Faculdade de Tecnologia de Americana Curso de Segurana da Informao

Gerenciamento de riscos em Cloud Computing

Alexandre Rodrigues Sonego

Americana, SP 2011

Faculdade de Tecnologia de Americana Curso de Segurana da Informao

Gerenciamento de riscos em Cloud Computing

Alexandre Rodrigues Sonego
Alexandre.rsonego@gmail.com

Trabalho de concluso de curso, desenvolvido em cumprimento exigncia curricular do Curso de Segurana da Informao da Faculdade de Tecnologia de Americana, sob orientao do Prof. Benedito Cruz.

Americana, SP 2011

FICHA CATALOGRFICA

BANCA EXAMINADORA

Prof. Benedito Cruz (Orientador) Prof. Rogrio Nunes de Freitas (Convidado) Prof. Antonio Alfredo Lacerda (Presidente da banca)

AGRADECIMENTOS Primeiramente, agradeo aos meus pais, juntamente com minha namorada, que sempre me apoiaram e compreenderam as ausncias resultantes no tempo dedicado ao curso e trabalhos em questo. Aos professores e funcionrios do Centro Paula Souza que direta ou indiretamente contriburam para o crescimento pessoal e profissional alcanado. Aos colegas de classe, a primeira turma do curso de Segurana da Informao, que mutuamente se ajudaram nessa rdua caminhada nestes trs anos. Finalmente a todos que de alguma forma contriburam para a concluso de mais esta etapa.

VI

DEDICATRIA

Este trabalho dedicado aos meus pais, namorada e amigos que constantemente me apoiaram em mais esta etapa.

VII

No importa a forma que a informao tome, ou os meios pelos quais ela compartilhada ou armazenada, convm que ela sempre seja apropriadamente protegida. (ISO/IEC 27002:2007)

VIII

RESUMO O presente texto conceitua o que computao em nuvem e suas principais caractersticas. Posteriormente realizada uma analise dos principais benefcios econmicos e no mbito de segurana. Por fim, so apresentados os principais riscos identificados pelas entidades competentes no assunto e sugestes para o adequado gerenciamento destes.

Palavras Chave: computao em nuvem, gerenciamento de risco

IX

ABSTRACT The present text conceptualizes what is cloud computing and the key characteristics. After that, appoint the major economic and security benefits. Finally, its brings the key risks, according the especialists, and suggest some managing actions.

Keywords: Cloud computing, risk management

LISTA DE FIGURAS

Figura 1 Diagrama de responsabilidade X servio.............................................21 Figura 2 Modelo Cloud Cube Jericho..................................................................23

XI

ABREVIATURAS E SIGLAS

SETI - Search for Extra-Terrestrial Intelligence NIST - National Institute of Standards and Technology CSA - Cloud Security Alliance SaaS Software as a Service PaaS - Plataform as a Service IaaS - Infraestructure as a Service EC2 (Elastic Computing Cloud) S3 (Simple Storage Service) SPI - Software, plataform and Infraescstruture COA - Collaboration Oriented Architectures CAPEX - Capital expenditure OPEX - Operational Expenditure ISACA - System Audit and Control Association ENISA - European Network Information Security Agencia SLA - Service Level Agreement VPN - Virtual Private Network

XII

SUMRIO

INTRODUO............................................................................................................14 COMPUTAO EM NUVEM......................................................................................16 2.1 Histrico..............................................................................................................................16 2.2 Caractersticas Essenciais de Computao em Nuvem.......................................................18 2.3 Modelos de Servios de Nuvem..........................................................................................19 2.4 Modelos de Implantao de Nuvem....................................................................................21 FORMAES DE IMPLANTAO DA NUVEM.......................................................23 2.5 Dimenses do cubo de cloud..............................................................................................24 BENEFCIOS DA COMPUTAO EM NUVEM........................................................28 2.6 Benefcios comerciais em computao em nuvem.............................................................29 2.6.1 Conteno de despesas..........................................................................29 2.6.2 Imediatismo..............................................................................................29 2.6.3 Dimensionamento....................................................................................29 2.6.4 Eficincia..................................................................................................30 2.7 Benefcios de segurana em computao em nuvem..........................................................30 2.7.1 Benefcios da Escala...............................................................................30 2.7.2 Segurana como diferencial...................................................................31 2.7.3 Padronizao do gerenciamento de servios de segurana.............32 2.7.4 Dimensionamento rpido e inteligente dos recursos.........................32 2.7.5 Processo de aquisio de evidncias para auditoria..........................33 2.7.6 Upgrades mais rpidos, efetivos e eficientes......................................33 2.7.7 Benefcios da concentrao de recursos.............................................34 RISCOS.......................................................................................................................35 2.8 Riscos organizacionais........................................................................................................36 2.8.1 Dependncia do fornecedor (Vendor lock-in)......................................36 2.8.2 Perda de governana corporativa e de normativas (compliance).....37

XIII

2.8.3 Perda de reputao por aes indiretas...............................................38 2.8.4 Falhas na cadeia de fornecimento.........................................................39 2.9 Riscos tcnicos....................................................................................................................39 2.9.1 Falta de recursos.....................................................................................39 2.9.2 Falha nos mecanismos de separao...................................................40 2.9.3 Uso inadequado das contas privilegiadas............................................41 2.9.4 Interface de gerenciamento....................................................................42 2.9.5 Captura de informaes em trfego......................................................42 2.9.6 Descarte dos dados de forma insegura / no eficiente.......................43 2.9.7 Ataques distribudos de negao de servio ......................................44 2.10 Riscos jurdicos.................................................................................................................44 2.10.1 Intimao, busca e apreenso.............................................................44 2.10.2 Mudana de jurisdio..........................................................................45 RECOMENDAES FINAIS......................................................................................46 2.11 Governana corporativa e aspectos legais........................................................................46 2.12 Auditoria...........................................................................................................................48 2.13 Portabilidade e Interoperabilidade....................................................................................49 2.14 Continuidade de Negcios, Recuperao de Desastres e Incidentes................................49 CONCLUSO.............................................................................................................51 REFERNCIAS BIBLIOGRFICAS...........................................................................52

14

INTRODUO

Atualmente a demanda por novas funcionalidades e informaes cresce exponencialmente: a web j faz parte do dia a dia e milhares de transaes ocorrem simultaneamente cada instante, resultando na gerao de informaes que ganham valor agregado na mesma proporo em que so criadas. Paralelamente, h uma crescente movimentao para reduzir os custos dos recursos de armazenamento e gerenciamento destas informaes; alm do movimento TI Verde, preocupao mundial para reduo do consumo de energia para produo e utilizao destas informaes. No passado era comum o gasto de altos valores para aquisio de super servidores, mquinas de alto desempenho para garantir que no houvesse falta de recursos computacionais quando necessrios. Entretanto, no havia uma

preocupao ou qualquer tipo de anlise acerca do aproveitamento destes recursos em tempo integral, resultando assim em uma subutilizao destes, impactando diretamente no custo de retorno do investimento realizado. Em linha com essa necessidade, criou-se a virtualizaco, tornando possvel otimizar a utilizao dos recursos computacionais de uma mquina atravs do compartilhamento de uma mesmo hardware por mais de um sistema operacional, reduzindo a demanda por recursos fsicos e consumo de energia. Com o amadurecimento do conceito de virtualizaco aplicada aos desktops e servidores, houve uma mudana de paradigma; se armazenamento e sistemas operacionais podem ser virtualizados, por que no virtualizar aplicaes, servios, plataformas e infra-estruturas? Desta maneira, a idia de compartilhar recursos

15

abstraiu os limites dos servidores produzindo um novo conceito conhecido como computao em nuvem. Como acontece com qualquer tecnologia emergente, a computao em nuvem oferece a possibilidade de recompensa elevada em termos de conteno de custos, assim como agilidade e velocidade de fornecimento de recursos. No entanto, como uma iniciativa nova, ela tambm pode trazer um alto risco em potencial. A computao em nuvem apresenta um nvel de abstrao entre a infraestrutura fsica e o proprietrio da informao a ser armazenada e processada. Tradicionalmente, o proprietrio dos dados mantm controle direto ou indireto do ambiente fsico que afeta seus dados. No sistema de nuvem, isso no ocorre mais. Devido a essa abstrao, j existe uma demanda generalizada de maior transparncia e garantia de abordagem robusta de segurana do ambiente de controle e de segurana do provedor de servios de nuvem. Este trabalho de concluso de cursos tem como objetivo realizar um breve histrico acerca da computao em nuvem bem como das suas principais caractersticas. Posteriormente realizado um levantamento dos principais riscos, apresentados por essa nova tecnologia e eventuais sugestes para gerenciar e mitigar estes riscos. Conclui-se o trabalho apresentando uma tese que os benefcios trazidos por essa nova tecnologia sobrepem os riscos envolvidos, desde que estes se encontrem devidamente gerenciados.

16

COMPUTAO EM NUVEM Uma das questes mais confusas em torno do sistema de nuvem e seus servios relacionados a falta de acordo acerca de suas definies. Tal como acontece com todas as tecnologias emergentes, a falta de clareza e de acordo muitas vezes dificulta a avaliao e a aceitao destas tecnologias. Os dois principais grupos que tm oferecido uma base de definies so o NIST (National Institute of Standards and Technology) e a CSA (Cloud Security Alliance). Ambos definem a computao em nuvem como: Um modelo para permitir o acesso rede sob demanda, de forma conveniente, a um conjunto compartilhado de recursos de computao configurveis (por exemplo, redes, servidores, armazenamento, aplicativos e servios) que podem ser rapidamente fornecidos e lanados com o mnimo esforo de gesto ou interao do prestador de servio..

2.1

Histrico

Historicamente no h um inicio claro da computao em nuvem; pode-se dizer que seu conceito inicial originou-se na dcada de 60, onde o cientista da computao norte-americano John McCarthy afirmou que iria acontecer com a informtica o mesmo que aconteceu com a eletricidade. Ao invs de as pessoas terem geradores em suas casas, elas pagariam pela quantidade de energia eltrica utilizada.

Em Maio de 1964. Martin Greenberger publicou o artigo The computers of Tomorrow (Os computadores do Amanh) na Atlantic Monthly onde ele discorria acerca da utilizao dos recursos computacionais no apenas para clculos

17

cientficos e pesquisas, mas com funes para atender os processos de negcio das empresas. Ele visionou o que viria a se tornar o principal negocio da IBM, a venda de capacidade de processamento computacional para atender as demandas das empresas.

Em Maro de 1999, a salesforce.com foi inaugurada, utilizando-se do conceito de Software as Service (SaaS), oferecendo um software de CRM (Customer Relationship Management) diretamente em nuvem, 24h por dia, e altamente customizvel e escalonvel.

Em 2001 o SETI (Search for Extra-Terrestrial Intelligence) desenvolveu o SETI@HOME, onde os dados obtidos pelos satlites eram segregados em diversos pacotes menores e enviados a computadores pessoais cadastrados, para que estes realizassem as anlises e enviassem de volta os resultados obtidos.A capacidade de processamento destes computadores voluntrios supera em 5 vezes o volume de dados disponveis para anlises, alm de, em conjunto constiturem a maior capacidade de processamento criada pelo homem, totalizando 23 teraflops.

De 2002 a 2006 a Amazon.com criou e amadureceu o conceito da EC2 (Elastic Computing Cloud) onde os usurios podem criar e configurar suas prprias mquinas virtuais para execuo na Nuvem da Amazon.Estas mquinas virtuais ficam armazenadas no Amazon S3 (Simple Storage Service), permitindo que sejam iniciadas quando solicitadas pelos clientes.Todas as configuraes so

escalonveis,e o usurio s paga pelos recursos que foram utilizados.

Em Abril de 2008 lanado a Google App Engine, marco da entrada de uma empresa puramente voltada tecnologia no mercado de computao em nuvem. Tal

18

como acontece com todos os seus outros produtos h uma prtica agressiva de preos, com valores iniciais extremamente baixos e tendo os custos de armazenamento entre os mais baixos do mercado.

2.2

Caractersticas Essenciais de Computao em Nuvem

Conforme o artigo da CSA (Cloud Security Alliance) Security Guidance for Critical Areas of Focus in Cloud Computing os servios na nuvem apresentam cinco caractersticas essenciais que demonstram suas relaes e diferenas das abordagens tradicionais de computao: Auto-atendimento sob demanda: O provedor do sistema de nuvem deve ser capaz de fornecer automaticamente os recursos de computao, tais como armazenamento de rede e servidores, conforme forem necessrios, sem exigir a interao humana com o provedor de cada servio. Amplo acesso a rede: De acordo com o NIST, a rede de nuvem deve ser acessvel em qualquer lugar, em quase todos os dispositivos (por exemplo, smartphones, laptops, PDAs, aparelhos portteis). Grupo de recursos: O provedor de recursos de computao agrupado para atender vrios clientes usando um modelo multicliente com diferentes recursos fsicos e virtuais atribudos dinamicamente e reatribudos de acordo com a demanda. H um senso de independncia local. Geralmente, o cliente no tem nenhum controle ou conhecimento sobre a localizao exata dos recursos disponibilizados. No entanto, possvel especificar o local em um nvel maior de abstrao (por exemplo, pas, regio ou central de dados). Os

19

exemplos de recursos incluem o armazenamento, o processamento, a memria, a largura de banda da rede e as mquinas virtuais. Elasticidade: Os recursos podem ser provisionados rapidamente e de forma elstica, em muitos casos de forma automtica, para aumentar em escala rapidamente e tambm reduzir de forma rpida. Para o cliente, os recursos disponveis para o fornecimento muitas vezes parecem ser ilimitados e podem ser adquiridos em qualquer quantidade a qualquer momento. Servios mensurveis: Os sistemas de nuvem controlam e otimizam automaticamente a utilizao de recursos, aproveitando a capacidade de medio (por exemplo, armazenamento, processamento, largura de banda e contas de usurios ativas). O uso de recursos pode ser monitorado, controlado e reportado, oferecendo transparncia tanto para o provedor quanto para o cliente do servio utilizado.

2.3

Modelos de Servios de Nuvem

A entrega de servios de nuvem dividida entre trs modelos de arquitetura e vrias combinaes derivadas. As trs classificaes fundamentais so geralmente referidas como Modelo SPI, onde SPI significa Software, Plataforma e Infraestrutura (como um Servio), respectivamente definidos, portanto como: Software como Servio (Software as a Service - SaaS): Capacidade para utilizar os aplicativos do provedor a serem executados na infraestrutura do sistema de nuvem. Os aplicativos podem ser acessados a partir de vrios dispositivos do cliente atravs de uma interface leve (thin client interface),

20

como um navegador da Web (por exemplo,um webmail). O consumidor no gerencia ou controla a infraestrutura adjacente na nuvem, incluindo rede, servidores, sistemas operacionais, armazenamento, ou nem mesmo as capacidades individuais da aplicao, com a possvel exceo de parmetros limitados de configurao da aplicao especficos para os usurios. Plataforma como Servio (Plataform as a Service - PaaS): Capacidade para a implantao de infraestrutura da nuvem criada pelo cliente ou aplicativos adquiridos criados com linguagens de programao e ferramentas compatveis com as do fornecedor. O consumidor no gerencia ou controla a infraestrutura adjacente na nuvem, incluindo rede, servidores, sistemas operacionais, ou armazenamento, mas tem controle sobre as aplicaes implementadas e possivelmente configuraes da aplicao referentes ao ambiente do servidor. Infraestrutura como Servio (Infraestructure as a Service - IaaS): A capacidade oferecida ao consumidor de provisionar processamento, armazenamento, redes e outros recursos computacionais fundamentais onde o consumidor est apto a implementar e rodar os softwares que desejar, o que pode incluir sistemas operacionais e aplicaes. O consumidor no gerencia ou controla as camadas adjacentes da infraestrutura na nuvem, mas tem controle sobre o sistema operacional, armazenamento, aplicaes implementadas e possivelmente controle limitado de componentes

especficos de rede. (exemplo: firewalls no servidor).

21

Uma viso grfica de como cada modelo de servio tem seus componentes gerenciados pode ser visualizado no diagrama abaixo:

Figura 1 Diagrama de responsabilidade X servio Fonte: http://kscottmorrison.files.wordpress.com/2009/12/cloudcontrolboundaries.jpg

2.4

Modelos de Implantao de Nuvem

Independente do modelo de servio utilizado (SaaS, PaaS ou IaaS) existem quatro modelos de implantao de servios de nuvem, com variaes para atender a requisitos especficos:

22

Nuvem Pblica: A infraestrutura de nuvem disponibilizada ao pblico em geral ou a um grande grupo industrial e controlada por uma organizao que vende os servios de nuvem.

Nuvem Privada: A infraestrutura da nuvem operada exclusivamente por uma nica organizao. Ela pode ser gerida pela organizao ou por terceiros, e pode existir no local ou fora do ambiente da empresa.

Nuvem Comunitria: A infraestrutura da nuvem compartilhada por diversas organizaes e suporta uma determinada comunidade que partilha interesses (por exemplo, a misso, os requisitos de segurana, poltica ou consideraes de conformidade). Ela pode ser administrada pelas organizaes ou por um terceiro e pode existir no local ou fora do ambiente da empresa.

Nuvem Hbrida: A infraestrutura da nuvem uma composio de duas ou mais nuvens (privada, comunitria ou pblica) que permanecem como entidades nicas, mas esto unidas pela tecnologia padronizada ou proprietria que permite a portabilidade de dados e aplicativos (por exemplo, cloud bursting para balanceamento de carga entre as nuvens).

23

FORMAES DE IMPLANTAO DA NUVEM

Antes de abordar os principais riscos de TI envolvidos na computao em nuvem, preciso demonstrar como as diversas formaes de nuvem combinaes entre as diferentes maneiras de implantao- apresentam diferentes caractersticas, diferentes graus de flexibilidade, diferentes oportunidade de colaborao, e diferentes riscos.

Atualmente, no h um padro estabelecido para abordagem destes riscos de formaes, entretanto, o Jericho Frum (http://www.opengroup.org/jericho)

desenvolveu um framework experimental e este vem sendo utilizado como pioneiro nas documentaes atuais.

Este modelo apresenta quatro critrios para diferenciar as formaes de nuvem, denominado The Cloud Cube Model, como pode ser visto abaixo e explanado na seqncia:

Figura 2 Modelo Cloud Cube Jericho Fonte: http://www.opengroup.org/jericho/cloud_cube_model_v1.0.pdf

24

2.5

Dimenses do cubo de cloud

1 Dimenso: Interno (I) / Externo (E)

Esta dimenso determina a localizao fsica dos dados: onde est a nuvem utilizada; dentro ou fora dos limites da sua organizao:

Se encontra dentro dos seus limites fsicos, interno

Se no se encontra dentro dos seus limites fsicos, externo

Por exemplo, um disco rgido virtualizado no data center da organizao ser interno, enquanto o Amazon S3 considerado externo. No se deve assumir que o modelo interno mais seguro que o externo, a utilizao adequada de ambos responsvel pelo seu grau de segurana.

2 Dimenso: Proprietrio(P) / Aberta (O)

Esta a dimenso que define o estado de propriedade da tecnologia da nuvem, dos servios, interfaces, etc. Ela indica o grau de interoperabilidade da nuvem, como a capacidade para retirar os dados de uma forma nuvem ou mov-la para outro sem restrio, alem da possibilidade de compartilhar aplicativos.

Uma nuvem proprietria significa que a organizao que presta o servio quem provisiona os recursos. Como resultado, quando se opera em nuvens proprietrias, pode-se no ser capaz de mudar para outro fornecedor de nuvem sem demandar grande esforo ou investimento. Muitas vezes os avanos da tecnologia inovadora ocorrem no domnio do proprietrio. Como tal, o titular pode optar por impor

25

restries atravs de patentes e, mantendo a tecnologia envolvida um segredo comercial.

Uma nuvem aberta caracteriza-se por utilizar tecnologias no proprietrias e de cdigo aberto (open source), por conseqncia, tal forma possui maior nmero de fornecedores e grande facilidade em migrar os dados e aplicaes entre nuvem que se utilizem da mesma tecnologia.

3 Dimenso: Perimetrizado (Per) / Desperimetrizada (D-P) A terceira dimenso representa a "mentalidade arquitetnica" - voc est operando dentro do permetro tradicional de TI ou fora dele? Desperimetrizadas esto relacionados falha gradual / remoo / reduo / colapso do permetro tradicional de TI.

Perimetrizado constitui a operao dentro dos permetros tradicionais de TI, muitas vezes sinalizados por "firewalls". Quando se opera em reas perimetrizadas, voc pode estender o permetro da sua organizao para o domnio externo de computao em nuvem usando uma conexo Virtual Private Network (VPN) e incluindo o servidor virtual no seu prprio domnio IP. Desta forma, apesar de virtual, o encontra-se em seu permetro em quanto em uso.

Desperimetrizado um termo criado por Paul Simmonds do Jericho Frum e segundo sua prpria explicao:

(..)Finalmente, em uma rede totalmente desperimetrizada cada componente torna-se independentemente seguro exigindo sistemas de proteo de dados em mltiplos nveis, como:

26

Criptografia; comunicaes inerentemente seguras; dados de nvel de autenticao

Por exemplo, em um cenrio desperimetrizado os dados sero encapsulados em meta-data e possuir mecanismos que iro proteg-los de um uso inapropriado. O prprio Jericho Frum desenvolveu um modelo denominado Arquiteturas Orientadas a Colaborao (Collaboration Oriented Architectures COA) voltada a suprir as necessidades de desperimetrizao.

Desta maneira:

Pode-se operar em qualquer das quatro formaes de nuvem descritas (I/P,I/O,E/P,E/O) juntamente com a mentalidade arquitetnica Perimetrizada ou desperimetrizada.

O quadrante superior direito E/O/D-p representa a formao de nuvem denominada o ponto ideal, onde a flexibilidade ideal e colaborao podem ser alcanadas.

Um provedor de cloud privado ir permanecer no canto inferior esquerdo do cubo, acumulando continuamente inovao e agregando valor.

A capacidade de mover-se do canto inferior esquerdo para o ponto ideial vai exigir uma interface conceitual e rara, pois facilitar essa transio vai contra os interresses dos provedores de computao em nuvem.

27

4 Dimenso: Terceirizada / Privada

Define-se a 4 dimenso como sendo dois estados das quatro formaes de nuvem: Per(IP,IO,EP,EO) e D-P (IP,IO,EP,EO):

Terceirizada: Todos servios so provenientes de fontes terceirizadas

Privada: Os servios so providos com seus recursos e esto sob responsabilidade da sua equipe

Desta forma, conceituado as formaes de nuvem, passamos a tratar acerca dos principais benefcios, riscos e sugestes de aes a serem tomadas.

28

BENEFCIOS DA COMPUTAO EM NUVEM

Definitivamente a vantagem mais significativa, e que vem impulsionando o crescimento da computao em nuvem, encontra-se no mbito econmico.

A computao em nuvem permite uma padronizao dos recursos de TI e automatiza muitas das tarefas de manuteno realizadas manualmente. Apresenta benefcios como o consumo elstico, eliminao (ou pelo menos uma reduo drstica) das despesas de capital, de auto-atendimento, alm dos pagamentos pague-o-que-usar (pay-as-you-go).

Na maioria dos casos, migrar para computao em nuvem elimina os investimentos em bens de capital (capital expenditure CAPEX), permitindo que estes valores sejam investidos em custos operacionais (Operational Expenditure OPEX) negociveis e gerenciveis.

Alm dos benefcios econmicos, a Associao dos auditores de controle e sistemas (System Audit and Control Association - ISACA) e a Agencia Europia de Segurana da informao (European Network Information Security Agencia - ENISA) relacionaram outras vantagens da computao em nuvem, no mbito comercial e de segurana.

29

2.6

Benefcios comerciais em computao em nuvem

Segundo o artigo; Computao em nuvem: benefcios para o negcio com perspectivas de segurana, governana e qualidade (ISACA 2009) os principais

benefcios comerciais da computao em nuvem so:

2.6.1 Conteno de despesas O sistema de nuvem oferece s empresas a opo de dimensionamento sem srios compromissos financeiros necessrios para aquisio e manuteno de infraestrutura. Os servios de nuvem exigem pouca ou nenhuma despesa de capital inicial. A economia de espao no utilizado nos servidores permite que as empresas reduzam seus gastos com relao s exigncias de tecnologia existentes e experimentem novas tecnologias e servios sem precisar de grandes investimentos.

2.6.2 Imediatismo Muitos pioneiros da computao em nuvem citaram a capacidade de fornecimento e utilizao de um servio em um nico dia. Isso se compara aos tradicionais projetos de TI que podem exigir semanas ou meses para serem desenvolvidos, configurados e aplicados aos recursos necessrios. Esse processo tem um impacto fundamental sobre a agilidade de um negcio e a reduo dos custos associados aos atrasos.

2.6.3 Dimensionamento Com capacidade irrestrita, os servios de nuvem oferecem mais flexibilidade e dimensionamento envolvendo as necessidades de TI. O fornecimento e a

30

implementao so realizados sob demanda, permitindo aumento de trfego e reduzindo o tempo para implementar novos servios.

2.6.4 Eficincia A realocao das atividades operacionais de gesto de informaes sobre realocao da nuvem oferece s empresas uma oportunidade nica para concentrar esforos na inovao e pesquisa e desenvolvimento. Esse processo abre as portas para o crescimento comercial, bem como o crescimento do produto, e ainda pode ser mais benfico do que as vantagens financeiras oferecidas pelo sistema de nuvem.

2.7

Benefcios de segurana em computao em nuvem. Antes de apresentar os riscos trazidos por esta nova tecnologia,

interessante demonstrar como especialistas acreditam que h vrios aspectos de vantagens em se tratando de segurana.

Segundo

artigo;

Computao

em

nuvem:

Benefcios,

riscos

recomendaes para segurana da informao (ENISA 2010) os principais benefcios no mbito de segurana da informao da computao em nuvem so:

2.7.1 Benefcios da Escala Naturalmente, todos os tipos de solues de segurana tornam-se mais baratas quando implementadas em grande escala. E quanto maior o investimento melhor a qualidade de proteo adquirida.

Isso inclui todos os tipos de medidas defensivas, tais como filtragem, gerenciamento de atualizaes, o blindagens de mquinas virtuais e hypervisors,

31

recursos humanos, redundncia de hardware e

software, autenticao segura,

controle de acesso eficiente , solues de gerenciamento de identidade federada,o que tambm melhora os efeitos de colaborao entre os vrios parceiros envolvidos na nuvem. Outros benefcios incluem:

Mltiplas locaes: Os provedores de computao em nuvem possuem recursos econmicos para replicar os contedos em mltiplos locais. Isto aumenta a redundncia e independncia em caso de falha e proporciona um nvel de recuperao de desastres inimaginvel.

Bordas da rede: Armazenamento, processamento e entregas realizadas prximas as bordas da rede significam servios mais confiveis e com maior qualidade, onde problemas na rede local dificilmente impactaro no mbito global.

Gerenciamento de ameaas: Provedores de computao em nuvem possuem recursos para contratarem profissionais capacitados e

especializados em determinadas ameaas de segurana, enquanto uma empresa menor poderia apenas contratar um generalista.

2.7.2 Segurana como diferencial A escolha de um provedor de computao em nuvem ser realizada baseando-se na reputao do mesmo no mbito de confidencialidade, integridade e disponibilidade oferecida por esse provedor. Esse fator tende a ser mais relevante do que em um ambiente tradicional, desta forma, haver um impulso para direcionar

32

os provedores a melhorarem as prticas de segurana, tornando-se mais competitivos.

2.7.3 Padronizao do gerenciamento de servios de segurana Grandes provedores de computao em nuvem pode oferecer uma interface aberta e padronizada para gerenciamento de servicos de segurana (MSS). Isso potencialmente cria um mercado mais aberto e disponvel para servios de segurana, onde os clientes podem mudar de fornecedor com mais facilidade e menor custo de implementao.

2.7.4 Dimensionamento rpido e inteligente dos recursos Um provedor de computao em nuvem tem potencial para dinamicamente alocar recursos adicionais para filtragem, traffic shaping, encriptao, etc. com o intuito de ampliar a potncia destes dispositivos de segurana (como por exemplo, para prevenir um ataque de negao de servio (Denial of Service DdoS).

Quando essa capacidade de dimensionamento dinmico de recursos combinada com os mtodos de otimizao adequados, o provedor de cloud computing estar apto a minimizar ou ate mesmo anular os efeitos de alguns ataques.

A capacidade de escalonar dinamicamente recursos defensivos sob demanda possuem vantagens bvias para a resilincia. Alm disso, todos os tipos de

recursos individuais podem ser dimensionados de forma granular, sem dimensionar

33

o sistema como um todo.Naturalmente, isso se torna extremamente mais barato para responder a estes picos de demanda.

2.7.5 Processo de aquisio de evidncias para auditoria Provedores de computao em nuvem possuem recursos para clonagem de mquinas virtuais sob demanda. Em um incidente em que se acredite haver uma quebra de segurana, o cliente pode solicitar uma imagem viva da mquina virtual enquanto a mquina original continua operando normalmente para realizar uma anlise forense paralelamente. Isto reduz drasticamente o tempo de obteno desta evidncia para anlise, contribuindo para identificao do ocorrido.

A computao em nuvem ainda pode oferecer uma soluo mais eficiente para o armazenamento das trilhas de auditoria (logs), pois permite o

armazenamento de logs mais detalhados sem que haja comprometimento da performance.Seguindo o conceito de pague o que voc utilizar, torna-se mais fcil mensurar o custo envolvido neste armazenamento e realizar ajustes para se adequar as necessidades da auditoria.

2.7.6 Upgrades mais rpidos, efetivos e eficientes Upgrades podem ser replicados varias vezes e de forma mais rpida e homognea do que em plataformas convencionais. possvel obter copias do estado das mquinas antes e depois de um upgrade para comparao (Por exemplo, para garantir que as regras de configurao de um firewall no deixaram de funcionar)

34

2.7.7 Benefcios da concentrao de recursos Embora a concentrao de recursos sem dvida possua desvantagem para segurana, fica evidente as vantagens econmicas nos campos de controle de acesso fsico, implantao de uma poltica de segurana da informao, gerenciamento das informaes, gerenciamento de atualizaes, gerenciamento de incidentes alm do processo de manuteno.

35

RISCOS

De acordo com uma pesquisa realizada pela ISACA em julho de 2010 (ISACA IT Risk/Reward BarometerChina/Hong Kong) com profissionais de TI das empresas da China/Hong Kong, 42% disseram que os riscos envolvidos na computo em nuvem sobrepem os benefcios por ela apresentados.

Na contramo destes temores, em uma nova pesquisa realizada em janeiro de 2011 pela CIO Magazine, 70% dos entrevistados entendem a computao em nuvem como parte do plano estratgico da empresa, e pretendem investir U$1.2 milhes nos prximos 12 meses nessa tecnologia.

A seguir, apresenta-se os principais riscos listados no artigo Computao em nuvem: Benefcios, riscos e recomendaes para segurana da informao (ENISA 2010) as recomendaes de gerenciamento so parte integrantes deste artigo e de outros que foram utilizados no processos de pesquisa, podendo ser encontrados nas referencias bibliogrficas.

As principais premissas relacionadas a estes riscos so:

Riscos devem sempre ser analisados como uma relao custo-benefcio

O nvel de risco apresentado considera apenas a viso do cliente, e no a do provedor de computao em nuvem.

36

Os riscos so classificados em trs categorias:

Riscos organizacionais

Riscos tcnicos

Riscos jurdicos

2.8

Riscos organizacionais

2.8.1 Dependncia do fornecedor (Vendor lock-in)

Por se tratar de uma tecnologia recente, ainda no a ferramentas, procedimentos ou padres de dados ou interfaces que garantam a portabilidade dos mesmos. Isto torna extremamente difcil para que um cliente realize a migrao dos seus dados ou servios de um provedor ao outro, ou ate mesmo de volta a um ambiente interno.

Esta dependncia em potencial do servio provisionado ou de um provedor de nuvem em particular, pode acarretar em uma falha catastrfica para os negcios caso o provedor venha a falir.

Gerenciando o risco: Deve-se optar por um provedor de computao em nuvem que possua uma tecnologia aberta (Jericho cube), ou que, caso seja privada, possua interfaces para migrao as principais tecnologias do mercado. Tais questes devem figurar em contrato.

37

Deve-se se estudar a reputao do provedor antes de contratar um software como servio; alem de avaliar o grau de dependncia que a empresa ter com relao a este software em questo.

Caso o servio utilizado seja um SaaS, recomenda-se periodicamente realizar uma cpia dos dados considerados sensveis pela empresa e armazen-los em formato universal (como o XML), facilitando assim seu acesso caso necessrio.

2.8.2 Perda de governana corporativa e de normativas (compliance)

Ao utilizar uma soluo de computao em nuvem, o cliente transfere uma serie de controles para o provedor de nuvem, que eventualmente pode vir a no permitir testes de penetrao, mapeamento de vulnerabilidades, dentre outras atividades que impactaro nas praticas de governana.

A perda da governana e dos controles podem impactar diretamente na estratgia da empresa e na sua capacidade de cumprir suas meta se objetivos. Tal condio pode impossibilitar a companhia de cumprir com os requisitos de segurana, confidencialidade, integridade e disponibilidade.

Outro importante fator so das empresas que realizaram investimentos na obteno de certificaes para criarem vantagens competitivas, atendendo a padres de mercado e requerimento de regulamentaes.Eventualmente um provedor de nuvem pode no prover evidencias que comprovem essa adequao, ou podem no permitir auditoria externa.

38

Gerenciando o risco: Novamente refora-se a importncia em contratar um provedor em linha com as necessidades da organizao e que permitam procedimentos para atender os requisitos de governana corporativa, compliance, auditoria, regulamentaes, etc. Uma escolha inadequada impactar diretamente nos negcios da organizao.

Deve-se estabelecer Acordos de Nvel de Servio (Service Level Agreement SLA) bem como mtricas ou procedimentos (por exemplo, a auditoria interna da organizao realizar alguns testes no provedor de nuvem) para garantir que todos procedimentos contratados vem sendo adequadamente realizados

2.8.3 Perda de reputao por aes indiretas

Em ambiente de recursos compartilhados, caso um organizao utilize o provedor de computao em nuvem para realizar atividades ilcitas (Por exemplo, envio de spam, explorao de rede (port scan), armazenamento de contedo inadequado, etc), todos os clientes deste provedor podem ser impactados, seja por um simples bloqueio de IP, ou ate mesmo uma paralisao das atividades.

Gerenciando o risco: No processo de aquisio de um provedor de computao em nuvem, deve-se verificar quem so seus clientes e bem como seu histrico de reputao e incidentes. De forma conservadora, optar por um provedor que s atenda empresas apresenta maior confiabilidade. Este risco minimizado em nuvens privadas.

39

2.8.4 Falhas na cadeia de fornecimento

Um provedor de computao em nuvem pode terceirizar algumas tarefas para fornecedores externos.Neste cenrio, o nvel de segurana do provedor depender do nvel de seguranas de todos os componentes que fazem parte da cadeia de fornecimento.Uma falha em algum ponto desta estrutura, pode culminar em indisponibilidade dos servios,perda de dados confidenciais, perda de integridade, quebra de SLA, etc

Gerenciando o risco: O provedor de nuvem necessita ser transparente em seus contratos, explicitando quais servios encontram-se terceirizados. Cabe ento ao consumidor julgar a importncia destes servios, a confiabilidade do provedor, histrico de problemas, etc.

2.9

Riscos tcnicos

2.9.1 Falta de recursos

Servios em nuvem so sob demanda, portanto, necessrio que o provedor estime o poder computacional atravs de projees estatsticas antes de vender as solues. Caso haja uma modelagem inadequada, corre-se o risco de:

Indisponibilidade dos servios: Falha na entrega dos servios, paralisando as operaes.

40

Falha dos controles de acesso: comprometendo diretamente a confidencialidade e integridade das informaes

Recentemente a Amazon passou por este problema:

Servidores da Amazon falham e prejudicam New York Times - IT web 25/04/2011 Os servidores da Amazon falharam no final da ltima semana e deixaram mais de 70 sites fora do ar, entre eles o do jornal New York Times e do servio de localizao Foursquare, reportou a Folha.com. A falha aconteceu com os servios de nuvem da companhia, que j foi parcialmente restabelecido nesta segunda-feira (25/04). A companhia ainda informou que alguns dados de consumidores podem no ser reparados.

Gerenciando o Risco: No ato de contratao de um provedor de computao em nuvem, deve-se verificar quais so as garantias de elasticidades por este oferecida, caso haja uma sobrecarga, o servidor no deve derrubar os servios, e deve constar no contrato como qual o tempo mximo em que a entrega de servio perder capacidade de crescimento.

2.9.2 Falha nos mecanismos de separao

Em um ambiente de computao em nuvem, capacidade de processamento, armazenamento e rede so compartilhados entre vrios usurios. Este risco ocorre quando a alguma falha no mecanismo de separao do banco de dados, memria, ou da tabela roteamento. Informaes sensveis podem se misturar ou serem

41

enviada a destinos errados.Lembrando que seus prprios concorrentes podem estar no mesmo provedor, isto impactaria diretamente nas estratgias competitivas.

Gerenciando o Risco: necessrio conhecer quais mecanismos utilizados pelo provedor de computao em nuvem para impedir que isto acontea.Verificar se so realizados testes de penetrao (por exemplo, verificar se o Cliente1, consegue de alguma forma montar o banco de dados do Cliente2.Recomenda-se que os dados sejam mantidos sob criptografia e esta possua verificao de hash, caso o risco se materialize, seja o hash ser distorcido.

2.9.3 Uso inadequado das contas privilegiadas

As contas com acesso privilegiado (adminstrados,root,etc), so consideradas de risco pois possuem privilgios para sobrepor os controles existentes. Dependendo da soluo contratada em um ambiente de computao em nuvem, a custodia destas contas fica em poder do provedor. Um acesso inadequado, seja por erro ou por atividade criminosa, comprometer os clientes deste provedor.

Gerenciando o Risco: Deve-se verificar como o provedor gerencia as conta com privilegio administrativos, como por exemplo:

H uma conta com privilgios administrativos ativa?

Quem responsvel por esta conta, h dupla custodia?

H registros da utilizao desta conta?

42

H um administrador para cada conta privilegiada? (segregao de funes)

2.9.4 Interface de gerenciamento

H riscos inerentes nas interfaces de gerenciamentos via internet, devido a venerabilidades existentes em acessos remotos e navegadores de internet. A situao torna-se mais critica quando o gerenciamento de toda a nuvem, por parte do provedor, tambm realizado via estas interfaces.

Gerenciando o Risco: Este risco pode ser mitigado atravs de investimentos em questes de segurana por parte do provedor de computao em nuvem.

2.9.5 Captura de informaes em trfego

Devido a caractersticas da computao em nuvem, h maior trfego de informaes do que em uma estrutura tradicional. Por exemplo, dados precisam ser transferidos para sincronizar mquinas virtuais, para realizao de acesso remoto, etc.Desta forma, esta tecnologia esta mais propensas a ser alvo de ataques de Analise de trafego (Sniffing), spoofing (tcnica em que se falsifica um endereo IP), interceptao de pacotes (man-inthe-middle), side channel e replay attacks.

Gerenciando o Risco: Nas clusulas de contrato, o provedor de computao em nuvem deve explicitar quais informaes trafegam na nuvem.Estes dados em transito necessitam ser criptografados , pois, embora as redes de provedores de nuvem possam ser mais seguras que a Internet aberta, compostas de muitos elementos diferentes e diferentes organizaes compartilham a nuvem. Por isso,

43

importante proteger essas informaes sensveis e regulamentadas em trnsito at mesmo dentro da rede dos provedores de nuvem.

necessrio

haver

controles

sobre

gerenciamento

das

chaves

criptogrficas, bem como quem podem ter acesso s mesmas.

2.9.6 Descarte dos dados de forma insegura / no eficiente

Em caso de uma troca de provedor de computao em nuvem, pode-se ocorrer o risco dos dados ficarem ativos por um tempo fora do especificado na poltica de segurana da informao. Em se tratando de computao em nuvem, alguns procedimentos so impossveis de serem realizados (como por exemplo, destruir o disco contendo informaes).

Quando um pedido de excluso realizado, isso pode no resultar numa excluso completa dos dados (situao que ocorre na maioria dos Sistemas Operacionais). Eventualmente uma excluso completa pode no ser possvel devido a limitaes nas APIs utilizadas pelo provedor.

Gerenciando o Risco: Este risco pode ser minimizado atravs de uma criptografia adequada, entretanto, deve-se mesmo aps a excluso dos dados, deve-se realizar teste de recuperao de dados a fim de identificar eventuais resduos.

44

2.9.7 Ataques distribudos de negao de servio

Devido a grande concentrao de informaes contidas em um servidor em nuvem e sua visibilidade, estes estaro mais suscetveis a serem alvos de grupos que praticam ataques de negao de servio.

Adicionalmente, no conceito de pague o que utilizar, surge um nome tipo de ataque, denominado ataque de negao de servio com impactos financeiros (Economic Denial of Service - EDOS). Esta pratica visa prejudicar financeiramente uma organizao que possua servios na rede, sobrecarregando seu uso de recursos e impactando diretamente no custo desta contratao.

Gerenciando o risco: Deve-se estabelecer no ato do contrato quais os recursos utilizados pelo provedor para mitigar um ataque de negao de servio , como por exemplo: inspeo de pacotes (deep packet analysis), estrangulamento de pacotes (traffic throttling), descarte de pacotes (blackholing), etc. Bem como, de quem a responsabilidade de monitorar a utilizao dos recursos.

2.10

Riscos jurdicos

2.10.1 Intimao, busca e apreenso

No caso de uma confiscao fsica do hardware devido a uma intimao por rgos de segurana ou aes cveis, a centralizao do armazenamento, bem como locao compartilhada significa que muitos clientes correm o risco de a

45

exposio de seus dados. Por outro lado, pode ser impossivel de confiscar um nuvem completa.

Gerenciando o risco: Como todos aspectos legais envolvendo tecnologia da informao, este ponto ainda confuso em todo o mundo. A utilizao de criptografia pode minimizar os danos desta situao, entretanto, com o crescimento da computao em nuvem, deve-se criar padres para estes tipos de investigaes, levando em conta a privacidade de outros usurios. Adicionalmente, a adoo de uma nuvem privada minimiza os riscos.

2.10.2 Mudana de jurisdio

Em uma estrutura de computao em nuvem, os dados podem mudar constantemente de jurisdio,onde algumas destas podem apresentar certos riscos. Por exemplo, se servidores estiverem localizados em pases de alto risco ( pases que no respeitam acordos internacionais, autocracias,etc) No caso de alguma disputa diplomtica, ou situao imprevisvel, os dados destes servidores podem ser confiscados.

Gerenciando o risco: O provedor de computao em nuvem deve ter transparncia ao informar em quais localidades tem atuao. Caso a organizao contratante julgue necessrio, pode incluir clusulas em contrato que especifique quais localidades seus dados iro transitar.

46

RECOMENDAES FINAIS

Adicionalmente aos principais riscos, a Cloud Security Aliance elaborou uma serie de recomendaes/pontos de ateno no processo de adoo e utilizao da computao em nuvem. Na seqncia encontram-se os julgados mais relevantes a questo da computao em nuvem:

2.11

Governana corporativa e aspectos legais

necessrio ter em mente que uma parte da reduo de custos decorrente da adoo de Computao em nuvem deve ser direcionada para o processo de migrao para computao em nuvem, bem como o de escolha do provedor;

O ponto inicial do processo de migrao para computao em nuvem deve ser classificando as informaes, servios, aplicaes, etc.

47

Para as classificaes crticas da organizao, a abordagem de gerenciamento de riscos deve incluir a identificao e avaliao de ativos, identificao e anlise de ameaas e vulnerabilidades e seu potencial impacto nos ativos (cenrios de riscos e incidentes).

Os

departamentos

de

segurana

devem

ser

envolvidos

no

desenvolvimento de planos de tratamento de riscos (controle, preveno, transferncia, aceitao). Posteriormente, o departamento jurdico deve ser envolvido para elaborar os termos contratuais dos planos de tratamento de riscos e acordos de servio (SLA).

Mtricas

padres

de

segurana

(particularmente

aquelas

relacionadas a requisitos legais e de conformidade) devem ser includas em qualquer acordo de nvel de servio (SLA) e contratos. Estas mtricas e padres devem ser documentadas e ser

demonstrveis (auditveis).

Deve-se estabelecer requisitos contratuais apropriados e controles tecnolgicos para coletar dados necessrios para informar as decises sobre os riscos informao (ex. uso da informao, controle de acesso, controles de segurana, localizao, etc.).

Assegure sua habilidade de conhecimento sobre a localizao geogrfica de armazenamento. Estipule isto em seus acordos em nvel de servio (SLA) e contratos. Garanta que controles apropriados relativos s restries de cada pas envolvido no servio estejam definidos e reforados.

48

O contrato de servios de nuvem deve permitir que o cliente ou terceiro designado monitore o desempenho do provedor de servios e teste as vulnerabilidades no sistema.

2.12

Auditoria

Deve-se analisar o impacto de mover dados e aplicaes para servios de computao em nuvem sobre as polticas e procedimentos da organizao. Os clientes devem avaliar quais polticas e procedimentos relacionados com normas tero de ser alterados. Exemplos de polticas e procedimentos impactados incluem relatrios de atividades, logs, reteno de dados, resposta a incidentes, controles de testes e polticas de privacidade.

Preparar evidncias de como cada exigncia est sendo cumprida. Coletar evidncias de conformidade atravs da multiplicidade de regulamentos e de requisitos um desafio. Clientes dos servios de computao em nuvem devem desenvolver processos para coletar e armazenar evidncias de conformidade, incluindo logs de auditoria e relatrios de atividades, cpias das configuraes dos sistemas, relatrios de gesto de mudanas e resultados de outros

procedimentos de teste. Dependendo do modelo de servio o provedor pode precisar fornecer muitas dessas informaes

Opte por provedores de computao em nuvem com certificao (Por exemplo SAS 70 Tipo II, ou novas certificaes que viro a surgir) . Os provedores devem ter, no mnimo, estas homologaes, pois ela

49

proporcionar um ponto de referncia reconhecido para auditores e avaliadores.

2.13

Portabilidade e Interoperabilidade

As organizaes devem considerar na adoo de um provedor de computao em nuvem, que eventualmente haja a necessidade de mudar de provedor. Por este motivo deve-se optar por provedores que ofeream essa possibilidade. (vide os riscos de dependncia de um fornecedor)

2.14

Continuidade de Negcios, Recuperao de Desastres e Incidentes

Clientes precisam confirmar que o provedor possui uma poltica de plano de continuidade de negcios aprovada pelo conselho de administrao do provedor. Bem como obter evidncias do apoio efetivo da gesto e reviso peridica do programa de continuidade de negcios para garantir que este esteja ativo.

O plano de recuperao de desastres do cliente deve considerar uma falha catastrfica no ambiente em nuvem e ter alternativas para essa situao.

Clientes de computao em nuvem precisam definir claramente e comunicar aos provedores o que eles consideram incidentes (tais como roubo de dados) versus meros eventos (tais como alertas de suspeita de intruso) antes de implementar o servio.

50

Clientes de computao em nuvem devem investigar quais ferramentas de deteco e anlise de incidentes o provedor utiliza para garantir que eles sejam compatveis com seus prprios sistemas. Um formato de log proprietrio ou incomum poderia ser um grande problema em investigaes conjuntas, particularmente aqueles que envolvam

questes legais ou interveno governamental.

51

CONCLUSO A computao em nuvem ir continuar em crescimento e impactando a tecnologia e as organizaes. Como demonstrado no presente trabalho de concluso de curso, muitos so os benefcios oferecidos por essa nova e poderosa tecnologia, entretanto, mostra-se necessrio um adequado planejamento do que ser migrado para nuvem, dos riscos envolvidos e de estratgias para gerencilos, garantindo que todo o processo permanea em linha com os planos da organizao.

52

REFERNCIAS BIBLIOGRFICAS ARMBRUST, M, Fox, A., Griffith, R., Anthony D. Joseph, Randy Katz, Andy Konwinski, Gunho Lee, David Patterson, Ariel Rabkin, Ion Stoica, and Matei Zaharia - Above the Clouds: A Berkeley View of Cloud Computing UC Berkeley Reliable Adaptive Distributed Systems Laboratory - February 10, 2009, disponivel em: < http://citeseerx.ist.psu.edu/viewdoc/download? doi=10.1.1.149.7163&rep=rep1&type=pdf>, acessado em 01/maio/2011 s 16h06. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Citao: NBR-10520/ago 2002. Rio de Janeiro: ABNT, 2002. _____________________________________________. 6023/ago. 2002. Rio de Janeiro: ABNT, 2002. CASTRO, Rita de C. C; Sousa,Vernica L.Pimentel , Segurana em Cloud Computing: Governana e Gerenciamento de Riscos de Segurana, disponvel em < http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740Seguranca%20em %20Cloud.pdf>, acessado em 01/maio/2011 s 17h32. Cloud Security Alliance (CSA), Security Guidance for Critical Areas of Focus in Cloud s 22h30. European Network and Information Security Agency (ENISA), Cloud Computing Risk Assesements,Novembro 2010, Disponvel em:< http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment> acesso em 08/maro/2011 s 21h35. Information System Audit and Control Association (ISACA), Computao em nuvem: benefcios para o negcio com perspectivas de segurana, governana e qualidade, 2009, Disponvel em < http://www.isaca.org/Knowledgeacesso em 08/ Center/Research/ResearchDeliverables/Pages/Cloud-Computing-Business-BenefitsWith-Security-Governance-and-Assurance-Perspective.aspx> maro/2011 s 21h00. Computing, Dezembro 2009, Disponvel em: <www.cloudsecurityalliance.org/guidance/csaguide.pdf >, acesso em 08/ maro/2011 Referncias: NBR-

53

Information System Audit and Control Association (ISACA), 2010 ISACA IT Risk/Reward BarometerChina/Hong Kong,Disponivel em < http://www.isaca.org/About-ISACA/Press-room/News-Releases/2010/Pages/ISACAUS-IT-Risk-Reward-Barometer-Survey.aspx> acesso em 01/abril/2011 s 10h15. Jericho Frum, Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration, 01/abril/2011 s 10h15. National Institute of Standart and Technology (NIST), The NIST definition of cloud computing (draft), Disponivel em: http://csrc.nist.gov/publications/drafts/800145/Draft-SP-800-145_cloud-definition.pdf, acesso em 05/abril/2011 s 20h15. disponivel acesso em: em http://www.opengroup.org/jericho/cloud_cube_model_v1.0.pdf,