Mapeamento de publicaes s recomendaes das atividades da fase de Anlise e Avaliao de riscos da norma ISO 27005 em ambientes de cloud computing
So Leopoldo 2014 0
DARLAN AMANCIO RODRIGUES
Mapeamento de publicaes s recomendaes das atividades de Anlise e Avaliao de riscos da norma ISO 27005 em ambientes de cloud computing
Artigo apresentado como requisito parcial para obteno do ttulo de Tecnlogo em Segurana da Informao, pelo Curso de Segurana da Informao da Universidade do Vale do Rio dos Sinos - UNISINOS
. Orientador: Prof. Ms. Christopher Rosa Pohlmann
So Leopoldo 2014 1
MAPEAMENTO DE PUBLICAES S RECOMENDAES DAS ATIVIDADES DE ANLISE E AVALIAO DE RISCOS DA NORMA ISO 27005 EM AMBIENTES DE CLOUD COMPUTING Darlan Amancio Rodrigues *
Prof. Ms. Christopher Rosa Pohlmann **
Resumo: Junto s vantagens trazidas pelo modelo de computao em nuvem para a rea de Tecnologia da Informao, surgiram tambm novos desafios de Segurana da Informao, que necessitam ser gerenciados como eventuais riscos peculiares a esse contexto. A partir do processo de Gesto de Riscos da norma ISO 27005, a pesquisa faz o levantamento e anlise de publicaes focadas na fase de Anlise e avaliao de riscos da norma. Por fim, apresentado um mapeamento das recomendaes das atividades dessa fase nas publicaes da Cloud Security Alliance (CSA), European Union Agency for Network and Information Security (ENISA) e The Open Group, bem como uma anlise de aderncia.
Palavras-chave: cloud computing. segurana da informao. gesto de riscos. ISO 27005. 1 INTRODUO Como resultado da evoluo e melhoria de diversos modelos e ferramentas da rea de Tecnologia da Informao (TI), como mainframes, time sharing, cliente- servidor, datacenter e virtualizao, o conceito de cloud computing vem transformando de maneira radical a forma como as organizaes visualizam e consomem os recursos oferecidos pela rea de TI (CLOUD..., 2012). Tal consumo atualmente ocorre de forma escalar (por unidades de CPU, memria, espao em disco, etc.) e sob demanda. Desta forma, o conceito de cloud computing frequentemente associado ao de servio, visto que neste formato oferece maior controle de custos (ISACA, 2011). A computao em nuvem ainda promete liberar as empresas da necessidade de dedicar tempo e esforo para operar e gerenciar sua TI, permitindo que se concentrem em suas atividades principais, gerando eficcia e economia, com impacto direto em produtos, servios e processos de negcio (HARDING, 2010). Tal percepo corrobora com as ideais de Carr (2008), que compara as mudanas proporcionadas pelo novo modelo computacional, com as do perodo da
* Aluno formando 2014/1 do curso de Segurana da Informao ** Professor Orientador Atua nos cursos de Segurana da Informao e Engenharia de Produo 2 Revoluo Industrial, quando grandes indstrias deixaram de preocupar-se com a gerao de energia para focar nos seus produtos, passando ento a contar com fornecedores especializados em tal necessidade. Entretanto, Carr (2008) tambm lembra outro paradigma semelhante ao daquela poca: a dvida se tais fornecedores recm-surgidos, realmente seriam capazes de atend-los adequadamente. 1.1 Contextualizao do problema Apesar dos conhecimentos acumulados com frameworks e padres de Segurana da Informao, governana e continuidade de negcios serem muito teis e importantes, eles foram desenvolvidos a partir da experincia com cenrios tradicionais, em que os ativos de TI esto ao alcance de seus proprietrios. Desta forma, apesar de muitos ainda acreditarem que o tratamento possa ser o mesmo, o cloud computing possui necessidades especficas (CSA, 2010). Em pesquisa realizada em sites de busca, possvel encontrar artigos que tratam a Segurana da Informao em ambientes de computao em nuvem como um dos principais desafios, quando a adoo do modelo cogitada. Miller (2008) cita as falhas de segurana no meio de outras dificuldades (como incapacidade tcnica, deficincia do modelo de negcio e restries culturais) em relao ao conceito de cloud computing. Marks e Lozano (2010), junto a questes como governana e SLA (Service Level Agreement), chamam a ateno para a segurana, privacidade e confiabilidade. Em Nist (2011c), alm de desafios em comum com os demais autores, tambm so relatadas questes relativas a Segurana da Informao (SI), como compilance, localizao territorial dos dados envolvidos, responsabilidade sobre os ativos, gerenciamento de acesso e identidade e, finalmente, disponibilidade. Percebe-se ainda uma tendncia em tratar de SI em cenrios de computao em nuvem, atravs de uma listagem de possveis riscos que tais cenrios apresentariam. Takabi, Joshi e Ahn (2010) corroboram com essa percepo destacando que os referidos possveis riscos sejam tratados como desafios, preocupaes ou questes de segurana, e sugerem a integrao de diversos servios para lidar com alguns desses desafios, como gerenciamento de autenticao e identidades, controle de acesso, policy integration, gerenciamento de 3
servios e trust management. Assim como Jamil e Hassan (2011), que defendem a personalizao do cenrio de cada empresa, para a mitigao de ameaas, como perda de governana, dependncia de fornecedor e perda ou vazamentos de dados. Nota-se ainda a existncia de algumas ferramentas, sugestes e estudos para as necessidades dos cenrios de cloud computing. Entretanto, no fica evidente a conexo entre tais orientaes, visto que no se percebe uma organizao em etapas/atividades deste conjunto de orientaes. Tal organizao poderia ser alcanada seguindo o conceito de processo de Davenport (1994), ou seja, atravs de atividades que possuem incio, meio e fim, com entradas e sadas bem identificadas. Seguindo essa linha de raciocnio, dentro do conjunto de normas que fundamentam a Segurana da Informao, na famlia de normas ISO 27000 encontra-se a ISO 27005, que trata especificamente da Gesto de Riscos de Segurana da Informao, na forma de um processo baseado na metodologia PDCA (Plan, Do, Check, Act) que busca garantir a melhoria contnua. Atravs dessa abordagem possvel trabalhar com eventos de SI, levando em considerao a sua importncia, planejada a partir de sua probabilidade e severidade, com o correto gerenciamento de suas consequncias, promovendo um aprendizado atravs deste ciclo, considerando que se trata de um tipo de gesto proativa ao invs de reativa (HILL e DINSDALE, 2003). No entanto, alguns aspectos da norma ISO 27005 precisam ser analisados com ateno para cenrios de cloud computing, considerando que seu propsito ser genrica, servindo para qualquer tipo de cenrios (tradicionais, cloud computing, etc.), sem se preocupar com as peculiaridades de um cenrio em especial. Como exemplo dessa caracterstica, temos que a norma, Supe que os ativos de uma organizao so totalmente gerenciados pela prpria organizao e que todos os processos de gesto de segurana so impostos pela organizao. Essas premissas, no entanto, no se aplicam aos ambientes de computao em nuvem (ALBAKRI et al., 2013). Outro ponto a orientao muito esparsa para atividades iniciais e essenciais do processo descrito na norma, como a definio de contexto e identificao de ativos, que podem acarretar prejuzos nas etapas seguintes (BECKERS et al, 2011). 4 A atualizao do ano de 2013 das normas ISO 27001 e 27002 prev que alm dos ativos, cada risco tenha um proprietrio, que pode ser a mesma organizao/pessoa ou no. Desta forma, em cenrios de cloud computing poderiam existir riscos da organizao cujo proprietrio seja, por exemplo, o provedor de servios. Existem ainda algumas iniciativas de pesquisa que enfatizam a grande importncia da anlise e avaliao de riscos nestes cenrios. Fedramp (2010), por exemplo, afirma que a deciso de adotar a tecnologia de computao em nuvem uma deciso baseada no risco, no sendo uma deciso de base tecnolgica. Nist (2011c) tambm destaca que, As organizaes devem ter uma abordagem baseada no risco para analisar as opes de segurana e privacidade disponveis e decidir sobre a colocao de funes organizacionais em um ambiente de nuvem. Csa (2011) informa que o guia foi construdo com recomendaes gerais para a reduo do risco de adoo de um ambiente de computao em nuvem. Enisa (2009) prov uma avaliao baseada nos riscos e benefcios do uso de cloud computing segurana - fornecendo orientaes de segurana para o potencial e os usurios existentes de computao em nuvem. The Open Group (2010) descreve uma avaliao de riscos especfica para ambientes de computao em nuvem. Deste ponto em diante, o pesquisador opta por utilizar o termo publicaes, para se referir a esses projetos de pesquisa, iniciativas e ferramentas. A importncia do risk assessment (anlise e avaliao e riscos) para tais cenrios/ambientes, ainda ressaltada por Drissi, Houmani e Medromi (2013), durante suas concluses e sugestes para trabalhos futuros, informando que, H carncia de um mtodo estruturado que possa ser usado por quem deseja realizar um risk assessment de seus recursos que a serem migrados para ambientes de cloud computing, maximizando a confiana entre os clientes e os fornecedores de computao em nuvem, e a eficcia do sistema de segurana estabelecido. Diante do exposto, a seguinte questo de pesquisa apresentada: Quais publicaes podem auxiliar a fase de Anlise e avalio de riscos, do processo de Gesto de Riscos da norma ISO 27005, para atender adequadamente s necessidades dos cenrios de cloud computing? 5
Para responder esta questo, a pesquisa tem como objetivo principal a anlise de publicaes que possam apoiar a fase de anlise e avalio de riscos, do processo de Gesto de Risco da norma ISO 27005, aplicados a ambientes de computao em nuvem. Tal objetivo desdobra-se em: Analisar as diversas publicaes disponibilizadas pelas instituies focadas em Segurana da Informao para computao em nuvem; Mapear as publicaes analisadas com as recomendaes para as atividades da fase de Anlise e Avaliao do processo de Gesto de Riscos da norma ISO 27005; Analisar a aderncia das publicaes as recomendaes das atividades da fase de Anlise e Avaliao do processo de Gesto de Riscos da norma ISO 27005. Para o melhor entendimento do trabalho, importante salientar as seguintes delimitaes da pesquisa. A pesquisa focada na fase de Anlise e avaliao de riscos do processo de Gesto de Riscos de SI, da norma ISO 27005, considerando o cenrio de cloud computing. Portanto, no pretende apresentar um mtodo de como ou o que deve ser migrado para o cenrio de cloud computing. A pesquisa no est atrelada a nenhum dos modelos de implementao de computao em nuvem: Infrastructure as a Service (IaaS), Software as a Service (SaaS) ou Platform as a Service (PaaS). Tais modelos so apresentados para compor o entendimento do conceito de cloud computing. A pesquisa aqui realizada esta restrita a fase de Analise e avaliao de riscos do processo de Gesto de Riscos da norma ISO 27005, portanto, tambm limitada fase de Planejamento do ciclo PDCA, conforme Quadro 1 da subseo 2.2 deste artigo. No haver alterao ou mesmo redesenho do processo de Gesto de Riscos da norma ISO 27005, apenas o mapeamento das ferramentas s atividades da norma. 6 O levantamento das ferramentas aqui proposto no deve ser encarado como absoluto e definitivo. Outras ferramentas podem ser encontradas em trabalhos futuros. 2 FUNDAMENTAO TERICA A seguir, apresentada uma sntese dos conceitos bsicos de cloud computing ou computao em nuvem, visando a compreenso clara de alguns termos empregados na pesquisa. Da mesma forma, os principais conceitos da norma ABNT/NBR ISO/IEC 27005 e do processo de Gesto de Riscos de Segurana so revisados, mantendo a maior fidelidade possvel na citao de termos utilizados, evitando assim a criao de novas interpretaes, com foco na fase alvo desta pesquisa, Anlise e Avaliao de Riscos. 2.1 Cloud computing A principal fonte de definio do conceito tem sua origem no National Institute of Standard and Technology (NIST), que define a computao em nuvem como uma arquitetura de servios de TI. Em Nist (2011a) so definidas cinco caractersticas essenciais para a arquitetura: Autosservio sob demanda, Amplo acesso via rede, Pools de recursos, Elasticidade rpida e Servios mensurados. No Autosservio sob demanda a alocao de recursos deve ser feita de maneira automtica e sem a necessidade de interao humana, sempre que necessrio. No Amplo acesso via rede todos os recursos devem estar disponveis para acesso, atravs das mais variadas formas e dispositivos (computadores pessoais, dispositivos mveis, etc.). Com os pools de recursos possvel atender mltiplos consumidores. Tais recursos so organizados de acordo com a demanda, de forma independente de localizao, porm, de maneira que o consumidor ou cliente possa escolher a localidade ou datacenter em que seus dados residam. 7
Na Elasticidade rpida os recursos devem possuir a capacidade de ajuste rpido (ou at mesmo automtico) a demanda que apresentarem, passando a sensao de serem ilimitados ao consumidor. Nos Servios mensurados, para todos os servios disponibilizados deve haver medidas, tais como quantidade de espao em disco, unidades de processamento, memria utilizada, etc. necessrio que exista o monitoramento e controle de tais recursos, alm da possibilidade de controle para transparncia do servio. O Nist (2011b) ainda define trs modelos de entrega de servio nos quais esto apoiadas as caractersticas primordiais destacadas acima: Software as a Service (Saas), Platform as a Service (Paas) e Infrastructure as a Service (IaaS). No modelo Software as a Service (Saas), talvez o modelo de entrega mais difundido e com maior aderncia dentro das organizaes, no h o controle de itens de infraestrutura como rede, sistemas operacionais, armazenamento, etc. H somente o consumo de uma aplicao (webmail, CRM, etc) atravs de um navegador, no caso de computadores; ou mesmo aplicativos especficos, no caso de plataformas de dispositivos mveis. O modelo Platform as a Service (Paas) voltado para setores de desenvolvimento, entrega ambientes de criao e testes de aplicaes. Ainda no h o controle sobre a infraestrutura, mas sim o controle sobre algumas configuraes e definies do ambiente onde as aplicaes so executadas (exemplo: verso do compilador). J no modelo de Infrastructure as a Service (IaaS) fornecido para o consumidor itens como processamento, armazenamento, rede e outros recursos fundamentais para a execuo de sistemas operacionais e aplicaes, os quais podem ser controlados de forma personalizada. Na ltima camada da infraestrutura de nuvem, tambm em Nist (2011b), so definidos quatro modelos de implementao, conforme a exclusividade de utilizao do cliente: Nuvem privada, nuvem pblica, nuvem comunitria e nuvem hbrida. No modelo de nuvem privada a infraestrutura voltada exclusivamente a uma organizao, podendo estar fisicamente localizada dentro ou fora dela. Seu gerenciamento executado por uma equipe interna de TI ou at mesmo por terceiros. 8 No modelo de nuvem pblica a infraestrutura encontra-se localizada e gerenciada pelo provedor de servios, que atende o pblico em geral. O modelo de nuvem comunitria no to difundido no mercado, mas prov uma infraestrutura semelhante ao modelo privado, com a peculiaridade de que o acesso estar disponvel somente a organizaes que possuem interesses em comum. Com o modelo de nuvem hbrida possvel mesclar caractersticas de todos os outros servios. Pode-se imaginar, por exemplo, a nuvem privada de uma organizao que sincronizada com um site backup situado em um provedor de servios para situaes de disaster recovery. A Figura 1 finaliza esta seo, ilustrando como todos os conceitos vistos at agora sustentam-se entre si. Figura 1 Sustentao entre os conceitos do NIST
Fonte: Elaborado pelo autor. Por fim, mantendo, utilizando e promovendo diversos outros tipos de interaes em cenrios de computao em nuvem, Nist (2011b) ainda define algumas entidades, importantes para o entendimento do conceito. O Cloud consumer ou consumidor a entidade, pessoa ou organizao que utiliza os servios de um provedor. O Cloud provider ou provedor geralmente uma organizao que presta servios atravs de infraestruturas de computao em nuvem. O Cloud broker, intermedirio ou agente a entidade que pode gerenciar o uso, desempenho e a prestao de servios na nuvem, negociando as relaes 9
entre provedor e consumidor. O Cloud Carrier ou intermedirio um intermedirio que fornece conectividade entre o provedor e o consumidor (exemplo: operadora de internet). O Cloud Auditor ou auditor o responsvel por avaliar e auditar operaes dos sistemas e servios dentro de cenrios de computao em nuvem. 2.2 A norma ISO 27005 e o processo de Gesto de Riscos de Segurana da Informao A norma ABNT/NBR ISO/IEC 27005 resultado do trabalho e conhecimento adquirido atravs do tempo de outras normas, desde a AS/NZS 4360 Gesto de Risco, da comisso de padronizao da Austrlia e Nova Zelndia, at a ABNT/NBR ISO/IEC 31000 Gesto de Riscos Princpios e diretrizes, voltada a qualquer tipo de organizao e setor, e ABNT/NBR ISO/IEC GUIA 73 Gesto de Riscos Vocabulrio de 2009. Sua ltima verso do ano de 2011 e alteraes de 2013 das normas 27001 e 27002 uma nova reviso aguardada. Faz parte da famlia de normas 27000, voltada a Gesto da Segurana da Informao, fundamentadas nas normas ISO 27001 (que estabelece os requisitos para o Sistema de Gesto de Segurana da Informao) e a 27002 (cdigo de prtica em forma de um conjunto de controles que completa a anterior). Conforme ABNT (2011), esta norma fornece diretrizes para o processo de gesto de riscos de segurana informao e prov recomendaes superficiais no tcnicas aplicveis a todos os tipos de organizao, que pretendam gerir os riscos que poderiam comprometer a segurana da informao. Se vale da mesma abordagem de processo de melhoria continua da ISO 27001, o PDCA, que pode ser utilizado junto ao SGSI (Sistema de Gesto de Segurana da Informao) estabelecido na organizao, ou de forma independente, como por exemplo, para gerenciar riscos de um projeto especifico.
10 Quadro 1 Etapas do PDCA alinhadas ao processo de Gesto de Riscos de SI Etapas do PDCA segundo o SGSI Etapa do processo de Gesto de Riscos Planejar Definio de contexto; Anlise/Avaliao riscos; Definio do Plano de Tratamento de Riscos; Aceitao do risco. Executar Implementao do plano de tratamento de riscos Verificar Monitoramento e anlise crtica dos riscos Agir Manuteno e melhoria do processo de Gesto de Riscos de SI Fonte: Elaborado pelo autor. Estabelecida a abordagem apresentada no Quadro 1, a norma sugere o processo de Gesto de Riscos, ilustrado abaixo na Figura 2 e detalhado a seguir, de maneira que os resultados gerados em uma etapa sero processados na seguinte, para gerar uma nova sada, alm da possibilidade de troca de informaes entre as etapas. O processo composto por seis fases: Definio de contexto, Anlise e avaliao de riscos, Tratamento dos riscos, Aceitao dos riscos, Comunicao dos riscos e, por fim, Monitoramento e anlise crtica. Na fase de Definio de Contexto, a partir do levantamento de todas as informaes da organizao relevantes para o processo de Gesto de Riscos (propsito, misso, negcio, organograma, produtos, parcerias, terceiros etc), so elaborados itens como objetivos, escopo, limites, abrangncia, restries, critrios (de probabilidade, valorizao de ativos, severidade de consequncias, impacto, nvel e aceitao de risco) e o estabelecimento da organizao para gesto de riscos, com a definio de tarefas, atribuies e responsabilidades. Estes itens so a sada para a prxima fase, foco deste trabalho.
11
Figura 2 - Viso do processo de Gesto de Riscos, segundo a ISO 27005.
Fonte: BEZERRA (2011). Esta fase subdivida em outras trs etapas: Identificao de riscos, Anlise de riscos e Avaliao de riscos. Estas por sua vez so divididas em atividades, conforme Figura 3. Figura 3 Diviso de atividades da fase de Analise e avaliao de riscos
Fonte: Adaptado de BEZERRA (2011). 12 A Identificao de riscos inicia-se pela atividade de Identificao dos ativos da organizao, informando como sero classificados e valorizados, essencial pois somente sobre os ativos poderemos realizar as prximas identificaes de ameaas, vulnerabilidades, controles existentes e consequncias de possveis eventos de Segurana da Informao. A etapa de Anlise de Riscos inicia-se pela Avaliao das consequncias. Segundo Bezerra (2011), esta atividade tem como objetivo a avaliao de impactos sobre o negcio da organizao. A avaliao deve levar em conta critrios da Definio de contexto, adotando uma metodologia que pode ser quantitativa (baseada em valores numricos, como custo de cada ativo ou prejuzos de uma ocorrncia de um evento) ou qualitativa (abordagem mais subjetiva, leva em considerao a intensidade das consequncias e probabilidade dos riscos). A atividade de Avaliao da probabilidade o prximo passo da Anlise de Riscos. Histricos de ocorrncia de incidentes de segurana e de possibilidade de explorao das vulnerabilidades, levando em considerao tambm os controles existentes, devem ser utilidade para a mensurao da probabilidade. A atividade de Determinao do nvel de risco o ltimo passo dessa etapa, quando, usando os dados das duas atividades anteriores, os riscos receberam um valor que possibilite sua ordenao. Por fim, so executadas as atividades da etapa de Avaliao de riscos. Os nveis de risco encontrados na atividade anterior serviro de entrada neste passo, para que sejam utilizados os critrios de deciso estabelecidos ainda na Definio de contexto. Durante a fase de Tratamento dos riscos, a organizao precisa planejar como lidar com a situao que a fase anterior do processo de Gesto de Riscos apresentou, gerando o Plano de Tratamento de Riscos (PTR), para que os riscos residuais atinjam um nvel aceitvel, conforme critrios da Definio de contexto. A organizao deve optar por uma das quatro opes de tratamento que a norma descreve (modificar o risco com a implementao de controles; reter o risco; evitar o risco com eliminao da atividade, processo ou outro fator que gere o risco; ou compartilhar o risco com a transferncia para uma entidade externa que possa cobrir as consequncias da ocorrncia de um risco, como uma prestadora de servios ou 13
uma seguradora). Novamente, a deciso deve estar apoiada nos critrios estabelecidos ainda no grupo de atividades da Definio de contexto. Com o PTR elaborado, chegado o momento da formalizao do aceite dos riscos que restaram, tarefa que cabe a alta direo correspondendo fase de Aceitao de risco. O prximo passo a execuo da Comunicao do risco. Esta uma fase que, na verdade, deve ocorrer durante todo o processo de Gesto de Riscos, com a troca de informaes com todas as outras etapas, realizada entre os responsveis pelo processo e pelas partes interessadas nas decises ali tomadas, assim como a de Monitoramento e analise critica, atravs de uma coleta rotineira de informaes que possam agregar e auxiliar com uma avaliao criteriosa de tudo o que o processo desenvolve. 3 TRABALHOS RELACIONADOS Durante o levantamento bibliogrfico foram encontrados trabalhos que tambm tratam do processo de Gesto de Riscos em ambientes de computao em nuvem. Dentro os trabalhos levantados, h uma preferncia dos autores por explorar somente uma das fases do processo. Alguns sugerem a interao da ISO 27005 com outras ferramentas e outros usam a norma somente como referncia ou sugesto para aplicao de seus conceitos. Algumas destas anlises so resumidas a seguir. Dada a importncia da Definio de contexto para a Gesto de Riscos da norma ISO 27005, Beckers et al. (2011) propem um padro para esta fase do processo apoiada nas necessidades dos stakeholders do negcio. Com o objetivo de propor um modelo de Gesto de Riscos de Segurana da Informao para cloud computing, Wahlgren e Kowalski (2013) descrevem uma combinao da ISO 27005 com o NIST Multitier Organization-Wide Risk Management. Este ltimo framework garante que a atividade de Gesto de Riscos esteja espalhada por todos os nveis da empresa. Entretanto, trata-se de uma abordagem focada nas fases de Comunicao e Monitoramento, sem detalhamento para as demais. Castro e de Sousa (2011) propem o estabelecimento de requisitos para a atividade de gesto de riscos, em ambientes de computao em nuvem, 14 considerando as necessidades de cada organizao, e por etapas de atividades, que podem ser ou no as da ISO 27005. Contudo, todas as condies e fases indicadas neste trabalho, j so muito semelhantes ou j esto contidas na norma, acabando por no abordar de forma mais clara as necessidades peculiares dos cenrios de cloud computing. Mais um foco em uma fase especifica do processo de Gesto de Riscos de Segurana da Informao, pode ser encontrado em Drissi, Houmani e Medromi (2013), mais precisamente na fase de Anlise e avaliao de riscos (risk assessment). Mas, o trabalho apresenta apenas um levantamento do conhecimento existente sobre esta fase, em cenrios de computao em nuvem e no chega a propor uma abordagem de forma prtica. Sidhu (2013) prope a integrao de um framework para Gesto de Riscos, o NIST SP 800-144 (por ser o primeiro framework elaborado por uma entidade que estuda a Segurana da Informao nos cenrios de cloud computing), com duas ferramentas de melhores prticas: o COSO e o Risk IT da ISACA. Porm, esta pesquisa restringe seus resultados a organizaes de pequeno e mdio porte. De forma geral, o estudo de trabalhos relacionados, aponta para uma carncia, e logo uma necessidade de estudo, da fase de Anlise e Avaliao de Riscos em ambientes de cloud computing. 4 METODOLOGIA A seguir seguem apresentadas algumas delimitaes metodolgicas da pesquisa, bem como a metodologia de trabalho empregada para a Anlise e avaliao de riscos de Segurana da Informao em ambientes de cloud computing. A pesquisa classifica-se quanto ao seu objetivo como exploratria, seguindo o conceito de Gil (1999) de que, As pesquisas exploratrias tm como principal finalidade desenvolver, esclarecer e modificar conceitos e ideias, tendo em vista a formulao de problemas mais precisos ou hipteses pesquisveis para estudos posteriores. O produto final deste processo passa a ser um problema mais esclarecido, passvel de investigao mediante procedimentos mais sistematizados. 15
A utilizao desta natureza de pesquisa justifica-se pelo fato do tema da Segurana da Informao em cloud computing, no estar totalmente definido, como possvel perceber na seo de Introduo, subseo de Contextualizao do problema. J quanto ao seu aspecto temporal, a pesquisa caracteriza-se como do tipo de corte transversal, pois segundo Teddo (2010), a coleta de dados, nesta pesquisa representada atravs do mapeamento das publicaes, realizada num momento especfico do tempo, no qual considerando as pesquisas realizadas, no foram encontrados trabalhos com a temtica de mapeamento proposta. Considerando a natureza das variveis, a pesquisa classifica-se como qualitativa, pois segundo Silva e Menezes (2005), na pesquisa qualitativa, A interpretao dos fenmenos e atribuio de significados so bsicas no processo qualitativo. No requer o uso de mtodos e tcnicas estatsticas. O processo e seu significado so os focos principais de abordagem. A metodologia de trabalho empregada divide-se em trs fases, conforme observa-se na Figura 4. Na primeira fase realiza-se um apanhado das questes de Segurana da Informao que cercam o tema da computao em nuvem, alm da formao do entendimento da importncia e necessidade da anlise e avaliao de riscos nesse contexto. importante destacar que na primeira fase os trabalhos relacionados direcionaram os objetivos da presente pesquisa com o enfoque na Norma ISO 27005, mais especificamente na fase da norma de Anlise e avaliao de riscos.
16 Figura 4 Fases da metodologia de trabalho da pesquisa
Fonte: Elaborado pelo autor. A segunda fase da pesquisa inicia-se com o levantamento de publicaes que visam contribuir para a Segurana da Informao, em cenrios de computao em nuvem. Aps, uma listagem das recomendaes que a norma ISO 27005 apresenta para cada atividade do processo de Gesto de Riscos. Esses dois itens so confrontados para apontar em qual atividade cada ferramenta pode auxiliar, e qual o seu grau de aderncia s recomendaes da ISO 27005, gerando o mapeamento proposto no segundo objetivo especifico da pesquisa. Para a elaborao da proposta, utiliza-se a validao de um especialista da rea de Gesto de Riscos de Segurana da Informao, com experincia profissional e acadmica na rea comprovada atravs de certificaes como CISSP (Certified Information Systems Security Professional), CISM (Certified Information Security Manager) e AMBCI - Associate Member of Business Continuity Institute. A contribuio desse especialista trouxe a sugesto de utilizao de uma escala, que segue explicada na seo Proposta de anlise. Escala ser utilizada para alcanar o terceiro objetivo especifico proposto pela pesquisa. 17
A terceira e ltima fase da pesquisa entrega o mapeamento das publicaes realizado levando em considerao cada atividade e as publicaes que incidem sobre tais, informando o seu nvel de aderncia e a pontuao correspondente. A seguir as concluses da pesquisa, e finalmente as sugestes de trabalhos futuros a cerca do tema. 5 PROPOSTA DE ANLISE Nesta seo apresenta-se o levantamento das ferramentas voltadas para ambientes de cloud computing e o mapeamento dessas publicaes s recomendaes das atividades da fase de Anlise e avaliao de riscos, do processo de Gesto de Riscos da Norma ISO 27005. 5.1 Levantamento de ferramentas Atravs da pesquisa sobre Segurana da Informao em cenrios de cloud computing, possvel identificar algumas instituies independentes que visam contribuir com o tema, desenvolvendo ferramentas, projetos, iniciativas e projetos de pesquisa de melhores prticas da rea, especificamente para os cenrios de computao. Este trabalho seleciona trs instituies: a Cloud Security Alliance (CSA), The Open Group e a European Union Agency for Network and Information Security (ENISA). Tais instituies foram selecionadas, por contriburem com estudos a cerca das questes de Segurana da Informao para ambientes de computao em nuvem, e por que algumas de suas publicaes auxiliam explicitamente a fase de Anlise e Avaliao de Riscos, do processo de Gesto de Riscos da norma ISO 27005. 5.1.1 Cloud Security Alliance (CSA) A Cloud Security Alliance (CSA) uma organizao sem fins lucrativos, de presena global, formada em 2008 com a misso de promover a utilizao das melhores prticas para garantia da Segurana da Informao em ambientes de computao em nuvem, focando em pesquisa, educao e certificao. composta por uma ampla coalizo de profissionais, empresas e associaes de Tecnologia da Informao e Segurana da Informao, como ISACA, HP, Microsoft, Adobe, 18 Amazon, AT&T, BlueCoat, CA, Citrix, Deloitte, Google, HCL, Novell, Oracle, Orange, Qualys, Red Hat, RSA, Sophos, Symantec, TrendMicro e Vmware. Dentre as diversas publicaes da CSA, esto o Security Guidance for Critical Areas of Focus in Cloud Computing um catalogo de questes de Segurana da Informao e melhores prticas para cenrios de cloud computing. J recebeu traduo para diversas lnguas, e atualmente esta na verso 3. Derivado desse guia, o Consensus Assessments Initiative Questionnaire um questionrio de avaliao que captura as principais questes que devem ser feitas aos provedores de cloud computing para identificar as reas de controle e outras informaes importantes que um cliente deve observar. A ltima verso disponvel a 1.1. Por ltimo, o The notorious nine cloud computing Top Threats in 2013, tem como objetivo fornecer o contexto necessrio para auxiliar as organizaes na tomada de deciso e Gesto de Riscos na adoo de cloud computing. 5.1.2 The Open Group Liderado por grandes players do mercado, como HP, IBM, Oracle e Philips, o The Open Group um consrcio que visa desenvolver e melhorar padres abertos para o setor de Tecnologia da Informao. Fundado na primeira metade da dcada de 1990, a aliana ficou conhecida por ser proprietria da marca UNIX e ajudar a desenvolver o sistema operacional de mesmo nome. Organizada nos chamados work groups, um deles estuda justamente as questes relacionadas aos cenrios de cloud computing, com foco principal para a Segurana da Informao. Um dos principais trabalhos desta diviso, o Cloud Computing for Business, guia de 2011 que visa orientar as organizaes a maximizar seus ganhos com a computao em nuvem, atravs de boas prticas. 5.1.3 European Union Agency for Network and Information Security (ENISA ) Criada em 2004, a ENISA a agncia responsvel na Unio Europeia (seu principal stakeholder) pelas questes de pesquisa em Segurana da Informao. Tambm conta com o auxlio de grandes empresas do mercado como Microsoft, Google, IBM, RSA e outros. A publicao da instituio relevante para o trabalho o Cloud computing Benefits, risks and recommendations for Information Security, de 2009, criado com a 19
inteno de apontar tanto benefcios quanto riscos de Segurana da Informao da computao em nuvem, fornecendo um conjunto de recomendaes e boas prticas. 5.2 Mapeamento das publicaes s recomendaes das atividades da fase de Anlise e avaliao de riscos O mapeamento inicia-se primeiramente com o estudo do propsito divulgado por cada instituio, para cada uma de suas publicaes, que geralmente j trs algum indcio de como cada uma delas auxilia. A seguir realizado um estudo das publicaes, em paralelo a uma reviso dos conceitos apresentados em ABNT (2011), com o apoio de BEZERRA (2011) e para cada uma das atividades, suas respectivas descries e recomendaes. A Figura 5 ilustra essa fase da pesquisa. Figura 5 Esquema de estudo das publicaes e recomendaes da norma ISO 27005
Fonte: Elaborado pelo autor. Na Figura 5 observa-se a estratgia utilizada pelo pesquisados para a construo do mapeamento das publicaes. Como ponto de partida optou-se por analisar as sees de cada publicao, de modo a perceber como a respectiva 20 seo poderia contribuir com as recomendaes de cada atividade da fase da ISO 27005. Cabe destacar alguns desafios encontrados na estratgia de mapeamento. As publicaes, com exceo do Consensus Assessments Initiative Questionnaire que utiliza o formato de planilha, esto em formato de guia e so muito extensas, assim como a prpria norma ISO 27005. Este inclusive mais um motivo para utilizao do material de BEZERRA (2011), que possui um formato de compreenso mais didtico e elucidativo. Outro desafio envolve a necessidade do estudo em paralelo de cada uma das publicaes e a norma, para que exista a mxima certeza de relao entre uma atividade, suas recomendaes e a publicao analisada naquele instante. Este percalo poderia ser amenizado se mais trabalhos relatando a utilizao destes guias fossem encontrados. Para a anlise das publicaes das instituies prope-se uma escala para sistematizar a anlise qualitativa do pesquisador e dos especialistas. Essa escala organizada em trs nveis de aderncia que seguem descritos a seguir: Adere: quando a publicao aborda a atividade e supri de forma prtica (atravs de exemplos claros ou sugestes) as respectivas recomendaes. Na seo de Entrega da anlise representado pela cor verde e pontuao 2; Adere parcialmente: quando a publicao aborda a atividade, as respectivas recomendaes, mas no supri de forma prtica a necessidade que elas representam. Na seo de Entrega da anlise representado pela cor amarela e pontuao 1; No adere: quando a publicao aborda a atividade, mas nem mesmo menciona as respectivas recomendaes. Na seo de Entrega da anlise representado pela cor vermelha e pontuao 0. A referida escala pertinente para a totalizao por publicao das pontuaes obtidas organizada por atividades da norma ISO 27005, de modo a sistematizar a anlise qualitativa do pesquisador. Nos quadros de mapeamento ainda existe um campo chamado de Seo ou Sees, que informa em qual seo ou captulo da publicao aquela atividade abordada, facilitando assim a consulta prtica, do indivduo que desejar executar a 21
fase de Anlise e avaliao de riscos em ambientes de computao em nuvem. importante chamar ateno para o fato de que as publicaes no se encontram no mesmo formato. Por exemplo, o Consensus Assessments Initiative Questionnaire uma planilha e, desta forma deve ser utilizada por inteiro. Assim como o The Notorious Nine: Cloud Computing Top Threats in 2013, que apesar de estar no formato de guia, no conta uma separao de acordo com as suas recomendaes. Abaixo segue um exemplo, de uma atividade (Identificao dos ativos) da etapa de Identificao de riscos, para demonstrar o mapeamento apresentado na prxima seo. A verso completa da proposta de mapeamento, com todas as etapas, atividades e recomendaes, da fase de Anlise e avaliao de riscos da ISO 27005, encontra-se disponvel na seo de Mapeamento das publicaes, inclusive j totalmente preenchida. Quadro 2 Exemplo do mapeamento das publicaes com as atividades da ISO 27005 Etapa Identificao dos riscos Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Identificao dos ativos CSA Security Guidance for Critical Areas of Focus in Cloud Computing Atribuio de proprietrio Tipificao
Valorizao
Negcios relacionados Sees: Pontuao geral da publicao na atividade ENISA Benefits, risks and recommendations for Information Security Atribuio de proprietrio
Tipificao Valorizao Negcios relacionados
Seo: Pontuao geral da publicao na atividade Fonte: Elaborado pelo autor. Como possvel perceber no exemplo acima, nem todas as publicaes esto presentes em todos os quadros. Isso ocorre, pois, durante a realizao do 22 mapeamento, perceber-se que a publicao em questo no aborda aquela atividade, e assim no pode nem mesmo estar no nvel de aderncia No adere. 6 MAPEAMENTO DAS PUBLICAES A seguir apresenta-se os quadros que representam o mapeamento de cada atividade com as publicaes que as abordam. O mapeamento realizado seguindo os critrios estabelecidos na seo anterior, Proposta de anlise. Aps cada quadro, feita uma explanao dos aspectos que devem ser considerados, levando-se em considerao tanto a pontuao quanto os nveis de aderncia. Quadro 3 Mapeamento da atividade de Identificao dos ativos Etapa Identificao dos riscos Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Identificao dos ativos CSA Security Guidance for Critical Areas of Focus in Cloud Computing Atribuio de proprietrio No adere (0) Tipificao Adere (2) Valorizao Adere (2) Negcios relacionados Adere parcialmente (1) Sees: Identify the Asset for the Cloud Deployment e Map the Asset to Potential Cloud Deployment Pontuao geral da publicao na atividade 5 ENISA Benefits, risks and recommendations for Information Security Atribuio de proprietrio Adere (2) Tipificao No adere (0) Valorizao Adere (2) Negcios relacionados No adere (0) Seo: 5. Assets Pontuao geral da publicao na atividade 4 Fonte: Elaborado pelo autor. Conforme o Quadro 3, na primeira atividade, Identificao dos ativos, da primeira etapa, Identificao dos riscos, pode-se perceber a pontuao maior para o Security Guidance for Critical Areas of Focus in Cloud Computing, da CSA. Entretanto, preciso ressaltar que o guia no adere a recomendao de Atribuio de proprietrio da norma ISO 27005. Desta forma pode-se concluir que para 23
comtemplar totalmente essa atividade, necessrio ainda recorrer ao guia Benefits, risks and recommendations for Information Security, da ENISA. Quadro 4 Mapeamento da atividade de Identificao das ameaas Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Identificao das ameaas CSA The Notorious Nine Cloud Top Threats in 2013 Classificao Adere (2) Fonte/Origem No adere (0) Associao a um ativo No adere (0) Seo: Toda a publicao Pontuao geral da publicao na atividade 2 The Open Group Cloud Computing for Business Classificao Adere parcialmente (1) Fonte/Origem Adere parcialmente (1) Associao a um ativo No adere (0) Seo: 5 Understanding Cloud Risk Pontuao geral da publicao na atividade 2 ENISA Benefits, risks and recommendations for Information Security Classificao Adere (2) Fonte/Origem Adere (2) Associao a um ativo Adere (2) Seo: 2. Risk assesment, 3. Risks Pontuao geral da publicao na atividade 6 Fonte: Elaborado pelo autor. Na atividade seguinte, observada no Quadro 4, a Identificao das ameaas, h uma aderncia em todas as recomendaes feitas pela ISO 27005 por parte da publicao da ENISA. Entretanto, o guia principal para Segurana da Informao da CSA, tambm pode contribuir com a recomendao de Classificao das ameaas. Quadro 5 Mapeamento da atividade de Identificao dos controles existentes Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Identificao dos controles existentes CSA Consensus Assessments Initiative Questionnaire Status de implementao Adere parcialmente (1) Nvel de eficcia No adere (0) Seo: Toda a publicao Pontuao geral da publicao na atividade 1 Fonte: Elaborado pelo autor. 24 No Quadro 5 h o domnio do Consensus Assessments Initiative Questionnaire para a atividade de Identificao dos controles existentes. Isso ocorre porque o objetivo da publicao adere s recomendaes da atividade da norma ISO 27005. Quadro 6 Mapeamento da atividade de Identificao das vulnerabilidades Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Identificao das vulnerabilidades CSA The Notorious Nine Cloud Top Threats in 2013 Classificao Adere (2) Fonte/origem No adere (0) Associao a um ativo No adere (0) Associao a uma ameaa No adere (0) Seo: Toda a publicao Pontuao geral da publicao na atividade 2 ENISA Benefits, risks and recommendations for Information Security Classificao Adere (2) Fonte/origem Adere (2) Associao a um ativo Adere (2) Associao a uma ameaa Adere (2) Seo: 2. Risk assesment, 3. Risks, 4. Vulnerabilities Pontuao geral da publicao na atividade 8 Fonte: Elaborado pelo autor. A anlise da Identificao das vulnerabilidades, correspondente ao Quadro 6, segue apresentada junto a anlise do Quadro 7 e 8, devido a correlao existentes entre essas atividades.
25
Quadro 7 Mapeamento da atividade de Identificao das consequncias Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Identificao das consequncias CSA The Notorious Nine Cloud Top Threats in 2013 Associao a um ativo No adere (0) Metodologia* de anlise Adere (2) Seo: Toda a publicao Pontuao geral da publicao na atividade 2 Security Guidance for Critical Areas of Focus in Cloud Computing Associao a um ativo Adere (2) Metodologia* de anlise Adere parcialmente (1) Seo: Evalute the Asset Pontuao geral da publicao na atividade 3 ENISA Benefits, risks and recommendations for Information Security Associao a um ativo Adere (2) Metodologia* de anlise Adere parcialmente (1)
Sees: 2. Risk assesment, 3. Risks Pontuao geral da publicao na atividade 3 Fonte: Elaborado pelo autor. A anlise da Identificao das consequncias, correspondente ao Quadro 7, segue apresentada junto a anlise dos Quadros 6 e 8, devido a correlao existentes entre estas atividades.
26 Quadro 8 Mapeamento da atividade de Avaliao das consequncias Etapa Anlise dos riscos Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Avaliao das consequncias CSA Security Guidance for Critical Areas of Focus in Cloud Computing Metodologia* Adere parcialmente (1) Mensurao das consequncias Adere parcialmente (1) Sees: Section II. Governing in the Cloud - Domain 2: Governance and Enterprise Risk Management, Section III. Operating in the Cloud - Section III. Operating in the Cloud / Domain 9: Incident Response, Notification, and Remediation Pontuao geral da publicao na atividade 2 ENISA Benefits, risks and recommendations for Information Security Metodologia* Adere parcialmente (1) Mensurao das consequncias Adere (2) Sees: 2. Risk assesment, 3. Risks Pontuao geral da publicao na atividade 3 Fonte: Elaborado pelo autor. Nos Quadros 6, 7 e 8, que demonstram as anlises para as atividades de Identificao de vulnerabilidades, Identificao de consequncias e Avaliao das consequncias, primeiramente importante salientar que, os conceitos de ameaa, vulnerabilidade e consequncia nestas publicaes diferem daqueles encontrados na norma ISO 27005, os quais a pesquisa leva em considerao. Por isso bom lembrar o objetivo da pesquisa, conforme Figura 5 na seo de Proposta de anlise, ou seja, a busca nas publicaes de subsdios para atender as recomendaes da norma. Assim, mesmo que exista diferena nos conceitos do que uma ameaa, uma vulnerabilidade ou uma consequncia, considera-se que nessas atividades a publicao realiza contribuies. Em segundo lugar, apesar da maior pontuao ficar com o guia Benefits, risks and recommendations for Information Security da ENISA e o Security Guidance for Critical Areas of Focus in Cloud Computing da CSA, importante destacar alguns aspectos. A publicao da CSA em duas dessas trs atividades complementada pelo The Notorious Nine Cloud Top Threats in 2013. Essa segunda publicao da instituio apoia-se no STRIDE (Spoofing identity, Tampering with data, Repudiation, 27
Information disclosure, Denial of service and Elevation of privilege), modelo desenvolvido pela Microsoft para identificao de vulnerabilidades e consequncias de eventos de Segurana da Informao, muito til para atender a recomendao de Metodologia*. Quadro 9 Mapeamento da atividade de Avaliao da probabilidade Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Avaliao da probabilidade CSA Security Guidance for Critical Areas of Focus in Cloud Computing Metodologia* Adere parcialmente (1) Mensurao das probabilidades Adere parcialmente (1) Sees: Section II. Governing in the Cloud - Domain 2: Governance and Enterprise Risk Management, Section III. Operating in the Cloud - Section III. Operating in the Cloud / Domain 9: Incident Response, Notification, and Remediation Pontuao geral da publicao na atividade 2 The Open Group Cloud Computing for Business Metodologia No adere (0) Mensurao das probabilidades Adere (2) Seo: 5 Understanding Cloud Risk Pontuao geral da publicao na atividade 2 ENISA Benefits, risks and recommendations for Information Security Metodologia Adere (2) Mensurao das probabilidades Adere (2) Sees: 2. Risk assesment, 3. Risks Pontuao geral da publicao na atividade 4 Fonte: Elaborado pelo autor. No Quadro 9 a publicao da ENISA apresenta relevante contribuio, com aderncia completa s duas recomendaes da norma, para a Avaliao da probabilidade, uma atividade considerada complexa em cenrios de computao em nuvem.
28 Quadro 10 Mapeamento da atividade de Determinao do Nvel dos riscos Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Determinao do Nvel dos riscos CSA Security Guidance for Critical Areas of Focus in Cloud Computing Metodologia Adere parcialmente (1) Nvel dos riscos Adere parcialmente (1) Sees: Section II. Governing in the Cloud - Domain 2: Governance and Enterprise Risk Management, Section III. Operating in the Cloud - Section III. Operating in the Cloud / Domain 9: Incident Response, Notification, and Remediation Pontuao geral da publicao na atividade 2 ENISA Benefits, risks and recommendations for Information Security Metodologia Adere (2) Nvel dos riscos Adere (2) Sees: 2. Risk assesment, 3. Risks Pontuao geral da publicao na atividade 4 Fonte: Elaborado pelo autor. Devido correlao entre as atividades de Determinao do Nvel dos riscos, e de Avaliao dos riscos, a anlise do Quadro 10 apresentada juntamente com a do Quadro 11. Quadro 11 Anlise da atividade de Avaliao dos riscos Etapa Avaliao dos riscos Atividade Instituio Publicao Recomendaes da ISO 27005 Nvel de aderncia recomendao Avaliao dos riscos CSA Security Guidance for Critical Areas of Focus in Cloud Computing Ordenao por prioridade Adere parcialmente (1) Sees: Section II. Governing in the Cloud - Domain 2: Governance and Enterprise Risk Management, Section III. Operating in the Cloud - Section III. Operating in the Cloud / Domain 9: Incident Response, Notification, and Remediation Pontuao geral da publicao na atividade 1 ENISA Benefits, risks and recommendations for Information Security Ordenao por prioridade Adere (2) Sees: 2. Risk assesment, 3. Risks Pontuao geral da publicao na atividade 2 Fonte: Elaborado pelo autor. Para as duas ltimas atividades da fase de Anlise e avaliao de Riscos, demonstradas nos Quadros 10 e 11, pode-se observar um predomnio da publicao 29
da ENISA, enquanto o guia da CSA tem apenas a aderncia parcial, concluindo-se que seja interessante utilizar diretamente essa publicao. Finalizada a anlise de todas as atividades possvel concluir que, o guia Benefits, risks and recommendations for Information Security da ENISA, atravs de diversas referncias e exemplos semelhantes aos expostos na norma de Gesto de Riscos de Segurana da Informao, apresenta um mapeamento de quase todas as recomendaes no contexto da computao em nuvem. Outro aspecto que facilita o seu entendimento e aproximao norma a utilizao de estudos de caso. A nica atividade da norma ISO 27005 que o guia no contribui a Identificao de controles existentes, que pode ser complementada pelo Consensus Assessments Initiative Questionnaire da Cloud Security Alliance, conforme anlise no Quadro 5. A publicao traz ainda adendos importantes, em relao s recomendaes da ISO 27005 como, por exemplo, a diviso de responsabilidades entre cliente e provedor de diversas atividades recomendadas pelas boas prticas de Segurana da Informao. Sem a vocao prtica observada na publicao da ENISA, os guias da CSA e do The Open Group analisados, demonstram que tem o propsito de apenas chamar ateno para questes de Segurana da Informao em ambientes de cloud computing, com exceo do Consensus Assessments Initiative Questionnaire. Esses guias trazem pouca ou nenhuma referncia direta norma ISO 27005. Tal fato pode estar relacionado ao fato da ENISA ser sediada na Europa, assim como a ISO (International Organization for Standardization). Mesmo assim, as publicaes trazem contribuies importantes para outras reas, que no a de Segurana da Informao, como a de compliance e ROI (Return over Investment) em Cloud Computing for Business, e governana em Security Guidance for Critical Areas of Focus in Cloud Computing. 7 CONCLUSO E TRABALHOS FUTUROS Ao final do trabalho, possvel concluir que h diversas publicaes que podem auxiliar a fase de Anlise e avalio de riscos, do processo de Gesto de Riscos da norma ISO 27005. Nesta pesquisa apresenta-se o levantamento e anlise de publicaes de trs instituies com esse intuito. Entretanto, para atender adequadamente s necessidades dos cenrios de cloud computing, a pesquisa 30 deixa como principal contribuio um mapeamento que pode ser utilizado de maneira prtica por profissionais de Segurana da Informao, que necessitam executar a fase de Anlise e avaliao de riscos, em cenrios de computao em nuvem, e no possuem o total conhecimento sobre esses ambientes. Outra contribuio da pesquisa o indcio de que, no basta apenas valer-se desse processo para sanar tais lacunas. necessrio tambm verificar recomendao por recomendao que a norma apresenta, e nesse sentido, a abordagem na forma de processo (composta por fases, etapas e atividades bem definidas, com entradas e sadas previstas a cada passo), mesclada a utilizao das vrias publicaes pesquisadas mostra-se bastante pertinente, visto que, conforme relatado na subseo de Contextualizao do problema, ainda no existe um processo capaz de ordenar tais necessidades. A anlise apresentada na seo Mapeamento das publicaes indica isso, quando uma publicao de maior pontuao para uma determinada atividade, no adere a todas as recomendaes apresentadas pela norma ISO 27005, e necessita- se ento do auxlio de outra. Desta forma, analisando somente a pontuao, possvel apontar que a publicao Benefits, risks and recommendations for Information Security da ENISA a mais aderente s recomendaes da norma ISO 27005. Entretanto, o outro acrscimo acadmico da pesquisa rea de Segurana da Informao mostra que, mesmo valendo-se de meios quantitativos, importante que a questo, e possveis decises da Gesto de Riscos de Segurana da Informao, em cenrios de cloud computing so, assim como esta pesquisa, de natureza qualitativa, merecendo ponderaes que os nmeros no podem indicar. Para confirmar esse indicativo, seria importante a repetio da metodologia proposta (levantamento, anlise e mapeamento de publicaes) nas demais fases do processo de Gesto de Riscos (Definio de contexto, Tratamento de Riscos, Aceitao de Riscos e Monitoramento e anlise crtica de Riscos), ou at mesmo no processo de Gesto de Riscos inteiro. Outra contribuio que a anlise dos aspectos qualitativos, realizada na seo Mapeamento das publicaes, possa ser enriquecida, atravs da realizao de um estudo de caso em que a unidade de anlise, no se limite ao processo de 31
implementao projetado nas publicaes e a norma ISO 27005, mas tambm, uma organizao real com, no mnimo, a inteno de utilizao do modelo de cloud computing e com preocupao de manuteno das boas prticas de Segurana da Informao. Com um estudo de caso neste formato, ainda seria possvel verificar itens no pertencentes ao escopo dessa pesquisa, como a qualidade das contribuies de cada publicao em cada recomendao da norma. Esta pesquisa, conforme explicado na seo de Proposta de anlise do trabalho, prope um estudo no sentido da aderncia das publicaes em relao norma ISO 27005, entretanto, em estudos futuros, sugere-se a anlise de outras possveis contribuies e melhorias que as publicaes podem trazer a norma, como o caso dos acrscimos que o guia Benefits, risks and recommendations for Information Security da ENISA faz, citados na seo de Mapeamento das publicaes. Mapping publications to ISO 27005 Analysis and Risk Assessment activities recommendations in cloud computing environments Abstract: Together the advantages brought by the cloud-computing model for the Information Technology, there were also new Information Security challenges, which need to be managed as possible risks peculiar to that context. From the Risk Management process of ISO 27005, research makes the survey and analysis of publications focused on the Analysis and assessment risks phase of the standard. Finally, it presented a mapping of the activities recommendations of this phase in the publications of the Cloud Security Alliance (CSA), the European Union Agency for Network and Information Security (ENISA) and The Open Group, as well as an analysis of compliance. Keywords: cloud computing. information security. risk management. ISO 27005 REFERNCIAS ALBAKRI, Sameer Hasan; SHANMUGAM, Bharanidharan; SAMY, Ganthan Narayana, IDRIS, Norbik Bashah; AHMED, Azuan. Security risk assessment framework for cloud computing environments. 2013. Disponvel em: <http://onlinelibrary.wiley.com/doi/10.1002/sec.923/>. Acesso em: 28 jan. 2014. 32 ASSOCIAO BRASILEIRA DE NORMAS TCNICAS (ABNT). NBR 27005: Tecnologia da informao Tcnicas de segurana Gesto de riscos de segurana da informao. Rio de Janeiro, 2011. BECKERS, Kristian; SCHMIDT, Holger; KUSTER, Jan-Christoph; FASSBENDER, Stephan. Pattern-Based Support for Context Establishment and Asset Identication of the ISO27000 in the Field of Cloud Computing, 2011. Disponvel em: <http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=6045958>. Acesso em: 05 mar. 2014. BEZERRA, Edson Kowask. Gesto de riscos de TI: NBR 27005. Rio de Janeiro: Escola Superior de Redes, 2011. Disponvel em: <http://pt.scribd.com/doc/55387254/Gestao-de-Riscos-de-TI-NBR-27005>. Acesso em: 26 jan. 2014. CARR, Nicholas. A grande mudana: Reconectando o mundo, de Thomas Edison ao Google. So Paulo: Editora Landscape. 2008. CLOUD Computing. Intel. 2012. Disponvel em: <http://www.nextgenerationcenter.com/scriptServices/courseToPdf.ashx?courseId=2 95ca6eb-bec9-452a-94f1-18431356f82e>. Acesso em: 17 jan. 2014. CSA, Cloud Security Alliance Brazil Chapter. Guia de Segurana para reas Crticas Focado em Computao em Nuvem v2.1 Preparado por Cloud Security Alliance (2009), Traduzido por Cloud Security Alliance Brazilian Chapter (Junho 2010), 2010. Disponvel em: <https://cloudsecurityalliance.org/guidance/CSAGuidance-pt-BR.pdf>. Acesso em: 14 fev. 2014. CSA, Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud Computing v3.0, 2011. Disponvel em: <https://downloads.cloudsecurityalliance.org/initiatives/guidance/csaguide.v3.0.pdf>. Acesso em: 25 jan. 2014. DAVENPORT, Thomas H. Reengenharia de processos: como inovar na empresa atravs da tecnologia da informao. Rio de Janeiro: Campus, 1994. DE CASTRO, Rita de C. C.; DE SOUSA, Vernica L. Pimentel. Segurana em Cloud Computing: Governana e Gerenciamento de Riscos de Segurana. 33
2011. Disponvel em: <http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740- Seguranca%20em%20Cloud.pdf>. Acesso em: 18 mar. 2014. DRISSI, Saadia; HOUMANI, Hanane; MEDROMI, Hicham. Survey: Risk Assessment for Cloud Computing. 2013. Disponvel em: < http://thesai.org/Downloads/Volume4No12/Paper_21- Survey_Risk_Assessment_for_Cloud_Computing.pdf>. Acesso em 18 mar.2014. ENISA. Benefits, risks and recommendations for information security, 2009. Disponvel em: <http://www.enisa.europa.eu/act/rm/files/deliverables/cloud- computing-risk-assessment/at_download/fullReport>. Acesso em: 25 jan. 2014. FEDRAMP. Proposed Security Assessment & Authorization for U.S. Government Cloud Computing, 2010. Disponvel em: < http://www.cloudcontrols.org/wp- content/uploads/2010/11/Proposed-Security-Assessment-and-Authorization-for-Cloud- Computing.pdf>. Acesso em: 21 jan. 2014. GIL, Antnio Carlos. Mtodos e tcnicas de pesquisa social. 5 edio. So Paulo:Atlas, 1999. HARDING, Chris, Cloud computing for business The Open Group Guide. 2011. Disponvel em: < http://www.opengroup.org/sites/default/files/contentimages/Press/Excerpts/first_30_p ages.pdf >. Acesso em: 18. Jan. 2014. HILL, Stephen; DINSDALE, Geoff. Uma base para o desenvolvimento de estratgias de aprendizagem para a gesto de riscos no servio pblico. 2003. Disponvel em: <http://www.enap.gov.br/index.php?option=com_docman&task=doc_download&gid=1574>.A cesso em: 30 jan. 2014. ISACA. IT Control objectives for cloud computing: Controls and assurange in the cloud. 2011. Disponvel em <http://www.isaca.org/Knowledge- Center/Research/Documents/ITCO_Cloud_SAMPLE_E-book_20July2011.pdf>. Acesso em 17 jan. 2014. JAMIL, Danish; HASSAN, Zaki. Cloud Computing Security, 2011. Disponvel em: <http://www.ijest.info/docs/IJEST11-03-04-129.pdf >. Acesso em 26 jan. 2014. MARKS, Eric A.; LOZANO, Roberto R. Executives guide to cloud computing. Hoboken, NJ (US): John Wiley, 2010. 34 MILLER, Michael. Cloud computing: web-base applications that change the way you work and collaborate online. Indianapolis, IN (US): Que Publising, 2008. NIST. The NIST definition of cloud computing. 2011a. Disponvel em: < http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf >. Acesso em: 16 fev. 2014. NIST. NIST Cloud Computing Reference Architecture, 2011b. Disponvel em: <http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505> . Acesso em: 17 jan. 2014. NIST. NIST Guidelines on Security and Privacy in Public Cloud Computing, 2011c. Disponvel em: <http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909505> . Acesso em: 17 jan. 2014. TAKABI, Hassan; JOSHI, James B. D.; AHN, Gail-Joon. Secure Cloud: Towards a Comprehensive Security Framework for Cloud Computing Environments, 2010. Disponvel em: < http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=5615236>. Acesso em 26 jan. 2014. TEDDO, Luiz Flvio Portirio. Metodologia em dissertao de Mestrado. Pedro Leopoldo, 2010. SIDHU, Sandeep Kaur. A study of NIST SP 800-144 standard on IT risk management in cloud computing: Creating a novel framework for implementing it in Small and Medium sized Enterprises (SMEs) by applying COSO and ISACAs Risk IT frameworks. 2013. Disponvel em: < https://wiki.cis.unisa.edu.au/wki/images/0/01/SidhuThesis.pdf>. Acesso em 19 mar. 2014. SILVA, Edna Lcia da; MENEZES, Estera Muszkat. Metodologia da pesquisa e elaborao de dissertao. 4 ed. Florianpolis: UFSC, 2005. Disponvel em: <http://tccbiblio.paginas.ufsc.br/files/2010/09/024_Metodologia_de_pesquisa_e_elab oracao_de_teses_e_dissertacoes1.pdf>. Acesso em: 30 br. 2014.`` WAHLGREN, Gunnar; KOWALSKI, Stewart. IT Security Risk Management Model for Cloud Computing: A Need for a New Escalation Approach, 2013. Disponvel em: <http://sdiwc.net/digital-library/web...pdf/00000767.pdf>. Acesso em 17. Mar. 2014. YIN, Robert K. Estudo de caso Planejamento e Mtodos. 2a edio. Porto Alegre: Bookman, 2001.