Darlan Amancio Rodrigues PF2 2014

UNIVERSIDADE DO VALE DO RIO DOS SINOS - UNISINOS
UNIDADE ACADMICA DE GRADUAO

CURSO DE SEGURANA DA INFORMAO

DARLAN AMANCIO RODRIGUES

Mapeamento de publicaes s recomendaes das atividades da fase de
Anlise e Avaliao de riscos da norma ISO 27005
em ambientes de cloud computing

So Leopoldo
2014
0

DARLAN AMANCIO RODRIGUES

Mapeamento de publicaes s recomendaes das atividades de Anlise e
Avaliao de riscos da norma ISO 27005 em ambientes de cloud computing

Artigo apresentado como requisito parcial
para obteno do ttulo de Tecnlogo em
Segurana da Informao, pelo Curso de
Segurana da Informao da
Universidade do Vale do Rio dos Sinos -
UNISINOS

.
Orientador: Prof. Ms. Christopher Rosa Pohlmann

So Leopoldo
2014
1

MAPEAMENTO DE PUBLICAES S RECOMENDAES DAS ATIVIDADES
DE ANLISE E AVALIAO DE RISCOS DA NORMA ISO 27005 EM AMBIENTES
DE CLOUD COMPUTING
Darlan Amancio Rodrigues
*

Prof. Ms. Christopher Rosa Pohlmann
**

Resumo: Junto s vantagens trazidas pelo modelo de computao em nuvem para a
rea de Tecnologia da Informao, surgiram tambm novos desafios de Segurana
da Informao, que necessitam ser gerenciados como eventuais riscos peculiares a
esse contexto. A partir do processo de Gesto de Riscos da norma ISO 27005, a
pesquisa faz o levantamento e anlise de publicaes focadas na fase de Anlise e
avaliao de riscos da norma. Por fim, apresentado um mapeamento das
recomendaes das atividades dessa fase nas publicaes da Cloud Security
Alliance (CSA), European Union Agency for Network and Information Security
(ENISA) e The Open Group, bem como uma anlise de aderncia.

Palavras-chave: cloud computing. segurana da informao. gesto de riscos. ISO
27005.
1 INTRODUO
Como resultado da evoluo e melhoria de diversos modelos e ferramentas
da rea de Tecnologia da Informao (TI), como mainframes, time sharing, cliente-
servidor, datacenter e virtualizao, o conceito de cloud computing vem
transformando de maneira radical a forma como as organizaes visualizam e
consomem os recursos oferecidos pela rea de TI (CLOUD..., 2012).
Tal consumo atualmente ocorre de forma escalar (por unidades de CPU,
memria, espao em disco, etc.) e sob demanda. Desta forma, o conceito de cloud
computing frequentemente associado ao de servio, visto que neste formato
oferece maior controle de custos (ISACA, 2011).
A computao em nuvem ainda promete liberar as empresas da necessidade
de dedicar tempo e esforo para operar e gerenciar sua TI, permitindo que se
concentrem em suas atividades principais, gerando eficcia e economia, com
impacto direto em produtos, servios e processos de negcio (HARDING, 2010).
Tal percepo corrobora com as ideais de Carr (2008), que compara as
mudanas proporcionadas pelo novo modelo computacional, com as do perodo da

* Aluno formando 2014/1 do curso de Segurana da Informao
** Professor Orientador Atua nos cursos de Segurana da Informao e Engenharia de Produo
2
Revoluo Industrial, quando grandes indstrias deixaram de preocupar-se com a
gerao de energia para focar nos seus produtos, passando ento a contar com
fornecedores especializados em tal necessidade. Entretanto, Carr (2008) tambm
lembra outro paradigma semelhante ao daquela poca: a dvida se tais
fornecedores recm-surgidos, realmente seriam capazes de atend-los
adequadamente.
1.1 Contextualizao do problema
Apesar dos conhecimentos acumulados com frameworks e padres de
Segurana da Informao, governana e continuidade de negcios serem muito
teis e importantes, eles foram desenvolvidos a partir da experincia com cenrios
tradicionais, em que os ativos de TI esto ao alcance de seus proprietrios. Desta
forma, apesar de muitos ainda acreditarem que o tratamento possa ser o mesmo, o
cloud computing possui necessidades especficas (CSA, 2010).
Em pesquisa realizada em sites de busca, possvel encontrar artigos que
tratam a Segurana da Informao em ambientes de computao em nuvem como
um dos principais desafios, quando a adoo do modelo cogitada. Miller (2008)
cita as falhas de segurana no meio de outras dificuldades (como incapacidade
tcnica, deficincia do modelo de negcio e restries culturais) em relao ao
conceito de cloud computing. Marks e Lozano (2010), junto a questes como
governana e SLA (Service Level Agreement), chamam a ateno para a segurana,
privacidade e confiabilidade. Em Nist (2011c), alm de desafios em comum com os
demais autores, tambm so relatadas questes relativas a Segurana da
Informao (SI), como compilance, localizao territorial dos dados envolvidos,
responsabilidade sobre os ativos, gerenciamento de acesso e identidade e,
finalmente, disponibilidade.
Percebe-se ainda uma tendncia em tratar de SI em cenrios de computao
em nuvem, atravs de uma listagem de possveis riscos que tais cenrios
apresentariam. Takabi, Joshi e Ahn (2010) corroboram com essa percepo
destacando que os referidos possveis riscos sejam tratados como desafios,
preocupaes ou questes de segurana, e sugerem a integrao de diversos
servios para lidar com alguns desses desafios, como gerenciamento de
autenticao e identidades, controle de acesso, policy integration, gerenciamento de
3

servios e trust management. Assim como Jamil e Hassan (2011), que defendem a
personalizao do cenrio de cada empresa, para a mitigao de ameaas, como
perda de governana, dependncia de fornecedor e perda ou vazamentos de dados.
Nota-se ainda a existncia de algumas ferramentas, sugestes e estudos
para as necessidades dos cenrios de cloud computing. Entretanto, no fica
evidente a conexo entre tais orientaes, visto que no se percebe uma
organizao em etapas/atividades deste conjunto de orientaes. Tal organizao
poderia ser alcanada seguindo o conceito de processo de Davenport (1994), ou
seja, atravs de atividades que possuem incio, meio e fim, com entradas e sadas
bem identificadas.
Seguindo essa linha de raciocnio, dentro do conjunto de normas que
fundamentam a Segurana da Informao, na famlia de normas ISO 27000
encontra-se a ISO 27005, que trata especificamente da Gesto de Riscos de
Segurana da Informao, na forma de um processo baseado na metodologia PDCA
(Plan, Do, Check, Act) que busca garantir a melhoria contnua. Atravs dessa
abordagem possvel trabalhar com eventos de SI, levando em considerao a sua
importncia, planejada a partir de sua probabilidade e severidade, com o correto
gerenciamento de suas consequncias, promovendo um aprendizado atravs deste
ciclo, considerando que se trata de um tipo de gesto proativa ao invs de reativa
(HILL e DINSDALE, 2003).
No entanto, alguns aspectos da norma ISO 27005 precisam ser analisados
com ateno para cenrios de cloud computing, considerando que seu propsito
ser genrica, servindo para qualquer tipo de cenrios (tradicionais, cloud computing,
etc.), sem se preocupar com as peculiaridades de um cenrio em especial.
Como exemplo dessa caracterstica, temos que a norma,
Supe que os ativos de uma organizao so totalmente
gerenciados pela prpria organizao e que todos os processos de
gesto de segurana so impostos pela organizao. Essas
premissas, no entanto, no se aplicam aos ambientes de
computao em nuvem (ALBAKRI et al., 2013).
Outro ponto a orientao muito esparsa para atividades iniciais e essenciais
do processo descrito na norma, como a definio de contexto e identificao de
ativos, que podem acarretar prejuzos nas etapas seguintes (BECKERS et al, 2011).
4
A atualizao do ano de 2013 das normas ISO 27001 e 27002 prev que alm dos
ativos, cada risco tenha um proprietrio, que pode ser a mesma organizao/pessoa
ou no. Desta forma, em cenrios de cloud computing poderiam existir riscos da
organizao cujo proprietrio seja, por exemplo, o provedor de servios.
Existem ainda algumas iniciativas de pesquisa que enfatizam a grande
importncia da anlise e avaliao de riscos nestes cenrios. Fedramp (2010), por
exemplo, afirma que a deciso de adotar a tecnologia de computao em nuvem
uma deciso baseada no risco, no sendo uma deciso de base tecnolgica. Nist
(2011c) tambm destaca que,
As organizaes devem ter uma abordagem baseada no risco para
analisar as opes de segurana e privacidade disponveis e decidir
sobre a colocao de funes organizacionais em um ambiente de
nuvem.
Csa (2011) informa que o guia foi construdo com recomendaes gerais
para a reduo do risco de adoo de um ambiente de computao em nuvem.
Enisa (2009) prov uma avaliao baseada nos riscos e benefcios do uso de cloud
computing segurana - fornecendo orientaes de segurana para o potencial e os
usurios existentes de computao em nuvem. The Open Group (2010) descreve
uma avaliao de riscos especfica para ambientes de computao em nuvem.
Deste ponto em diante, o pesquisador opta por utilizar o termo publicaes,
para se referir a esses projetos de pesquisa, iniciativas e ferramentas.
A importncia do risk assessment (anlise e avaliao e riscos) para tais
cenrios/ambientes, ainda ressaltada por Drissi, Houmani e Medromi (2013),
durante suas concluses e sugestes para trabalhos futuros, informando que,
H carncia de um mtodo estruturado que possa ser usado por
quem deseja realizar um risk assessment de seus recursos que a
serem migrados para ambientes de cloud computing, maximizando a
confiana entre os clientes e os fornecedores de computao em
nuvem, e a eficcia do sistema de segurana estabelecido.
Diante do exposto, a seguinte questo de pesquisa apresentada: Quais
publicaes podem auxiliar a fase de Anlise e avalio de riscos, do processo de
Gesto de Riscos da norma ISO 27005, para atender adequadamente s
necessidades dos cenrios de cloud computing?
5

Para responder esta questo, a pesquisa tem como objetivo principal a
anlise de publicaes que possam apoiar a fase de anlise e avalio de riscos, do
processo de Gesto de Risco da norma ISO 27005, aplicados a ambientes de
computao em nuvem.
Tal objetivo desdobra-se em:
Analisar as diversas publicaes disponibilizadas pelas instituies
focadas em Segurana da Informao para computao em nuvem;
Mapear as publicaes analisadas com as recomendaes para as
atividades da fase de Anlise e Avaliao do processo de Gesto de
Riscos da norma ISO 27005;
Analisar a aderncia das publicaes as recomendaes das atividades
da fase de Anlise e Avaliao do processo de Gesto de Riscos da
norma ISO 27005.
Para o melhor entendimento do trabalho, importante salientar as seguintes
delimitaes da pesquisa.
A pesquisa focada na fase de Anlise e avaliao de riscos do processo de
Gesto de Riscos de SI, da norma ISO 27005, considerando o cenrio de cloud
computing. Portanto, no pretende apresentar um mtodo de como ou o que deve
ser migrado para o cenrio de cloud computing.
A pesquisa no est atrelada a nenhum dos modelos de implementao de
computao em nuvem: Infrastructure as a Service (IaaS), Software as a Service
(SaaS) ou Platform as a Service (PaaS). Tais modelos so apresentados para
compor o entendimento do conceito de cloud computing.
A pesquisa aqui realizada esta restrita a fase de Analise e avaliao de riscos
do processo de Gesto de Riscos da norma ISO 27005, portanto, tambm limitada
fase de Planejamento do ciclo PDCA, conforme Quadro 1 da subseo 2.2 deste
artigo.
No haver alterao ou mesmo redesenho do processo de Gesto de Riscos
da norma ISO 27005, apenas o mapeamento das ferramentas s atividades da
norma.
6
O levantamento das ferramentas aqui proposto no deve ser encarado como
absoluto e definitivo. Outras ferramentas podem ser encontradas em trabalhos
futuros.
2 FUNDAMENTAO TERICA
A seguir, apresentada uma sntese dos conceitos bsicos de cloud
computing ou computao em nuvem, visando a compreenso clara de alguns
termos empregados na pesquisa.
Da mesma forma, os principais conceitos da norma ABNT/NBR ISO/IEC
27005 e do processo de Gesto de Riscos de Segurana so revisados, mantendo a
maior fidelidade possvel na citao de termos utilizados, evitando assim a criao
de novas interpretaes, com foco na fase alvo desta pesquisa, Anlise e Avaliao
de Riscos.
2.1 Cloud computing
A principal fonte de definio do conceito tem sua origem no National Institute
of Standard and Technology (NIST), que define a computao em nuvem como uma
arquitetura de servios de TI.
Em Nist (2011a) so definidas cinco caractersticas essenciais para a
arquitetura: Autosservio sob demanda, Amplo acesso via rede, Pools de recursos,
Elasticidade rpida e Servios mensurados.
No Autosservio sob demanda a alocao de recursos deve ser feita de
maneira automtica e sem a necessidade de interao humana, sempre que
necessrio.
No Amplo acesso via rede todos os recursos devem estar disponveis para
acesso, atravs das mais variadas formas e dispositivos (computadores pessoais,
dispositivos mveis, etc.).
Com os pools de recursos possvel atender mltiplos consumidores. Tais
recursos so organizados de acordo com a demanda, de forma independente de
localizao, porm, de maneira que o consumidor ou cliente possa escolher a
localidade ou datacenter em que seus dados residam.
7

Na Elasticidade rpida os recursos devem possuir a capacidade de ajuste
rpido (ou at mesmo automtico) a demanda que apresentarem, passando a
sensao de serem ilimitados ao consumidor.
Nos Servios mensurados, para todos os servios disponibilizados deve haver
medidas, tais como quantidade de espao em disco, unidades de processamento,
memria utilizada, etc. necessrio que exista o monitoramento e controle de tais
recursos, alm da possibilidade de controle para transparncia do servio.
O Nist (2011b) ainda define trs modelos de entrega de servio nos quais
esto apoiadas as caractersticas primordiais destacadas acima: Software as a
Service (Saas), Platform as a Service (Paas) e Infrastructure as a Service (IaaS).
No modelo Software as a Service (Saas), talvez o modelo de entrega mais
difundido e com maior aderncia dentro das organizaes, no h o controle de
itens de infraestrutura como rede, sistemas operacionais, armazenamento, etc. H
somente o consumo de uma aplicao (webmail, CRM, etc) atravs de um
navegador, no caso de computadores; ou mesmo aplicativos especficos, no caso de
plataformas de dispositivos mveis.
O modelo Platform as a Service (Paas) voltado para setores de
desenvolvimento, entrega ambientes de criao e testes de aplicaes. Ainda no
h o controle sobre a infraestrutura, mas sim o controle sobre algumas
configuraes e definies do ambiente onde as aplicaes so executadas
(exemplo: verso do compilador).
J no modelo de Infrastructure as a Service (IaaS) fornecido para o
consumidor itens como processamento, armazenamento, rede e outros recursos
fundamentais para a execuo de sistemas operacionais e aplicaes, os quais
podem ser controlados de forma personalizada.
Na ltima camada da infraestrutura de nuvem, tambm em Nist (2011b), so
definidos quatro modelos de implementao, conforme a exclusividade de utilizao
do cliente: Nuvem privada, nuvem pblica, nuvem comunitria e nuvem hbrida.
No modelo de nuvem privada a infraestrutura voltada exclusivamente a uma
organizao, podendo estar fisicamente localizada dentro ou fora dela. Seu
gerenciamento executado por uma equipe interna de TI ou at mesmo por
terceiros.
8
No modelo de nuvem pblica a infraestrutura encontra-se localizada e
gerenciada pelo provedor de servios, que atende o pblico em geral.
O modelo de nuvem comunitria no to difundido no mercado, mas prov
uma infraestrutura semelhante ao modelo privado, com a peculiaridade de que o
acesso estar disponvel somente a organizaes que possuem interesses em
comum.
Com o modelo de nuvem hbrida possvel mesclar caractersticas de todos
os outros servios. Pode-se imaginar, por exemplo, a nuvem privada de uma
organizao que sincronizada com um site backup situado em um provedor de
servios para situaes de disaster recovery.
A Figura 1 finaliza esta seo, ilustrando como todos os conceitos vistos at
agora sustentam-se entre si.
Figura 1 Sustentao entre os conceitos do NIST

Fonte: Elaborado pelo autor.
Por fim, mantendo, utilizando e promovendo diversos outros tipos de
interaes em cenrios de computao em nuvem, Nist (2011b) ainda define
algumas entidades, importantes para o entendimento do conceito.
O Cloud consumer ou consumidor a entidade, pessoa ou organizao que
utiliza os servios de um provedor. O Cloud provider ou provedor geralmente uma
organizao que presta servios atravs de infraestruturas de computao em
nuvem. O Cloud broker, intermedirio ou agente a entidade que pode gerenciar o
uso, desempenho e a prestao de servios na nuvem, negociando as relaes
9

entre provedor e consumidor. O Cloud Carrier ou intermedirio um intermedirio
que fornece conectividade entre o provedor e o consumidor (exemplo: operadora de
internet). O Cloud Auditor ou auditor o responsvel por avaliar e auditar operaes
dos sistemas e servios dentro de cenrios de computao em nuvem.
2.2 A norma ISO 27005 e o processo de Gesto de Riscos de Segurana da
Informao
A norma ABNT/NBR ISO/IEC 27005 resultado do trabalho e conhecimento
adquirido atravs do tempo de outras normas, desde a AS/NZS 4360 Gesto de
Risco, da comisso de padronizao da Austrlia e Nova Zelndia, at a ABNT/NBR
ISO/IEC 31000 Gesto de Riscos Princpios e diretrizes, voltada a qualquer tipo de
organizao e setor, e ABNT/NBR ISO/IEC GUIA 73 Gesto de Riscos
Vocabulrio de 2009. Sua ltima verso do ano de 2011 e alteraes de 2013 das
normas 27001 e 27002 uma nova reviso aguardada. Faz parte da famlia de
normas 27000, voltada a Gesto da Segurana da Informao, fundamentadas nas
normas ISO 27001 (que estabelece os requisitos para o Sistema de Gesto de
Segurana da Informao) e a 27002 (cdigo de prtica em forma de um conjunto
de controles que completa a anterior).
Conforme ABNT (2011), esta norma fornece diretrizes para o processo de
gesto de riscos de segurana informao e prov recomendaes superficiais no
tcnicas aplicveis a todos os tipos de organizao, que pretendam gerir os riscos
que poderiam comprometer a segurana da informao. Se vale da mesma
abordagem de processo de melhoria continua da ISO 27001, o PDCA, que pode ser
utilizado junto ao SGSI (Sistema de Gesto de Segurana da Informao)
estabelecido na organizao, ou de forma independente, como por exemplo, para
gerenciar riscos de um projeto especifico.

10
Quadro 1 Etapas do PDCA alinhadas ao processo de Gesto de Riscos de
SI
Etapas do PDCA segundo o SGSI Etapa do processo de Gesto de Riscos
Planejar
Definio de contexto;
Anlise/Avaliao riscos;
Definio do Plano de Tratamento de
Riscos;
Aceitao do risco.
Executar
Implementao do plano de tratamento de
riscos
Verificar Monitoramento e anlise crtica dos riscos
Agir
Manuteno e melhoria do processo de
Gesto de Riscos de SI
Estabelecida a abordagem apresentada no Quadro 1, a norma sugere o
processo de Gesto de Riscos, ilustrado abaixo na Figura 2 e detalhado a seguir, de
maneira que os resultados gerados em uma etapa sero processados na seguinte,
para gerar uma nova sada, alm da possibilidade de troca de informaes entre as
etapas.
O processo composto por seis fases: Definio de contexto, Anlise e
avaliao de riscos, Tratamento dos riscos, Aceitao dos riscos, Comunicao dos
riscos e, por fim, Monitoramento e anlise crtica.
Na fase de Definio de Contexto, a partir do levantamento de todas as
informaes da organizao relevantes para o processo de Gesto de Riscos
(propsito, misso, negcio, organograma, produtos, parcerias, terceiros etc), so
elaborados itens como objetivos, escopo, limites, abrangncia, restries, critrios
(de probabilidade, valorizao de ativos, severidade de consequncias, impacto,
nvel e aceitao de risco) e o estabelecimento da organizao para gesto de
riscos, com a definio de tarefas, atribuies e responsabilidades. Estes itens so a
sada para a prxima fase, foco deste trabalho.

11

Figura 2 - Viso do processo de Gesto de Riscos, segundo a ISO 27005.

Fonte: BEZERRA (2011).
Esta fase subdivida em outras trs etapas: Identificao de riscos, Anlise
de riscos e Avaliao de riscos. Estas por sua vez so divididas em atividades,
conforme Figura 3.
Figura 3 Diviso de atividades da fase de Analise e avaliao de riscos

Fonte: Adaptado de BEZERRA (2011).
12
A Identificao de riscos inicia-se pela atividade de Identificao dos ativos da
organizao, informando como sero classificados e valorizados, essencial pois
somente sobre os ativos poderemos realizar as prximas identificaes de ameaas,
vulnerabilidades, controles existentes e consequncias de possveis eventos de
Segurana da Informao.
A etapa de Anlise de Riscos inicia-se pela Avaliao das consequncias.
Segundo Bezerra (2011), esta atividade tem como objetivo a avaliao de impactos
sobre o negcio da organizao. A avaliao deve levar em conta critrios da
Definio de contexto, adotando uma metodologia que pode ser quantitativa
(baseada em valores numricos, como custo de cada ativo ou prejuzos de uma
ocorrncia de um evento) ou qualitativa (abordagem mais subjetiva, leva em
considerao a intensidade das consequncias e probabilidade dos riscos).
A atividade de Avaliao da probabilidade o prximo passo da Anlise de
Riscos. Histricos de ocorrncia de incidentes de segurana e de possibilidade de
explorao das vulnerabilidades, levando em considerao tambm os controles
existentes, devem ser utilidade para a mensurao da probabilidade.
A atividade de Determinao do nvel de risco o ltimo passo dessa etapa,
quando, usando os dados das duas atividades anteriores, os riscos receberam um
valor que possibilite sua ordenao.
Por fim, so executadas as atividades da etapa de Avaliao de riscos. Os
nveis de risco encontrados na atividade anterior serviro de entrada neste passo,
para que sejam utilizados os critrios de deciso estabelecidos ainda na Definio
de contexto.
Durante a fase de Tratamento dos riscos, a organizao precisa planejar
como lidar com a situao que a fase anterior do processo de Gesto de Riscos
apresentou, gerando o Plano de Tratamento de Riscos (PTR), para que os riscos
residuais atinjam um nvel aceitvel, conforme critrios da Definio de contexto. A
organizao deve optar por uma das quatro opes de tratamento que a norma
descreve (modificar o risco com a implementao de controles; reter o risco; evitar o
risco com eliminao da atividade, processo ou outro fator que gere o risco; ou
compartilhar o risco com a transferncia para uma entidade externa que possa cobrir
as consequncias da ocorrncia de um risco, como uma prestadora de servios ou
13

uma seguradora). Novamente, a deciso deve estar apoiada nos critrios
estabelecidos ainda no grupo de atividades da Definio de contexto. Com o PTR
elaborado, chegado o momento da formalizao do aceite dos riscos que
restaram, tarefa que cabe a alta direo correspondendo fase de Aceitao de
risco.
O prximo passo a execuo da Comunicao do risco. Esta uma fase
que, na verdade, deve ocorrer durante todo o processo de Gesto de Riscos, com a
troca de informaes com todas as outras etapas, realizada entre os responsveis
pelo processo e pelas partes interessadas nas decises ali tomadas, assim como a
de Monitoramento e analise critica, atravs de uma coleta rotineira de informaes
que possam agregar e auxiliar com uma avaliao criteriosa de tudo o que o
processo desenvolve.
3 TRABALHOS RELACIONADOS
Durante o levantamento bibliogrfico foram encontrados trabalhos que
tambm tratam do processo de Gesto de Riscos em ambientes de computao em
nuvem. Dentro os trabalhos levantados, h uma preferncia dos autores por explorar
somente uma das fases do processo. Alguns sugerem a interao da ISO 27005
com outras ferramentas e outros usam a norma somente como referncia ou
sugesto para aplicao de seus conceitos. Algumas destas anlises so resumidas
a seguir.
Dada a importncia da Definio de contexto para a Gesto de Riscos da
norma ISO 27005, Beckers et al. (2011) propem um padro para esta fase do
processo apoiada nas necessidades dos stakeholders do negcio.
Com o objetivo de propor um modelo de Gesto de Riscos de Segurana da
Informao para cloud computing, Wahlgren e Kowalski (2013) descrevem uma
combinao da ISO 27005 com o NIST Multitier Organization-Wide Risk
Management. Este ltimo framework garante que a atividade de Gesto de Riscos
esteja espalhada por todos os nveis da empresa. Entretanto, trata-se de uma
abordagem focada nas fases de Comunicao e Monitoramento, sem detalhamento
para as demais.
Castro e de Sousa (2011) propem o estabelecimento de requisitos para a
atividade de gesto de riscos, em ambientes de computao em nuvem,
14
considerando as necessidades de cada organizao, e por etapas de atividades,
que podem ser ou no as da ISO 27005. Contudo, todas as condies e fases
indicadas neste trabalho, j so muito semelhantes ou j esto contidas na norma,
acabando por no abordar de forma mais clara as necessidades peculiares dos
cenrios de cloud computing.
Mais um foco em uma fase especifica do processo de Gesto de Riscos de
Segurana da Informao, pode ser encontrado em Drissi, Houmani e Medromi
(2013), mais precisamente na fase de Anlise e avaliao de riscos (risk
assessment). Mas, o trabalho apresenta apenas um levantamento do conhecimento
existente sobre esta fase, em cenrios de computao em nuvem e no chega a
propor uma abordagem de forma prtica.
Sidhu (2013) prope a integrao de um framework para Gesto de Riscos, o
NIST SP 800-144 (por ser o primeiro framework elaborado por uma entidade que
estuda a Segurana da Informao nos cenrios de cloud computing), com duas
ferramentas de melhores prticas: o COSO e o Risk IT da ISACA. Porm, esta
pesquisa restringe seus resultados a organizaes de pequeno e mdio porte.
De forma geral, o estudo de trabalhos relacionados, aponta para uma
carncia, e logo uma necessidade de estudo, da fase de Anlise e Avaliao de
Riscos em ambientes de cloud computing.
4 METODOLOGIA
A seguir seguem apresentadas algumas delimitaes metodolgicas da
pesquisa, bem como a metodologia de trabalho empregada para a Anlise e
avaliao de riscos de Segurana da Informao em ambientes de cloud computing.
A pesquisa classifica-se quanto ao seu objetivo como exploratria, seguindo o
conceito de Gil (1999) de que,
As pesquisas exploratrias tm como principal finalidade
desenvolver, esclarecer e modificar conceitos e ideias, tendo em
vista a formulao de problemas mais precisos ou hipteses
pesquisveis para estudos posteriores. O produto final deste
processo passa a ser um problema mais esclarecido, passvel de
investigao mediante procedimentos mais sistematizados.
15

A utilizao desta natureza de pesquisa justifica-se pelo fato do tema da
Segurana da Informao em cloud computing, no estar totalmente definido, como
possvel perceber na seo de Introduo, subseo de Contextualizao do
problema.
J quanto ao seu aspecto temporal, a pesquisa caracteriza-se como do tipo
de corte transversal, pois segundo Teddo (2010), a coleta de dados, nesta pesquisa
representada atravs do mapeamento das publicaes, realizada num momento
especfico do tempo, no qual considerando as pesquisas realizadas, no foram
encontrados trabalhos com a temtica de mapeamento proposta.
Considerando a natureza das variveis, a pesquisa classifica-se como
qualitativa, pois segundo Silva e Menezes (2005), na pesquisa qualitativa,
A interpretao dos fenmenos e atribuio de significados so
bsicas no processo qualitativo. No requer o uso de mtodos e
tcnicas estatsticas. O processo e seu significado so os focos
principais de abordagem.
A metodologia de trabalho empregada divide-se em trs fases, conforme
observa-se na Figura 4.
Na primeira fase realiza-se um apanhado das questes de Segurana da
Informao que cercam o tema da computao em nuvem, alm da formao do
entendimento da importncia e necessidade da anlise e avaliao de riscos nesse
contexto.
importante destacar que na primeira fase os trabalhos relacionados
direcionaram os objetivos da presente pesquisa com o enfoque na Norma ISO
27005, mais especificamente na fase da norma de Anlise e avaliao de riscos.

16
Figura 4 Fases da metodologia de trabalho da pesquisa

A segunda fase da pesquisa inicia-se com o levantamento de publicaes que
visam contribuir para a Segurana da Informao, em cenrios de computao em
nuvem. Aps, uma listagem das recomendaes que a norma ISO 27005 apresenta
para cada atividade do processo de Gesto de Riscos. Esses dois itens so
confrontados para apontar em qual atividade cada ferramenta pode auxiliar, e qual o
seu grau de aderncia s recomendaes da ISO 27005, gerando o mapeamento
proposto no segundo objetivo especifico da pesquisa.
Para a elaborao da proposta, utiliza-se a validao de um especialista da
rea de Gesto de Riscos de Segurana da Informao, com experincia
profissional e acadmica na rea comprovada atravs de certificaes como CISSP
(Certified Information Systems Security Professional), CISM (Certified Information
Security Manager) e AMBCI - Associate Member of Business Continuity Institute.
A contribuio desse especialista trouxe a sugesto de utilizao de uma
escala, que segue explicada na seo Proposta de anlise. Escala ser utilizada
para alcanar o terceiro objetivo especifico proposto pela pesquisa.
17

A terceira e ltima fase da pesquisa entrega o mapeamento das publicaes
realizado levando em considerao cada atividade e as publicaes que incidem
sobre tais, informando o seu nvel de aderncia e a pontuao correspondente. A
seguir as concluses da pesquisa, e finalmente as sugestes de trabalhos futuros a
cerca do tema.
5 PROPOSTA DE ANLISE
Nesta seo apresenta-se o levantamento das ferramentas voltadas para
ambientes de cloud computing e o mapeamento dessas publicaes s
recomendaes das atividades da fase de Anlise e avaliao de riscos, do
processo de Gesto de Riscos da Norma ISO 27005.
5.1 Levantamento de ferramentas
Atravs da pesquisa sobre Segurana da Informao em cenrios de cloud
computing, possvel identificar algumas instituies independentes que visam
contribuir com o tema, desenvolvendo ferramentas, projetos, iniciativas e projetos de
pesquisa de melhores prticas da rea, especificamente para os cenrios de
computao.
Este trabalho seleciona trs instituies: a Cloud Security Alliance (CSA), The
Open Group e a European Union Agency for Network and Information Security
(ENISA). Tais instituies foram selecionadas, por contriburem com estudos a cerca
das questes de Segurana da Informao para ambientes de computao em
nuvem, e por que algumas de suas publicaes auxiliam explicitamente a fase de
Anlise e Avaliao de Riscos, do processo de Gesto de Riscos da norma ISO
27005.
5.1.1 Cloud Security Alliance (CSA)
A Cloud Security Alliance (CSA) uma organizao sem fins lucrativos, de
presena global, formada em 2008 com a misso de promover a utilizao das
melhores prticas para garantia da Segurana da Informao em ambientes de
computao em nuvem, focando em pesquisa, educao e certificao. composta
por uma ampla coalizo de profissionais, empresas e associaes de Tecnologia da
Informao e Segurana da Informao, como ISACA, HP, Microsoft, Adobe,
18
Amazon, AT&T, BlueCoat, CA, Citrix, Deloitte, Google, HCL, Novell, Oracle, Orange,
Qualys, Red Hat, RSA, Sophos, Symantec, TrendMicro e Vmware.
Dentre as diversas publicaes da CSA, esto o Security Guidance for Critical
Areas of Focus in Cloud Computing um catalogo de questes de Segurana da
Informao e melhores prticas para cenrios de cloud computing. J recebeu
traduo para diversas lnguas, e atualmente esta na verso 3. Derivado desse guia,
o Consensus Assessments Initiative Questionnaire um questionrio de avaliao
que captura as principais questes que devem ser feitas aos provedores de cloud
computing para identificar as reas de controle e outras informaes importantes
que um cliente deve observar. A ltima verso disponvel a 1.1.
Por ltimo, o The notorious nine cloud computing Top Threats in 2013, tem
como objetivo fornecer o contexto necessrio para auxiliar as organizaes na
tomada de deciso e Gesto de Riscos na adoo de cloud computing.
5.1.2 The Open Group
Liderado por grandes players do mercado, como HP, IBM, Oracle e Philips, o
The Open Group um consrcio que visa desenvolver e melhorar padres abertos
para o setor de Tecnologia da Informao. Fundado na primeira metade da dcada
de 1990, a aliana ficou conhecida por ser proprietria da marca UNIX e ajudar a
desenvolver o sistema operacional de mesmo nome. Organizada nos chamados
work groups, um deles estuda justamente as questes relacionadas aos cenrios de
cloud computing, com foco principal para a Segurana da Informao.
Um dos principais trabalhos desta diviso, o Cloud Computing for Business,
guia de 2011 que visa orientar as organizaes a maximizar seus ganhos com a
computao em nuvem, atravs de boas prticas.
5.1.3 European Union Agency for Network and Information Security (ENISA )
Criada em 2004, a ENISA a agncia responsvel na Unio Europeia (seu
principal stakeholder) pelas questes de pesquisa em Segurana da Informao.
Tambm conta com o auxlio de grandes empresas do mercado como Microsoft,
Google, IBM, RSA e outros.
A publicao da instituio relevante para o trabalho o Cloud computing
Benefits, risks and recommendations for Information Security, de 2009, criado com a
19

inteno de apontar tanto benefcios quanto riscos de Segurana da Informao da
computao em nuvem, fornecendo um conjunto de recomendaes e boas
prticas.
5.2 Mapeamento das publicaes s recomendaes das atividades da fase de
Anlise e avaliao de riscos
O mapeamento inicia-se primeiramente com o estudo do propsito divulgado
por cada instituio, para cada uma de suas publicaes, que geralmente j trs
algum indcio de como cada uma delas auxilia.
A seguir realizado um estudo das publicaes, em paralelo a uma reviso
dos conceitos apresentados em ABNT (2011), com o apoio de BEZERRA (2011) e
para cada uma das atividades, suas respectivas descries e recomendaes. A
Figura 5 ilustra essa fase da pesquisa.
Figura 5 Esquema de estudo das publicaes e recomendaes da norma
ISO 27005

Na Figura 5 observa-se a estratgia utilizada pelo pesquisados para a
construo do mapeamento das publicaes. Como ponto de partida optou-se por
analisar as sees de cada publicao, de modo a perceber como a respectiva
20
seo poderia contribuir com as recomendaes de cada atividade da fase da ISO
27005.
Cabe destacar alguns desafios encontrados na estratgia de mapeamento. As
publicaes, com exceo do Consensus Assessments Initiative Questionnaire que
utiliza o formato de planilha, esto em formato de guia e so muito extensas, assim
como a prpria norma ISO 27005. Este inclusive mais um motivo para utilizao do
material de BEZERRA (2011), que possui um formato de compreenso mais didtico
e elucidativo. Outro desafio envolve a necessidade do estudo em paralelo de cada
uma das publicaes e a norma, para que exista a mxima certeza de relao entre
uma atividade, suas recomendaes e a publicao analisada naquele instante. Este
percalo poderia ser amenizado se mais trabalhos relatando a utilizao destes
guias fossem encontrados.
Para a anlise das publicaes das instituies prope-se uma escala para
sistematizar a anlise qualitativa do pesquisador e dos especialistas. Essa escala
organizada em trs nveis de aderncia que seguem descritos a seguir:
Adere: quando a publicao aborda a atividade e supri de forma prtica
(atravs de exemplos claros ou sugestes) as respectivas
recomendaes. Na seo de Entrega da anlise representado pela cor
verde e pontuao 2;
Adere parcialmente: quando a publicao aborda a atividade, as
respectivas recomendaes, mas no supri de forma prtica a
necessidade que elas representam. Na seo de Entrega da anlise
representado pela cor amarela e pontuao 1;
No adere: quando a publicao aborda a atividade, mas nem mesmo
menciona as respectivas recomendaes. Na seo de Entrega da anlise
representado pela cor vermelha e pontuao 0.
A referida escala pertinente para a totalizao por publicao das
pontuaes obtidas organizada por atividades da norma ISO 27005, de modo a
sistematizar a anlise qualitativa do pesquisador.
Nos quadros de mapeamento ainda existe um campo chamado de Seo ou
Sees, que informa em qual seo ou captulo da publicao aquela atividade
abordada, facilitando assim a consulta prtica, do indivduo que desejar executar a
21

fase de Anlise e avaliao de riscos em ambientes de computao em nuvem.
importante chamar ateno para o fato de que as publicaes no se encontram no
mesmo formato. Por exemplo, o Consensus Assessments Initiative Questionnaire
uma planilha e, desta forma deve ser utilizada por inteiro. Assim como o The
Notorious Nine: Cloud Computing Top Threats in 2013, que apesar de estar no
formato de guia, no conta uma separao de acordo com as suas recomendaes.
Abaixo segue um exemplo, de uma atividade (Identificao dos ativos) da
etapa de Identificao de riscos, para demonstrar o mapeamento apresentado na
prxima seo. A verso completa da proposta de mapeamento, com todas as
etapas, atividades e recomendaes, da fase de Anlise e avaliao de riscos da
ISO 27005, encontra-se disponvel na seo de Mapeamento das publicaes,
inclusive j totalmente preenchida.
Quadro 2 Exemplo do mapeamento das publicaes com as atividades da
ISO 27005
Etapa
Identificao dos riscos
Atividade Instituio Publicao
Recomendaes
da ISO 27005
Nvel de
aderncia
recomendao
Identificao
dos ativos
CSA
Security Guidance for
Critical Areas of Focus in
Cloud Computing
Atribuio de
proprietrio
Tipificao

Valorizao

Negcios
relacionados
Sees:
Pontuao geral da publicao na atividade
ENISA
Benefits, risks and
recommendations for
Information Security
Atribuio de
proprietrio

Tipificao
Valorizao
Negcios
relacionados

Seo:
Pontuao geral da publicao na atividade
Como possvel perceber no exemplo acima, nem todas as publicaes
esto presentes em todos os quadros. Isso ocorre, pois, durante a realizao do
22
mapeamento, perceber-se que a publicao em questo no aborda aquela
atividade, e assim no pode nem mesmo estar no nvel de aderncia No adere.
6 MAPEAMENTO DAS PUBLICAES
A seguir apresenta-se os quadros que representam o mapeamento de cada
atividade com as publicaes que as abordam. O mapeamento realizado seguindo
os critrios estabelecidos na seo anterior, Proposta de anlise. Aps cada quadro,
feita uma explanao dos aspectos que devem ser considerados, levando-se em
considerao tanto a pontuao quanto os nveis de aderncia.
Quadro 3 Mapeamento da atividade de Identificao dos ativos
Etapa
Identificao dos riscos
Recomendaes
da ISO 27005
Nvel de
aderncia
recomendao
Identificao
dos ativos
CSA
Security Guidance for
Critical Areas of Focus in
Cloud Computing
Atribuio de
proprietrio
No adere (0)
Tipificao Adere (2)
Valorizao Adere (2)
Negcios
relacionados
Adere parcialmente
(1)
Sees: Identify the Asset for the Cloud Deployment e Map the Asset
to Potential Cloud Deployment
Pontuao geral da publicao na atividade 5
ENISA
Benefits, risks and
recommendations for
Information Security
Atribuio de
proprietrio
Adere (2)
Tipificao No adere (0)
Valorizao Adere (2)
Negcios
relacionados
No adere (0)
Seo: 5. Assets
Conforme o Quadro 3, na primeira atividade, Identificao dos ativos, da
primeira etapa, Identificao dos riscos, pode-se perceber a pontuao maior para o
Security Guidance for Critical Areas of Focus in Cloud Computing, da CSA.
Entretanto, preciso ressaltar que o guia no adere a recomendao de Atribuio
de proprietrio da norma ISO 27005. Desta forma pode-se concluir que para
23

comtemplar totalmente essa atividade, necessrio ainda recorrer ao guia Benefits,
risks and recommendations for Information Security, da ENISA.
Quadro 4 Mapeamento da atividade de Identificao das ameaas
Atividade Instituio Publicao Recomendaes da ISO 27005
Nvel de
aderncia
recomendao
Identificao
das
ameaas
CSA
The Notorious
Nine Cloud Top
Threats in 2013
Classificao Adere (2)
Fonte/Origem No adere (0)
Associao a um ativo No adere (0)
Seo: Toda a publicao
The Open
Group
Cloud Computing
for Business
Classificao
Adere
parcialmente
(1)
Fonte/Origem
Adere
parcialmente
(1)
Seo: 5 Understanding Cloud Risk
ENISA
Benefits, risks
and
recommendations
for Information
Security
Fonte/Origem Adere (2)
Associao a um ativo Adere (2)
Seo: 2. Risk assesment, 3. Risks
Na atividade seguinte, observada no Quadro 4, a Identificao das ameaas,
h uma aderncia em todas as recomendaes feitas pela ISO 27005 por parte da
publicao da ENISA. Entretanto, o guia principal para Segurana da Informao da
CSA, tambm pode contribuir com a recomendao de Classificao das ameaas.
Quadro 5 Mapeamento da atividade de Identificao dos controles
existentes
Recomendaes da ISO
27005
Nvel de
aderncia
recomendao
Identificao
dos controles
existentes
CSA
Consensus
Assessments
Initiative
Questionnaire
Status de implementao
Adere
parcialmente (1)
Nvel de eficcia No adere (0)
24
No Quadro 5 h o domnio do Consensus Assessments Initiative
Questionnaire para a atividade de Identificao dos controles existentes. Isso ocorre
porque o objetivo da publicao adere s recomendaes da atividade da norma
ISO 27005.
Quadro 6 Mapeamento da atividade de Identificao das vulnerabilidades
Recomendaes da ISO
27005
Nvel de
aderncia
recomendao
Identificao
das
vulnerabilidades
CSA
The Notorious
Nine Cloud Top
Threats in 2013
Fonte/origem No adere (0)
Associao a uma ameaa No adere (0)
ENISA
Benefits, risks
and
recommendations
for Information
Security
Fonte/origem Adere (2)
Associao a uma ameaa Adere (2)
Seo: 2. Risk assesment, 3. Risks, 4. Vulnerabilities
A anlise da Identificao das vulnerabilidades, correspondente ao Quadro 6,
segue apresentada junto a anlise do Quadro 7 e 8, devido a correlao existentes
entre essas atividades.

25

Quadro 7 Mapeamento da atividade de Identificao das consequncias
Recomendaes da ISO
27005
Nvel de
aderncia
recomendao
Identificao
das
consequncias
CSA
The Notorious
Nine Cloud Top
Threats in 2013
Metodologia* de anlise Adere (2)
Security
Guidance for
Critical Areas of
Focus in Cloud
Computing
Metodologia* de anlise
Adere
parcialmente (1)
Seo: Evalute the Asset
ENISA
Benefits, risks
and
recommendations
for Information
Security
Metodologia* de anlise
Adere
parcialmente (1)

Sees: 2. Risk assesment, 3. Risks
A anlise da Identificao das consequncias, correspondente ao Quadro 7,
segue apresentada junto a anlise dos Quadros 6 e 8, devido a correlao
existentes entre estas atividades.

26
Quadro 8 Mapeamento da atividade de Avaliao das consequncias
Etapa
Anlise dos riscos
Recomendaes da ISO
27005
Nvel de
aderncia
recomendao
Avaliao das
consequncias
CSA
Security
Guidance for
Critical Areas of
Focus in Cloud
Computing
Metodologia*
Adere
parcialmente (1)
Mensurao das
consequncias
Adere
parcialmente (1)
Sees: Section II. Governing in the Cloud - Domain 2: Governance
and Enterprise Risk Management, Section III. Operating in the
Cloud - Section III. Operating in the Cloud / Domain 9: Incident
Response, Notification, and Remediation
ENISA
Benefits, risks
and
recommendations
for Information
Security
Metodologia*
Adere
parcialmente (1)
Mensurao das
consequncias
Adere (2)
Nos Quadros 6, 7 e 8, que demonstram as anlises para as atividades de
Identificao de vulnerabilidades, Identificao de consequncias e Avaliao das
consequncias, primeiramente importante salientar que, os conceitos de ameaa,
vulnerabilidade e consequncia nestas publicaes diferem daqueles encontrados
na norma ISO 27005, os quais a pesquisa leva em considerao. Por isso bom
lembrar o objetivo da pesquisa, conforme Figura 5 na seo de Proposta de anlise,
ou seja, a busca nas publicaes de subsdios para atender as recomendaes da
norma. Assim, mesmo que exista diferena nos conceitos do que uma ameaa,
uma vulnerabilidade ou uma consequncia, considera-se que nessas atividades a
publicao realiza contribuies.
Em segundo lugar, apesar da maior pontuao ficar com o guia Benefits, risks
and recommendations for Information Security da ENISA e o Security Guidance for
Critical Areas of Focus in Cloud Computing da CSA, importante destacar alguns
aspectos.
A publicao da CSA em duas dessas trs atividades complementada pelo
The Notorious Nine Cloud Top Threats in 2013. Essa segunda publicao da
instituio apoia-se no STRIDE (Spoofing identity, Tampering with data, Repudiation,
27

Information disclosure, Denial of service and Elevation of privilege), modelo
desenvolvido pela Microsoft para identificao de vulnerabilidades e consequncias
de eventos de Segurana da Informao, muito til para atender a recomendao de
Metodologia*.
Quadro 9 Mapeamento da atividade de Avaliao da probabilidade
Recomendaes da ISO
27005
Nvel de
aderncia
recomendao
Avaliao da
probabilidade
CSA
Security
Guidance for
Critical Areas of
Focus in Cloud
Computing
Metodologia*
Adere
parcialmente (1)
Mensurao das
probabilidades
Adere
parcialmente (1)
The Open
Group
Cloud Computing
for Business
Metodologia No adere (0)
Mensurao das
probabilidades
Adere (2)
Seo: 5 Understanding Cloud Risk
ENISA
Benefits, risks
and
recommendations
for Information
Security
Metodologia Adere (2)
Mensurao das
probabilidades
Adere (2)
No Quadro 9 a publicao da ENISA apresenta relevante contribuio, com
aderncia completa s duas recomendaes da norma, para a Avaliao da
probabilidade, uma atividade considerada complexa em cenrios de computao em
nuvem.

28
Quadro 10 Mapeamento da atividade de Determinao do Nvel dos riscos
Recomendaes da ISO
27005
Nvel de
aderncia
recomendao
Determinao
do Nvel dos
riscos
CSA
Security
Guidance for
Critical Areas of
Focus in Cloud
Computing
Metodologia
Adere
parcialmente (1)
Nvel dos riscos
Adere
parcialmente (1)
Sees: Section II. Governing in the Cloud - Domain 2:
Governance and Enterprise Risk Management, Section III.
Operating in the Cloud - Section III. Operating in the Cloud /
Domain 9: Incident Response, Notification, and Remediation
ENISA
Benefits, risks
and
recommendations
for Information
Security
Metodologia Adere (2)
Nvel dos riscos Adere (2)
Devido correlao entre as atividades de Determinao do Nvel dos riscos,
e de Avaliao dos riscos, a anlise do Quadro 10 apresentada juntamente com a
do Quadro 11.
Quadro 11 Anlise da atividade de Avaliao dos riscos
Etapa
Avaliao dos riscos
Recomendaes da ISO
27005
Nvel de
aderncia
recomendao
Avaliao dos
riscos
CSA
Security Guidance
for Critical Areas of
Focus in Cloud
Computing
Ordenao por prioridade
Adere
parcialmente (1)
ENISA
Benefits, risks and
recommendations
for Information
Security
Ordenao por prioridade Adere (2)
Para as duas ltimas atividades da fase de Anlise e avaliao de Riscos,
demonstradas nos Quadros 10 e 11, pode-se observar um predomnio da publicao
29

da ENISA, enquanto o guia da CSA tem apenas a aderncia parcial, concluindo-se
que seja interessante utilizar diretamente essa publicao.
Finalizada a anlise de todas as atividades possvel concluir que, o guia
Benefits, risks and recommendations for Information Security da ENISA, atravs de
diversas referncias e exemplos semelhantes aos expostos na norma de Gesto de
Riscos de Segurana da Informao, apresenta um mapeamento de quase todas as
recomendaes no contexto da computao em nuvem. Outro aspecto que facilita o
seu entendimento e aproximao norma a utilizao de estudos de caso. A nica
atividade da norma ISO 27005 que o guia no contribui a Identificao de
controles existentes, que pode ser complementada pelo Consensus Assessments
Initiative Questionnaire da Cloud Security Alliance, conforme anlise no Quadro 5.
A publicao traz ainda adendos importantes, em relao s recomendaes
da ISO 27005 como, por exemplo, a diviso de responsabilidades entre cliente e
provedor de diversas atividades recomendadas pelas boas prticas de Segurana
da Informao.
Sem a vocao prtica observada na publicao da ENISA, os guias da CSA
e do The Open Group analisados, demonstram que tem o propsito de apenas
chamar ateno para questes de Segurana da Informao em ambientes de cloud
computing, com exceo do Consensus Assessments Initiative Questionnaire. Esses
guias trazem pouca ou nenhuma referncia direta norma ISO 27005. Tal fato pode
estar relacionado ao fato da ENISA ser sediada na Europa, assim como a ISO
(International Organization for Standardization).
Mesmo assim, as publicaes trazem contribuies importantes para outras
reas, que no a de Segurana da Informao, como a de compliance e ROI (Return
over Investment) em Cloud Computing for Business, e governana em Security
Guidance for Critical Areas of Focus in Cloud Computing.
7 CONCLUSO E TRABALHOS FUTUROS
Ao final do trabalho, possvel concluir que h diversas publicaes que
podem auxiliar a fase de Anlise e avalio de riscos, do processo de Gesto de
Riscos da norma ISO 27005. Nesta pesquisa apresenta-se o levantamento e anlise
de publicaes de trs instituies com esse intuito. Entretanto, para atender
adequadamente s necessidades dos cenrios de cloud computing, a pesquisa
30
deixa como principal contribuio um mapeamento que pode ser utilizado de
maneira prtica por profissionais de Segurana da Informao, que necessitam
executar a fase de Anlise e avaliao de riscos, em cenrios de computao em
nuvem, e no possuem o total conhecimento sobre esses ambientes.
Outra contribuio da pesquisa o indcio de que, no basta apenas valer-se
desse processo para sanar tais lacunas. necessrio tambm verificar
recomendao por recomendao que a norma apresenta, e nesse sentido, a
abordagem na forma de processo (composta por fases, etapas e atividades bem
definidas, com entradas e sadas previstas a cada passo), mesclada a utilizao das
vrias publicaes pesquisadas mostra-se bastante pertinente, visto que, conforme
relatado na subseo de Contextualizao do problema, ainda no existe um
processo capaz de ordenar tais necessidades.
A anlise apresentada na seo Mapeamento das publicaes indica isso,
quando uma publicao de maior pontuao para uma determinada atividade, no
adere a todas as recomendaes apresentadas pela norma ISO 27005, e necessita-
se ento do auxlio de outra. Desta forma, analisando somente a pontuao,
possvel apontar que a publicao Benefits, risks and recommendations for
Information Security da ENISA a mais aderente s recomendaes da norma ISO
27005.
Entretanto, o outro acrscimo acadmico da pesquisa rea de Segurana
da Informao mostra que, mesmo valendo-se de meios quantitativos, importante
que a questo, e possveis decises da Gesto de Riscos de Segurana da
Informao, em cenrios de cloud computing so, assim como esta pesquisa, de
natureza qualitativa, merecendo ponderaes que os nmeros no podem indicar.
Para confirmar esse indicativo, seria importante a repetio da metodologia
proposta (levantamento, anlise e mapeamento de publicaes) nas demais fases
do processo de Gesto de Riscos (Definio de contexto, Tratamento de Riscos,
Aceitao de Riscos e Monitoramento e anlise crtica de Riscos), ou at mesmo no
processo de Gesto de Riscos inteiro.
Outra contribuio que a anlise dos aspectos qualitativos, realizada na
seo Mapeamento das publicaes, possa ser enriquecida, atravs da realizao
de um estudo de caso em que a unidade de anlise, no se limite ao processo de
31

implementao projetado nas publicaes e a norma ISO 27005, mas tambm, uma
organizao real com, no mnimo, a inteno de utilizao do modelo de cloud
computing e com preocupao de manuteno das boas prticas de Segurana da
Informao. Com um estudo de caso neste formato, ainda seria possvel verificar
itens no pertencentes ao escopo dessa pesquisa, como a qualidade das
contribuies de cada publicao em cada recomendao da norma.
Esta pesquisa, conforme explicado na seo de Proposta de anlise do
trabalho, prope um estudo no sentido da aderncia das publicaes em relao
norma ISO 27005, entretanto, em estudos futuros, sugere-se a anlise de outras
possveis contribuies e melhorias que as publicaes podem trazer a norma, como
o caso dos acrscimos que o guia Benefits, risks and recommendations for
Information Security da ENISA faz, citados na seo de Mapeamento das
publicaes.
Mapping publications to ISO 27005 Analysis and Risk Assessment activities
recommendations in cloud computing environments
Abstract: Together the advantages brought by the cloud-computing model for the
Information Technology, there were also new Information Security challenges, which
need to be managed as possible risks peculiar to that context. From the Risk
Management process of ISO 27005, research makes the survey and analysis of
publications focused on the Analysis and assessment risks phase of the standard.
Finally, it presented a mapping of the activities recommendations of this phase in the
publications of the Cloud Security Alliance (CSA), the European Union Agency for
Network and Information Security (ENISA) and The Open Group, as well as an
analysis of compliance.
Keywords: cloud computing. information security. risk management. ISO 27005
REFERNCIAS
ALBAKRI, Sameer Hasan; SHANMUGAM, Bharanidharan; SAMY, Ganthan
Narayana, IDRIS, Norbik Bashah; AHMED, Azuan. Security risk assessment
framework for cloud computing environments. 2013. Disponvel em:
<http://onlinelibrary.wiley.com/doi/10.1002/sec.923/>. Acesso em: 28 jan. 2014.
32
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (ABNT). NBR 27005:
Tecnologia da informao Tcnicas de segurana Gesto de riscos de
segurana da informao. Rio de Janeiro, 2011.
BECKERS, Kristian; SCHMIDT, Holger; KUSTER, Jan-Christoph; FASSBENDER, Stephan.
Pattern-Based Support for Context Establishment and Asset Identication of the
ISO27000 in the Field of Cloud Computing, 2011. Disponvel em:
<http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=6045958>. Acesso em: 05 mar. 2014.
BEZERRA, Edson Kowask. Gesto de riscos de TI: NBR 27005. Rio de Janeiro:
Escola Superior de Redes, 2011. Disponvel em:
<http://pt.scribd.com/doc/55387254/Gestao-de-Riscos-de-TI-NBR-27005>. Acesso
em: 26 jan. 2014.
CARR, Nicholas. A grande mudana: Reconectando o mundo, de Thomas
Edison ao Google. So Paulo: Editora Landscape. 2008.
CLOUD Computing. Intel. 2012. Disponvel em:
<http://www.nextgenerationcenter.com/scriptServices/courseToPdf.ashx?courseId=2
95ca6eb-bec9-452a-94f1-18431356f82e>. Acesso em: 17 jan. 2014.
CSA, Cloud Security Alliance Brazil Chapter. Guia de Segurana para reas
Crticas Focado em Computao em Nuvem v2.1 Preparado por Cloud
Security Alliance (2009), Traduzido por Cloud Security Alliance Brazilian
Chapter (Junho 2010), 2010. Disponvel em:
<https://cloudsecurityalliance.org/guidance/CSAGuidance-pt-BR.pdf>. Acesso em:
14 fev. 2014.
CSA, Cloud Security Alliance. Security Guidance for Critical Areas of Focus in
Cloud Computing v3.0, 2011. Disponvel em:
<https://downloads.cloudsecurityalliance.org/initiatives/guidance/csaguide.v3.0.pdf>.
Acesso em: 25 jan. 2014.
DAVENPORT, Thomas H. Reengenharia de processos: como inovar na empresa
atravs da tecnologia da informao. Rio de Janeiro: Campus, 1994.
DE CASTRO, Rita de C. C.; DE SOUSA, Vernica L. Pimentel. Segurana em
Cloud Computing: Governana e Gerenciamento de Riscos de Segurana.
33

2011. Disponvel em: <http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740-
Seguranca%20em%20Cloud.pdf>. Acesso em: 18 mar. 2014.
DRISSI, Saadia; HOUMANI, Hanane; MEDROMI, Hicham. Survey: Risk
Assessment for Cloud Computing. 2013. Disponvel em: <
http://thesai.org/Downloads/Volume4No12/Paper_21-
Survey_Risk_Assessment_for_Cloud_Computing.pdf>. Acesso em 18 mar.2014.
ENISA. Benefits, risks and recommendations for information security, 2009.
Disponvel em: <http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-
computing-risk-assessment/at_download/fullReport>. Acesso em: 25 jan. 2014.
FEDRAMP. Proposed Security Assessment & Authorization for U.S. Government
Cloud Computing, 2010. Disponvel em: < http://www.cloudcontrols.org/wp-
content/uploads/2010/11/Proposed-Security-Assessment-and-Authorization-for-Cloud-
Computing.pdf>. Acesso em: 21 jan. 2014.
GIL, Antnio Carlos. Mtodos e tcnicas de pesquisa social. 5 edio. So
Paulo:Atlas, 1999.
HARDING, Chris, Cloud computing for business The Open Group Guide. 2011.
Disponvel em: <
http://www.opengroup.org/sites/default/files/contentimages/Press/Excerpts/first_30_p
ages.pdf >. Acesso em: 18. Jan. 2014.
HILL, Stephen; DINSDALE, Geoff. Uma base para o desenvolvimento de estratgias de
aprendizagem para a gesto de riscos no servio pblico. 2003. Disponvel em:
<http://www.enap.gov.br/index.php?option=com_docman&task=doc_download&gid=1574>.A
cesso em: 30 jan. 2014.
ISACA. IT Control objectives for cloud computing: Controls and assurange in
the cloud. 2011. Disponvel em <http://www.isaca.org/Knowledge-
Center/Research/Documents/ITCO_Cloud_SAMPLE_E-book_20July2011.pdf>.
Acesso em 17 jan. 2014.
JAMIL, Danish; HASSAN, Zaki. Cloud Computing Security, 2011. Disponvel em:
<http://www.ijest.info/docs/IJEST11-03-04-129.pdf >. Acesso em 26 jan. 2014.
MARKS, Eric A.; LOZANO, Roberto R. Executives guide to cloud computing.
Hoboken, NJ (US): John Wiley, 2010.
34
MILLER, Michael. Cloud computing: web-base applications that change the way
you work and collaborate online. Indianapolis, IN (US): Que Publising, 2008.
NIST. The NIST definition of cloud computing. 2011a. Disponvel em: <
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf >. Acesso em: 16
fev. 2014.
NIST. NIST Cloud Computing Reference Architecture, 2011b. Disponvel em:
<http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505> . Acesso em: 17 jan.
2014.
NIST. NIST Guidelines on Security and Privacy in Public Cloud Computing,
2011c. Disponvel em: <http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505> .
Acesso em: 17 jan. 2014.
TAKABI, Hassan; JOSHI, James B. D.; AHN, Gail-Joon. Secure Cloud: Towards a
Comprehensive Security Framework for Cloud Computing Environments, 2010.
Disponvel em: < http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=5615236>. Acesso em
26 jan. 2014.
TEDDO, Luiz Flvio Portirio. Metodologia em dissertao de Mestrado. Pedro
Leopoldo, 2010.
SIDHU, Sandeep Kaur. A study of NIST SP 800-144 standard on IT risk management in
cloud computing: Creating a novel framework for implementing it in Small and
Medium sized Enterprises (SMEs) by applying COSO and ISACAs Risk IT frameworks.
2013. Disponvel em: < https://wiki.cis.unisa.edu.au/wki/images/0/01/SidhuThesis.pdf>.
Acesso em 19 mar. 2014.
SILVA, Edna Lcia da; MENEZES, Estera Muszkat. Metodologia da pesquisa e
elaborao de dissertao. 4 ed. Florianpolis: UFSC, 2005. Disponvel em:
<http://tccbiblio.paginas.ufsc.br/files/2010/09/024_Metodologia_de_pesquisa_e_elab
oracao_de_teses_e_dissertacoes1.pdf>. Acesso em: 30 br. 2014.``
WAHLGREN, Gunnar; KOWALSKI, Stewart. IT Security Risk Management Model
for Cloud Computing: A Need for a New Escalation Approach, 2013. Disponvel
em: <http://sdiwc.net/digital-library/web...pdf/00000767.pdf>. Acesso em 17. Mar.
2014.
YIN, Robert K. Estudo de caso Planejamento e Mtodos. 2a edio. Porto
Alegre: Bookman, 2001.

Darlan Amancio Rodrigues PF2 2014

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Darlan Amancio Rodrigues PF2 2014

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDADE DO VALE DO RIO DOS SINOS - UNISINOS

UNIDADE ACADMICA DE GRADUAO

Вам также может понравиться