A SEGURANA NA PRESERVAO E USO DAS INFORMAES NA COMPUTAO NAS NUVENS

Ricardo Jos Gouveia CARNEIRO (1); Cleisson Christian Lima da Costa RAMOS (2)
(1) FATEC - Faculdade de Tecnologia de Joo Pessoa, e-mail: ricardo.jgc88@gmail.com (2) FATEC - Faculdade de Tecnologia de Joo Pessoa, e-mail: cleissonr@gmail.com

RESUMO

Na atual era do conhecimento, a informao tornou-se o ativo mais valioso das empresas, e a segurana dessa informao, um fator primordial. A Tecnologia da Informao avanou rapidamente em pouco tempo as empresas utilizam estes avanos tecnolgicos para melhorar as operaes organizacionais e o potencial de mercado. A Computao nas Nuvens ou Cloud Computing considerada uma evoluo natural da computao atual e onde, a cada dia, empresas investem em ritmo crescente nesta tecnologia. Uma das principais vantagens a virtualizao de produtos e servios computacionais, proporcionando uma reduo dos altos custos com tecnologia e infra-estrutura local, alm disso, as empresas ganham praticidade e versatilidade, pois os servios so obtidos de maneira mais fcil e transparente. No entanto, pairam diversos questionamentos sobre esse novo paradigma. Como garantir que dados e informaes estaro protegidos e preservados? Ser que podemos confiar nas empresas que fornecem a Computao nas Nuvens? E o sigilo dos dados? Em meio a tantas dvidas, nota-se que a grande preocupao com a Segurana da Informao. Este artigo tem por fim apresentar os conceitos, modelos e tecnologias da Computao nas Nuvens, bem como, relacionar os principais desafios para uso desta tecnologia. Neste artigo utilizou-se como principal meio de estudo a anlise de obras relacionadas ao tema proposto, alm da pesquisa qualitativa com abordagem exploratria. Palavras-chave: Computao nas Nuvens, segurana da informao, virtualizao.

ABSTRACT

In the current era of knowledge, information has become the "active" more valuable business, and security of that information, a factor paramount. Information Technology has advanced rapidly in a short time and companies use these technological advances to improve organizational operations and market potential. The Cloud Computing or Cloud Computing is considered a natural evolution of modern computing and where, every day, companies invest intensively in this technology.

One of the main advantages is the virtualisation of products and services computer, providing a reduction of the high costs technology and local infrastructure, in addition, companies gain practicality and versatility, as the services are obtained in a more easy and transparent. However, several questions hanging over this new paradigm. How to ensure that data and information will protected and preserved? Can we trust the companies that provide cloud computing? And the secrecy of the data? Amidst all doubt, noticed that the big concern is with the Security Information. This article is intended to present the concepts, models and technologies for Cloud Computing, as well as relating the key challenges for use of this technology. This article was used as primary means of study the analysis of works related to the theme proposed, in addition to qualitative research, with an exploratory approach. Keywords: Cloud computing, information security, virtualization.

1.

INTRODUO

A utilizao dos computadores e o uso da Internet tornaram-se nas ltimas dcadas parte integrante no modo de vida das pessoas. Com a evoluo constante das tecnologias computacionais e das telecomunicaes que esto disponibilizando o acesso Internet cada vez mais amplo e mais rpido. Em pases desenvolvidos como Japo, Alemanha e Estados Unidos, possvel ter acesso rpido Internet pagando muito pouco, criando um cenrio perfeito para a popularizao da Computao nas Nuvens, embora esse conceito esteja se tornando conhecido no mundo todo, inclusive no Brasil. Com a Computao nas Nuvens, muitos aplicativos dos usurios, assim como seus arquivos, no precisam mais estarem instalados ou armazenados em seu computador. Eles ficam disponveis na "nuvem", isto , na Internet. Ao fornecedor da aplicao cabe todas as tarefas de desenvolvimento, armazenamento, manuteno, atualizao, backup, etc. O usurio no precisa se preocupar com nada disso, apenas como acessar e usar. A conectividade oferecida pela Internet tambm introduziu uma srie de facilidades no dia-a-dia das pessoas, como: downloads, games on-line, shopping on-line, transaes financeiras e a prpria World Wide Web, dentre muitas outras, permitindo o acesso quase que annimo a quase todos os tipos de informaes. Sabe-se que no mundo real no existem sistemas totalmente seguros e o mundo virtual segue esse mesmo preceito. Por maior que seja a proteo adotada, o usurio sempre estar sujeito a invases, roubos e ataques. Apesar dos benefcios de captar a computao nas nuvens de algum, existem armadilhas potenciais. Uma delas a segurana. Voc deve confiar em um estranho para proteger seus aplicativos e informaes neles contidas? H um imenso potencial na Computao nas Nuvens, e a longo prazo poder ser o paradigma dominante de uso de Tecnologia da Informao, mas ainda precisa evoluir bastante nas questes de segurana e interoperabilidade. Mas, questo de tempo e maturidade.

2.

A INFORMAO

O conceito, a noo que temos de informao bem vago e intuitivo. A palavra informao, segundo Teixeira (2005), sempre foi ambgua e liberalmente empregada para definir diversos conceitos. Os dicionrios registram que a palavra tem sua raiz no latim informare, que significa a ao de formar matria, tal como pedra, madeira, couro etc. A definio mais comum : a ao de informar; formao ou moldagem da mente ou do carter, treinamento, instruo, ensinamento, comunicao de conhecimento instrutivo. Conforme a International Organization for Standardization (ISO/IEC 17799, 2005), a informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente.

3.

SEGURANA DA INFORMAO

A Internet tem revolucionado o mundo das comunicaes como nenhuma inveno foi capaz de fazer antes. Ela , de uma vez e ao mesmo tempo, um mecanismo de disseminao da informao e divulgao mundial e um meio para colaborao e interao entre indivduos e seus computadores, independentemente de suas localizaes geogrficas. J a Segurana da informao pode ser definida como um conjunto de medidas que se constituem basicamente de controles e polticas de segurana, tendo como principal objetivo a proteo das informaes de clientes e empresa (bens/ativos), controlando o risco de revelao ou alterao por pessoas no autorizadas. Na figura 1.0, logo abaixo, contextualizado os trs princpios bsicos da Segurana da Informao: Confidencialidade, Integridade e Disponibilidade.

Figura 1.0 Princpios da Segurana da Informao.

Alm dos trs princpios bsicos, existem outros princpios que devem ser seguidos conforme a figura 1.1:

Figura 1.1 Princpios Auxiliares da Segurana da Informao.

3.1. Principais Ameaas

De acordo com Cunha (2005), podemos definir ameaas como sendo agentes ou condies que causam incidentes que comprometem as informaes e seus ativos por meio da explorao de vulnerabilidades. As ameaas, quanto a sua intencionalidade, podem ser divididas nos seguintes grupos: Naturais: so decorrentes de fenmenos da natureza, como incndios, enchentes, terremotos, tempestades eletromagnticas, maremotos, aquecimento e poluio. Involuntrias: so ameaas inconscientes, quase sempre causadas pelo desconhecimento, elas podem ser causadas por acidentes, erros, faltas de energia e etc. Voluntrias: so propositais, causadas por agentes humanos como hackers, invasores, espies, ladres e etc.

3.2. Necessidade de Segurana da Informao

Diariamente as organizaes, seus sistemas e redes de computadores so expostos a diversos tipos de ameaas a segurana das informaes. A International Organization for Standardization (ISO/IEC 17799, 2005), afirma que a segurana da informao importante para os negcios, tanto do setor pblico quanto o privado, e para proteger as infraestruturas crticas A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso.
Muitos sistemas de informao no foram projetados para serem seguros. A segurana da informao que pode ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por procedimentos apropriados. (ISO/IEC 17799, 2005)

Atualmente, numa era onde o conhecimento e a informao so fatores de suma importncia para qualquer indivduo, organizao ou nao, a Segurana da Informao um pr-requisito para todo e qualquer sistema de informaes estarem, de certa forma, protegidos.

3.3. Segurana Lgica

A norma tcnica NBR ISSO/IEC 17799 - Cdigo de Prtica para a Segurana da Informao, estabelece que as regras para concesso de acesso devam ser baseadas na premissa Tudo deve ser proibido a menos que expressamente permitido, ao invs da regra Tudo permitido a menos que expressamente proibido. Ferreira (2003) define que o controle de acesso lgico procura assegurar que s os usurios que tenham autorizao possam acessar aos recursos, como tambm, ter acesso apenas aos recursos realmente indispensveis para a execuo de suas atividades. Os usurios sejam impedidos de efetuar tarefas que no sejam compatveis com a sua funo e o acesso a recursos sendo constantemente monitorado e restrito. O controle para o acesso dos usurios pode ser diminudo em termos de funes de identificao e autenticao, monitoramento e gerenciamento de privilgios, limitao e desabilitao de acessos e na preveno de acessos no autorizados. Os controles de acessos podem ser feitos nos processos de logon, identificao e autenticao do usurio, controle de senhas de acesso e sistemas biomtricos.

3.4. Prejuzos causados com a ausncia da Segurana da Informao

Uma parada repentina nos sistemas informatizados de uma empresa pode comprometer seus negcios ocasionando prejuzos financeiros, como tambm, afetando a credibilidade perante seus clientes e o mercado. Principalmente se essa parada for ocasionada por algum tipo de ataque bem sucedido que teve por objetivo o captura das informaes da empresa. Ferreira (2003) afirma que alguns dos maiores riscos que uma empresa est vulnervel pela falta de um nvel adequado de segurana de informaes so: Perdas por fraudes e erros; Imagem e credibilidade podendo ser afetadas; Vazamento de informaes; Indisponibilidade da informao; e outros.

4.

COMPUTAO NAS NUVENS

A Computao nas Nuvens ou Cloud Computing se refere, ideia de utilizarmos, em qualquer lugar e independentemente de plataforma, as mais variadas aplicaes atrs da Internet. Seu conceito ainda nublado, mas conforme Santos e Meneses (2009) pode-se definir como a virtualizao de produtos e servios computacionais, ou seja, uma maneira de armazenar todas as informaes em servidores virtuais chamados de nuvem, onde h uma tendncia mundial para este modelo, no necessitando de mquinas velozes com um grande potencial de hardware e sim de um simples computador conectado Internet para rodar todos os aplicativos. A ideia de Computao nas Nuvens certamente no uma novidade, mas a forma de implement-la um tanto inovadora. Grandes empresas esto investindo nessa nova tecnologia, onde atualmente destacam-se: Google, IBM, Amazon, Dell, HP e Microsoft.

4.1. Caractersticas Alecrim (2008) destaca as principais caractersticas da Computao nas Nuvens:
Acesso aplicaes independente de sistema operacional ou hardware; O usurio no precisar se preocupar com a estrutura para execuo da aplicao: hardware, backup, controle de segurana, manuteno, entre outros, ficam a cargo do fornecedor de servio;

Compartilhamento de dados e trabalho colaborativo se tornam mais fceis, uma vez que todos os usurios acessam as aplicaes e os dados do mesmo lugar; Dependendo do fornecedor, o usurio pode contar com alta disponibilidade, j que, se por exemplo, um servidor parar de funcionar, os demais que fazem parte da estrutura continuam a oferecer o servio.

J Souza et al. (2009) identifica outras caractersticas relevantes, como:

Self-service sob demanda. Onde o usurio pode adquirir unilateralmente recurso computacional, como tempo de processamento no servidor ou armazenamento na rede na medida em que necessite e sem precisar de interao humana com os provedores de cada servio. Amplo acesso. Os recursos so disponibilizados por meio da rede e acessados atravs de mecanismos padronizados que possibilitam o uso por plataformas thin ou thin client, tais como celulares, laptops e PDAs; Servio medido. Sistemas em nuvem automaticamente controlam e otimizam o uso de recursos por meio de uma capacidade de medio. A automao realizada em algum nvel de abstrao apropriado para o tipo de servio, tais como armazenamento, processamento, largura de banda e contas de usurio ativas.

4.2. Modelos de Servios

Em ambientes de Computao nas Nuvens, conforme Souza et al. (2009) afirma, podem-se ter trs modelos de servios. Estes modelos so muito importantes, pois definem um padro arquitetural para as solues de Computao nas Nuvens.

4.2.1 Software como Servio (SaaS)

O SaaS, pode ser definido, de acordo com a MSDN (Microsoft Developer Network), como um software implantado como servio hospedado, acessado atravs da Internet. Um mesmo software pode ser utilizado por mltiplos usurios, sejam pessoas ou empresas. Esse tipo de servio executado e disponibilizado por servidores em Servidores de responsabilidade de uma empresa desenvolvedora, ou seja, o software desenvolvido por uma empresa que ao invs de vend-lo ou us-lo para beneficio exclusivo, disponibiliza-o a um custo baixo a uma grande quantidade de usurios. (AULBACH, 2009 aput Nogueira, 2009)

4.2.2 Plataforma como Servio (PaaS)

Esse tipo de servio disponibiliza servidores virtualizados nos quais os utilizadores podem executar aplicaes existentes ou desenvolver novas aplicaes, sem ter que se preocupar com a manuteno dos sistemas operativos, servidores, balanceamento de cargas ou capacidade de computao.

Chirigati (2009) afirma que objetivo do PaaS facilitar o desenvolvimento de aplicaes destinadas aos usurios de uma nuvem, criando uma plataforma que agiliza esse processo. 4.2.3 Infra-estrutura como Servio (IaaS)
Disponibiliza grids ou clusters ou servidores virtualizados, redes, armazenamento e software de sistemas desenhados para aumentar ou substituir as funes de um centro de dados.

Para Amrhein e Quint (2009) os servios de infraestrutura abordam o problema de equipar de forma apropriada os datacenters, assegurando o poder de computao quando necessrio. Alm disso, devido ao fato das tcnicas de virtualizao serem comumente empregados nesse camada, economias de custos decorrentes da utilizao mais eficiente de recursos podem ser percebidas.

4.3. Desafios
A Computao nas Nuvens oferece inmeras vantagens, mas tambm possui uma srie de desafios a serem superados na utilizao desse tipo de tecnologia. Dentre eles, podemos citar:

4.3.1 - Segurana
O maior desafio a ser enfrentado pela Computao nas Nuvens a segurana. Para entender os potenciais riscos de segurana, as empresas devem fazer uma avaliao completa de um servio de nuvem - comeando com a rede, checando as operaes do fornecedor e desenvolvendo o aplicativo em nuvem. Em um relatrio do Gartner (2008, aput Brodkin, 2008), h um alerta para sete principais riscos de segurana na utilizao de Computao nas Nuvens: 1. Acesso privilegiado de usurios. Dados sensveis sendo processados fora da empresa trazem, obrigatoriamente, um nvel inerente de risco. Os servios terceirizados fogem de controles fsicos, lgicos e de pessoal que as reas de TI criam em casa. 2. Compliance com regulamentao. As empresas so as responsveis pela segurana e integridade de seus prprios dados, mesmo quando essas informaes so gerenciadas por um provedor de servios. 3. Localizao dos dados. Quando uma empresa est usando o cloud, ela provavelmente no sabe exatamente onde os dados esto armazenados. Na verdade, a empresa pode nem saber qual o pas em que as informaes esto guardadas. 4. Segregao dos dados. Dados de uma empresa na nuvem dividem tipicamente um ambiente com dados de outros clientes. A criptografia efetiva, mas no a cura para tudo. Descubra o que feito para separar os dados, aconselha o Gartner. 5. Recuperao dos dados. Mesmo se a empresa no sabe onde os dados esto, um fornecedor em cloud devem saber o que acontece com essas informaes em caso de desastre. 6. Apoio investigao. A investigao de atividades ilegais pode se tornar impossvel em cloud computing, alerta o Gartner. Servios em cloud so especialmente difceis de investigar, por que o acesso e os dados dos vrios usurios podem estar localizado em vrios lugares, espalhados em uma srie de servidores que mudam o tempo todo. Se no for possvel conseguir um compromisso contratual para dar apoio a formas especficas de investigao, junto com a evidncia de que esse fornecedor j tenha feito isso com sucesso no passado., alerta. 7. Viabilidade em longo prazo. No mundo ideal, o seu fornecedor de cloud computing jamais vai falir ou ser adquirido por uma empresa maior. Mas a empresa precisa garantir que os seus dados estaro disponveis caso isso acontea. Pergunte como voc vai conseguir seus dados de volta e se eles vo estar em um formato que voc pode import-lo em uma aplicao substituta, completa o Gartner. A preocupao nesse aspecto fez com que a entidade Cloud Security Alliance (CSA) lanasse a segunda verso de um documento com orientaes para segurana nas nuvens (www.cloudsecurityalliance.org)

4.3.2 Disponibilidade dos Servios

O que acontecer quando a conexo estiver lenta ou simplesmente cair? a que vem a tempestade. Para Almeida (2009), com tudo rodando na Internet, teremos grandes problemas, pelo menos aqui no Brasil com questes como a conexo e com a estabilidade da Internet.

4.3.3 Centralizao dos Dados

A Internet foi desenvolvida com a finalidade de se dar o fim na centralizao dos dados. Em plena guerra, o bombardeio s centrais de servidores poderiam deixar os Estados Unidos sem comunicao.
O problema a centralizao mesmo. No caso de um ataque de hackers (ou terrorista de carne e osso) s centrais de servidores do Google, os 146 milhes de usurios do Gmail teriam uma grande dor de cabea. Moral da histria: a computao em nuvem muito melhor e mais confortvel que a de antes. Mas tambm menos segura (REVISTA SUPER INTERESSANTE, edio 273, 2009)

E o que vemos no desenvolvimento da Computao nas Nuvens? O retorno na centralizao dos dados! Com isso, fica tentadora ataques direcionais a tais datacenters, pois haver uma enorme quantidade de informaes. Devido a isso, sero visadas por pessoas mal intencionadas utilizando-se, ou no, de pestes virtuais, comprometendo assim, a qualidade da nuvem.

5.

CONSIDERAES FINAIS

H uma ampla discusso na comunidade cientfica em torno deste assunto. Profissionais de TI se dividem ao afirmarem que a Computao nas Nuvens ser o paradigma do futuro, mas a preocupao de todos universal: segurana. As empresas envolvidas na oferta da Computao nas Nuvens tm alguns desafios, como segurana e confiabilidade. Para que o usurio realmente entregue seus sistemas e arquivos para a "nuvem", as empresas precisam garantir que o usurio ter tais sistemas e arquivos devidamente protegidos e disponveis para acesso imediato. Muitas vezes, empresas espalham seus servidores em diversos locais, longe do conhecimento do prprio usurio ou cliente, o que traz um problema pequeno para o usurio comum, mas uma preocupao necessria para mdias e grandes empresas. Dados armazenados em outro pas esto sujeitos a outra legislao, o que acarreta em mudanas jurdicas e at mesmo na possibilidade da quebra do sigilo dos dados armazenados. O backup, por exemplo, passar a ser realizado pelas empresas prestadoras do servio, o que exige cautela e a certeza de que alm de ser feito, a poltica de backup do prestador inclua a cpia dos dados em mais de um local. Com tudo isso, entendemos que apesar de ser vantajoso fazer parte desta tecnologia, ainda parece seguro manter aplicativos no disco rgido do computador ou no centro de tecnologia da prpria empresa, afinal, quem garante que no ocorrer uma tempestade nas nuvens?

5. REFERNCIAS
ABNT, NBR ISO/IEC 17799. Tecnologia da Informao: cdigo de prtica para a gesto da segurana da informao. ABNT, 2005. ALECRIM, Emerson. O que Cloud Computing (Computao nas Nuvens)?. Disponvel em: <http://www.infowester.com/cloudcomputing.php>. Acessado em: 21 dez 2009. ALMEIDA, Juliana. Todos sob as nuvens: uma nova viso sobre a informtica. Disponvel em: <http://comunicacao2.0.vixtime.com.br/?tag=computacao-nas-nuvens>. Acessado em: 03 jan 2010. AMRHEIN, Dustin; QUINT, Scott. Computao em Nuvem para a Empresa: Parte 1: Capturando a Nuvem. Disponvel em: <http://www.ibm.com/developerworks/br/websphere/techjournal/0904_amrhein/ 0904_amrhein.html>. Acessado em: 15 jan 2010. BRODKIN, Jon. Conhea sete dos riscos de segurana em Cloud Computing. Disponvel em: <http://cio.uol.com.br/gestao/2008/07/11/conheca-sete-dos-riscos-de-seguranca-em-cloud-computing>. Acessado em: 13 jan 2010. CUNHA, Meire Jane Marcelo (2005). Proposta de documentao para subsidiar as atividades de implantao da Segurana da Informao. Disponvel em: <http://www.acso.uneb.br/marcosimoes/ TrabalhosOrientados/CUNHA2005.pdf>. Acessado em: 07 jul 2009. CHIRIGATI, Fernando Seabra. Computao em Nuvem. Disponvel em: <http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2009_2/seabra/index.html>. Acessado em 29 dez 2009. FERREIRA, Fernando Nicolau Freitas. Segurana da informao. 2003 Rio de Janeiro Editora Cincia Moderna. NOGUEIRA, Matheus Cadori; PEZZI, Daniel da Cunha. A computao agora nas nuvens. Disponvel em: <http://under-linux.org/blogs/mcadori/attachments/64d1257953490-artigo-sobre-cloud-computingcloud-computing.pdf>. Acessado em: 20 dez 2009. SANTOS, Bruno Carvalho dos; MENESES, Francisco Gerson Amorim de. Cloud Computing: conceitos, oportunidades e desafios da nova computao. Disponvel em: <http://www.cefetparnaiba.edu.br/index.php?option=com_docman&task=doc_download&gid=277&Itemid =79>. Acessado em: 02 dez 2009. SOUZA, Flvio R. C.; MOREIRA, Leandro O.; MACHADO, Javam C. Computao em Nuvem: Conceitos, Tecnologias, Aplicaes e Desafios. Disponvel em: <www.ufpi.br/ercemapi/arquivos/file/minicurso/mc7.pdf>. Acessado em: 25 dez 2009. TAURION, Cezar. Cloud Computing: Computao em Nuvem: Transformando o Mundo da Tecnologia da Informao. 2009 Rio de Janeiro Editora Brasport. TEIXEIRA, Gilberto. As ambiguidades do conceito de Informao. Disponvel em: <http://www.serprofessoruniversitario.pro.br/ler.php?modulo=22&texto=1385>. Acessado em: 04 dez 2009.