maiores fatores que
17
influenciam a procura por segurança nos dias de hoje é ela proporcionar um determinado
bloqueio para usuários que desejam que suas informações não possam parar em mãos não
autorizadas também. A segurança se torna assim uma para pessoas ou empresas que possuem
informações sigilosas e que assim precisam de privacidade delas.
Segundo a ISO IEC 17799 (2005), “a segurança da informação é obtida a partir da
implementação de um conjunto de controles adequados, incluindo políticas, processos,
procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles
precisam ser estabelecidos, implementados, monitorados, analisados criticamente e
melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da
organização sejam atendidos”. Ou seja, a segurança da informação se dá a uma totalidade de
medidas utilizadas para a proteção da informação, assim sem a implantação dessas medidas as
informações dos usuários poderão correr riscos. Alem que essas medidas não devem ser
simplesmente implantadas, elas devem passar por um monitoramento e atualização constante.
Existem três princípios básicos que influenciam e garantem a segurança da informação
a seus usuários, são elas a confidencialidade, disponibilidade e integridade. Um dos aspectos
mais importantes para conseguir a confidencialidade é garantindo que essa informações só
chegarão às mãos de pessoas que sejam autorizadas. Já na disponibilidade é o principio de que
estas informações estarão disponíveis sempre que os usuários autorizados necessitem. E por
fim, com a integridade é as informações não sofrem modificações que estejam fora do
combinado. Esses princípios básicos, sendo estudado e utilizados se torna uma grande base
para que a segurança seja estabelecida e que proporcionem a confiança de seus usuários.
Alem de que a segurança em relação à informação em sistemas computacionais deve
abranger aspectos voltados a políticas de segurança e sua utilização em vários outros tipos de
contextos. Ou seja, devem-se definir regras para: proteção do nível físico; contenção,
recuperação de desastres, backup, preservação e destruição de mídias; operação; uso de
criptografia e ciclos de vida de chaves; controle de acesso a sistemas e a recursos; não
violação a leis e ética, entre outros. Também podendo possuir uma gerencia de risco que
contempla a avaliação sistêmica e continuada dos níveis de segurança. (ISO IEC 17799,
2005).
18
Outros autores ainda citam outros fatores que podem influenciar a segurança da
informação, como autenticidade, não repúdio, legalidade, privacidade e auditoria que devem
ser observados também.
Mais um resultado em que a décima Pesquisa Nacional da Segurança da Informação
encontrou no questionário respondido foi os principais obstáculos encontrados para a
implementação da segurança nas empresas, conforme figura 2 a seguir.
Falta de conscientização dos Executivos e
Usuários
55%
28%
Falta de Orçamento
8%
Falta de Profissionais capacitados
Outro(s)
4%
Falta de Soluções específicas para as
necesidades
3%
Falta de Ferramentas no Mercado
2%
Figura 2 – O Principal obstáculo para a implementação de Segurança. Fonte:
http://pt.scribd.com/doc/44878779/10a-pesquisa-nacional-1
Nessa conclusão deixasse claro que um dos maiores fatores que acarreta o
aparecimento de falhas na segurança da informação é a falta de conscientização dos usuários,
ou seja, na maioria das vezes o usuário só vai a procura de algum sistema de segurança
quando já houve danificação em algum dos seus dados.
2.3.1. Confiabilidade e Necessidade de Segurança da Informação
Em geral, a confiabilidade é a aptidão que determinada ferramenta tem de não variar
resultados independentemente de como, quando e onde está sendo usado, ou seja, a confiança
que o usuário terá de nada variar do normal. Segundo Pessoa (2009), a confiabilidade é um
atributo inerente ao projeto do produto e representa a capacidade potencial que deveria ser
atingida em condições habituais, desde que fabricado exatamente conforme o projetado e
operado e mantido exatamente nas condições prescritas.
19
Hoje em dia, os consumidores estão mais exigentes e na maioria das vezes procuram
sempre o melhor não importando o quanto vão pagar. E ainda mais, a concorrência está cada
vez maior, e são em fatores como a confiabilidade que fará o diferencial de determinada
empresa. Ainda segundo Pessoa (2009), uma unidade de processo confiável é aquela que:
“Supera as expectativas da gerência e garante vantagem competitiva”.
Então, com a aquisição de uma boa política de segurança é um dos fatores que
contribuíram para a contribuição de uma maior confiabilidade aos seus usuários. A
necessidade se faz relevante por ser nada mais que a falta de algo essencial, com a informação
isso não é diferente. Além da evolução da tecnologia, as ameaças evoluíram também, e estão
sempre estudando técnicas para fraudar estes dados. Em alguns casos podemos dizer que com
um plano de segurança bem estabelecido podemos impedir várias ameaças que se colocam na
nossa frente no cotidiano, já em outros casos podemos amenizar as falhas que ocorreram.
Enfim nada estará seguro sem um levantamento de requisitos para a proteção dessas
informações.
Conforme Mendes (2004) é oportuno salientar que, nos dias atuais, a informação
constitui uma mercadoria, ou até mesmo uma commodity, de suma importância para as
organizações dos diversos segmentos. De acordo com a ISO IEC 17799 (2005),
As organizações, seus sistemas de informação e redes de
computadores são expostos a diversos tipos de ameaças à
segurança da informação, incluindo fraudes eletrônicas,
espionagem, sabotagem, vandalismo, incêndio e inundação.
Danos causados por código malicioso, hackers e ataques de
denial of service estão se tornando cada vez mais comuns, mais
ambiciosos e incrivelmente mais sofisticados.
Por esta razão, segurança da informação tem sido uma questão de elevada prioridade
nas organizações.
2.3.2. ISO IEC 17799
A ISO IEC 17799 é uma norma criada com recomendações de segurança da
informação para ajudar empresas que utilizam desses recursos, a versão original foi publicada
em 2000.
A ISO, Organização de Padronização Internacional, é uma organização que
20
trabalha com intenção de padronizar as existentes empresas com intuito de melhoras a
qualidade proporcionando um melhor alcance das necessidades que os usuários necessitam.
Com a ligação com a IEC, Comissão Eletrotécnica Internacional, a ISO criou esta norma para
programar a segurança das informações dessas empresas para assim também, ajudar no
cotidiano delas.
A estrutura da norma ISO IEC 17799 é dividida em 11 seções de técnicas de
verificação voltadas a segurança da informação. Cada seção possui uma quantidade de
categorias que se totalizam em 39 e ainda possui uma seção introdutória que aborda a
analise/avaliação e o tratamento de riscos. São elas:
a) Política de Segurança da Informação (1);
b) Organizando a Segurança da Informação (2);
c) Gestão de Ativos (2);
d) Segurança em Recursos Humanos (3);
e) Segurança Física e do Ambiente (2);
f) Gestão das Operações e Comunicações (10);
g) Controle de Acesso (7);
h) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação (6);
i) Gestão de Incidentes de Segurança da Informação (2);
j) Gestão da Continuidade do Negócio (1);
k) Conformidade (3).
Nessas categorias, cada uma delas possui um objetivo de controle que deve ser
conquistado e também possui um ou mais controles que com a aplicação destes influenciará
para que o objetivo seja alcançado.
Na categoria de política de segurança da informação deve ser criado um documento
que sirva para reger a direção da empresa de forma clara e seja também repassada para os
demais funcionários, sendo analisada sempre que preciso. A categoria organizando a
segurança da informação convém para a implantação de uma gestão que possua
representantes que inicie e controle a segurança da informação dentro da empresa para que
seja adotada e tenha comprometimento de todos os envolvidos. Na gestão de ativos deve-se
trabalhar para o adquirir a proteção adequada dos ativos da organização. Na segurança em
recursos humanos deve ser trabalhado que antes da efetivação de contratações as pessoas
21
envolvidas estejam cientes que devem seguir as políticas de segurança da informação,
assinando acordos sobre suas responsabilidades. Na segurança física e do ambiente deve-se
acautelar que não ocorram acessos físicos não autorizados, danos e interferências nas
instalações e informações da organização, sendo também inseridas proteções físicas para que
se possa trabalhar em áreas seguras. No gerenciamento das operações e comunicações devemse criar procedimentos operacionais que auxiliem os recursos promovendo uma utilização de
maneira correta e segura. No controle de acessos deve-se levar em consideração o negocio e a
segurança da informação promovendo a inspeção nos acessos e recursos da informação e dos
negócios. Na aquisição, desenvolvimento e manutenção do sistema de informação deve-se
assegurar de que o sistema de informação aderido supre as necessidades de segurança. Na
gestão de incidentes de segurança da informação pretende-se que na ocorrência de incidentes
que possam deixar as informações em riscos sejam notificados o quanto antes. Na gestão de
continuidade de negocio deve-se ser trabalhado a não permissão de interrupções que possam
atrapalhar os processos. E por fim, na conformidade promove-se que seja evitada qualquer
infração na legislação, estatutos, regulamentações ou obrigações contratuais (ISO IEC 17799,
2005).
Assim, a ISO IEC 17799 é uma norma que auxilia a organização com critérios
distribuídos em todas as áreas que englobam a informação, contribuindo para que se possa
obter segurança na informação, seguindo regras e proporcionando documentos que possam
acobertar os processos em que os envolvidos funcionaram no cotidiano. Esta norma ajuda a
implementar, manter e melhorar a gestão de segurança da informação das empresas, podendo
trazer com isso mais estabilidade e diferencial competitivo.
2.3.3. A família ISO IEC 27000
A norma ISO IEC 27000 dá introdução a todo conteúdo que é explanado em decorrer
das seguintes normas que compõem a família. A família oferece melhor praticas como
recomendações para um melhor gerenciamento de informações focando na segurança,
mostrando os riscos e controles utilizando-se de um sistema de gestão da segurança da
informação (SGSI). Nesta série ou família, ela demonstra que o usuário não deve
simplesmente só se preocupar com a privacidade, confidencialidade, entre outras, ela vai se
torna mais abrangente.
22
Além do que, a série 27000 está de acordo com a ISO 9001 e com a 14001 garantindo
a qualidade e a proteção ambiental, assuntos que essas demais séries comportam. Assim, o
assunto que a norma 27000 é composta pelo vocabulário e definições, terminologias que dão
inicio e explicam todos os padrões que toda a série retrata. A série 27000 é composta pelas
normas 27001, 27002, 27004, 27005 e 27006, existem outras normas que farão parte dessa
família que estão em desenvolvimento e não existe previsão para suas publicações.
A ISO IEC 27001 traz como temas a tecnologia da informação, técnicas de
seguranças, sistemas de gestão de segurança da informação e requisitos, ela vem com o intuito
de prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um tipo de SGSI, publicado em 2005. Esta norma relata ao usuário que ele
precisa apresentar um entendimento dos requisitos de segurança da informação, estabelecer
uma política e objetivos, implementar e operar controles para gerenciar os riscos, monitorar e
analisar criticamente o desempenho e a eficácia do SGSI que será implantado e por fim
apresentar uma melhoria continua baseada em medições objetivas, sendo assim, esta norma
adota o modelo conhecido como “Plan-Do-Check-Act” (PDCA), que significa dizer em
português, Planejar-Fazer-Checar-Agir. Conforme a figura 3 a seguir é demonstrado as ações
de os usuários devem seguir:
• Plan
• Check
• Do
Estabelecer
Contexto do
SGSI e da
avaliação de
Risco
Implementar
um SGSI
Monitorar e
Revisar o
SGSI
Melhorar o
SGSI
• Act
Figura 3 – Modelo PDCA aplicado aos processos do SGSI. Fonte:
http://cavalcante.us/normas/ABNT/ABNT-NBR-ISO_IEC-27001.pdf
23

Planejar: Os usuários devem estabelecer a política, objetivos, processos e
procedimentos do SGSI que sejam de caráter relevante para a gestão de riscos e a
melhoria da segurança da informação produzindo assim resultados que estejam de
acordo com as políticas e objetivos globais;

Fazer: Alem de implementar e operar a política, deve também realizar os mesmos
procedimentos com os controles, processos e procedimentos do SGSI;

Checar: Executar uma avaliação que seja composta de uma medição do desempenho
de um processo a partir da política, objetivos e experiência pratica do SGSI e no final
apresentar os resultados para uma analise critica;

Agir: Colocar em pratica ações corretivas e preventivas, a partir dos resultados da
auditoria interna do SGSI e da analise critica ou outra informação que seja de caráter
importante, para em cima destes dados, alcançarem uma melhoria continua do SGSI.
Esta norma 27001 é considerada a norma mais importante da família por seu
detalhamento nas ações. Podemos citar também a norma 27002 que possui práticas compostas
por diretrizes e princípios gerais para auxiliar a gestão de SI, mostrando os objetivos de
controle que ajude a apresentar melhores praticas para a segurança, considerado um guia de
referencia como a norma 17799. Já a norma 27003 é um guia pratico para a implementação de
um SGSI, demonstrando como o usuário deve implementar um SGSI de acordo com as
praticas da ISO e da IEC. Na norma 27004 fornece diretrizes que apresentem técnicas e
procedimentos que ajude a medir para conseguir avaliar a eficácia do SGSI, como os
controles implementados, os processos, entre outros. A norma 27005 apresenta diretrizes
mais especificas para o gerenciamento de risco, está norma apresenta ações que ajudem no
final a possuir uma melhoria continua no sistema de controles. E por fim a norma 27006
possui ações que ajudem ao usuário implementar métodos que ajudem a recuperação e a
continuidade do negocio após um desastre ocorrido no SGSI (RODRIGUES, 2010).
Por fim, esta série demonstra praticas que ajudem ao usuário desde a sua
implementação de SGSI até as ações que devem ser aplicadas para uma melhoria continua e
ainda para quando ocorrerem desastres para que o usuário saiba como agir nesses casos.
2.4. Internet
A idéia da internet é a possibilidade de uma interligação entre computadores de
qualquer lugar podendo obter a troca de informações por ela, ou seja, a obtenção de uma rede
24
aberta e global. A internet que hoje é um dos maiores meios de comunicação utilizados por
pessoas surgiu nos meados dos anos de 60 com o intuito de transmitir informações com
flexibilidade e rapidez para os interessados, proporcionando varias vantagens a quem utiliza
dela, como educação, lazer, marketing, compras, comunicação, entre outras, sendo um
privilégio da vida moderna. Assim um compartilhamento de informações acessíveis a
qualquer usuário em qualquer lugar do mundo, proporcionado satisfação as necessidades para
seus usuários.
Assim, a palavra chave para a internet é a conveniência, ela é rápida, pratica e
acessível a qualquer um que obtenha um dispositivo e um provedor. Para que se deslocar se
você pode resolver tudo em alguns cliques onde esteja? A internet proporciona comodidade a
qualquer usuário diminuindo tempo para o mundo de hoje, alem de que ela é gratuita e
proporciona uma eficaz inclusão social.
Mas, atrás de tantas vantagens que a internet proporciona existe o lado ruim, a
privacidade e a confiabilidade são requisitos fundamentais mesmo que a internet proporcione
tantas relevâncias, o anonimato, como por exemplo, é considerada uma ameaça. O anonimato
pode ocasionar crimes e fraudes afetando os seus usuários, pois ainda existem varias lacunas
na internet (MONTEIRO, 2001).
2.5. Computação na Nuvem
O termo Cloud Computing, ou computação na nuvem, vem com a inovação de mudar
o caminho que a computação normal hoje segue. Além de modificar o rumo de usuários que
hoje se preocuparem em obterem computadores melhores com o intuito de agilizar seus
processos, a idéia de uma tecnologia que tivesse a capacidade de disponibilizar recursos para
usuários sem a obrigatoriedade de estes estarem assim armazenados no computador não é
recente.
Já se falava em algo parecido com computação na nuvem desde a década de 60, onde
Joseph Carl Robnett Licklider, um dos responsáveis pelo desenvolvimento da ARPANET
(Advanced Research Projects Agency Network), já teve a idéia de introduzir uma rede de
computadores intergaláctica. A sua visão era a de que todos deveriam estar conectados entre
si, acessando programas e dados de qualquer site e de qualquer lugar (CHIRIGATI 2009).
25
Já em 1999, foi criada a SalesForce.com que passa a disponibilizar esses tipos de
recursos, recursos esses que na época que a computação normal disponibilizava, mas eram
caros, difíceis de manuseio para a utilização no dia a dia. Hoje, já existem no mercado várias
empresas que disponibilizam essa tecnologia de maneira que, para alguns usuários, se
tornaram um procedimento mais econômico e ágil para seus segmentos.
Assim, Computação na nuvem é um termo utilizado para recursos que são
disponibilizados na internet para usuários obterem interligação entre si, agilidade, diminuição
de espaço em seus computadores, e o mais importante podendo acessar em qualquer lugar e a
qualquer hora. Esta tecnologia além de obter recursos que diminuirão as inovações em
equipamentos por não terem mais tanta utilidade quanto antes da computação na nuvem
tinham. Este ultimo fator para o usuário é de grande importância, mas para as empresas que
vendem e estão sempre criando novos produtos mais sofisticados pode ser considerado uma
tecnologia de risco. O mercado já possui exemplos de computação na nuvem grátis. Podemos
encontrar vários recursos que são disponibilizados grátis na internet, mas se houver
necessidade de algo, mas seguro ou de uma dimensão maior, podemos encontrar recursos
mais sofisticados que podem ser pagos. Como demonstrado na figura 4 abaixo a sua
arquitetura, os usuário solicitam na nuvem ou na internet aos seus provedores, programas,
banco de dados, entre outros serviços virtuais que pode ser chamado também de
computadores virtuais.
Figura 4 – Arquitetura da Computação na Nuvem. Fonte: http://f5infotec.blogspot.com/2010/11/o-que-ecloud-computing-computacao-nas.html
26
2.5.1. Principais características da Computação na Nuvem
A computação na nuvem proporciona vantagens que a computação convencional não
pode proporcionar aos usuários. Podemos citar algumas características desta nova tecnologia
como:

Disponibilidade sob Demanda: O usuário só utilizará o que precisar. Para usuários que
pagam por serviços disponibilizados na computação na nuvem, o diferencial dela é a
compra só de que o cliente precisa tanto por espaço ou por tempo. Para comparar
podemos nos referir a energia, o usuário só paga pela energia utilizada no mês, é a
mesma idéia.

Acessível e Deslocamento: O usuário poderá ter acessado a os recursos disponíveis em
qualquer dispositivo eletrônico independente de sistemas operacionais ou de
componentes eletrônicos que influenciam em espaço e velocidade, o único requisito é
ter acesso a internet, em qualquer lugar e em qualquer horário. Ou seja, como os
arquivos não estarão salvo no computador do usuário e sim estará salvo na nuvem, em
qualquer lugar que o usuário estiver ele poderá ter acessado a esses arquivos, só
precisará de um dispositivo e da conexão a internet.

Elasticidade: A partir do momento em que o usuário contrata um serviço da
computação na nuvem, sendo pago ou não, o usuário poderá solicitar o aumento ou a
diminuição destes serviços. Ou seja, não é obrigatório que o usuário fique com
determinado pacote que ele obteve, a qualquer momento ele pode flexibilizar,
dependendo do que o usuário necessita no seu cotidiano.

Compartilhamento: À medida que as informações estarão na nuvem qualquer usuário
autorizado poderá ter acesso a elas, ou seja, o usuário proprietário da informação pode
disponibilizar a informação a quem desejar, fica a critério do usuário (MAILA, 2011).
Essas são algumas características que a computação na nuvem possui, existe outras
características.
2.5.2. Elementos
Como já dito antes, a computação na nuvem não é uma nova tecnologia, ela vem dá
idéia de selecionar vários componentes importantes hoje utilizados nesse meio a fim de
formar uma tecnologia que disponibilize recursos para suprir as necessidades de usuários
27
nesta categoria. Segundo Chirigati (2009) os principais componentes são virtualização,
serviços baseados na internet, modelo pay-per-use e software livre.
A virtualização pode ser definida a transformação de um sistema real ou físico para
um virtual, que ainda pode ser conceituado por uma simulação em meios eletrônicos. A
virtualização semelha-se a um centro de processamento de dados mais conhecido como
datacenter, ou seja, ela promove um ambiente em que seus usuários possam utilizar dos
recursos disponíveis. Segundo Chigariti (2009), a computação na nuvem suporta dois tipos de
virtualização: a paravirtualização, que permite que um único servidor físico possa ser tratado
como diversos servidores virtuais, e clustering, que permite que múltiplos servidores físicos
possam ser tratados como um único servidor virtual.
Os serviços baseados na internet, como o próprio nome já diz, é um ambiente
totalmente incluso na internet que disponibiliza assim o acesso em qualquer lugar e horário,
mas com o requisito de que se possua boa qualidade de conexão.
O modelo pay-per-use vem do principio de que o usuário não precisa comprar
determinada quantidade de horas ou volume de dados armazenados, se usuário precisar ele
pode diminuir ou aumentar em qual momento. De acordo com Chirigati (2009), uma
conseqüência muito importante do modelo pay-per-use é a redução dos riscos de
subutilização e de saturação [ARMBRUST et al. 2009]. A subutilização está relacionada ao
fato de usar uma quantidade menor de recursos do que a que foi reservada a priori. Isso acaba
gerando recursos que não são consumidos e que, portanto, ficam ociosos. A saturação ocorre
quando há um excesso de utilização sobre os recursos reservados, o que pode gerar serviços
mais lentos e baixas qualidades de serviço, prejudicando os usuários. Como no modelo payper-use o usuário paga somente por aquilo que consome, reservando, portanto, somente o
necessário, essas questões são evitadas.
Já o software livre ele é considerado de caráter muito importante. Hoje em dia
softwares desde tipo são muito procurados por serem totalmente acessíveis a qualquer
usuário, assim a tendência é de facilitar as aplicações utilizadas na nuvem.
2.5.3. As Vantagens e Desvantagens da Computação na Nuvem
Pelo o que já foi explanado podemos considerar vantagens que a computação na
nuvem possui são:
28

Economia do Usuário

Fácil acessibilidade

Disponibilidade

Dados não estarão armazenados em hardware do usuário (STEFFEN, 2011)
O usuário terá custos baixos em manutenção de software e hardware, proporcionando
assim grande economia, os recursos serão sempre aperfeiçoados e o usuário fica livre para
obter somente o que precisa. As informações estarão disponíveis ao usuário a qualquer
momento, em qualquer dispositivo que possua internet em qualquer lugar. Pois, os recursos e
dados estarão disponíveis na internet, assim diminuindo o uso da parte física do computador
por que os dados estarão localizados nos computadores dos provedores que disponibilizam os
recursos da computação na nuvem.
Em meio de tantas vantagens podemos encontrar algumas desvantagens como:

Velocidade na Conexão: Para um bom acesso, é preciso que o usuário possua uma boa
conexão de internet. Conexão esta que levando para o Brasil, é um dos países que não
possuem uma boa conexão. Segundo o relatório da Nielsen divulgado recentemente no
mês de fevereiro de 2011, “quase metade dos usuários brasileiros (48%) usa a internet
com uma conexão considerada de velocidade média (512 Kbps a 2 Mbps). Além
disso, cerca de 31% dos internautas brasileiros navega a uma velocidade lenta, de até
512 Kbps. Já as conexões super-rápidas, em nosso país, correspondem a apenas 6% da
população conectada.”

Segurança e Confiabilidade: Os usuários ainda não possuem total confiabilidade e
segurança para esta tecnologia.
2.5.4. Nuvem Pública X Nuvem Privada
Os dois modelos de implantações que são oferecidos pela computação na nuvem vão
depender das necessidades que o usuário possuirá. Um desses modelos é a nuvem pública,
que são aquelas que são executadas por terceiros e que suas aplicações poderão ser utilizadas
por diversos usuários que estejam conectados a ela. A nuvem publica é totalmente hospedada
e gerenciada pelo provedor, esse tipo de nuvem concede seus serviços por preços mais
acessíveis, assim os provedores passam a relutar quando se fala em fornecer recursos que
sejam densos que recursos de segurança visivelmente aceitos. A nuvem publica se torna aos
29
olhos dos usuários uma nuvem imprevisível, pelos os custos baixos não há investimentos e
uma preocupação mais elevada pra seu desempenho, alem de que a maioria dos provedores
não revela suas praticas de seguranças que em conseqüência seus usuários não terão como
observar se esta havendo melhoria na segurança a medida das utilizações dos recursos. Enfim,
a nuvem publica se torna uma alternativa não muito usada, principalmente para empresas de
grande porte e por usuários que possuem dados e softwares que necessitam de grande sigilo,
por questão da segurança que os provedores não possuem, mesmo assim ela é a implantação
da computação em nuvem mais utilizada por ser mais acessível a todos (BURNS, 2011).
Já a nuvem privada proporciona de imediato o que a nuvem publica até hoje não
possui de melhor, a segurança. A nuvem pública tem como uns de seus benefícios restringir a
entrada de seus usuários, já que uma nuvem publica é utilizada por uma determinada empresa
e é restringida a demanda e a vontade do que ela usara nos recursos disponibilizados por esse
tipo de nuvem. A nuvem privada proporciona controle no nível de segurança e aderência as
regras de segurança, podendo assim o usuário que implantar esse tipo de nuvem estar ciente
do que a nuvem pode lhe resguardar. A nuvem privada proporciona a virtualização da
infraestrutura de uma empresa proporcionam até mais segurança do que quando os dados
eram tratados nos computadores de seus usuários. A nuvem privada deve proporcionar uma
reestrutura rápida e ágil para o usuário, permitindo que o usuário possa também cobrar dos
servidores.
Assim esse tipo de implantação se torna uma das melhores e maiores alternativas para
as empresas pois por ela ter uma atenção bem maior que a nuvem publica em sua execução de
seus serviços, ela proporciona que estas empresas possam ter uma melhor visibilidade dos
seus dados, mantendo atualizados seus recursos, e mesmo com que a nuvem privada seja
considerada mais cara que a nuvem publica, mesmo assim sai mais viável para as empresas
pois os gastos e atenção que elas continuariam tendo em questão de estruturas e atualizações
de softwares diminuíram, passando a responsabilidade para seus provedores (BITTMAN,
2011).
2.5.5. O Recurso “IaaS” – Infrastructure as a Service (Infraestrutura como um Serviço)
A computação na nuvem possui várias categorias de serviços, uma dessas categorias é
denominada com IaaS que em português significa dizer infraestrutura como um serviço, essa
categoria se faz relevante pois ela é responsável pelo fornecimento de uma infraestrutura
computacional totalmente virtual sendo capaz de armazenar, processar e alem de fornecer
30
serviços de rede. Ou seja, é nesse recurso que o armazenamento de dados fica disponível aos
seus usuários, pois o usuário deixará de armazenar seus dados em dispositivos de
armazenamentos em seus computadores para armazenar em um espaço disponível pelo seu
servidor na nuvem ficando disponível sempre para seu uso. Segundo Chaganti (2010), as
nuvens IaaS são ambientes totalmente para scripts4; elas são emprestadas para eles mesmos
para se criar com facilidade estruturas sob demanda.
Assim, este serviço proporcionará uma maior segurança aos dados por vários fatores,
por este recurso ter uma grande flexibilidade do espaço utilizado fica a critério do usuário o
aumento ou a diminuição do seu espaço dependendo do que ele precisa utilizar no dia a dia.
Os usuários não precisaram se preocupar em seus dados possam se perder ou extraviar em seu
computador, pois esses dados estarão arquivados nos servidores dos fornecedores desses
recursos, assim ficando totalmente com a responsabilidade os fornecedores, afinal os dados
estarão expostos na nuvem.
O gerenciamento desses recursos será totalmente feito pela internet, não haverá tanta
preocupação de despesas com hardwares, por tanto reduzirá os custos ao usuário, e a mesmo
tempo a nuvem Já que atualmente principalmente as empresas vêm encontrando cada vez
mais dificuldades de manterem suas estruturas de gerenciamento de negocio por causa de seus
componentes que conseguem ficar obsoletos rapidamente, podendo dizer que levando em
consideração as empresas à utilização desse tipo de serviço poderá trazer um diferencial
competitivo também (SCHMELKIN, 2011).
Segundo o Instituto de pesquisa Gartner, em suas pesquisas recentes apresentou em
relatório que a tendência de filiação no armazenamento em nuvem que neste ano movimenta
267,4 milhões de dólares aumentará para 1,45 bilhões de dólares. A pesquisa também mostra
que em levantamento feito em provedores desse recurso a receita cresceu 56% do ano de 2010
para 2011, com esses números podemos perceber que a procura pelo armazenamento de dados
em nuvem vem crescendo cada vez mais e muito rápido, exigindo assim observação maior
(MEARIAN, 2011).
___________________
4
Em informática, o termo script é utilizado para designar uma seqüência de comando e tarefas a serem
executadas. Fonte: http://www.tecmundo.com.br/1185-o-que-e-script-.htm#ixzz1LLkAlx7a
31
2.6. CS2: A criptografia Searchable, sistema de armazenamento em nuvem
Criptografar é a ação de transformar em código os dados em informações sem sentido,
ou mais preciso em formas matemáticas que outras pessoas não consigam ter acesso a esses
dados. É nessa proposta que surgiu o CS2, um sistema de criptografia voltada para
computação na nuvem que propõem a confidencialidade, integridade e verificabilidade dos
dados que são armazenados na nuvem de forma que não diminua a performance do recurso,
propondo que o cliente passe a também trabalhar no gerenciamento da seguridade de seus
dados, não deixando apenas esse trabalho para os seus fornecedores ou provedores. Com esse
sistema o usuário passa a ter uma segunda barreira de segurança se protegendo do seu
fornecedor, ou seja, além da seguridade que o fornecedor do armazenamento na nuvem
proporciona no serviço para que terceiros não tenha acesso a esses dados e possa causar
danos, o cliente terá a garantia de que o provedor não irá modificar, adicionar, remover e nem
recuperar informações sobre os dados confidenciais.
Este sistema fornece operações que servem para tratar os dados antes de enviar ou
receber do provedor do serviço de armazenamento na nuvem, além de apresentar uma
interface de busca para a localização desses dados. Primeiramente ele gera um chaveamento
confidencial para o cliente, em seguida ele modifica os dados de tal forma que somente o
usuário possa encontrá-lo novamente na nuvem, ou seja, ele modifica rotulando com palavraschave particulares que só o usuário esteja ciente. Alem de que, ele informa se o provedor
adulterou os dados, recupera dados perdidos pelo usuário nesse sistema.
Assim, o sistema de criptografia chamado de CS2, se torna uma opção para quem
deseja e possui dados que são totalmente confidenciais tendo assim uma segunda proteção de
seus dados, protegendo até de possíveis ameaças que o provedor também poderá ter. Esse
sistema se torna um fator mais seguro para os usuários, pois os próprios administrarão esse
sistema com sua única chave e senha (PAPAMANTHOU, 2011).
2.7. Snapshot, Firewall e Framework: Recursos relevantes na segurança da computação
na nuvem
O recurso de Snapshot propõe a criação de pontos no servidor que possibilita ao
usuário restaurar arquivos que se encontra danificados, ou seja, o usuário antes de adicionar
um novo arquivo na nuvem e possui algum receio com a aplicação ou pretende executar uma
atualização critica, ele aciona esse recurso que faz uma copia de segurança, possibilitando que
32
se futuramente o usuário possuir problemas com este arquivo ele possa recuperar do grau em
que ele acionou este recurso (VOGT, 2006).
Conforme a figura 5 a seguir, o snapshot funciona a partir da criação de imagens que
são arquivadas no local do banco de origem e os dados reais vão para um depositório
exteriormente criando outro tipo de banco de dados, este tipo de recurso não é inovação da
computação na nuvem, o snapshot pode ser encontrado para diferentes tipos de banco de
dados, apenas foi efetuada a migração dele pois as empresas que possuem este tipo de recurso
acreditam na sua relevância.
Figura 5 – Operação de copy-on-write no snapshot. Fonte: http://www.devmedia.com.br/post-3252Database-Snapshots.html
Outro recurso que também pode garantir seguridade aos seus usuários na utilização do
recurso de armazenamento de dados na computação na nuvem é o firewall, que por sua vez é
designado à criação de um limite de proteção. Este recurso propõe exclusivamente a
permissão de transmissão e recepção de dados que estejam autorizados e que não possa
promover nenhum risco a integridade do usuário. Assim, o firewall se faz relevante porque
cria mais uma barreira para que seus dados não sejam acessados por ninguém que não esteja
33
autorizado, assim não danificando e também que as informações dos dados não caiam em
mãos indevidas (LOPES, 1997).
O Framework é considerado como uma coleção de componentes pré-definidos que
sendo utilizados unidos podem solucionar um problema, ou seja, essa arquitetura propõem ao
desenvolvedor uma cadeia de implementações que auxiliam no desenvolvimento, facilitando a
detecção de erros, promovendo uma resolução maior nos problemas para a obtenção de uma
solução. Este tipo de solução deve ser reusável, extensível, seguro, eficiente e completo para
poder promover a solução dos problemas encontrados em decorrer do uso.
Então, com a utilização desses três recursos podemos dizer que o usuário poderá ter
uma maior segurança, tendo em vista que um guardará as informações e o outro protegerá de
possíveis ameaças que apareçam. Estes recursos já existem no mercado há muito tempo, mas
conseguiram se adaptar a computação na nuvem promovendo mais possibilidades de
utilização.
2.8. SOA (Arquitetura orientada em Serviços) e a computação na nuvem
A sigla SOA que significa dizer arquitetura orientada em serviços, é um termo
corresponde a uma metodologia voltada ao desenvolvimento de criação e uso de serviços de
negócio permitindo que diferentes aplicações sejam utilizadas independentemente dos
sistemas operacionais que estão anexadas. Assim, o serviço se torna a peça central a ser
trabalhada no SOA com o propósito de integrar por todos os processos de negócios, podendo
interferir na tomada de decisão.
Levando em consideração que a estrutura dos serviços que a computação na nuvem
promove é baseada em tecnologias já existentes, o objetivo da SOA e da computação na
nuvem torna-se um só, quando se fala em utilização de serviços independentes em
plataformas computacionais. Visto que a computação na nuvem oferece serviços
independentes para seus usuários, vai de encontro com a proposta que a SOA oferece. Sendo
assim a computação em nuvem se torna uma evolução da SOA levando em consideração que
a mesma não é uma tecnologia e sim uma metodologia (PONTES, 2010).
2.9. DLP (Data loss prevention) – Prevenção de perda de dados
O termo DLP propõe impedir que os dados sejam perdidos desde quando pode ocorrer
o risco detectando a ameaça ou que eles podem estar sendo utilizados indevidamente. Essa
34
metodologia refere sistemas e ferramentas que podem identificar, monitorar e proteger esses
dados prevenindo assim seu vazamento. As abordagens da DLP lidam com os dados em três
estágios que são eles:

Dados em Movimento: Nesse estágio o dado encontra-se em transito na rede, ou seja,
a idéia de um tipo de DLP nesse estágio é de extrema importância, pois se colocara um
tipo solução em formato de software ou de hardware logo nos pontos de saída para que
seja feito uma analise para constatar de os dados estão sendo enviados aos seus
destinos corretamente dentro das normas de seguranças.

Dados Armazenados: Nesse sistema de DLP é tratado o dado em seu local de
armazenamento, por exemplo, aplicasse o tipo de DLP em banco de dados para que
sejam analisados se os dados encontram-se sensíveis ou não estruturados.

Dados em Uso: Já nesse caso, é proposta uma solução de DLP no dispositivo do
usuário para que ele possa monitorar as movimentações dos dados em todos os lugares
que esses dados possam entrar ou sair (COX, 2011).
35
3. ANALISE DO ESTUDO - UMA MAIOR SEGURANÇA NA COMPUTAÇÃO NA
NUVEM PARA SEUS USUÁRIOS
Não resta duvida em que a computação na nuvem é uma tecnologia disponível no
mercado, que veio com o intuito de melhorar e agilizar as atividades do cotidiano dos
usuários. Por fim, com base no estudo apresentado, esta pesquisa chegasse ao resultado de que
a segurança na computação na nuvem ainda não se apresenta como uma das maiores
vantagens competitivas. Tendo em vista que o histórico da nuvem por ser um meio
globalizado e de fácil acesso, passa a percepção de que os arquivos que os usuários
disponibilizam e utilizam na internet, estará livre para qualquer pessoa obter, modificar,
apagar, entre outras coisas. Criando assim um conceito negativo da utilização da nuvem
espelhando para a tecnologia, que não é tão recente, mas mesmo assim já está sendo muito
utilizada. Por esse conceito formado faz com que esta tecnologia possa não ser tão procurada
por empresas ou por pessoas que tenha a necessidade de que com sua utilização tenham
bastante sigilo por causa da segurança que a computação na nuvem passa hoje. Vale salientar
que, a criação da computação na nuvem foi baseada em cima de várias tecnologias que já
existiam no mercado, ou seja, a computação na nuvem se torna uma tecnologia que veio com
o intuito de melhorar a computação tradicional para os usuários. Então, se a computação
tradicional não possui até hoje uma técnica, norma, pratica, programa ou outro tipo de forma
de segurança que garanta os dados totalmente seguros, na computação na nuvem também não
existirá.
Neste trabalho é apresentado que podem existir maneiras que proteja em alguns
momentos ou em alguns fatores os dados na computação na nuvem, e com a utilização desses
conceitos já existentes, a seguridade deve ser tratada de maneira continua, dia após dia, sem
em nenhum momento ou circunstância ela possa ser colocada em segundo plano, sempre
sendo pesquisado e atualizado, pois já que a tecnologia é o maior meio de comunicação que
nunca para de evoluir, não é só seus benefícios que evoluem, os malefícios também. Então
são constatados de que a segurança deve ser uma ferramenta também, que deve está sempre
em constante atualização.
A princípio deve ser pesquisado qual o recurso da computação na nuvem deve ser
utilizado dependendo de quais serão suas necessidades, a implantação de uma computação na
nuvem não deve ser feita de um dia para o outro e sim deve ser de extrema cautela. Com os
modelos de implantações existentes na tecnologia da computação na nuvem, os dois que
36
podemos citar são a nuvem publica e a privada. Tendo em vista na pesquisa de que a nuvem
privada por possuir uma maior concentração de ferramentas por ser mais especifica e ser
totalmente voltada a um determinado usuário com suas necessidades, ela se torna mais
propicia por possuir uma maior segurança que a nuvem publica.
Com a preferência em uma nuvem que comporte uma maior segurança, são
constatados os instrumentos técnicos que podem ser utilizados auxiliando na utilização desses
recursos disponíveis na nuvem. A criptografia é um desses instrumentos que contribui, pois
com esta técnica de envio e recebimento dos dados de forma diferenciada aumenta a
seguridade em que estes recursos chegaram aos seus destinos de forma em que no caminho
entre esse andamento não ocorra danificações. A CS2 é um sistema criado recentemente para
favorecer o armazenamento de dados na nuvem, esse tipo de criptografia ainda não tão
conhecida pode ser uma ferramenta que faça um diferencial na nuvem. Os Snapshot, Firewall
e Framework são ferramentas já existentes no mercado antes até da própria computação na
nuvem, por serem de extrema importância e por já terem um histórico em outros tipos de
tecnologias de que são ferramentas que conseguem combater as ameaças elas foram
redefinidas para a computação na nuvem, são ferramentas de fácil acesso e a maioria da
nuvens já implantaram essas ferramentas, que também podem beneficiar os usuários tanto no
envio e recebimento de dados, como na utilização da própria nuvem. Essas são alguns dos
instrumentos técnicos que podem ser utilizados auxiliando e diminuindo o risco de uma
possível ameaça.
Alem desses instrumentos técnicos, que são alguns de vários outros instrumentos que a
própria nuvem disponibiliza o usuário não deve se preocupar em procurar individualmente
estes instrumentos e sim observar se os que estão sendo utilizados pelo provedor da nuvem
são sigilosos e seguros para sua navegação. Podemos encontrar também na pesquisa
instrumentos de caráter gerencial, que devem ser realizados pelos usuários que ao adquirir um
tipo de nuvem ou simplesmente um recurso de alguma nuvem alem de aumentar a seguridade,
também poderão se proteger do próprio provedor da nuvem.
A norma 17799 e a série de normas 27000 da ISO IEC traz consigo um conjunto de
regras e termos que disponibiliza uma maior ação voltada para as empresas, mas as regras
ditas nestas normas também podem ser utilizadas por usuários individuais. Para inserir os
requisitos de segurança estabelecidos pelas normas é necessário que o usuário realize em
primeiro momento uma analise dos riscos que podem existir de imediato, que possam
37
ameaçar os dados na nuvem, assim que elaborado essa analise, o usuário terá acesso as
informações de quanto em estimativa ele poderá sofrer se algo acontecer com seus dados. É
de extrema importância que o usuário observe se o provedor da nuvem que ele pretende
inserir está dentro das regulamentações, estando assim ciente dos seus direitos e deveres no
decorrer da usabilidade dos recursos. Estas normas ajudam ao usuário observar e gerenciar
tanto o provedor que disponibiliza a nuvem, quanto quem ira utilizar-se dos recursos da
nuvem, mesmo ele sendo um usuário ou uma empresa. Para a empresa, as normas ainda
disponibilizam termos e técnicas de como se deve reagir em todas as etapas que contribuem
para o transporte dos dados, ou seja, ela mostra requisitos desde no espaço físico, onde esta
sendo trabalhado os dados, ate quando já ocorreu algum tipo de danificação, retratando como
deve-se agir nesses determinados casos. Alem dessas utilidades, a série da ISO IEC 27000,
que demonstra praticas para que o usuário possa realizar uma melhor implementação até a
correção de desastres que as ameaças tenham efetuado, possibilitando que o usuário construa
um caminho a ser adotado em que proporcione um melhoramento continuo na proteção dos
dados. Assim como as normas da ISO lança requisitos de segurança, podemos também
perceber que a DLP se torna uma junção entre instrumentos técnicos e gerenciais existentes
no mercado sendo soluções que ajudem a monitorar os dados protegendo da eventual perda
dos mesmos.
Então, podemos perceber que não só na computação na nuvem mais em qualquer outra
tecnologia que possa ser utilizada pelo usuário para especificamente armazenamento de dados
apresentará algum tipo de risco aleatoriamente. Até hoje não é possível afirmar que existe
uma tecnologia que é totalmente segura deixando que o usuário não precise em nenhum
momento se preocupar com a seguridade dos seus dados. A computação na nuvem pode ser
vista como uma tecnologia que não passe a mesma credibilidade que as demais em
armazenamento, pois, os usuários ao se referir à computação na nuvem por ser globalizada e
estar vinculada totalmente a internet, passam a apresentar um pouco mais de receio em sua
utilização do que as demais, mas como a tecnologia nessa área é constituída como constante
evolução, não se pode afirmar que com os critérios de segurança apresentado nessa pesquisa
ao usuário ele estará protegido totalmente de qualquer ameaça que possa aparecer no seu
cotidiano. Assim essa pesquisa chegasse à conclusão que os critérios apresentados são de
extrema importância e pode ajudar a diminuir a probabilidade de perdas ou modificações de
dados, mas mesmo com esse resultado essa tecnologia vem conquistando seu espaço e a sua
38
tendência é que cada vez mais ela será implantada em empresas e por usuários, sendo assim
essa tecnologia deve está em constante pesquisa.
39
4. CONSIDERAÇÕES FINAIS
Este trabalho chegou ao fim com o objetivo de mostrar o quanto a segurança da
informação é um requisito de extrema importância para os usuários em qualquer situação. Nos
dias de hoje o mundo gira em torno da internet, é mostrada à computação na nuvem, uma
tecnologia que já se encontra disponível no mercado a qualquer usuário. Foi mostrado o que
esta tecnologia traz como diferencial das demais a partir do seu conceito, suas características,
seus elementos, suas vantagens e desvantagens, deixando perceber o motivo em que tantos
usuários estão migrando para essa tecnologia, por proporcionar um diferencial competitivo,
diminuição nos custos e no tempo, trazendo assim conforto e facilidade aos usuários.
Além dos benefícios, este trabalho expos as ameaças que o usuário sofre e pode sofrer
no decorrer do cotidiano, sabendo assim que o usuário deverá está sempre consciente que
existirá ameaças prontas para colocar em riscos principalmente os dados que são armazenados
na nuvem, sendo assim considerado o problema existente que ainda impede o usuário utilizar
o recurso de armazenamento de dados. Deixando claro que a maior ameaça ao usuário é de
caráter voluntário que vem em decorrer de hackers, entre outros.
Foi também mostrado o recurso IaaS, um recurso de extrema importância na
computação na nuvem que em uma das suas características disponibiliza aos usuários o
armazenamento dos dados na nuvem.
A partir deste recurso é tratado de critérios de
segurança que ajudem a proteger os dados de possíveis ameaças como as normas da ISO IEC
17799 e a série 27000 que mostra ao usuário técnicas para obter uma maior segurança nas
etapas da SI. A CS2, um tipo de criptografia recente no mercado que ajuda o usuário se
proteger não só de ameaças externas mais também se proteger de possíveis danos que o
próprio provedor do recurso possa passar. Como também é mostrado o snapshot um recurso
que permite ao usuário realizar um tipo de um banco de dados de segundo plano, já o firewall
proporciona a criação de uma barreira que possa bloquear a entrada de elementos suspeitos e
por fim a existência de um framework que é nada mais do que uma coleção de componentes
que juntos ajudem a encontrarem problemas. Esses três últimos recursos existem desde a
computação tradicional e foi implantado para a computação na nuvem. O SOA é uma
metodologia que a partir dos estudos sobre a computação na nuvem é visto que esse termo se
torna uma evolução dessa tecnologia. E por fim é mostrado a DLP um termo que traz
abordagens para o tratamento de dados em diferentes situações em que se encontre em
movimento, armazenamento ou em uso.
40
Assim, a adoção de critérios de segurança se torna assim uma jornada e não um
implementação fixa e única, irá sempre depender de o que o usuário precisará, de quanto
dados são importantes e o quanto o usuário está disposto a pagar por esses recursos. Os
critérios de segurança a serem utilizados ainda estão migrando de maneira melhorada da
computação tradicional para a computação na nuvem. Assim, a todos que se utilizam ou
pretendem utilizar o recurso de armazenamento de dados na computação na nuvem, ela
propõem varias vantagens que a computação tradicional nunca proporcionou, já que no
mundo em que vivemos, cada vez mais está em constante mudança e evolução e para
acompanhar independentemente em que situação seja deve-se absorver e adaptar-se as
mudanças.
4.1. Trabalhos Futuros
Assim, este trabalho apresentou soluções temporárias, ou seja, que estão sempre em
constante evolução e que podem ser mais exploradas futuramente ou serem criados e lançados
no mercado outros critérios de segurança ao decorrer do tempo, como sugestões para
trabalhos futuros.
41
REFERÊNCIA BIBLIOGRÁFICA
AULETE,
iDicionário.
Dicionário
na
web.
Disponível
em:
<http://aulete.uol.com.br/site.php?mdl=aulete_digital>. Acesso em: 09 abr. 2011.
BELLO,
José
Luiz
de
Paiva.
Metodologia
Cientifica,
2004.
Disponível
em:
<http://www.pedagogiaemfoco.pro.br/met06.htm>. Acesso em: 01 jun. 2011.
BITTMAN, Thomas J.. Tire duvidas sobre computação em nuvem privada, 2011.
Disponível
em:
<http://info.abril.com.br/noticias/corporate/gartner/tire-duvidas-sobre-
computacao-em-nuvem-privada-10012011-21.shl>. Acesso em: 26 out. 2011
BURNS, Christine. Segurança é a barreira para crescimento da nuvem publica, 2011.
Disponível em: < http://www.knowtec.com/blog/seguranca-e-barreira-para-crescimento-danuvem-publica>. Acesso em: 26 out. 2011.
CHAGANTI, Prabhakar. Serviços em nuvem para sua infraestrutura virtual, Parte 1:
Infrastructure-as-a-Service
(IaaS)
e
Eucalyptus,
2010.
Disponível
em:
<http://www.ibm.com/developerworks/br/library/os-cloud-virtual1/>. Acesso em: 17 abr.
2011.
CHIRIGATI, Fernando Seabre. Computação nas Nuvens, 2007. Disponível em:
<http://www.gta.ufrj.br/ensino/eel879/trabalhos_v1_2009_2/seabra/index.html>. Acesso em:
17 abr. 2011.
COX, Preston A.. Crie um ambiente na nuvem remota mais seguro, 2011. Disponível em:
<http://www.ibm.com/developerworks/br/cloud/library/cl-mobilecloudsecurity/index.html>.
Acesso em: 03 nov. 2011.
CUNHA, Meire Jane Marcelo. Proposta de documentação para subsidiar as atividades de
implantação
da
Segurança
da
Informação,
2005.
Disponível
em:
<http://www.acso.uneb.br/marcosimoes/TrabalhosOrientados/CUNHA2005.pdf>. Acesso em:
24 abr. 2011.
42
ELMASRI, Ramez; NAVATHE, Shamkant B. Sistemas de Banco de Dados, 2005.
Disponível em: <http://amigosdospi.ucoz.com/_ld/0/89_Sistema_de_banc.pdf>. Acesso em:
09 abr. 2011.
LOPES, Raquel. Firewalls, 1997. Disponível em: <http://www.rnp.br/newsgen/9708/n31.html> Acesso em: 19 out. 2011.
MENDES, Antonio. Segurança da Informação: Sobre a Necessidade de Proteção de
Sistemas
de
Informações,
2004.
Disponível
em:
<http://www.espacoacademico.com.br/042/42amsf.htm>. Acesso em: 10 abr. 2011.
MEARIAN, Lucas. Armazenamento na nuvem vai movimentar US$ 1,45 bi em 2015,
2011.
Disponível
em:
<http://computerworld.uol.com.br/tecnologia/2011/10/04/armazenamento-na-nuvem-vaimovimentar-us-1-45-bilhao-em-2015/>. Acesso em: 18 out. 2011.
MONTEIRO, Luís. A internet como meio de comunicação possibilidades e limitações,
2001. Disponível em: <http://galaxy.intercom.org.br:8180/dspace/handle/1904/4714>. Acesso
em: 01 jun. 2011.
ORGANIZAÇÃO INTERNACIONAL PARA PADRONIZAÇÃO. ISO IEC 17799:
Segurança da Informação. Brasil, 2007.
PESSOA, Gerisval Alves. Fundamentos de Confiabilidade, 2009. Disponível em:
<http://pt.scribd.com/doc/9249111/Fundamentos-de-Confiabilidade>. Acesso em: 10 abr.
2011.
SCHMELKIN, Carrie. What is infrastructure as a Service?, 2011. Disponível em:
<http://it.tmcnet.com/channels/infrastructure-as-a-service/articles/172694-what-infrastructureas-service.htm>. Acesso em: 15 out. 2011
SETZER, Valdemar W. Dado, informação, conhecimento e competência, 1999. Disponível
em: <http://www.dgz.org.br/dez99/Art_01.htm>. Acesso em: 09 abr. 2011.
43
PAPAMANTHOU, Charalampos. CS2: A searchable cryptographic cloud storage system,
2011. Disponível em: <http://research.microsoft.com/pubs/148632/cs2.pdf>. Acesso em: 19
out. 2011.
PONTES,
Vinicius.
SOA
e
computação
em
nuvem,
2010.
Disponível
em:
<http://www.winbrasil.com.br/sem-categoria/soa-e-computacao-em-nuvem/>. Acesso em: 20
out. 2011.
RODRIGUES, Ayrton. Segurança da Informação: ISO 27001 e ISO 27000, 2010.
Disponível
em:
<
http://qualidadeonline.wordpress.com/2010/01/14/seguranca-da-
informacao-iso-27001-e-iso-20000/>. Acesso em: 20 nov. 2011.
STEFFEN, Leandro. Cloud Computing – Vantagens, desvantagens e o futuro dessa tendência,
2011.
Disponível
em:
<http://teclealgo.wordpress.com/2011/04/01/cloud-computing-
vantagens-desvantagens-e-o-futuro-dessa-tendencia/>. Acesso em: 16 out. 2011.
VERGARA, Sylvia Constant. Projetos e Relatórios de Pesquisa em Administração. 4 ed.
São Paulo: Atlas, 2003.
VOGT,
Jeronimo
Jardel.
Database
Snapshots,
2006.
Disponível
em:
<http://www.devmedia.com.br/post-3252-Database-Snapshots.html> Acesso em: 19 out.
2011.