A Segurança na Preservação e Uso das Informações na

A SEGURANÇA NA PRESERVAÇÃO E USO DAS INFORMAÇÕES NA
COMPUTAÇÃO NAS NUVENS
Ricardo José Gouveia CARNEIRO (1); Cleisson Christian Lima da Costa RAMOS (2)
(1) FATEC - Faculdade de Tecnologia de João Pessoa, e-mail: [email protected]
(2) FATEC - Faculdade de Tecnologia de João Pessoa, e-mail: [email protected]
RESUMO
Na atual era do conhecimento, a informação tornou-se o “ativo” mais valioso das empresas, e a segurança
dessa informação, um fator primordial. A Tecnologia da Informação avançou rapidamente em pouco tempo
as empresas utilizam estes avanços tecnológicos para melhorar as operações organizacionais e o potencial
de mercado. A Computação nas Nuvens ou Cloud Computing é considerada uma evolução natural da
computação atual e onde, a cada dia, empresas investem em ritmo crescente nesta tecnologia. Uma das
principais vantagens é a virtualização de produtos e serviços computacionais, proporcionando uma redução
dos altos custos com tecnologia e infra-estrutura local, além disso, as empresas ganham praticidade e
versatilidade, pois os serviços são obtidos de maneira mais fácil e transparente. No entanto, pairam diversos
questionamentos sobre esse novo paradigma. Como garantir que dados e informações estarão protegidos e
preservados? Será que podemos confiar nas empresas que fornecem a Computação nas Nuvens? E o sigilo
dos dados? Em meio a tantas dúvidas, nota-se que a grande preocupação é com a Segurança da Informação.
Este artigo tem por fim apresentar os conceitos, modelos e tecnologias da Computação nas Nuvens, bem
como, relacionar os principais desafios para uso desta tecnologia. Neste artigo utilizou-se como principal
meio de estudo a análise de obras relacionadas ao tema proposto, além da pesquisa qualitativa com
abordagem exploratória.
Palavras-chave: Computação nas Nuvens, segurança da informação, virtualização.
ABSTRACT
In the current era of knowledge, information has become the "active" more valuable business, and security
of that information, a factor paramount. Information Technology has advanced rapidly in a short time and
companies use these technological advances to improve organizational operations and market potential. The
Cloud Computing or Cloud Computing is considered a natural evolution of modern computing and where,
every day, companies invest intensively in this technology.
One of the main advantages is the virtualisation of products and services computer, providing a reduction of
the high costs technology and local infrastructure, in addition, companies gain practicality and versatility, as
the services are obtained in a more easy and transparent. However, several questions hanging over this new
paradigm. How to ensure that data and information will protected and preserved? Can we trust the
companies that provide cloud computing? And the secrecy of the data? Amidst all doubt, noticed that the
big concern is with the Security Information. This article is intended to present the concepts, models and
technologies for Cloud Computing, as well as relating the key challenges for use of this technology. This
article was used as primary means of study the analysis of works related to the theme proposed, in addition
to qualitative research, with an exploratory approach.
Keywords: Cloud computing, information security, virtualization.
1.
INTRODUÇÃO
A utilização dos computadores e o uso da Internet tornaram-se nas últimas décadas parte integrante no
modo de vida das pessoas. Com a evolução constante das tecnologias computacionais e das
telecomunicações que estão disponibilizando o acesso à Internet cada vez mais amplo e mais rápido. Em
países desenvolvidos como Japão, Alemanha e Estados Unidos, é possível ter acesso rápido à Internet
pagando muito pouco, criando um cenário perfeito para a popularização da Computação nas Nuvens,
embora esse conceito esteja se tornando conhecido no mundo todo, inclusive no Brasil.
Com a Computação nas Nuvens, muitos aplicativos dos usuários, assim como seus arquivos, não precisam
mais estarem instalados ou armazenados em seu computador. Eles ficam disponíveis na "nuvem", isto é, na
Internet. Ao fornecedor da aplicação cabe todas as tarefas de desenvolvimento, armazenamento,
manutenção, atualização, backup, etc. O usuário não precisa se preocupar com nada disso, apenas como
acessar e usar.
A conectividade oferecida pela Internet também introduziu uma série de facilidades no dia-a-dia das
pessoas, como: downloads, games on-line, shopping on-line, transações financeiras e a própria World Wide
Web, dentre muitas outras, permitindo o acesso quase que anônimo a quase todos os tipos de informações.
Sabe-se que no mundo “real” não existem sistemas totalmente seguros e o mundo “virtual” segue esse
mesmo preceito. Por maior que seja a proteção adotada, o usuário sempre estará sujeito a invasões, roubos e
ataques.
Apesar dos benefícios de captar a computação nas nuvens de alguém, existem armadilhas potenciais. Uma
delas é a segurança. Você deve confiar em um estranho para proteger seus aplicativos e informações neles
contidas?
Há um imenso potencial na Computação nas Nuvens, e a longo prazo poderá ser o paradigma dominante de
uso de Tecnologia da Informação, mas ainda precisa evoluir bastante nas questões de segurança e
interoperabilidade. Mas, é questão de tempo e maturidade.
2.
A INFORMAÇÃO
O conceito, a noção que temos de informação é bem vago e intuitivo. A palavra “informação”, segundo
Teixeira (2005), sempre foi ambígua e liberalmente empregada para definir diversos conceitos. Os
dicionários registram que a palavra tem sua raiz no latim informare, que significa “a ação de formar
matéria, tal como pedra, madeira, couro etc.” A definição mais comum é : “a ação de informar; formação ou
moldagem da mente ou do caráter, treinamento, instrução, ensinamento, comunicação de conhecimento
instrutivo”.
Conforme a International Organization for Standardization (ISO/IEC 17799, 2005), a informação pode
existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente,
transmitida pelo correio ou por meios eletrônicos, apresentada em filmes ou falada em conversas. Seja qual
for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é
recomendado que ela seja sempre protegida adequadamente.
3.
SEGURANÇA DA INFORMAÇÃO
A Internet tem revolucionado o mundo das comunicações como nenhuma invenção foi capaz de fazer antes.
Ela é, de uma vez e ao mesmo tempo, um mecanismo de disseminação da informação e divulgação mundial
e um meio para colaboração e interação entre indivíduos e seus computadores, independentemente de suas
localizações geográficas.
Já a Segurança da informação pode ser definida como um conjunto de medidas que se constituem
basicamente de controles e políticas de segurança, tendo como principal objetivo a proteção das
informações de clientes e empresa (bens/ativos), controlando o risco de revelação ou alteração por pessoas
não autorizadas.
Na figura 1.0, logo abaixo, é contextualizado os três princípios básicos da Segurança da Informação:
Confidencialidade, Integridade e Disponibilidade.
Figura 1.0 – Princípios da Segurança da Informação.
Além dos três princípios básicos, existem outros princípios que devem ser seguidos conforme a figura 1.1:
Figura 1.1 – Princípios Auxiliares da Segurança da Informação.
3.1. – Principais Ameaças
De acordo com Cunha (2005), podemos definir ameaças como sendo agentes ou condições que causam
incidentes que comprometem as informações e seus ativos por meio da exploração de vulnerabilidades.
As ameaças, quanto a sua intencionalidade, podem ser divididas nos seguintes grupos:
•
Naturais: são decorrentes de fenômenos da natureza, como incêndios, enchentes, terremotos,
tempestades eletromagnéticas, maremotos, aquecimento e poluição.
•
Involuntárias: são ameaças inconscientes, quase sempre causadas pelo desconhecimento, elas
podem ser causadas por acidentes, erros, faltas de energia e etc.
•
Voluntárias: são propositais, causadas por agentes humanos como hackers, invasores, espiões,
ladrões e etc.
3.2. – Necessidade de Segurança da Informação
Diariamente as organizações, seus sistemas e redes de computadores são expostos a diversos tipos de
ameaças a segurança das informações.
A International Organization for Standardization (ISO/IEC 17799, 2005), afirma que a segurança da
informação é importante para os negócios, tanto do setor público quanto o privado, e para proteger as infraestruturas críticas A interconexão de redes públicas e privadas e o compartilhamento de recursos de
informação aumentam a dificuldade de se controlar o acesso.
Muitos sistemas de informação não foram projetados para serem
seguros. A segurança da informação que pode ser alcançada por meios
técnicos é limitada e deve ser apoiada por uma gestão e por procedimentos
apropriados. (ISO/IEC 17799, 2005)
Atualmente, numa era onde o conhecimento e a informação são fatores de suma importância para qualquer
indivíduo, organização ou nação, a Segurança da Informação é um pré-requisito para todo e qualquer
sistema de informações estarem, de certa forma, protegidos.
3.3. – Segurança Lógica
A norma técnica NBR ISSO/IEC 17799 - Código de Prática para a Segurança da Informação, estabelece que
as regras para concessão de acesso devam ser baseadas na premissa “Tudo deve ser proibido a menos que
expressamente permitido”, ao invés da regra “Tudo é permitido a menos que expressamente proibido”.
Ferreira (2003) define que o controle de acesso lógico procura assegurar que só os usuários que tenham
autorização possam acessar aos recursos, como também, ter acesso apenas aos recursos realmente
indispensáveis para a execução de suas atividades. Os usuários sejam impedidos de efetuar tarefas que não
sejam compatíveis com a sua função e o acesso a recursos sendo constantemente monitorado e restrito.
O controle para o acesso dos usuários pode ser diminuído em termos de funções de identificação e
autenticação, monitoramento e gerenciamento de privilégios, limitação e desabilitação de acessos e na
prevenção de acessos não autorizados. Os controles de acessos podem ser feitos nos processos de logon,
identificação e autenticação do usuário, controle de senhas de acesso e sistemas biométricos.
3.4. – Prejuízos causados com a ausência da Segurança da Informação
Uma parada repentina nos sistemas informatizados de uma empresa pode comprometer seus negócios
ocasionando prejuízos financeiros, como também, afetando a credibilidade perante seus clientes e o
mercado. Principalmente se essa parada for ocasionada por algum tipo de ataque bem sucedido que teve por
objetivo o captura das informações da empresa.
Ferreira (2003) afirma que alguns dos maiores riscos que uma empresa está vulnerável pela falta de um
nível adequado de segurança de informações são:
•
Perdas por fraudes e erros;
•
Imagem e credibilidade podendo ser afetadas;
•
Vazamento de informações;
•
Indisponibilidade da informação; e outros.
4.
COMPUTAÇÃO NAS NUVENS
A Computação nas Nuvens ou Cloud Computing se refere, à ideia de utilizarmos, em qualquer lugar e
independentemente de plataforma, as mais variadas aplicações atrás da Internet.
Seu conceito ainda é nublado, mas conforme Santos e Meneses (2009) pode-se definir como a virtualização
de produtos e serviços computacionais, ou seja, é uma maneira de armazenar todas as informações em
servidores virtuais chamados de “nuvem”, onde há uma tendência mundial para este modelo, não
necessitando de máquinas velozes com um grande potencial de hardware e sim de um simples computador
conectado à Internet para rodar todos os aplicativos.
A ideia de Computação nas Nuvens certamente não é uma novidade, mas a forma de implementá-la é um
tanto inovadora. Grandes empresas estão investindo nessa nova tecnologia, onde atualmente destacam-se:
Google, IBM, Amazon, Dell, HP e Microsoft.
4.1. – Características
Alecrim (2008) destaca as principais características da Computação nas Nuvens:
•
Acesso à aplicações independente de sistema operacional ou hardware;
•
O usuário não precisará se preocupar com a estrutura para execução da aplicação: hardware,
backup, controle de segurança, manutenção, entre outros, ficam a cargo do fornecedor de serviço;
•
Compartilhamento de dados e trabalho colaborativo se tornam mais fáceis, uma vez que todos os
usuários acessam as aplicações e os dados do mesmo lugar;
•
Dependendo do fornecedor, o usuário pode contar com alta disponibilidade, já que, se por exemplo,
um servidor parar de funcionar, os demais que fazem parte da estrutura continuam a oferecer o
serviço.
Já Souza et al. (2009) identifica outras características relevantes, como:
•
Self-service sob demanda. Onde o usuário pode adquirir unilateralmente recurso computacional,
como tempo de processamento no servidor ou armazenamento na rede na medida em que necessite e
sem precisar de interação humana com os provedores de cada serviço.
•
Amplo acesso. Os recursos são disponibilizados por meio da rede e acessados através de
mecanismos padronizados que possibilitam o uso por plataformas thin ou thin client, tais como
celulares, laptops e PDAs;
•
Serviço medido. Sistemas em nuvem automaticamente controlam e otimizam o uso de recursos por
meio de uma capacidade de medição. A automação é realizada em algum nível de abstração
apropriado para o tipo de serviço, tais como armazenamento, processamento, largura de banda e
contas de usuário ativas.
4.2. – Modelos de Serviços
Em ambientes de Computação nas Nuvens, conforme Souza et al. (2009) afirma, podem-se ter três modelos
de serviços. Estes modelos são muito importantes, pois definem um padrão arquitetural para as soluções de
Computação nas Nuvens.
4.2.1 – Software como Serviço (SaaS)
O SaaS, pode ser definido, de acordo com a MSDN (Microsoft Developer Network), como um software
implantado como serviço hospedado, acessado através da Internet.
Um mesmo software pode ser utilizado por múltiplos usuários, sejam pessoas ou empresas. Esse tipo de
serviço é executado e disponibilizado por servidores em Servidores de responsabilidade de uma empresa
desenvolvedora, ou seja, o software é desenvolvido por uma empresa que ao invés de vendê-lo ou usá-lo
para beneficio exclusivo, disponibiliza-o a um custo baixo a uma grande quantidade de usuários.
(AULBACH, 2009 aput Nogueira, 2009)
4.2.2 – Plataforma como Serviço (PaaS)
Esse tipo de serviço disponibiliza servidores virtualizados nos quais os utilizadores podem executar
aplicações existentes ou desenvolver novas aplicações, sem ter que se preocupar com a manutenção dos
sistemas operativos, servidores, balanceamento de cargas ou capacidade de computação.
Chirigati (2009) afirma que objetivo do PaaS é facilitar o desenvolvimento de aplicações destinadas aos
usuários de uma nuvem, criando uma plataforma que agiliza esse processo.
4.2.3 – Infra-estrutura como Serviço (IaaS)
Disponibiliza grids ou ‘clusters’ ou servidores virtualizados, redes, armazenamento e software de sistemas
desenhados para aumentar ou substituir as funções de um centro de dados.
Para Amrhein e Quint (2009) os serviços de infraestrutura abordam o problema de equipar de forma
apropriada os datacenters, assegurando o poder de computação quando necessário. Além disso, devido ao
fato das técnicas de virtualização serem comumente empregados nesse camada, economias de custos
decorrentes da utilização mais eficiente de recursos podem ser percebidas.
4.3. – Desafios
A Computação nas Nuvens oferece inúmeras vantagens, mas também possui uma série de desafios a serem
superados na utilização desse tipo de tecnologia. Dentre eles, podemos citar:
4.3.1 - Segurança
O maior desafio a ser enfrentado pela Computação nas Nuvens é a segurança. Para entender os potenciais
riscos de segurança, as empresas devem fazer uma avaliação completa de um serviço de nuvem começando com a rede, checando as operações do fornecedor e desenvolvendo o aplicativo em nuvem.
Em um relatório do Gartner (2008, aput Brodkin, 2008), há um alerta para sete principais riscos de
segurança na utilização de Computação nas Nuvens:
1. Acesso privilegiado de usuários. Dados sensíveis sendo processados fora da empresa trazem,
obrigatoriamente, um nível inerente de risco. Os serviços terceirizados fogem de controles “físicos,
lógicos e de pessoal” que as áreas de TI criam em casa.
2. Compliance com regulamentação. As empresas são as responsáveis pela segurança e integridade
de seus próprios dados, mesmo quando essas informações são gerenciadas por um provedor de
serviços.
3. Localização dos dados. Quando uma empresa está usando o cloud, ela provavelmente não sabe
exatamente onde os dados estão armazenados. Na verdade, a empresa pode nem saber qual é o país
em que as informações estão guardadas.
4. Segregação dos dados. Dados de uma empresa na nuvem dividem tipicamente um ambiente com
dados de outros clientes. A criptografia é efetiva, mas não é a cura para tudo. “Descubra o que é
feito para separar os dados,” aconselha o Gartner.
5. Recuperação dos dados. Mesmo se a empresa não sabe onde os dados estão, um fornecedor em
cloud devem saber o que acontece com essas informações em caso de desastre.
6. Apoio à investigação. A investigação de atividades ilegais pode se tornar impossível em cloud
computing, alerta o Gartner. “Serviços em cloud são especialmente difíceis de investigar, por que o
acesso e os dados dos vários usuários podem estar localizado em vários lugares, espalhados em uma
série de servidores que mudam o tempo todo. Se não for possível conseguir um compromisso
contratual para dar apoio a formas específicas de investigação, junto com a evidência de que esse
fornecedor já tenha feito isso com sucesso no passado.”, alerta.
7. Viabilidade em longo prazo. No mundo ideal, o seu fornecedor de cloud computing jamais vai
falir ou ser adquirido por uma empresa maior. Mas a empresa precisa garantir que os seus dados
estarão disponíveis caso isso aconteça. “Pergunte como você vai conseguir seus dados de volta e se
eles vão estar em um formato que você pode importá-lo em uma aplicação substituta,” completa o
Gartner.
A preocupação nesse aspecto fez com que a entidade Cloud Security Alliance (CSA) lançasse a segunda
versão de um documento com orientações para segurança nas nuvens (www.cloudsecurityalliance.org)
4.3.2 – Disponibilidade dos Serviços
O que acontecerá quando a conexão estiver lenta ou simplesmente cair? É aí que vem a tempestade. Para
Almeida (2009), com tudo rodando na Internet, teremos grandes problemas, pelo menos aqui no Brasil com
questões como a conexão e com a estabilidade da Internet.
4.3.3 – Centralização dos Dados
A Internet foi desenvolvida com a finalidade de se dar o fim na centralização dos dados. Em plena guerra, o
bombardeio às centrais de servidores poderiam deixar os Estados Unidos sem comunicação.
“O problema é a centralização mesmo. No caso de um ataque de
hackers (ou terrorista de carne e osso) às centrais de servidores do Google, os
146 milhões de usuários do Gmail teriam uma grande dor de cabeça. Moral
da história: a computação em nuvem é muito melhor e mais confortável que a
de antes. Mas também é menos segura” (REVISTA SUPER
INTERESSANTE, edição 273, 2009)
E o que vemos no desenvolvimento da Computação nas Nuvens? O retorno na centralização dos dados!
Com isso, fica tentadora ataques direcionais a tais datacenters, pois haverá uma enorme quantidade de
informações. Devido a isso, serão visadas por pessoas mal intencionadas utilizando-se, ou não, de pestes
virtuais, comprometendo assim, a qualidade da “nuvem”.
5.
CONSIDERAÇÕES FINAIS
Há uma ampla discussão na comunidade científica em torno deste assunto. Profissionais de TI se dividem ao
afirmarem que a Computação nas Nuvens será o paradigma do futuro, mas a preocupação de todos é
universal: segurança.
As empresas envolvidas na oferta da Computação nas Nuvens têm alguns desafios, como segurança e
confiabilidade. Para que o usuário realmente “entregue” seus sistemas e arquivos para a "nuvem", as
empresas precisam garantir que o usuário terá tais sistemas e arquivos devidamente protegidos e disponíveis
para acesso imediato.
Muitas vezes, empresas espalham seus servidores em diversos locais, longe do conhecimento do próprio
usuário ou cliente, o que traz um problema pequeno para o usuário comum, mas uma preocupação
necessária para médias e grandes empresas. Dados armazenados em outro país estão sujeitos a outra
legislação, o que acarreta em mudanças jurídicas e até mesmo na possibilidade da quebra do sigilo dos
dados armazenados.
O backup, por exemplo, passará a ser realizado pelas empresas prestadoras do serviço, o que exige cautela e
a certeza de que além de ser feito, a política de backup do prestador inclua a cópia dos dados em mais de um
local.
Com tudo isso, entendemos que apesar de ser vantajoso fazer parte desta tecnologia, ainda parece seguro
manter aplicativos no disco rígido do computador ou no centro de tecnologia da própria empresa, afinal,
quem garante que não ocorrerá uma tempestade nas nuvens?
5. REFERÊNCIAS
ABNT, NBR ISO/IEC 17799. Tecnologia da Informação: código de prática para a gestão da segurança
da informação. ABNT, 2005.
ALECRIM, Emerson. O que é Cloud Computing (Computação nas Nuvens)?. Disponível em:
<http://www.infowester.com/cloudcomputing.php>. Acessado em: 21 dez 2009.
ALMEIDA, Juliana. Todos sob as nuvens: uma nova visão sobre a informática. Disponível em:
<http://comunicacao2.0.vixtime.com.br/?tag=computacao-nas-nuvens>. Acessado em: 03 jan 2010.
AMRHEIN, Dustin; QUINT, Scott. Computação em Nuvem para a Empresa: Parte 1: Capturando a
Nuvem. Disponível em: <http://www.ibm.com/developerworks/br/websphere/techjournal/0904_amrhein/
0904_amrhein.html>. Acessado em: 15 jan 2010.
BRODKIN, Jon. Conheça sete dos riscos de segurança em Cloud Computing. Disponível em:
<http://cio.uol.com.br/gestao/2008/07/11/conheca-sete-dos-riscos-de-seguranca-em-cloud-computing>.
Acessado em: 13 jan 2010.
CUNHA, Meire Jane Marcelo (2005). Proposta de documentação para subsidiar as atividades de
implantação da Segurança da Informação. Disponível em: <http://www.acso.uneb.br/marcosimoes/
TrabalhosOrientados/CUNHA2005.pdf>. Acessado em: 07 jul 2009.
CHIRIGATI,
Fernando
Seabra.
Computação
em
Nuvem.
Disponível
em:
<http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2009_2/seabra/index.html>. Acessado em 29 dez 2009.
FERREIRA, Fernando Nicolau Freitas. Segurança da informação. 2003 – Rio de Janeiro – Editora Ciência
Moderna.
NOGUEIRA, Matheus Cadori; PEZZI, Daniel da Cunha. A computação agora é nas nuvens. Disponível
em:
<http://under-linux.org/blogs/mcadori/attachments/64d1257953490-artigo-sobre-cloud-computingcloud-computing.pdf>. Acessado em: 20 dez 2009.
SANTOS, Bruno Carvalho dos; MENESES, Francisco Gerson Amorim de. Cloud Computing: conceitos,
oportunidades
e
desafios
da
nova
computação.
Disponível
em:
<http://www.cefetparnaiba.edu.br/index.php?option=com_docman&task=doc_download&gid=277&Itemid
=79>. Acessado em: 02 dez 2009.
SOUZA, Flávio R. C.; MOREIRA, Leandro O.; MACHADO, Javam C. Computação em Nuvem:
Conceitos,
Tecnologias,
Aplicações
e
Desafios.
Disponível
em:
<www.ufpi.br/ercemapi/arquivos/file/minicurso/mc7.pdf>. Acessado em: 25 dez 2009.
TAURION, Cezar. Cloud Computing: Computação em Nuvem: Transformando o Mundo da
Tecnologia da Informação. 2009 – Rio de Janeiro – Editora Brasport.
TEIXEIRA, Gilberto. As ambiguidades do conceito de Informação. Disponível em:
<http://www.serprofessoruniversitario.pro.br/ler.php?modulo=22&texto=1385>. Acessado em: 04 dez 2009.