Segurana em Cloud Computing: Governana e Gerenciamento de Riscos de Segurana

Rita de C. C. de Castro1 e Vernica L. Pimentel de Sousa2 Universidade Estadual do Cear (UECE) - Centro de Cincia e Tecnologia (CCT) Mestrado Profissional em Computao UECE/IFCE (MPCOMP) 2 Instituto Federal de Educao, Cincia e Tecnologia do Cear (IFCE) {rcacordeiro, veronica.pimentel }@gmail.com

Resumo
Um dos grandes atrativos da Computao em Nuvem sem dvida a promessa de reduo dos custos com TI, alm de se delinear como sendo a oportunidade para que as empresas possam agilizar processos e aumentar a inovao tecnolgica. Pesquisas apontam que o uso do modelo ir crescer at representar 60% de mercado. O interesse em aderir a tal modelo tambm cresce de maneira exponencial, devido proposta de integrao de servios e uso racional dos recursos de TI pelas organizaes, o que concretiza o sonho de consumo dos gestores de TI. No entanto, questes de segurana e gesto de riscos com o uso disseminado do modelo tm sido abordadas constantemente por especialistas em segurana da informao. A adeso a tais servios obrigar s equipes de segurana de TI das companhias a estabelecer maiores controles para os servios baseados na Nuvem. Este artigo contribui com a definio de requisitos para a gesto de riscos de segurana da informao na adoo dos servios da Nuvem. 2. Computao em Nuvem, um Paradigma em Ascenso Embora o paradigma da Computao em Nuvem esteja fundamentado na utilizao de ferramentas fortemente difundidas em Tecnologia da Informao e Comunicao (TIC), (Next Generation, 2009) ele tem como principal caracterstica a transformao dos modos tradicionais de como empresas utilizam e adquirem os recursos de TIC. Na adoo do modelo de Computao em Nuvem os processos de negcios e procedimentos precisam levar em conta a segurana e privacidade das informaes que ficaro na nuvem. A problemtica como adotar modelos de segurana em um paradigma totalmente novo para as prticas do mercado. Os questionamentos de como lidar com a segurana das informaes armazenadas na nuvem, nos leva busca de solues que visam padronizar a adoo dos servios da nuvem. A soluo mais adequada est vinculada definio de padres de governana de TI, que permitam as organizaes identificar e catalogar as informaes que sero armazenadas na nuvem. A adequao das polticas de segurana da informao auxiliar a definio de diretrizes para que o consumo dos servios da nuvem possua um nvel de segurana aceitvel. 2.1. Modelos de Servios na Computao em Nuvem Ambientes de computao em nuvem podem ser compostos por trs diferentes modelos de servios que definem um padro arquitetural para solues de computao em nuvem (Armbrust et al. 2009). Riscos e benefcios globais sero diferentemente tratados, dependendo do modelo de servio e tipo de implantao que atender as necessidades da empresa contratante. importante notar que, ao se considerar os diferentes tipos de servios e modelos de implantao, as empresas devem considerar os riscos que os acompanham. Software como Servio (Software as a Service - SaaS) Nesse modelo de servio o software executado em um servidor, no sendo necessrio instalar o sistema no computador do cliente, basta acess-lo por meio da internet. O modelo de servio de SaaS ainda tem uma srie de desafios a serem vencidos, dentre os quais podemos destacar os problemas regulatrios, a integrao com os recursos internos da organizao, a disponibilidade e mais especificamente a segurana das informaes.

1. Introduo A Computao em Nuvem (Cloud Computing) fruto da evoluo e da reunio dos fundamentos tcnicos de reas como virtualizao de servidores, Grid Computing (Computao em Grade), Software orientado a servios, gesto de grandes instalaes (Data Centers), dentre outras. Trata-se de um modelo eficiente para utilizar softwares, acessar, armazenar e processar dados por meio de diferentes dispositivos e tecnologias web. Na prtica, a Computao em Nuvem seria a transformao dos sistemas computacionais fsicos de hoje em uma base virtual. De forma mais ampla, o paradigma da Computao em Nuvem parte do princpio de que todos os recursos de infraestrutura de TI (hardware, software e gesto de dados e informao), at ento tratada como um ativo da empresa usuria, passam a ser acessados e administrados por estas atravs da internet (Nuvem) com o uso de um simples navegador da rede mundial de computadores, utilizando-se qualquer tipo de equipamento celulares inteligentes, notebooks, netbooks, desktops, etc. Fornecedores de tecnologia passam a prover a infraestrutura e os servios capacitados para atender a essa demanda. Nesse cenrio delineia-se uma srie de questes que ainda precisam ser respondidas, afim de que se possibilite a sua plena utilizao e adoo sem receios pelas empresas. 1

Infraestrutura como Servio (Infrastructure as a Service IaaS) Esse modelo de servio refere-se ao fornecimento de infraestrutura computacional (geralmente em ambientes virtualizados) como um servio. O servio IaaS possui algumas caractersticas bsicas como, fornece uma interface nica para administrao da infraestrutura; provisionamento dinmico de servios; Alta-disponibilidade; e Balanceamento de carga de maquinas virtuais; Plataforma como Servio (Platform as a Service - PaaS) Esse modelo de servio caracteriza-se pela entrega de uma plataforma para desenvolvimento, teste e disponibilizao de aplicativos web com a finalidade de facilitar a implantao de aplicaes sem os custos e complexidade de gerenciamento do hardware. Um fator inibidor de adoo que aplicaes desenvolvidas em uma PaaS normalmente fica presa ao fornecedor. preciso que futuros clientes estejam atentos a esse detalhe. 2.2. Modelos de Implantao para Computao em Nuvem A computao em nuvem oferece quatro modelos bsicos para sua implantao. A definio do modelo que melhor se adapte s particularidades de cada empresa, depende do processo de negcios, do tipo de informao e do nvel de viso desejado. Segundo o NIST (National Institute of Standards and Technology) (NIST, 2009), os modelos de implantao de computao em nuvem podem ser divididos em: privado, pblico, comunitrio e hbrido. As principais caractersticas desses modelos sero listadas a seguir. Nuvem Privada (Private Cloud) A implantao de uma nuvem privada permite que esta seja administrada pela prpria empresa ou por terceiros. Neste modelo de implantao so empregadas polticas de acesso aos servios. As tcnicas utilizadas para prover tais caractersticas podem ser em nvel de gerenciamento de redes, configuraes dos provedores de servios e a utilizao de tecnologias de autenticao e autorizao (NIST, 2009). Em comparao com outros modelos de implantao de nuvem, esse modelo o que prover um menor risco, em detrimento de sua natureza privada. E, embora traga algumas facilidades por estar no ambiente da empresa, esse modelo exige gerenciamento interno, o que diminui a economia de recursos. Alm disso, por estar diretamente atrelado aos processos corporativos, torna-se engessado em termos de automao de tarefas como atualizaes. Nuvem Pblica (Public Cloud) - Neste modelo de implantao a infraestrutura de nuvens disponibilizada para o pblico em geral ou para grupos de indstrias (NIST, 2009), sendo acessado por qualquer usurio que conhea a localizao do servio. Por isso no podem ser aplicadas restries de acesso quanto ao gerenciamento de redes, e menos ainda, aplicar tcnicas de autenticao e autorizao. O conceito de nuvens pblicas proporciona as organizaes mais economia de escala, uma vez que compartilha os recursos. Por outro lado, possui limites de customizao relacionados justamente segurana das informaes, SLAs 2

e polticas de acesso, uma vez que os dados podem ser armazenados em locais desconhecidos e no podem ser facilmente recupervel. Nuvem Comunitria (Community Cloud) - No modelo de implantao comunidade ocorre o compartilhamento por diversas empresas de uma nuvem, sendo esta suportada por uma comunidade especfica que partilha de interesses semelhantes, tais como a misso, os requisitos de segurana, poltica e consideraes sobre flexibilidade. Este tipo de modelo de implantao pode existir localmente ou remotamente e pode ser administrado por alguma empresa da comunidade ou por terceiros (NIST, 2009), semelhante ao modelo de Nuvem Privada em relao definio de polticas de acesso e a utilizao de tecnologias de autenticao e autorizao. Outro fator que merece destaque o fato dos dados poderem ser armazenados com os dados de outros concorrentes pertencente comunidade. Nuvem Hbrida (Hybrid Cloud) Este modelo caracterizase pela composio de dois ou mais modelos de implantao de nuvem (comunidade privada ou pblica) que permanecem como entidades nicas, sendo ligadas por uma tecnologia padronizada ou proprietria que permite a portabilidade de dados e de aplicaes (por exemplo, nuvem de ruptura para balanceamento de carga entre nuvens) (ISACA, 2009). A adoo do modelo exige uma minuciosa classificao e rotulagem dos dados, para garantir que os mesmos esto sendo atribudos ao tipo de nuvem correto. Um fator negativo do modelo o alto risco, uma vez que funde diferentes formas de implantao. 3. Segurana em Ambientes na Nuvem

Em um ambiente computacional tradicional, comum observarmos que os requisitos de segurana so ignorados em detrimento dos requisitos funcionais dos sistemas. Tal fato ocasiona o desenvolvimento de sistemas e ambientes extremamente vulnerveis aos ataques externos. Quando o assunto relaciona-se aos riscos associados Computao em Nuvem modelo de entrega de solues e sistemas hospedados em fornecedores terceiros - a conversa geralmente envereda por questes relacionadas privacidade e segurana das informaes residentes na nuvem. Apesar dessas preocupaes, o debate sobre os riscos na nuvem muitas vezes ignora a importncia de criar planos de contingncia e Acordo de Nveis de Servio (ANS) (em ingls SLA Service Level Agreement), voltados a garantir confiabilidade e a certeza de que os negcios no sofrero grandes baques no caso de um incidente. Os riscos referentes segurana e privacidade das informaes na Nuvem bem como a portabilidade dos dados delineia-se como sendo de alta criticidade. Alm disso, quando as informaes crticas das empresas esto nas mos de outras pessoas tambm pode refletir em menos garantia do cumprimento das leis. Na computao tradicional, ambientes in-house, os usurios tm total controle sobre seus dados, processos e seu computador (Kandukuri et. al., 2009). Em contrapartida, na Computao em Nuvem todos os servios e manuteno dos

dados so fornecidos por um provedor de nuvem. Neste contexto o cliente (usurio) desconhece quais processos esto em execuo ou onde os dados esto armazenados, essa abstrao de atividades se deve justamente ao dinamismo inerente da nuvem. Sendo assim o cliente no tem controle sobre todas as movimentaes de seus dados na nuvem. Ento como exigir garantias de que as informaes residentes na nuvem esto realmente seguras? Muitos dos riscos frequentemente associados com a Computao em Nuvem no so novos, e podem ser encontrados nas empresas de hoje (ISACA, 2009). A questo como adequar padres existentes na computao tradicional Computao em Nuvem? O fato que por no termos um histrico com o servio de Computao em Nuvem para se criar padres firmes ou trabalhar com fornecedores de nuvem diferenciados, torna-se difcil generalizar a partir dessa experincia. Segundo Paul Simmonds, do Jericho Forum "Ainda preciso trabalhar muito antes que a indstria entenda de onde vm os furos de segurana em computao em nuvem". Esses questionamentos impulsionam s equipes de TIC a quebrarem antigos paradigmas e a buscar cada vez mais adoo das melhores prticas em segurana, caso suas organizaes pretendam desfrutar dos benefcios da Computao em Nuvem. 4. Gerenciamento da Segurana da Informao na Nuvem

negcios, e ainda resguardar os princpios da segurana da informao.

Tabela 1 Princpios da Segurana da Informao em um modelo de Nuvem Publica.

Princpios da Segurana Integridade

Confidencialidade

Disponibilidade

Cenrio do Risco Invases por hackers aos ambientes da nuvem. Violao de leis de proteo de dados. Aplicaes de diversos usurios coabitam nos mesmos sistemas de armazenamento. Recuperao de dados gerenciados por terceiros.

Questes Quais so as garantias sobre a preservao da integridade dos dados?

Como realizada a segregao de dados? Como protegida a propriedade intelectual e segredos comerciais?

Ao analisar o cenrio atual para o gerenciamento de segurana da informao em ambientes de Computao em Nuvem, muitas literaturas apontam a necessidade e a importncia de se adotar um modelo de Governana da Segurana da Informao com a finalidade de mitigar os riscos inerentes dos modelos de prestao de servios na Nuvem. Considerando a multiplicidade de servios prestados pelos provedores de Computao em Nuvem, tais como, e-mails, desenvolvimento de aplicativos personalizados, armazenamento de dados e gesto de infraestrutra, podemos considerar que esses so concentraes macias de recursos e dados. A percepo de que a nuvem um aglomerado de informaes pode caracteriz-la como sendo um alvo propcio a ataques por potenciais invasores. Ameaas como esta podem afetar diretamente os pilares da segurana da informao: disponibilidade, confidencialidade e integridade, e consequentemente comprometer toda a nuvem. A garantia do cumprimento desses princpios relaciona-se diretamente com o modelo de implantao contratado pela empresa, por exemplo, o modelo de Nuvem Privada, que permite a restrio de acessos uma vez que se encontra atrs do Firewall da empresa, mantendo, dessa forma, controle do nvel de servio e aderncia s regras de segurana da empresa (Turion, 2009). Na Tabela 1, resume-se uma anlise do modelo de implantao de Nuvem Publica de acordo com princpios de segurana da informao, considerando questes que devem ser abordadas antes da adoo do modelo. Dessa forma uma metodologia de gesto de riscos, auxiliar na implantao de controles e adoo de medidas para a continuidade de 3

Autenticidade

Verificao da autenticidade das entidades comunicantes. Auditabilidade das aes executadas por usurios no sistema.

No-repdio

Como garantida a arquitetura de disponibilidade? A recuperao de informaes crticas, est sujeita a atrasos? Que recursos so utilizados na autenticao e controle de acesso dos usurios? Os usurios do modelo so capazes de negarem suas aes?

5.

Processo de Gerenciamento de Risco na Nuvem

No cenrio corporativo comum observar que as questes de segurana da informao no so tratadas em um nvel de gesto da organizao, tendo como consequncia a falta de recursos para minimizar os riscos existentes ao nvel exigido pela estratgia organizacional e definido pela anlise de risco. Esse comportamento corporativo agrava-se quando os riscos em questo esto relacionados contratao dos servios da Nuvem. O processo de Gesto de Risco na nuvem exigir modificaes significativas na forma como hoje as organizaes trabalham para mitigar os riscos, principalmente os relacionados segurana da informao. Toda a legislao vigente, especficas para gesto de riscos de segurana da informao, foi criada e desenvolvida antes do surgimento

dos modelos de servios proporcionados pela Computao em Nuvem. Segundo Miller, et. al. (2009), os principais objetivos do processo de Gesto de Risco na nuvem, incluem: O planejamento para proteo da informao baseados em ativos e em Planos de Mitigao de Riscos; Reforar a capacidade da organizao para selecionar e aplicar a proteo baseada no risco especfico e nas ameaas que afetam um determinado ativo; Assegurar que uma metodologia de gesto de risco de segurana da informao est sendo utilizada em toda organizao. A adoo de um modelo de servio de nuvem mal dimensionado pode representar srias ameaas de segurana da informao para as empresas. Principalmente para aquelas que buscam economizar em licenciamento de software e servios de infraestrutura. A inexistncia da adoo de um modelo de boas prticas em segurana da informao poder expor as empresas a um desastre de continuidade de negcios. Um modelo de Gesto de Risco bem delineado se torna crucial para garantir que a informao est ao mesmo tempo disponvel, protegida e segura. Os processos de negcios e procedimentos precisam levar em conta a segurana, e os gerentes de segurana da informao precisam ajustar suas polticas e procedimentos de segurana para atender s necessidades do negcio. Alguns exemplos de riscos de computao em nuvem para a empresa que precisam ser gerenciados incluem: A escolha de um provedor de nuvem caracteriza-se como sendo um ponto extremamente crtico no processo de adoo do modelo. As empresas precisam concentrar uma ateno especial nesse ponto. Quesitos como reputao, a histria e a sustentabilidade so fatores que devem ser levados em considerao. A sustentabilidade de especial importncia para garantir que os servios estaro disponveis e os dados podero ser rastreados. O fornecedor de nuvem muitas vezes assume a responsabilidade pela manipulao da informao, aspecto que deve ser tratado como crtico para o negcio. Qualquer dificuldade ou falha para se cumprir os SLAs acordados impactar no somente na confidencialidade, mas tambm na disponibilidade, afetando severamente as operaes do negcio. A natureza dinmica da computao em nuvem pode resultar em confuso a respeito de onde a informao realmente reside. Para negcios onde a recuperao da informao crtica, isso poder gerar atrasos. O acesso de terceiros s informaes sensveis cria um risco de comprometimento das informaes confidenciais. Na nuvem, isto pode representar uma ameaa significativa para a proteco da propriedade intelectual e de segredos comerciais. Os aspectos legais relacionados localizao fsica dos Data Centers, quando esses esto localizados em pases 4

com um sistema legal instvel, poder levar violao de leis de proteo de dados, afetando diretamente empresa. Dessa forma a conformidade com os regulamentos e leis em diferentes regies geogrficas podem ser um desafio para segurana dos dados das empresas. Atualmente h pouco precedente em matria de responsabilidade jurdica na nuvem. Devido natureza dinmica da nuvem, a informao no pode ser imediatamente localizada no caso de um desastre. Planos de Continuidade de Negcio e Recuperao de Desastres devem ser bem documentados e testados. Alm do risco de ocorrer uma interrupo na continuidade dos negcios, outro fator que deve ser considerado so as invases por hackers aos ambientes da nuvem, denominado por especialistas de CyberCloud. Diferentemente dos hackers comuns esses se apresentam como empresas sofisticadas e bem estabelecidas. Por trs de uma lgica empresarial bem definida, esconde-se uma organizao criminosa, que investe alto em pesquisas com a finalidade de ganhar dinheiro. Segregao de Dados. Segundo o Gartner Group (2009), preciso descobrir como se d a segregao dos dados pelo provedor e principalmente se este utiliza criptografia para os dados em trnsito e/ou armazenados. O fornecedor de nuvem precisa tambm fornecer evidncias de que os esquemas de criptografia utilizados foram projetados e testados por especialistas experientes. "Acidentes com criptografia pode fazer o dado inutilizvel e mesmo a criptografia normal pode comprometer a disponibilidade" (GARTNER, 2009). Recuperao. Mesmo que o cliente no saiba onde os dados esto, e o que vai acontecer com seus dados e servios em caso de catstrofe, o fornecedor de nuvem deve saber. Portanto importante questionar o provedor de nuvem se o mesmo tem "a capacidade de fazer uma restaurao completa e quanto tempo vai demorar" (GARTNER, 2009). Apoio investigao. Segundo GARTNER (2009), auditar atividades inadequadas ou ilegais pode ser impossvel em Computao em Nuvem. A dificuldade devida as constantes mutaes dos conjuntos de hosts e centros de dados. Se no for possvel conseguir um compromisso contratual de apoio a formas especficas de investigao, os pedidos de investigao e descoberta sero impossveis de se realizar.

5.1. Modelo para Gesto de Risco na Nuvem Um modelo de gesto de riscos para utilizao de servios da Nuvem para funes crticas do negcio deve incluir: 1) Identificao e a avaliao dos ativos; 2) Anlise de ameaas e vulnerabilidades e mensurao do impacto potencial nos ativos (risco e cenrios de incidente); 3) Anlise das probabilidades de ocorrncia de determinados eventos em um cenrio de implantao da nuvem;

4) Determinao dos nveis de gesto de risco aprovados, seus critrios de aceitao; 5) Desenvolvimento de Planos de Tratamentos de Riscos, com mltiplas opes (controle, evitar, transferir, aceitar). Os resultados do plano de tratamento de riscos devem ser parte integrante dos acordos de servio (SLA). A abordagem de avaliao de riscos entre o fornecedor e o cliente da Nuvem deve ser consistente, com foco nos critrios de anlise de impacto e definio de probabilidade. O cliente e o fornecedor devem desenvolver conjuntamente os cenrios de risco para os servios a serem contratados na Nuvem. Os servios, e no apenas o fornecedor, deve ser objeto de avaliao de risco. O uso de servios em nuvem, e os modelos de implantao a ser utilizado, devem ser coerentes com os objetivos de Gesto de Risco da organizao, bem como com seus objetivos de negcio. 5.2. Gesto de Risco A Tabela 2 resume os modelos dos servios oferecidos pela nuvem e seus riscos relativos. A classificao de risco pode ser modificada para atender as metodologias de avaliao de risco na organizao, por exemplo, a norma ABNT NBR ISO/IEC 27005, que trata do processo de Gesto de Riscos de Segurana da Informao. Cada modelo de servio em nuvem pode ser avaliado como um servio de ativos da informao, com classificao de risco nico e seleo de controles resultante da mitigao de risco (termos de contrato, contedo do SLA, compliance e ferramentas de monitoramento). A avaliao do risco relativo aumenta de acordo com a movimentao da nuvem. Se h uma movimentao de consumidores de IaaS para PaaS e, finalmente, para SaaS, os modelos de servio de construo de um sobre o outro, resulta em risco cumulativo, como o provedor da nuvem assume o controle mais direto, h, portanto, maior risco de segurana para o consumidor da nuvem.
Tabela 2 Riscos inerentes dos modelos de servios na nuvem. Fonte: http://boozallen.com/publications

Platform as a Service (PaaS)

Software as a Service (SaaS)

Neste modelo de servio o consumidor no administra ou controla os recursos de infraestrutura da nuvem subjacente, tais como componente de rede, servidores, sistemas operacionais, ou armazenamento. Porm o consumidor tem controle sobre os aplicativos utilizados na hospedagem de aplicativos e nas configuraes de ambientes. Neste modelo de servio o consumidor no administra ou controla a infraestrutura subjacente da nuvem. O que inclui componentes de rede, servidores, sistemas operacionais, armazenamento ou capacidade de aplicao individual. A possvel exceo relaciona-se a algumas configuraes especficas do usurio e de algumas configurao de aplicativos.

Alto

Muito Alto

Modelo de Servio Infrastructure as a Service (IaaS)

Caractersticas do Risco Neste modelo de servio o consumidor no administra ou controla a infraestrutura da nuvem subjacente, mas tem controle sobre os sistemas operacionais, armazenamento de aplicativos implantados, e os componentes de rede selecionados.

Risco Relativo Mdio

5.3. Requisitos para a Gesto de Risco na Nuvem As empresas, dependendo do seu ramo de negcio, possuem necessidades distintas e esto sob padres e regulamentaes especficas da natureza de seus negcios. Dessa forma apresentam abordagens diversas para tratar questes relacionadas gesto de riscos de segurana da informao. A norma ABNT NBR ISO/ IEC 27005 (2008) estabelece que dentre os principais papis e responsabilidades da organizao para gesto de riscos de segurana da informao est a identificao e anlise das partes interessadas e o estabelecimento das relaes necessrias entre a organizao e as partes interessadas, das interfaces com as funes de alto nvel de gesto de riscos da organizao (por exemplo: a gesto de riscos operacionais), assim como as interfaces com outros projetos ou atividades relevantes. Dessa forma, um conjunto principal de requisitos deve ser definido pela organizao para guiar os mais diversos esforos em se adotar, adequadamente, uma metodologia de anlise e gesto de riscos de segurana da informao, voltada para a contratao dos servios da Nuvem. Na busca por um modelo de gerenciamento de riscos de segurana da informao em ambientes de Computao em Nuvem, este trabalho prope os seguintes requisitos: 1. A organizao necessita de uma estrutura organizacional de segurana da informao, que deve ser tratada em todos os nveis gerenciais;

2. 3.

4.

5.

6.

7. 8. 9.

A adoo pela organizao das melhores prticas relacionadas segurana da informao, como a ABNT NBR ISO/IEC 27002; A organizao precisa definir/adotar uma metodologia de anlise e gesto de risco de segurana da informao, que seja cuidadosamente monitorada, principalmente referente ao processo de compliance e gesto de desempenho e que possa ser modificada conforme necessrio para reduzir o risco geral de segurana de informao ao longo do tempo; A metodologia de anlise de risco deve ser modificvel, devendo ser analisada durante o processo de controle de gesto para garantir uma gesto de participao e reviso consciente do risco e a aceitao de ambas as opes de tratamento do risco e conseqentemente o risco residual; As organizaes precisam desenvolver e adotar polticas e procedimentos baseados na anlise de risco para garantir a segurana das informaes na nuvem; Organizaes precisam estabelecer uma estrutura de gerenciamento de riscos da segurana da informao para definir, explicitamente, o que se espera de cada indivduo (papis e responsabilidades); preciso criar e executar um plano para remediar vulnerabilidades ou deficincias que comprometam os dados armazenados na Nuvem; As organizaes precisam desenvolver e colocar em prtica procedimentos de respostas a incidentes relacionados com os servios da Nuvem; Criao de um Plano de Continuidade e Contingncia de Negcio, que possa ser testado regularmente, objetivando a disponibilidade dos dados e servios da Nuvem em caso de interrupo.

para auxiliar os clientes na implementao dos seus requisitos de informao de Gesto de Risco. Atualmente entidades como o Open Cloud Manifesto, Computing Use Cases Group e o Cloud Security Alliance trabalham no desenvolvimento de padres de segurana para computao em nuvem, levando essas pesquisas para um grande nmero de reas, incluindo auditoria, aplicativos, criptografia, governana, segurana de rede, gerenciamento de risco, armazenamento e virtualizao. Segundo especialistas o primeiro passo identificar as diferenas entre a segurana local e a segurana na nuvem e examinar quais padres existentes combinam com as operaes em nuvem. No final, eles esperam chegar a padres que permitam que as empresas possam integrar, seguramente, servios de computao em nuvem de diferentes fornecedores e ter a garantia de que seus dados ficaro seguros na nuvem. 7.0 Referncias Bibliogrficas
NEXTGENERATION (Brasil). Intel (Org.). Dialogo TI - Cloud Computing. Disponvel em: <www.nextgenerationcenter.com>. Acesso em: 05 mar. 2010. ARMBRUST, M, Fox, A., Griffith, R., Anthony D. Joseph, Randy Katz, Andy Konwinski, Gunho Lee, David Patterson, Ariel Rabkin, Ion Stoica, and Matei Zaharia - Above the Clouds: A Berkeley View of Cloud Computing UC Berkeley Reliable Adaptive Distributed Systems Laboratory - February 10, 2009 http://radlab.cs.berkeley.edu/ ISACA, Emerging Technology Cloud Computing: Business Benefits with Security, Governance and Assurance Perspectives. ISACA, Illions, USA Oct, 2009. Disponvel em http://www.isaca.org DIKAIAKOS M.D., PALLIS G., KATSAROS D., MEHRA P., VAKALI A., - Cloud Computing: Distributed Internet Computing for IT and Scientific Research, Published by the IEEE Computer Society - p. 10-13 - Nicosia, Greece - September/October 2009 - www.computer.org/internet/. KAUFMAN, Lori M. et al. Data Security in the World of Cloud Computing: It all Depends. Published by the IEEE Computer and Reliability Societies, Virginia, USA, n. , p.61-64, ago. 2009. http://www.computer.org/security KANDUKURI, Balachandra Reddy; V, Ramakrishna Paturi; RAKSHIT, Dr. Atanu. Cloud Security Issues. IEEE International Conference On Services Computing, Pune, India, n. , p.517-520, September 2009. KUROSE, J. F.; ROSS, K.W., Redes de Computadores e a Internet Uma Abordagem Top-Down. 3 Ed., Pearson Addison Wesley, So Paulo, SP - 2005. KORZENIOWSKI, Paul. Segurana na Nuvem: Padres esto sendo trabalhados. Information Week, EUA - 20/11/2009. Disponvel em: <http://www.itweb.com.br/noticias>. Acesso em: 01 mar. 2010.

6.0 Concluso As questes fundamentais de governana e gesto de riscos na adeso dos servios da nuvem dizem respeito identificao e implementao de estruturas organizacionais adequadas, processos e controles para manter a gesto eficaz da segurana da informao, gesto de riscos, e cumprimento. As organizaes devem garantir a segurana da informao razovel em toda a cadeia de fornecimento da informao. A Gesto de Riscos dos ativos na Nuvem permite alinhar a exposio ao risco e a capacidade de gerenciar a tolerncia ao risco do proprietrio dos dados. Desta forma, caracteriza-se como principal meio de deciso e suporte para os recursos de TIC para proteger a confidencialidade, integridade, e disponibilidade dos ativos de informao na Nuvem. No entanto, para garantir a eficcia da Gesto de Riscos na Nuvem preciso estabelecer requisitos contratuais adequados e adotar tecnologias capazes de coletar os dados necessrios para informar as decises de informao de risco (por exemplo, o uso da informao, acesso, controles de segurana, localizao, etc.). Nesse processo os prestadores de servios de Nuvem devem incluir mtricas e controles

MLADEN A. Vouk, Cloud Computing: Issues, Research and Implementations Journal of Computing and Information Technology - CIT 16, 2008, 4, p. 235246 Department of Computer Science, North Carolina State University, Raleigh, North Carolina, USA. TAURION, Cezar. Cloud Computing: Transformando o Mundo do TI. 1 Ed., Editora Brasport, Rio de Janeiro, RJ - 2009.

NIST (National Institute of Standards and Technology) - The

NIST Definition of Cloud Computing, Version 15, 10-7-2009, National Institute of Standards and Technology, Information Technology Laboratory Gaithersburg, Maryland USA. Disponvel em: http://www.nist.org Acesso em 01/03/2010. CSA (Cloud Security Alliance) - Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 Prepared by the Cloud Security Alliance December 2009 ABNT Associao Brasileira de Normas Tcnicas. Tecnologia da Informao Cdigo de Prtica para a Gesto da Segurana da Informao. NBR ISO/IEC 27002: 30/09/2005. ABNT Associao Brasileira de Normas Tcnicas. Tecnologia da Informao Tcnicas de Segurana Gesto de Riscos de Segurana da Informao. NBR ISO/IEC 27005: 07/08/2008. MILLER, J., Candle, L., Wald, H., - Information Security Governance: Government Considerations for the Cloud Computing Environment, August 2009 USA . Disponvel em http://boozallen.com/publications acessado em 05/04/2010. BERNARDES, M. C., MOREIRA, E. S., - Um Modelo da Governana da Segurana da Informao no Escopo da Governana Organizacional. Instituto de Cincias Matemticas e de Computao ICMC, Universidade de So Paulo. So Paulo Brasil.