Mantenha Segura a sua Nuvem

Segurança da Computação em Nuvem

Dr. James Walden, Ph.D. Northern Kentucky University, OISF

Riscos Legais da Nuvem no Brasil

Deixar claras as obrigações dos provedores de serviços em nuvem e os direitos do cliente pode gerar mais segurança. Fonte: Edileuza Soares, CIO-UOL

Serviços e soluções entregues em qualquer lugar do planeta. Essa característica do conceito de cloud computing desafia o atual modelo jurídico que se baseia em leis locais. Em razão disso, os riscos legais são até maiores do que os de outros contratos tradicionais do outsourcing de TI, afirmam especialistas em direito digital, que chamam a atenção para alguns cuidados que podem evitar questionamentos futuros na Justiça.

As pesquisas apontam que a maioria das empresas vai, mais cedo ou mais tarde, migrar para a nuvem. Essa é a tendência mundial em razão do fenômeno Big Data e da pressão que a TI sofre para entregar aplicações com mais velocidade para suportar os negócios pelos mais variados dispositivos, principalmente os sem fio.

Segundo analistas, cada vez mais as companhias terão de abraçar a mobilidade para que os usuários tenham acesso a dados corporativos, a qualquer hora e lugar. A expansão das redes 3G e a chegada da 4G deverão acelerar esse processo, arrastando muitos serviços para cloud.

Entrar nesse mundo sem fronteiras exige mais cautela na elaboração dos contratos firmados com os prestadores de serviço, adverte o advogado Rony Vainzof, professor de Direito Eletrônico da Fundação Getúlio Vargas e sócio do escritório Opice Blum. “É importante que o contrato contenha cláusulas sobre questões de privacidade e disponibilidade dos dados”, recomenda, enfatizando a importância de detalhamento dos acordos de Service Level Agreement (SLA).

O advogado ressalta que não há necessidade de uma legislação especial para cloud computing, uma vez que os contratos comerciais são regidos pela Lei de Introdução ao Código Civil Brasileiro. Entretanto, ele diz que as empresas têm de ficar atentas à jurisdição, em caso de armazenamento de dados fora do território nacional. “É importante estabelecer nessas situações qual legislação vai prevalecer”, orienta Vainzof. Ele afirma que se as partes decidirem adotar a lei brasileira, a escolha tem de estar explícita nos documentos.

As empresas devem conhecer os riscos de hospedagem de informações fora do Brasil. Em caso de ordem judicial, o sigilo de dados pode ser quebrado, dependendo da lei de privacidade aplicada pelo país onde o servidor estiver instalado.

Por esse motivo, a legislação brasileira determina que algumas informações sigilosas e de segurança nacional sejam processadas no País. Entre elas, dados de saúde da previdência social, consumidores de serviços públicos, usuários de serviços de telefonia e sistema financeiro. O Banco Central estabelece normas sobre a guarda dos dados financeiros.

A principal preocupação do governo brasileiro e de órgãos reguladores é com a indisponibilidade das redes que impeça o acesso a dados sensíveis e à privacidade. A advogada Patrícia Peck Pinheiro, outra especialista em Direito Digital, alerta que em alguns países como China, Chile e México dados sigilosos podem ser passados pelas autoridades locais, em caso de ordem judicial.

Patrícia explica que geralmente as empresas que optam por serviços em ambiente compartilhado são informadas pelos seus provedores de que não se responsabilizam pelas questões de segurança, nem mesmo dão garantia de disponibilidade das aplicações. Assim, o contratante sabe que essa responsabilidade é dele e que o risco é alto.

“A nuvem pública custa menos, a cloud privada é sob medida e os provedores arcam com todos os custos e têm o comando da segurança”, diz ela. Apesar disso, ela considera que ambas e os serviços mistos têm vantagens. “Cada modelo tem ônus e bônus, depende da proposta”, afirma.

Assim como Vainzof, Patrícia aconselha avaliar os data centers. Caso estejam alocados fora do Brasil, é imprescindível saber se o país adota sistema legal diferente da legislação nacional e conhecer as possíveis implicações jurídicas.

Os contratos precisam ser amarrados, estabelecendo obrigações do provedor e direitos. A advogada constata que algumas empresas fecham acordos apenas com base nas propostas e não estabelecem por escrito as responsabilidades dos prestadores de serviço.

A advogada ensina que os contratos devem deixar claro, por exemplo, a responsabilidade do fornecedor em caso de apagão de energia, de telecom ou da rede, as infrações em caso de vazamento de dados e se rede será criptografada. Ela diz que essas questões, SLA e plano de contingência têm de estar detalhados no contrato, bem como penalidades por descumprimento do acordo.

“Devem ficar claros os aspectos e limites de responsabilidade das partes no que tange à garantia de acesso, guarda, recuperação e eliminação dos dados que ficarão na nuvem, bem como a capacidade de suportar incidente de vazamento de informações ou acesso por autoridade estrangeira”, orienta.

Ela reforça que esse detalhamento por escrito faz toda a diferença em caso de contestação na Justiça, visto que o Judiciário vai se apoiar no Código Civil. Como os serviços em nuvem envolvem muitas especificações técnicas, a advogada recomenda incluir no contrato um glossário com os termos técnicos, como SaaS, IaaS e PaaS. A sugestão é para facilitar o entendimento pelo Judiciário.

Os contratos, prossegue, não podem gerar dúvidas, devem proteger ambas as partes e prever acordo amigável em caso de rescisão. Mudanças de provedor e transferência de bases de dados são sempre processos traumáticos e envolvem riscos. Então, melhor é blindá-los contra eventuais problemas. (E.S.)

Marco regulador para cloud no Brasil
Questões legais para cloud computing tornaram-se uma preocupação dos governos. Estados Unidos e Europa estão discutindo regras para que esse negócio deslanche com garantias aos que vendem e compram o serviço. O Brasil também começou a debater propostas para ter seu marco legal para nuvem.

A Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Braxton) realizou encontro em Brasília sobre cloud computing com analista das Frost & Sullivan para tentar sensibilizar a equipe da presidente Dilma Rousseff para esse tema. A reunião foi com representantes de órgãos como ministérios de Ciência, Tecnologia e Inovação; Infraestrutura; Planejamento; Desenvolvimento, Indústria e Comércio Exterior.

Segundo Nelson Wortsman, diretor de Infraestrutura e Convergência Digital da Brasscom, o objetivo foi mostrar que o Brasil precisa estabelecer normas e restrições para que a computação em nuvem ganhe força aqui.
Pela maturidade dos data centers do País, a Brasscom acredita que o Brasil tem condições até de tornar-se uma plataforma de nuvem para atender à América Latina e alavancar as indústrias locais de software e hardware. Porém, Wortsman afirma que algumas barreiras precisam ser vencidas, além de normas.

“Já foi diagnosticado que o Brasil precisa ter telecomunicações e energia mais baratos”, diz. Esses são os dois maiores custos dos data centers e a Brasscom espera que o governo brasileiro encontre meios de reduzir esses gastos. Ele acrescenta que a Copa do Mundo e Olimpíadas vão exigir processamento de muitas aplicações. Para acelerar esse processo, a Brasscom pretende trabalhar com órgãos do governo para traçar uma agenda nacional para cloud computing.

Hitler e a Segurança na Nuvem

 Neste video do YouTube, Der Führer "enfrenta uma invasão no banco de dados de um cliente, e seu provedor de computação em nuvem diz que não teve culpa, que foi uma falha em uma das aplicações hospedadas..." Confira o restante desta hilariante paródia, clicando aqui.

O Futuro da Segurança de TI está na Nuvem

 

Imagem: srinivasansundararajan.sys-con.com

Enquanto a economia de custo para se mover a segurança da TI para a nuvem parece óbvia, uma estratégia de Security-as-a-Service (Segurança-como-um-Serviço) também poderá melhorar a qualidade do seu investimento, de acordo com Jay Chaudhry, CEO e fundador da Zscaler. A transição da segurança dos dispositivos (appliances) para a nuvem - segundo ele - já está bem encaminhada.

Apresentando uma palestra na semana passada, no Congresso Cloud Security Alliance (CSA), em Orlando, Flórida, o executivo-chefe da empresa de segurança baseada em nuvem disse que contratar a Segurança-como-um-Serviço de uma empresa de segurança somente faz sentido caso o provedor possa oferecer economia de escala compatível com pagar empresas de utilidade pública para realizar tais serviços. A meta da segurança baseada em nuvem - acrescentou ele - é evitar a implantação de muitas das caixas que as empresas de TI atualmente precisam gerenciar.

A analogia que ele empregou foi a de fornecimento de energia de geradores versus a de empresas de serviços públicos. "Quem argumentaria que os geradores de energia são a melhor maneira [de fornecimento de energia] do que usar serviços geridos e entregues por empresas de utilidade pública?", Ele perguntou à platéia. "Com a computação em nuvem – e a segurança da nuvem - não é diferente".

Primeiro, Chaudhry procurou fazer uma distinção entre proteger as nuvens propriamente ditas e o processo de usar a nuvem para fornecer serviços de segurança. Como em sua opinião colocar a segurança dentro de aparelhos ou dispositivos se provou uma estratégia ineficaz, mover a segurança para a nuvem é um próximo passo lógico na inovação em segurança, e este processo se presta muito bem ao uso de dispositivos móveis.

Quando se trata de proteger a nuvem - por exemplo, serviços de nuvem Google ou Amazon - Chaudhry acredita que "é da responsabilidade do provedor de serviços em nuvem garantir que a nuvem seja segura". Ele mencionou que este é um dos principais objetivos da CSA - para se certificar de que uma boa idéia não adquira uma má reputação por meio da insegurança.

Depois, citou um exemplo de como usar a nuvem para fornecer serviços de segurança, afrimando que a segurança de e-mail na nuvem (por exemplo, Postini, da Google) tem experimentado uma rápida absorção ao longo dos últimos dois anos. De acordo com os dados citados por Chaudhry, mais de 50% das empresas hoje empregam serviços baseados em nuvem para segurança de e-mail.

"Por que comprar todas essas caixas?", perguntou ele, quando você pode redirecionar o fluxo do correio eletrônico através de um provedor profissional para limpar seu tráfego de e-mail. É apenas uma das muitas caixas que os departamentos de TI normalmente têm de gerir, o que aumenta a complexidade de suas defesas - e não de uma boa maneira, Chaudhry observou. Segurança entregue a partir da nuvem - continuou ele - significa a consolidação de seus dispositivos (appliances) atuais e, portanto, economia do dinheiro das empresas.

"A segurança na nuvem reduz os custos de largura de banda de um modo incrível", acrescentou. Além disso, o CEO da Zscaler disse que a segurança baseada em nuvem ajuda a aliviar o problema de latência, porque os dispositivos móveis já não precisam mais ter comunicação (em duplo sentido) com um dispositivo de segurança centralizado, hospedado na sede de uma empresa ou em uma instalação operacional regional.

A proposta fundamental para o uso de segurança baseada em nuvem é que essas novas tecnologias estão resolvendo problemas, tais como largura de banda, latência e aparelhos caros. Chaudhry listou um punhado de motivações por trás da adoção cada vez maior de Segurança-como-um-Serviço, que agora parece estar também se movendo rapidamente em direção à segurança na Internet, devido à:

• Redução de custos - fazendo mais com menos;
• Resposta mais rápida a novas ameaças;
• Facilidade de implantação; e
• Escassez de pessoal de TI.

Chaudhry defendeu o sucesso visto na migração da segurança de e-mail para a nuvem, com quase 50% das empresas efetuando esta mudança ao longo dos últimos cinco anos. A segurança da web - observou ele - está seguindo a mesma tendência. Analistas como os do Gartner e do IDC, segundo ele, fizeram a previsão de que a segurança da web baseada em nuvem irá crescer de uma captação de 11-13% das empresas, neste momento, para mais de 35% nos próximos 2-3 anos.

"Se bem realizada, a segurança baseada em nuvem protege mais do que a segurança baseada em dispositivos (appliances)", concluiu Chaudhry. Além disso, a segurança baseada em nuvem tem um TCO (Total Cost of Ownership - ou custo total de propriedade) 60% menor em relação aos dispositivos, com a maioria dos custos centralizados em assinaturas e manutenção.

Claro que tais declarações - vindas do CEO de um provedor de segurança baseada em nuvem – não trazem nenhuma surpresa, observa a revista Infosecurity. Só o tempo dirá se essas afirmações são, de fato, verdadeiras. Tradução: Paulo Pagliusi, Ph.D. Fonte: Revista Infosecurity

CSA libera novas orientações para Segurança na Nuvem

 A CSA (Cloud Security Alliance) lançou em 14Nov uma nova versão (V.3) do seu guia de segurança para áreas críticas da computação em nuvem.

A 3ª edição do guia da CSA visa estabelecer uma base estável e segura para operações de nuvem. Este esforço proporciona um roteiro prático ​​para os gestores que querem adotar o paradigma da nuvem de forma segura. Domínios foram reescritos para enfatizar a estabilidade, segurança e privacidade, garantindo a privacidade das empresas em um ambiente de multihospedagem.

A versão 3 amplia o conteúdo incluído nas versões anteriores, com recomendações práticas e requisitos que podem ser medidos e controlados. Autores especializados na indústria de Cloud Security se esforçaram para apresentar um trabalho equilibrado entre os interesses dos provedores de nuvem e seus clientes inquilinos. Os controles são focados na preservação da integridade dos dados de propriedade do inquilino, abrangendo o conceito de uma infraestrutura física compartilhada. 

O Guia de Segurança V.3 da CSA servirá como porta de entrada para padrões emergentes em desenvolvimento nas organizações mundiais de definição de padrões, sendo concebido para servir como uma cartilha, de nível executivo, para qualquer organização em busca de uma transição segura e estável para hospedagem suas operações de negócios na nuvem. Para baixar o guia da CSA, clique aqui. Fonte: Cloud Security Alliance

Nuvem pode gerenciar graves ameaças cibernéticas

Diretor da NSA, Chefe da Cybersegurança dos Estados Unidos, afirma que a computação em nuvem pode gerenciar ameaças cibernéticas graves.

A segurança da computação em nuvem é muitas vezes debatida, mas tais debates parecem não importar muito para o general encarregado de comandar os recursos cibernéticos do exército dos Estados Unidos, que vê a tecnologia não somente como uma forma de controlar os custos de TI, mas também de proteger mais facilmente os ativos de TI.
Em pronunciamento para 700 participantes do “DARPA Cyber Colloquium”, o general Keith Alexander, que é comandante do Comando dos Estados Unidos de Cybersegurança e diretor da Agência de Segurança Nacional (National Security Agency - NSA), disse que é preciso olhar para o ambiente de nuvem, o qual ele estaria testando na NSA.
“Podemos discutir sobre méritos de estrutura da nuvem, mas temos verificado ser mais fácil garantir a segurança neste ambiente. Pensar sobre os problemas que enfrentamos no ambiente cibernético, chegando com um sistema defensável é importante e computação em nuvem é uma maneira de ajudar a tornar isso possível”, afirmou o General Alexander.
O General Alexander afirmou que computação em nuvem ajuda a trazer a noção de um único sistema defensável junto com a proposta de eliminar a miscigenação de ambientes, permitindo eliminar os custos ineficientes de TI.
Ele exemplificou que com a sua implantação em nuvem, a “N.S.A.” teria reduzido os custos de administração de sistemas em 50% e reduzido seu “help desk” de novecentas posições para duas.
Ainda segundo o General Alexander, as razões das necessidades de TI para melhorar a segurança cibernética são óbvias, haja vista que as vulnerabilidades que a defesa norte americana enfrenta são extraordinárias.
O custo do cibercrime para a economia global está estimado em US $ 1 trilhão, segundo declarou o General Alexander, sendo que o malware está sendo introduzido a uma taxa de 55 mil peças por dia.
E pior: deve-se ver o que está acontecendo sobre roubo de propriedade intelectual que está sendo furtada na maior taxa da história, arrematou o General Alexander.
O General Alexander teria encerrado sua fala afirmando que os Estados Unidos precisariam de arquiteturas defensáveis e que deveria mudar a maneira como pensa sobre a defesa de seus sistemas. Fonte: Cyber Crimes - Delegado Mariano

Segurança na nuvem depende da gestão de processos

Crédito: ThinkPhoto

Na opinião de executivo da IDC, esse é um dos maiores entraves e que deve ser superado para a adoção do modelo de cloud computing nos países emergentes.

A falta de garantias de segurança dos dados nas nuvens públicas é o maior entrave ao seu desenvolvimento, de acordo com o vice-presidente-executivo da consultoria IDC, Philippe de Marcillac. Em declarações à COMPUTERWORLD de Portugal, após a sua apresentação no evento IDC Directions, o responsável considerou existirem ainda algumas questões técnicas por resolver. Mas mais importantes serão as deficiências em outra área: a gestão de processos, com impacto direto na segurança.

Marcillac explica que o modelo de negócio é novo e envolve outra entidade cujo trabalho passa por assegurar a segurança dos dados dos clientes. Neste contexto tem havido alguns casos de infortúnio. Entre os mais comuns, estão a fraca gestão de segurança, discos rígidos tratados com displicência ou entregues às pessoas erradas, e a venda de informação no mercado negro. Provavelmente, o problema será melhor resolvido se “os gestores dos fornecedores de serviço forem responsabilizados criminalmente pelas falhas de segurança”, sugere o executivo.

Marcillac admite que uma parte do mercado de cloud computing será das operadoras de telecomunicações. Mas elas, sobretudo as incumbentes, terão de mudar o estilo de gestão. Precisam mudar especialmente o modelo de administração, para não serem lentas na promoção das mudanças necessárias para a oferta dos serviços. “Não podem pensar que ainda são os reis do mercado”, sublinha.

Esse é um problema típico de mercados emergentes. Tendo em conta as agendas governamentais de modernização das economias emergentes, Marcillac acredita que haverá milhões de dólares para investir em infraestruturas, com impacto especial para a indústria das TIC, prevê o consultor. Mas o enfoque na modernização também deverá abranger a eficiência e integração de sistemas, aplicações e processos.

Além disso, a estratégia dessas economias assume as TICs como verdadeira indústria, procurando promover emprego e investimento em torno dela. Por isso, também prevê a abertura de centros de inovação.

Marcillac considera haver oportunidades em áreas como a da segurança e das aplicações, incluindo “business analytics”. A mobilidade também será fator de crescimento, e também a virtualização e a cloud – com o seu potencial de aceleração da adoção de tecnologias.

Na vertente legal, Marcillac prevê que haverá a tendência para proibir o armazenamento de dados em solo estrangeiro, havendo assim mais espaço para o surgimento de fornecedores locais. Os receios de perda de controle estão muito presentes e a posse dos ativos de TIC é muito importante.

O acesso à rede é por vezes restringido por questões políticas. Acrescem ainda problemas de largura de banda e latência. Em muitas regiões o fornecimento de energia nem sempre é estável. E em muitas economias emergentes o financiamento do universo cloud pode faltar.

Haverá um especial interesse em modelos de clouds privadas, para promover um maior dinamismo das TI nas economias emergentes mais maduras, segundo Marcillac. Nas outras, o objetivo é mais suportar aplicações de colaboração, BI, armazenamento e segurança.

Com exceção do modelo de Software as a Service (SaaS), nessas nações a cloud pública não tem sido uma aposta dos fornecedores, segundo Marcillac, que alerta para o surgimento relâmpago e a falência dos prestadores de serviços, cada vez mais comum, dado o baixo custo de entrada no mercado. Os melhores serão adquiridos por organizações maiores.

Fonte: João Nóbrega, da Computerworld/PT, 04 de novembro de 2011.

Criptografia ajuda a vencer resistências relativas à Segurança da Nuvem

Quando se trata de proteger dados importantes armazenados na nuvem, além das barreiras de firewall, as empresas recorrem à criptografia. Segundo Hermán Armbruster, diretor de novos negócios para a América Latina da Trend Micro, muitas companhias admitem aderir à nuvem caso os provedores terceirizados ofereçam criptografia. "Muitos clientes estão aderindo à nuvem pública da Amazon já com a tecnologia de criptografia", diz Armbruster. A Trend Micro espera que as novas técnicas de segurança sejam responsáveis pela metade do crescimento do faturamento da empresa no Brasil. Leia mais sobre essa interessante matéria, clicando aqui. (Fonte: Valor Econômico, 28/07/2011)

Dia de Finados: valiosos bens digitais da nuvem agora em testamentos

Neste Dia de Finados, surge uma importante reflexão: você já pensou no valor da sua herança digital na nuvem? No Brasil, o conceito de herança digital ainda é pouco difundido, mas veja os impressionantes números do Reino Unido, segundo um estudo da Universidade de Londres:

• 30% dos britânicos entrevistados consideram sua herança digital os acervos de músicas, livros, filmes, fotos e documentos que têm guardados on-line, em servidores na rede.
• R$ 540 é o valor, em média, das posses de britânicos adultos guardadas em serviços na nuvem. O estudo estima que a soma total dos bens on-line dos britânicos seja igual a R$ 6,2 bilhões.
• 11% dos entrevistados dizem que já colocaram ou planejam colocar em testamento os bens que armazenam apenas na nuvem.

Leia mais sobre esta matéria obtida por Maria Paula Barretto, noticiaagora WordPress.com, aqui. Fonte: Folha.com (02/11/2011- 07h00). Gráfico: Editoria de Arte/Folhapress