A Computação em Nuvem (Cloud Computing) é fruto da evolução e da reunião dos

fundamentos técnicos de áreas como virtualização de servidores, Grid Computing

(Computação em Grade), Software orientado a serviços, gestão de grandes instalações
(Data Centers), dentre outras. Trata-se de um modelo eficiente para utilizar softwares,
acessar, armazenar e processar dados por meio de diferentes dispositivos e tecnologias
web. Na prática, a Computação em Nuvem seria a transformação dos sistemas
computacionais físicos de hoje em uma base virtual. De forma mais ampla, o paradigma
da Computação em Nuvem parte do princípio de que todos os recursos de infraestrutura
de TI (hardware, software e gestão de dados e informação), até então tratada como um
ativo da empresa usuária, passam a ser acessados e administrados por estas através da
internet (Nuvem) com o uso de um simples navegador da rede mundial de
computadores, utilizando-se qualquer tipo de equipamento – celulares inteligentes,
notebooks, notebooks, desktops, etc. Fornecedores de tecnologia passam a prover a
infraestrutura e os serviços capacitados para atender a essa demanda. Nesse cenário
delineia-se uma série de questões que ainda precisam ser respondidas, a fim de que se
possibilite a sua plena utilização e adoção sem receios pelas empresas.

Segurança em Ambientes na Nuvem

Em um ambiente computacional tradicional, é comum observarmos que os requisitos de

segurança são ignorados em detrimento dos requisitos funcionais dos sistemas. Tal fato
ocasiona o desenvolvimento de sistemas e ambientes extremamente vulneráveis aos
ataques externos. Quando o assunto se relaciona aos riscos associados à Computação
em Nuvem – modelo de entrega de soluções e sistemas hospedados em fornecedores
terceiros - a conversa geralmente segue por questões relacionadas à privacidade e
segurança das informações residentes na nuvem. Apesar dessas preocupações, o debate
sobre os riscos na nuvem muitas vezes ignora a importância de criar planos de
contingência e Acordo de Níveis de Serviço (ANS) (em inglês SLA – Service Level
Agreement), voltados a garantir confiabilidade e a certeza de que os negócios não
sofrerão grandes baques no caso de um incidente. Os riscos referentes à segurança e
privacidade das informações na Nuvem bem como a portabilidade dos dados delineia-se
como sendo de alta criticidade.

Gerenciamento da Segurança da Informação na Nuvem

Ao analisar o cenário atual para o gerenciamento de segurança da informação em

ambientes de Computação em Nuvem, muitas literaturas apontam a necessidade e a
importância de se adotar um modelo de Governança da Segurança da Informação com a
finalidade de mitigar os riscos inerentes dos modelos de prestação de serviços na
Nuvem. Considerando a multiplicidade de serviços prestados pelos provedores de
Computação em Nuvem, tais como, e-mails, desenvolvimento de aplicativos
personalizados, armazenamento de dados e gestão de infraestrutura, podemos considerar
que esses são concentrações maciças de recursos e dados. A percepção de que a nuvem
é um aglomerado de informações pode caracterizá-la como sendo um alvo propício a
ataques por potenciais invasores. Ameaças como esta podem afetar diretamente os
pilares da segurança da informação: disponibilidade, confidencialidade e integridade, e
consequentemente comprometer toda a nuvem. A garantia do cumprimento desses
princípios relaciona-se diretamente com o modelo de implantação contratado pela
empresa, por exemplo, o modelo de Nuvem Privada, que permite a restrição de acessos
uma vez que se encontra atrás do Firewall da empresa, mantendo, dessa forma, controle
do nível de serviço e aderência às regras de segurança da empresa.
Na tabela abaixo, resume-se uma análise do modelo de implantação de Nuvem Publica
de acordo com princípios de segurança da informação, considerando questões que
devem ser abordadas antes da adoção do modelo. Dessa forma uma metodologia de
gestão de riscos, auxiliará na implantação de controles e adoção de medidas para a
continuidade de negócios, e ainda resguardar os princípios da segurança da informação.
Princípios da Segurança Cenários de Risco Questões

Integridade Invasões por hackers aos Quais são as garantias

ambientes da nuvem. sobre a preservação da
Violação de leis de integridade dos dados?
proteção de dados
Confidencialidade Aplicações de diversos Como é realizada a
usuários coabitam nos segregação de dados?
mesmos sistemas de Como é protegida a
armazenamento. propriedade intelectual e
os segredos comerciais?
Disponibilidade Recuperação de dados Como é garantida a
gerenciados por terceiros. arquitetura de
disponibilidade?
A recuperação de
informações críticas está
sujeita a atrasos?
Autenticidade Verificação da Que recursos são
autenticidade das utilizados na autenticação
entidades comunicantes. e controle de acesso dos
usuários?
Não-repúdio Auditabilidade das ações Os usuários do modelo são
executadas por usuários no capazes de negarem suas
sistema. ações?

Processo de Gerenciamento de Risco na Nuvem

No cenário corporativo é comum observar que as questões de segurança da informação
não são tratadas em um nível de gestão da organização, tendo como consequência a
falta de recursos para minimizar os riscos existentes ao nível exigido pela estratégia
organizacional e definido pela análise de risco. Esse comportamento corporativo
agrava-se quando os riscos em questão estão relacionados à contratação dos serviços da
Nuvem. os principais objetivos do processo de Gestão de Risco na nuvem, incluem:
 O planejamento para proteção da informação baseados em ativos e em Planos de
Mitigação de Riscos;
  Reforçar a capacidade da organização para selecionar e aplicar a proteção
baseada no risco específico e nas ameaças que afetam um determinado ativo;
 Assegurar que uma metodologia de gestão de risco de segurança da informação
está sendo utilizada em toda organização.

Um modelo de Gestão de Risco bem delineado se torna crucial para garantir que a
informação está ao mesmo tempo disponível, protegida e segura. Os processos de
negócios e procedimentos precisam levar em conta a segurança, e os gerentes de
segurança da informação precisam ajustar suas políticas e procedimentos de segurança
para atender às necessidades do negócio. Alguns exemplos de riscos de computação em
nuvem para a empresa que precisam ser gerenciados incluem:
 A escolha de um provedor de nuvem caracteriza-se como sendo um ponto
extremamente crítico no processo de adoção do modelo. As empresas precisam
concentrar uma atenção especial nesse ponto. Quesitos como reputação, a
história e a sustentabilidade são fatores que devem ser levados em consideração.
A sustentabilidade é de especial importância para garantir que os serviços
estarão disponíveis e os dados poderão ser rastreados.

 O fornecedor de nuvem muitas vezes assume a responsabilidade pela

manipulação da informação, aspecto que deve ser tratado como crítico para o
negócio. Qualquer dificuldade ou falha para se cumprir os SLAs acordados
impactará não somente na confidencialidade, mas também na disponibilidade,
afetando severamente as operações do negócio.

 A natureza dinâmica da computação em nuvem pode resultar em confusão a

respeito de onde a informação realmente reside. Para negócios onde a
recuperação da informação é crítica, isso poderá gerar atrasos.

 O acesso de terceiros às informações sensíveis cria um risco de

comprometimento das informações confidenciais. Na nuvem, isto pode
representar uma ameaça significativa para a proteção da propriedade intelectual
e de segredos comerciais.

 Segregação de Dados. Segundo o Gartner Group (2009), é preciso descobrir

como se dá a segregação dos dados pelo provedor e principalmente se este
utiliza criptografia para os dados em trânsito e/ou armazenados. O fornecedor de
nuvem precisa também fornecer evidências de que os esquemas de criptografia
utilizados foram projetados e testados por especialistas experientes. "Acidentes
com criptografia pode fazer o dado inutilizável e mesmo a criptografia normal
pode comprometer a disponibilidade" (GARTNER, 2009).

Modelo para Gestão de Risco na Nuvem

Um modelo de gestão de riscos para utilização de serviços da Nuvem para funções

críticas do negócio deve incluir:

1) Identificação e a avaliação dos ativos;

2) Análise de ameaças e vulnerabilidades e mensuração do impacto potencial nos ativos
(risco e cenários de incidente);
3) Análise das probabilidades de ocorrência de determinados eventos em um cenário de
implantação da nuvem;

4)Determinação dos níveis de gestão de risco aprovados, seus critérios de aceitação;

5) Desenvolvimento de Planos de Tratamentos de Riscos, com múltiplas opções

(controle, evitar, transferir, aceitar). Os resultados do plano de tratamento de riscos
devem ser parte integrante dos acordos de serviço (SLA).

A abordagem de avaliação de riscos entre o fornecedor e o cliente da Nuvem deve ser

consistente, com foco nos critérios de análise de impacto e definição de probabilidade.
O cliente e o fornecedor devem desenvolver conjuntamente os cenários de risco para os
serviços a serem contratados na Nuvem. Os serviços, e não apenas o fornecedor, deve
ser objeto de avaliação de risco. O uso de serviços em nuvem, e os modelos de
implantação a ser utilizado, devem ser coerentes com os objetivos de Gestão de Risco
da organização, bem como com seus objetivos de negócio.

Gestão de Risco

A avaliação do risco relativo aumenta de acordo com a movimentação da nuvem. Se há

uma movimentação de consumidores de IaaS para PaaS e, finalmente, para SaaS, os
modelos de serviço de construção de um sobre o outro, resulta em risco cumulativo,
como o provedor da nuvem assume o controle mais direto, há, portanto, maior risco de

segurança para o consumidor da nuvem. A tabela abaixo resume os modelos dos

serviços oferecidos pela nuvem e seus riscos relativos.

Modelo de Serviço Características do Risco Risco Relativo

Infrastructure as a servisse Neste modelo de serviço o
(IaaS) consumidor não administra Médio
ou controla a infraestrutura
da nuvem subjacente, mas
tem controle sobre os
sistemas operacionais
armazenamento de
aplicativos impantados, e
os componentes de rede
selecionados.
Platform as a servisse Neste modelo o Alto
(PaaS) consumidor não administra
 ou controla os recursos de
infraestrutura da nuvem
subjacente, tais como
componentes de rede,
servidores, sistemas
operacionais, ou
armazenamento. Porém o
consumidor tem controle
sobre os aplicativos
utilizados na hospedagem
de aplicativos e nas
configurações de
ambientes.
Software as a servisse Neste modelo de serviço o Muito Alto
(SaaS) consumidor não administra
ou controla a infraestrutura
subjacente da nuvem. O
que inclui componentes de
rede, servidores, sistemas
operacionais,
armazenamento ou
capacidade de aplicação
individual. A possível
exceção relaciona-se a
algumas configurações
específicas do usuário e de
alguma configuração de
aplicativos.

as empresas, dependendo do seu ramo de negócio, possuem necessidades distintas e

estão sob padrões e regulamentações específicas da natureza de seus negócios. Dessa
forma apresentam abordagens diversas para tratar questões relacionadas à gestão de
riscos de segurança da informação. Um conjunto principal de requisitos deve ser
definido pela organização para guiar os mais diversos esforços em se adotar,
adequadamente, uma metodologia de análise e gestão de riscos de segurança da
informação, voltada para a contratação dos serviços da Nuvem. Na busca por um
modelo de gerenciamento de riscos de segurança da informação em ambientes de
Computação em Nuvem, este trabalho propõe os seguintes requisitos:
A organização necessita de uma estrutura organizacional de segurança da informação,
que deve ser tratada em todos os níveis gerenciais;
A adoção pela organização das melhores práticas relacionadas à segurança da
informação, como a ABNT NBR ISO/IEC 27002;3.
A organização precisa definir/adotar uma metodologia de análise e gestão de risco de
segurança da informação, que seja cuidadosamente monitorada, principalmente
referente ao processo de compliance e gestão de desempenho e que possa ser
modificada conforme necessário para reduzir o risco geral de segurança de informação
ao longo do tempo;

A metodologia de análise de risco deve ser modificável, devendo ser analisada durante o
processo de controle de gestão para garantir uma gestão de participação e revisão
consciente do risco e a aceitação de ambas as opções de tratamento do risco e
consequentemente o risco residual;

As organizações precisam desenvolver e adotar políticas e procedimentos baseados na

análise de risco para garantir a segurança das informações na nuvem;

Organizações precisam estabelecer uma estrutura de gerenciamento de riscos da

segurança da informação para definir, explicitamente, o que se espera de cada indivíduo
(papéis e responsabilidades);

É preciso criar e executar um plano para remediar vulnerabilidades ou deficiências que

comprometamos dados armazenados na Nuvem;

As organizações precisam desenvolver e colocar em prática procedimentos de respostas

a incidentes relacionados com os serviços da Nuvem;

Criação de um Plano de Continuidade e Contingência de Negócio, que possa ser testado

regularmente, objetivando a disponibilidade dos dados e serviços da Nuvem em caso de
interrupção.

Conclusão

As questões fundamentais de governança e gestão de riscos na adesão dos serviços da

nuvem dizem respeito à identificação e implementação de estruturas organizacionais
adequadas, processos e controles para manter a gestão eficaz da segurança da
informação, gestão de riscos, e cumprimento. As organizações devem garantir a
segurança da informação razoável em toda a cadeia de fornecimento da informação. A
Gestão de Riscos dos ativos na Nuvem permite alinhar a exposição ao risco e a
capacidade de gerenciar a tolerância ao risco do proprietário dos dados. Desta forma,
caracteriza-se como principal meio de decisão e suporte para os recursos de TIC para
proteger a confidencialidade, integridade, e disponibilidade dos ativos de informação na
Nuvem. No entanto, para garantir a eficácia da Gestão de Riscos na Nuvem é preciso
estabelecer requisitos contratuais adequado se adotar tecnologias capazes de coletar os
dados necessários para informar as decisões de informação de risco (por exemplo, o uso
da informação, acesso, controles de segurança, localização, etc.). Nesse processo os
prestadores de serviços de Nuvem devem incluir métricas e controles para auxiliar os
clientes na implementação dos seus requisitos de informação de Gestão de Risco.
Atualmente entidades como o Open Cloud Manifesto, Computing Use Cases Group e o
Cloud Security Alliance trabalham no desenvolvimento de padrões de segurança para
computação em nuvem, levando essas pesquisas para um grande número de áreas,
incluindo auditoria, aplicativos, criptografia, governança, segurança de rede,
gerenciamento de risco, armazenamento e virtualização. Segundo especialistas o
primeiro passo é identificar as diferenças entre a segurança local e a segurança na
nuvem e examinar quais padrões existentes combinam com as operações em nuvem. No
final, eles esperam chegar a padrões que permitam que as empresas possam integrar,
seguramente, serviços de computação em nuvem de diferentes fornecedores e ter a
garantia de que seus dados ficarão seguros na nuvem.