Desde 2011, ajudando clientes globais a avaliar, gerenciar e otimizar riscos cibernéticos e de TI, analisar questões tecnológicas de seus negócios e se antecipar aos riscos cibernéticos emergentes, para que seus negócios continuem prosperando.
03 dezembro 2011
Gateway de Criptografia para a Nuvem
Esta solução fornece um gateway unificado para criptografia na nuvem, com uma tecnologia para cifrar dados sigilosos em tempo real, antes que sejam enviados para a nuvem. Ela protege os dados corporativos, usando operações de preservação com técnicas de criptografia e geração de tokens, para qualquer ambiente de nuvem privada ou pública, sem afetar a funcionalidade, usabilidade ou desempenho. A tecnologia elimina preocupações com privacidade de dados, segurança e conformidade, e acelera a adoção da nuvem em sua organização. Caso queira saber mais detalhes sobre este tipo de tecnologia, conversem conosco. Obrigado pela atenção e confiança! (mpsafeinformatica@gmail.com)
01 dezembro 2011
ISACA-RJ: Segurança na Nuvem
A Diretoria da ISACA-RJ (Information Systems Audit and Control Association) tem o prazer de convidá-lo para o Evento Cloud Computing – A Segurança na Nuvem, que contará com a participação de executivos das maiores empresas que atuam no Brasil. Na ocasião, os participantes terão a oportunidade de debater sobre como os investimentos e inovações previstos para os próximos anos no Brasil podem ser realizados com Segurança e Governança no Universo de Tecnologia da Informação e Computação. O Evento contará com a participação de Patrícia Peck na Mesa de Debates, advogada especialista em Direito Digital e fundadora do Instituto ISTART de responsabilidade social, que conduz o “Movimento Criança Mais Segura na Internet”.
Dia: 13 Dez 2011
Horário: 18h às 21h00
Endereço: RB1. Av. Rio Branco N° 1 - Salão Mauá – Andar PC - Centro – RJ
Contamos Com Sua Presença!
Reserve a sua agenda e não perca essa oportunidade de assistir as palestras programadas e realizar conosco um brinde para celebrar mais um ano de sucesso e inovação! Segue a Agenda do evento:
· Abertura ISACA-RJ
· 1ª Palestra ISACA
· 2ª Palestra E&Y
· 3ª Palestra Modulo
· Mesa de Debate
· Happy Hour
RSVP: Por favor, confirme sua presença através do email myduffles@isaca.org.br.
EVENTO GRATUITO –As vagas são limitadas e as inscrições serão confirmadas conforme disponibilidade, exceto para associados da ISACA que terão sua confirmação imediata.
Muito obrigado!
Cordialmente,Paulo Pagliusi, Ph.D.
pagliusi@isaca.org.br
Twitter: @ppagliusi
ISACA-RJ Chapter Communications Director
29 novembro 2011
24 novembro 2011
Riscos Legais da Nuvem no Brasil
Serviços e soluções entregues em qualquer lugar do planeta. Essa característica do conceito de cloud computing desafia o atual modelo jurídico que se baseia em leis locais. Em razão disso, os riscos legais são até maiores do que os de outros contratos tradicionais do outsourcing de TI, afirmam especialistas em direito digital, que chamam a atenção para alguns cuidados que podem evitar questionamentos futuros na Justiça.
As pesquisas apontam que a maioria das empresas vai, mais cedo ou mais tarde, migrar para a nuvem. Essa é a tendência mundial em razão do fenômeno Big Data e da pressão que a TI sofre para entregar aplicações com mais velocidade para suportar os negócios pelos mais variados dispositivos, principalmente os sem fio.
Segundo analistas, cada vez mais as companhias terão de abraçar a mobilidade para que os usuários tenham acesso a dados corporativos, a qualquer hora e lugar. A expansão das redes 3G e a chegada da 4G deverão acelerar esse processo, arrastando muitos serviços para cloud.
Entrar nesse mundo sem fronteiras exige mais cautela na elaboração dos contratos firmados com os prestadores de serviço, adverte o advogado Rony Vainzof, professor de Direito Eletrônico da Fundação Getúlio Vargas e sócio do escritório Opice Blum. “É importante que o contrato contenha cláusulas sobre questões de privacidade e disponibilidade dos dados”, recomenda, enfatizando a importância de detalhamento dos acordos de Service Level Agreement (SLA).
O advogado ressalta que não há necessidade de uma legislação especial para cloud computing, uma vez que os contratos comerciais são regidos pela Lei de Introdução ao Código Civil Brasileiro. Entretanto, ele diz que as empresas têm de ficar atentas à jurisdição, em caso de armazenamento de dados fora do território nacional. “É importante estabelecer nessas situações qual legislação vai prevalecer”, orienta Vainzof. Ele afirma que se as partes decidirem adotar a lei brasileira, a escolha tem de estar explícita nos documentos.
As empresas devem conhecer os riscos de hospedagem de informações fora do Brasil. Em caso de ordem judicial, o sigilo de dados pode ser quebrado, dependendo da lei de privacidade aplicada pelo país onde o servidor estiver instalado.
Por esse motivo, a legislação brasileira determina que algumas informações sigilosas e de segurança nacional sejam processadas no País. Entre elas, dados de saúde da previdência social, consumidores de serviços públicos, usuários de serviços de telefonia e sistema financeiro. O Banco Central estabelece normas sobre a guarda dos dados financeiros.
A principal preocupação do governo brasileiro e de órgãos reguladores é com a indisponibilidade das redes que impeça o acesso a dados sensíveis e à privacidade. A advogada Patrícia Peck Pinheiro, outra especialista em Direito Digital, alerta que em alguns países como China, Chile e México dados sigilosos podem ser passados pelas autoridades locais, em caso de ordem judicial.
Patrícia explica que geralmente as empresas que optam por serviços em ambiente compartilhado são informadas pelos seus provedores de que não se responsabilizam pelas questões de segurança, nem mesmo dão garantia de disponibilidade das aplicações. Assim, o contratante sabe que essa responsabilidade é dele e que o risco é alto.
“A nuvem pública custa menos, a cloud privada é sob medida e os provedores arcam com todos os custos e têm o comando da segurança”, diz ela. Apesar disso, ela considera que ambas e os serviços mistos têm vantagens. “Cada modelo tem ônus e bônus, depende da proposta”, afirma.
Assim como Vainzof, Patrícia aconselha avaliar os data centers. Caso estejam alocados fora do Brasil, é imprescindível saber se o país adota sistema legal diferente da legislação nacional e conhecer as possíveis implicações jurídicas.
Os contratos precisam ser amarrados, estabelecendo obrigações do provedor e direitos. A advogada constata que algumas empresas fecham acordos apenas com base nas propostas e não estabelecem por escrito as responsabilidades dos prestadores de serviço.
A advogada ensina que os contratos devem deixar claro, por exemplo, a responsabilidade do fornecedor em caso de apagão de energia, de telecom ou da rede, as infrações em caso de vazamento de dados e se rede será criptografada. Ela diz que essas questões, SLA e plano de contingência têm de estar detalhados no contrato, bem como penalidades por descumprimento do acordo.
“Devem ficar claros os aspectos e limites de responsabilidade das partes no que tange à garantia de acesso, guarda, recuperação e eliminação dos dados que ficarão na nuvem, bem como a capacidade de suportar incidente de vazamento de informações ou acesso por autoridade estrangeira”, orienta.
Ela reforça que esse detalhamento por escrito faz toda a diferença em caso de contestação na Justiça, visto que o Judiciário vai se apoiar no Código Civil. Como os serviços em nuvem envolvem muitas especificações técnicas, a advogada recomenda incluir no contrato um glossário com os termos técnicos, como SaaS, IaaS e PaaS. A sugestão é para facilitar o entendimento pelo Judiciário.
Os contratos, prossegue, não podem gerar dúvidas, devem proteger ambas as partes e prever acordo amigável em caso de rescisão. Mudanças de provedor e transferência de bases de dados são sempre processos traumáticos e envolvem riscos. Então, melhor é blindá-los contra eventuais problemas. (E.S.)
Marco regulador para cloud no Brasil
Questões legais para cloud computing tornaram-se uma preocupação dos governos. Estados Unidos e Europa estão discutindo regras para que esse negócio deslanche com garantias aos que vendem e compram o serviço. O Brasil também começou a debater propostas para ter seu marco legal para nuvem.
A Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Braxton) realizou encontro em Brasília sobre cloud computing com analista das Frost & Sullivan para tentar sensibilizar a equipe da presidente Dilma Rousseff para esse tema. A reunião foi com representantes de órgãos como ministérios de Ciência, Tecnologia e Inovação; Infraestrutura; Planejamento; Desenvolvimento, Indústria e Comércio Exterior.
Segundo Nelson Wortsman, diretor de Infraestrutura e Convergência Digital da Brasscom, o objetivo foi mostrar que o Brasil precisa estabelecer normas e restrições para que a computação em nuvem ganhe força aqui.
Pela maturidade dos data centers do País, a Brasscom acredita que o Brasil tem condições até de tornar-se uma plataforma de nuvem para atender à América Latina e alavancar as indústrias locais de software e hardware. Porém, Wortsman afirma que algumas barreiras precisam ser vencidas, além de normas.
“Já foi diagnosticado que o Brasil precisa ter telecomunicações e energia mais baratos”, diz. Esses são os dois maiores custos dos data centers e a Brasscom espera que o governo brasileiro encontre meios de reduzir esses gastos. Ele acrescenta que a Copa do Mundo e Olimpíadas vão exigir processamento de muitas aplicações. Para acelerar esse processo, a Brasscom pretende trabalhar com órgãos do governo para traçar uma agenda nacional para cloud computing.
22 novembro 2011
Hitler e a Segurança na Nuvem
Neste video do YouTube, Der Führer "enfrenta uma invasão no banco de dados de um cliente, e seu provedor de computação em nuvem diz que não teve culpa, que foi uma falha em uma das aplicações hospedadas..." Confira o restante desta hilariante paródia, clicando aqui.
O Futuro da Segurança de TI está na Nuvem
Imagem: srinivasansundararajan.sys-con.com
Enquanto a economia de custo para se mover a segurança da TI para a nuvem parece óbvia, uma estratégia de Security-as-a-Service (Segurança-como-um-Serviço) também poderá melhorar a qualidade do seu investimento, de acordo com Jay Chaudhry, CEO e fundador da Zscaler. A transição da segurança dos dispositivos (appliances) para a nuvem - segundo ele - já está bem encaminhada.
Apresentando uma palestra na semana passada, no Congresso Cloud Security Alliance (CSA), em Orlando, Flórida, o executivo-chefe da empresa de segurança baseada em nuvem disse que contratar a Segurança-como-um-Serviço de uma empresa de segurança somente faz sentido caso o provedor possa oferecer economia de escala compatível com pagar empresas de utilidade pública para realizar tais serviços. A meta da segurança baseada em nuvem - acrescentou ele - é evitar a implantação de muitas das caixas que as empresas de TI atualmente precisam gerenciar.
A analogia que ele empregou foi a de fornecimento de energia de geradores versus a de empresas de serviços públicos. "Quem argumentaria que os geradores de energia são a melhor maneira [de fornecimento de energia] do que usar serviços geridos e entregues por empresas de utilidade pública?", Ele perguntou à platéia. "Com a computação em nuvem – e a segurança da nuvem - não é diferente".
Primeiro, Chaudhry procurou fazer uma distinção entre proteger as nuvens propriamente ditas e o processo de usar a nuvem para fornecer serviços de segurança. Como em sua opinião colocar a segurança dentro de aparelhos ou dispositivos se provou uma estratégia ineficaz, mover a segurança para a nuvem é um próximo passo lógico na inovação em segurança, e este processo se presta muito bem ao uso de dispositivos móveis.
Quando se trata de proteger a nuvem - por exemplo, serviços de nuvem Google ou Amazon - Chaudhry acredita que "é da responsabilidade do provedor de serviços em nuvem garantir que a nuvem seja segura". Ele mencionou que este é um dos principais objetivos da CSA - para se certificar de que uma boa idéia não adquira uma má reputação por meio da insegurança.
Depois, citou um exemplo de como usar a nuvem para fornecer serviços de segurança, afrimando que a segurança de e-mail na nuvem (por exemplo, Postini, da Google) tem experimentado uma rápida absorção ao longo dos últimos dois anos. De acordo com os dados citados por Chaudhry, mais de 50% das empresas hoje empregam serviços baseados em nuvem para segurança de e-mail.
"Por que comprar todas essas caixas?", perguntou ele, quando você pode redirecionar o fluxo do correio eletrônico através de um provedor profissional para limpar seu tráfego de e-mail. É apenas uma das muitas caixas que os departamentos de TI normalmente têm de gerir, o que aumenta a complexidade de suas defesas - e não de uma boa maneira, Chaudhry observou. Segurança entregue a partir da nuvem - continuou ele - significa a consolidação de seus dispositivos (appliances) atuais e, portanto, economia do dinheiro das empresas.
"A segurança na nuvem reduz os custos de largura de banda de um modo incrível", acrescentou. Além disso, o CEO da Zscaler disse que a segurança baseada em nuvem ajuda a aliviar o problema de latência, porque os dispositivos móveis já não precisam mais ter comunicação (em duplo sentido) com um dispositivo de segurança centralizado, hospedado na sede de uma empresa ou em uma instalação operacional regional.
A proposta fundamental para o uso de segurança baseada em nuvem é que essas novas tecnologias estão resolvendo problemas, tais como largura de banda, latência e aparelhos caros. Chaudhry listou um punhado de motivações por trás da adoção cada vez maior de Segurança-como-um-Serviço, que agora parece estar também se movendo rapidamente em direção à segurança na Internet, devido à:
Apresentando uma palestra na semana passada, no Congresso Cloud Security Alliance (CSA), em Orlando, Flórida, o executivo-chefe da empresa de segurança baseada em nuvem disse que contratar a Segurança-como-um-Serviço de uma empresa de segurança somente faz sentido caso o provedor possa oferecer economia de escala compatível com pagar empresas de utilidade pública para realizar tais serviços. A meta da segurança baseada em nuvem - acrescentou ele - é evitar a implantação de muitas das caixas que as empresas de TI atualmente precisam gerenciar.
A analogia que ele empregou foi a de fornecimento de energia de geradores versus a de empresas de serviços públicos. "Quem argumentaria que os geradores de energia são a melhor maneira [de fornecimento de energia] do que usar serviços geridos e entregues por empresas de utilidade pública?", Ele perguntou à platéia. "Com a computação em nuvem – e a segurança da nuvem - não é diferente".
Primeiro, Chaudhry procurou fazer uma distinção entre proteger as nuvens propriamente ditas e o processo de usar a nuvem para fornecer serviços de segurança. Como em sua opinião colocar a segurança dentro de aparelhos ou dispositivos se provou uma estratégia ineficaz, mover a segurança para a nuvem é um próximo passo lógico na inovação em segurança, e este processo se presta muito bem ao uso de dispositivos móveis.
Quando se trata de proteger a nuvem - por exemplo, serviços de nuvem Google ou Amazon - Chaudhry acredita que "é da responsabilidade do provedor de serviços em nuvem garantir que a nuvem seja segura". Ele mencionou que este é um dos principais objetivos da CSA - para se certificar de que uma boa idéia não adquira uma má reputação por meio da insegurança.
Depois, citou um exemplo de como usar a nuvem para fornecer serviços de segurança, afrimando que a segurança de e-mail na nuvem (por exemplo, Postini, da Google) tem experimentado uma rápida absorção ao longo dos últimos dois anos. De acordo com os dados citados por Chaudhry, mais de 50% das empresas hoje empregam serviços baseados em nuvem para segurança de e-mail.
"Por que comprar todas essas caixas?", perguntou ele, quando você pode redirecionar o fluxo do correio eletrônico através de um provedor profissional para limpar seu tráfego de e-mail. É apenas uma das muitas caixas que os departamentos de TI normalmente têm de gerir, o que aumenta a complexidade de suas defesas - e não de uma boa maneira, Chaudhry observou. Segurança entregue a partir da nuvem - continuou ele - significa a consolidação de seus dispositivos (appliances) atuais e, portanto, economia do dinheiro das empresas.
"A segurança na nuvem reduz os custos de largura de banda de um modo incrível", acrescentou. Além disso, o CEO da Zscaler disse que a segurança baseada em nuvem ajuda a aliviar o problema de latência, porque os dispositivos móveis já não precisam mais ter comunicação (em duplo sentido) com um dispositivo de segurança centralizado, hospedado na sede de uma empresa ou em uma instalação operacional regional.
A proposta fundamental para o uso de segurança baseada em nuvem é que essas novas tecnologias estão resolvendo problemas, tais como largura de banda, latência e aparelhos caros. Chaudhry listou um punhado de motivações por trás da adoção cada vez maior de Segurança-como-um-Serviço, que agora parece estar também se movendo rapidamente em direção à segurança na Internet, devido à:
- Redução de custos - fazendo mais com menos;
- Resposta mais rápida a novas ameaças;
- Facilidade de implantação; e
- Escassez de pessoal de TI.
Chaudhry defendeu o sucesso visto na migração da segurança de e-mail para a nuvem, com quase 50% das empresas efetuando esta mudança ao longo dos últimos cinco anos. A segurança da web - observou ele - está seguindo a mesma tendência. Analistas como os do Gartner e do IDC, segundo ele, fizeram a previsão de que a segurança da web baseada em nuvem irá crescer de uma captação de 11-13% das empresas, neste momento, para mais de 35% nos próximos 2-3 anos.
"Se bem realizada, a segurança baseada em nuvem protege mais do que a segurança baseada em dispositivos (appliances)", concluiu Chaudhry. Além disso, a segurança baseada em nuvem tem um TCO (Total Cost of Ownership - ou custo total de propriedade) 60% menor em relação aos dispositivos, com a maioria dos custos centralizados em assinaturas e manutenção.
Claro que tais declarações - vindas do CEO de um provedor de segurança baseada em nuvem – não trazem nenhuma surpresa, observa a revista Infosecurity. Só o tempo dirá se essas afirmações são, de fato, verdadeiras. Tradução: Paulo Pagliusi, Ph.D. Fonte: Revista Infosecurity
"Se bem realizada, a segurança baseada em nuvem protege mais do que a segurança baseada em dispositivos (appliances)", concluiu Chaudhry. Além disso, a segurança baseada em nuvem tem um TCO (Total Cost of Ownership - ou custo total de propriedade) 60% menor em relação aos dispositivos, com a maioria dos custos centralizados em assinaturas e manutenção.
Claro que tais declarações - vindas do CEO de um provedor de segurança baseada em nuvem – não trazem nenhuma surpresa, observa a revista Infosecurity. Só o tempo dirá se essas afirmações são, de fato, verdadeiras. Tradução: Paulo Pagliusi, Ph.D. Fonte: Revista Infosecurity
Assinar:
Postagens (Atom)