Documento Tcnico da ISACA sobre Tecnologias Emergentes

Computao em nuvem: benefcios para o negcio com perspectivas de segurana, governana e qualidade

Resumo A globalizao e as recentes presses econmicas resultaram em grandes exigncias com relao disponibilidade, dimensionamento e eficincia quando o assunto so as solues empresariais em tecnologia da informao (TI). Uma ampla base de lderes comerciais passou a se interessar mais por custos e tecnologias subjacentes utilizadas para fornecer essas solues devido ao seu crescente impacto sobre a linha de lucro. Muitos afirmam que o sistema computao em nuvem pode ajudar as empresas a atender s crescentes exigncias de menor custo total de propriedade (TCO), maior retorno de investimento (ROI), aumento da eficincia, fornecimento dinmico e servios de utilidade como pagamento Pay-As-You-Go. No entanto, muitos profissionais de TI esto citando o aumento dos riscos associados confiana dos ativos de informao ao sistema de nuvem como algo que deve ser claramente compreendido e administrado pelas partes interessadas. Este documento esclarece o que a computao em nuvem, identifica os servios oferecidos pelo sistema de nuvem e tambm examina os potenciais benefcios comerciais, os riscos e as consideraes de segurana.

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade
ISACA Com mais de 86 mil associados em mais de 160 pases, o ISACA (www.isaca.org) um provedor de conhecimentos global lder em certificao, comunidade, defesa e educao sobre qualidade e segurana dos sistemas de informao, governana corporativa em TI, riscos e conformidade relacionados rea de TI. Fundado em 1969, o ISACA patrocina conferncias internacionais, publica o ISACA Journal e desenvolve auditoria e padres internacionais de controle dos sistemas de informao. Tambm administra as seguintes denominaes respeitadas mundialmente: Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) e Certified in the Governance of Enterprise IT (CGEIT). O ISACA desenvolveu e vem atualizando continuamente os frameworks COBIT, Val IT e Risk IT, que ajudam os profissionais de TI e lderes empresariais a cumprirem suas responsabilidades administrativas relacionadas tecnologia da informao, bem como a agregar valor ao negcio. Iseno de Responsabilidade O ISACA desenvolveu e criou a Computao em nuvem: benefcios comerciais com perspectivas de segurana, administrao e qualidade (o Trabalho), principalmente como um recurso educacional para profissionais de segurana, administrao e qualidade. O ISACA no garante que o uso de qualquer um dos Trabalhos assegurar um resultado bem-sucedido. O Trabalho no deve ser considerado parte integrante de quaisquer informaes apropriadas, procedimentos e testes exclusivos ou de outras informaes, procedimentos e testes voltados para a obteno dos mesmos resultados. Ao determinar a propriedade de qualquer informao especfica, os profissionais de procedimento, teste, segurana, administrao e qualidade devem aplicar seu prprio julgamento profissional s circunstncias especficas de controle apresentadas por determinados sistemas ou ambientes de tecnologia da informao. Reserva de direitos 2009 ISACA. Todos os direitos reservados. Nenhuma parte desta publicao pode ser usada, copiada, reproduzida, modificada, distribuda, exibida, armazenada em um sistema de recuperao ou transmitida de qualquer forma por quaisquer meios (eletrnicos, mecnicos, fotogrficos, gravao ou outro meio qualquer) sem a autorizao prvia por escrito do ISACA. A reproduo e utilizao de toda ou de parte desta publicao so permitidas apenas para uso acadmico, interno e no comercial, e de assuntos relacionados consultoria/assessoria, e deve incluir todas as informaes possveis sobre a fonte do material. Nenhum outro direito ou permisso concedido com relao a este Trabalho. ISACA 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Fone: +1.847.253.1545 Fax: +1.847.253.1443 E-mail: info@isaca.org Site: www.isaca.org

Computao em nuvem: benefcios comerciais com perspectivas de segurana, administrao e qualidade CGEIT uma marca comercial e marca de servio do ISACA. A marca foi utilizada ou registrada em muitos pases em todo o mundo.
2
2009 ISACA. T
o d o S o S d I r e I T o S r e S e r v A d o S

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade
O ISACA pretende reconhecer: Equipe do projeto de desenvolvimento Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EUA, Presidente Phil Agcaoili, CISM, CISSP, Dell, EUA Joshua Davis, CISA, CISM, CIPP, CISSP, Qualcomm Inc., EUA Geir Arild Engh-Hellesvik, Ernst & Young AS, Noruega David Lang, CISA, CISM, CISSP-ISSMP, CPP, PMP, Dell, EUA H. Peet Rapp, CISA, Rapp Consulting, EUA Jim Reavis, Cloud Security Alliance, EUA Ben Rothke, CISA, CISM, CGEIT, BT Global Services, EUA Joel Scambray, CISSP, Consciere, EUA Ward Spangenberg, CISA, CISSP, QSA, IOActive, EUA Diretoria do ISACA Emil DAngelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., EUA, Presidente Internacional George Ataya, CISA, CISM, CGEIT, CISSP, ICT Control SA, Blgica, Vice-presidente Yonosuke Harada, CISA, CISM, CGEIT, CAIS, InfoCom Research, Inc., Japo, Vice-presidente Jose Angel Pena Ibarra, CGEIT, Alintec, Mxico, Vice-presidente Ria Lucas, CISA, CGEIT, Telstra Corp., Austrlia, Vice-presidente Robert Stroud, CGEIT, CA Inc., EUA, Vice-presidente Rolf von Roessing, CISA, CISM CGEIT, KPMG Germany, Alemanha, Vice-presidente Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Vice-presidente Lynn Lawton, CISA, FBCS, CITP, FCA, FIIA, KPMG LLP, Reino Unido, Ex-presidente Internacional Everett Johnson, CPA, Deloitte & Touche LLP (Retired), EUA, Ex-presidente Internacional Gregory T. Grocholski, CISA, The Dow Chemical Company, EUA, Diretor Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Austrlia, Diretor Howard Nicholson, CISA, CGEIT, City of Salisbury, Austrlia, Diretor Jeff Spivey, CPP, PSP, Security Risk Management, Inc., EUA, Administrador Comit de orientao e prticas Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (aposentado), EUA, Presidente Phil James Lageschulte, CGEIT, CPA, KPMG LLP, EUA Mark A. Lobel, CISA, CISM, CISSP, PricewaterhouseCoopers LLP, EUA Adel H. Melek, CISA, CISM, CGEIT, Deloitte & Touche, Canad Ravi Muthukrishnan, CISA, CISM, FCA, ISCA, Capco IT Service India Pvt Ltd., ndia Anthony P. Noble, CISA, Viacom, EUA Salomon Rico, CISA, CISM, CGEIT, Galaz, Yamazaki, Ruiz Urquiza, S.C., Mxico Eddy Justin Schuermans, CISA, CGEIT, ESRAS bvba, Blgica Frank Van Der Zwaag, CISA, CISSP, Westpac, Nova Zelndia Aliana de segurana da nuvem dos quais o ISACA membro fundador

2009 ISACA. T

o d o S

o S

d I r e I T o S

r e S e r v A d o S

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade Impactos da computao em nuvem
Como os CxOs buscam outras maneiras de atender crescente demanda de TI, muitos esto bem perto de passar a enxergar a computao em nuvem como uma opo real para as necessidades de sua empresa. A promessa da computao em nuvem revolucionar o mundo dos servios de TI transformando a computao em um utilitrio ubquo, aproveitando atributos, como, por exemplo, maior agilidade, elasticidade, capacidade de armazenamento e redundncia, para gerenciar os ativos de informao. A influncia e a utilizao contnua da inovao da Internet tem permitido que a computao em nuvem utilize as infraestruturas existentes e a transforme em servios que as empresas poderiam fornecer tanto para economias significativas de custos quanto para uma maior eficincia. As empresas esto percebendo que existe um potencial para aproveitar essa inovao para servir melhor a seus clientes e obter vantagens comerciais. Por oferecer s Empresas a oportunidade de dissociar suas necessidades de TI de sua infraestrutura, a computao em nuvem capaz de oferecer, a longo prazo, uma certa economia s empresas, incluindo a reduo de custos de infraestrutura e modelos de oferta de pagamentos por servio. Mudando os servios de TI para o sistema de nuvem, as empresas podem tirar proveito do uso de servios em um modelo sob demanda. A reduo de despesas de capital inicial necessria, o que permite s empresas maior flexibilidade com novos servios de TI. Por todas essas razes, fcil compreender porque a computao em nuvem uma oferta de servios atraente para qualquer negcio em potencial que deseje aprimorar recursos de TI enquanto controla os custos. No entanto, convm notar que, junto com os benefcios, vm riscos e preocupaes com segurana que devem ser considerados. Como os servios de TI so contratados fora da empresa, existe um risco adicional de contar com uma dependncia maior de um provedor terceirizado para o fornecimento de servios de TI disponveis, flexveis e eficientes. Enquanto muitas empresas esto habituadas a gerenciar esse tipo de risco, as mudanas so necessrias para expandir abordagens de administrao e estruturas para tratar adequadamente as novas solues de TI e melhorar os processos comerciais. Como acontece com qualquer tecnologia emergente, a computao em nuvem oferece a possibilidade de recompensa elevada em termos de conteno de custos e recursos, como agilidade e velocidade de fornecimento. No entanto, como uma iniciativa nova, ela tambm pode trazer um alto risco em potencial. A computao em nuvem apresenta um nvel de abstrao entre a infraestrutura fsica e o proprietrio da informao a ser armazenada e processada. Tradicionalmente, o proprietrio dos dados mantm controle direto ou indireto do ambiente fsico que afeta seus dados. No sistema de nuvem, isso no ocorre mais. Devido a essa abstrao, j existe uma demanda generalizada de maior transparncia e garantia de abordagem robusta de segurana do ambiente de controle e de segurana do provedor de servios de nuvem.

A promessa da computao em nuvem , sem dvida, revolucionar o mundo dos servios de TI transformando a computao em um utilitrio ubquo.

Uma vez determinado que os servios de nuvem so uma soluo plausvel para uma empresa, importante identificar os objetivos comerciais, bem como os riscos associados nuvem. Isso vai ajudar as empresas a determinar quais tipos de dados devem ser confiveis para o sistema de nuvem, bem como quais servios podem oferecer maior benefcio.

O que exatamente a computao em nuvem?

Uma das questes mais confusas em torno do sistema de nuvem e seus servios relacionados a falta de acordo sobre as definies. Tal como acontece com todas as tecnologias emergentes, a falta de clareza e de acordo muitas vezes dificulta a avaliao e a aprovao dessa tecnologia. Os dois grupos que tm oferecido uma base de definies so o NIST (National Institute of Standards and Technology, Instituto Nacional de Padres e Tecnologia) e a Cloud Security Alliance
4
2009 ISACA. T
o d o S o S d I r e I T o S r e S e r v A d o S

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade
(Aliana de Segurana da Nuvem). Ambos os grupos definem a computao em nuvem como um modelo para permitir o acesso rede sob demanda, de forma conveniente, a um conjunto compartilhado de recursos de computao configurveis (por exemplo, redes, servidores, armazenamento, aplicativos e servios) que podem ser rapidamente fornecidos e lanados com o mnimo esforo de gesto ou interao do prestador de servio. Outra forma de descrever os servios oferecidos no sistema de nuvem compar-los ao de um utilitrio. Assim como as empresas pagam pelos servios de eletricidade, gs e gua que utilizam, agora elas tm a opo de pagar pelos servios de TI em uma base de consumo. O modelo da nuvem pode ser composto por trs modelos de servio (figura 1), quatro modelos de implantao (figura 2) e cinco caractersticas essenciais (figura 3). Riscos e benefcios em geral podero variar de modelo para modelo e vale ressaltar que, ao apostar nos diferentes tipos de servios e modelos de implantao, as empresas devem considerar os riscos que os acompanham.
Figura 1 Tipos de servios de computao em nuvem Tipo de servio Infrastructure as a Service (IaaS) Definio Capacidade de fornecer processamento, armazenamento, redes e outros recursos fundamentais de computao, oferecendo ao cliente a possibilidade de implantar e executar software em geral, que pode incluir sistemas operacionais e aplicativos. O IaaS coloca essas operaes de TI nas mos de um terceiro. A considerar Opes para minimizar o impacto, caso o fornecedor do sistema de nuvem tenha uma interrupo de servio

Platform as a Service (PaaS)

Capacidade para a implantao de Disponibilidade infraestrutura da nuvem criada pelo cliente ou Confidencialidade aplicativos adquiridos criados com linguagens Privacidade e responsabilidade legal de programao e ferramentas compatveis em caso de falha de segurana (j que com as do fornecedor os bancos de dados de informaes confidenciais agora sero hospedados externamente) Apropriao de dados Preocupaes com e-discovery (obteno de dados e informaes de forma eletrnica) Capacidade para utilizar os aplicativos do provedor a serem executados na infraestrutura do sistema de nuvem. Os aplicativos podem ser acessados a partir de vrios dispositivos do cliente atravs de uma interface leve (thin client interface), como um navegador da Web (por exemplo, e-mail com base na Web). Quem tem a propriedade dos aplicativos? Onde esto os aplicativos?

Software as a Service (SaaS)

Figura 2 Modelos de implantao da computao em nuvem (Cont.) Modelo de implantao Nuvem privada Descrio e infraestrutura do sistema de nuvem Operao realizada exclusivamente por uma organizao Permite que seja gerenciada pela organizao ou por terceiros Pode estar ou no no local A considerar Servios de sistema de nuvem com risco mnimo Pode no proporcionar o dimensionamento e a agilidade dos servios de nuvem pblica

2009 ISACA. T

o d o S

o S

d I r e I T o S

r e S e r v A d o S

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade
Figura 2 Modelos de implantao da computao em nuvem (Cont.) Modelo de implantao Nuvem comunitria Descrio e infraestrutura do sistema de nuvem Compartilhada por vrias organizaes Apoia uma comunidade especfica com a mesma misso ou interesse. Permite que seja gerenciada pela organizao ou por terceiros Pode residir ou no no local Disponibilizada ao pblico em geral ou a um grande grupo industrial Pertencente a uma organizao de venda dos servios de nuvem A considerar O mesmo que a nuvem privada, mais: Os dados podem ser armazenados com os dados dos concorrentes.

Nuvem pblica

O mesmo que a nuvem comunitria, mais: Os dados podem ser armazenados em locais desconhecidos e podem no ser recuperados com facilidade.

Nuvem hbrida

Uma composio de duas ou mais nuvens Agrega o risco de uma fuso de diferentes (privada, pblica ou comunitria) unidas pela modelos de implantao tecnologia padronizada ou de seu proprietrio A classificao e a rotulagem de dados ser permitindo a portabilidade de dados e benfica para o gerente de segurana, pois aplicativos, mas que permanecem sendo garante que os dados sejam atribudos ao entidades nicas e exclusivas tipo de nuvem correta. (por exemplo, estouro de nuvem para fins de balanceamento de carga entre nuvens) Figura 3 Caractersticas essenciais da computao em nuvem

Caracterstica Autoatendimento sob demanda

Definio O provedor do sistema de nuvem deve ser capaz de fornecer automaticamente os recursos de computao, tais como armazenamento de rede e servidores, conforme forem necessrios, sem exigir a interao humana com o provedor de cada servio. De acordo com o NIST, a rede de nuvem deve ser acessvel em qualquer lugar, em quase todos os dispositivos (por exemplo, smartphones, laptops, PDAs, aparelhos portteis). O provedor de recursos de computao agrupado para atender vrios clientes usando um modelo multicliente com diferentes recursos fsicos e virtuais atribudos dinamicamente e reatribudos de acordo com a demanda. H um senso de independncia local. Geralmente, o cliente no tem nenhum controle ou conhecimento sobre a localizao exata dos recursos disponibilizados. No entanto, possvel especificar o local em um nvel maior de abstrao (por exemplo, pas, regio ou central de dados). Os exemplos de recursos incluem o armazenamento, o processamento, a memria, a largura de banda da rede e as mquinas virtuais. Os recursos podem ser provisionados rapidamente e de forma elstica, em muitos casos de forma automtica, para aumentar em escala rapidamente e tambm reduzir de forma rpida. Para o cliente, os recursos disponveis para o fornecimento muitas vezes parecem ser ilimitados e podem ser adquiridos em qualquer quantidade a qualquer momento. Os sistemas de nuvem controlam e otimizam automaticamente a utilizao de recursos, aproveitando a capacidade de medio (por exemplo, armazenamento, processamento, largura de banda e contas de usurios ativas). O uso de recursos pode ser monitorado, controlado e reportado, oferecendo transparncia tanto para o provedor quanto para o cliente do servio utilizado.

Amplo acesso rede Grupo de recursos

Rpida elasticidade

Servio medido

Como pode ser observado na lista de caractersticas na figura 3, existem muitas abordagens e constataes relacionadas computao em nuvem. Os benefcios s empresas, bem como os riscos, sero variados, pois dependem dos tipos de servio e dos modelos de implantao escolhidos.

2009 ISACA. T

o d o S

o S

d I r e I T o S

r e S e r v A d o S

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade Os benefcios comerciais da computao em nuvem
Embora a promessa de economia financeira seja um ponto bastante atraente da computao em nuvem, muito possivelmente, a melhor opo para as empresas a simplificao de processos e o aumento de inovao. Com ela, possvel aumentar a produtividade e transformar os processos de negcio atravs de meios que eram extremamente caros antes do sistema de nuvem. As organizaes podem se concentrar em seu negcio principal em vez de se preocuparem com o dimensionamento da infraestrutura. A soluo das demandas de pico de negcios para o desempenho pode ser facilmente encontrada usando a computao em nuvem, ou seja, atravs de backups mais confiveis, clientes mais satisfeitos, mais dimensionamento e margens ainda maiores. Alguns dos benefcios-chave oferecidos pela computao em nuvem so: Conteno de despesas O sistema de nuvem oferece s empresas a opo de dimensionamento sem srios compromissos financeiros necessrios para aquisio e manuteno de infraestrutura. Os servios de nuvem exigem pouca ou nenhuma despesa de capital inicial. Tanto os servios quanto o armazenamento so disponibilizados sob demanda e com preos definidos sob o sistema de pagamento Pay-As-You-Go. Alm disso, o modelo de nuvem ajudaria a economizar no desperdcio de recursos. A economia de espao no utilizado nos servidores permite que as empresas reduzam seus gastos com relao s exigncias de tecnologia existentes e experimentem novas tecnologias e servios sem precisar de grandes investimentos. As empresas devero comparar os custos atuais com as despesas do sistema de nuvem e levar em considerao os modelos TCO para compreender se os servios de nuvem podero oferecer uma economia em potencial para a empresa. Imediatismo Muitos pioneiros da computao em nuvem citaram a capacidade de fornecimento e utilizao de um servio em um nico dia. Isso se compara aos tradicionais projetos de TI que podem exigir semanas ou meses para serem desenvolvidos, configurados e aplicados aos recursos necessrios. Esse processo tem um impacto fundamental sobre a agilidade de um negcio e a reduo dos custos associados aos atrasos. Disponibilidade Os provedores dos servios de nuvem tm a infraestrutura e a largura de banda necessrias para fornecer acesso de alta velocidade, armazenamento e aplicativos. Como esses provedores frequentemente apresentam caminhos redundantes, existe uma chance para o balanceamento de carga a fim de garantir que os sistemas no sejam sobrecarregados e que os servios no sofram algum atraso. Embora a disponibilidade seja uma promessa, os clientes devem se certificar de que eles tero as devidas provises em caso de interrupo dos servios. Dimensionamento Com capacidade irrestrita, os servios de nuvem oferecem mais flexibilidade e dimensionamento envolvendo as necessidades de TI. O fornecimento e a implementao so realizados sob demanda, permitindo aumento de trfego e reduzindo o tempo para implementar novos servios. Eficincia A realocao das atividades operacionais de gesto de informaes sobre realocao da nuvem oferecem s empresas uma oportunidade nica para concentrar ...atravs da esforos na inovao e pesquisa e desenvolvimento. Esse processo abre as portas para terceirizao de o crescimento comercial, bem como o crescimento do produto, e ainda pode ser mais parte da gesto benfico do que as vantagens financeiras oferecidas pelo sistema de nuvem. Resilincia Os provedores do sistema de nuvem tm solues espelhadas que podem de informaes e ser utilizadas em um cenrio de desastre, bem como no balanceamento de carga de trfego. operaes de TI, Se ocorrer um desastre natural que exija um local em uma rea geogrfica diferente ou apenas o trfego pesado, os provedores de computao em nuvem afirmam ter resilincia os funcionrios da e capacidade suficientes para garantir sustentabilidade em caso de um evento inesperado. empresa podero A premissa do sistema de nuvem que com as partes terceirizadas do gerenciamento de informao e operaes de TI, os funcionrios da empresa estaro livres para melhorar os processos, aumentar a produtividade e a inovao, enquanto o provedor do sistema de nuvem trabalha com a atividade operacional de forma mais inteligente, mais rpida e mais barata. Supondo que seja este o caso, provavelmente sero necessrias alteraes significativas nos processos de negcio existentes para aproveitar as oportunidades que os servios de nuvem oferecem.
2009 ISACA. T
o d o S o S d I r e I T o S r e S e r v A d o S

melhorar os processos, aumentar a produtividade e a inovao...

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade Os riscos e as questes de segurana relacionadas computao em nuvem
Muitos dos riscos frequentemente associados computao em nuvem no so novos e podem ser encontrados nas empresas de hoje. Bem planejadas, as atividades previstas sobre a gesto de riscos sero cruciais para assegurar que a informao seja disponibilizada e protegida simultaneamente. Talvez os processos comerciais e procedimentos que devem ser considerados com relao segurana e gerentes de segurana da informao tenham que se ajustar s polticas e aos procedimentos da empresa para atender s necessidades do negcio. Dado o ambiente empresarial dinmico e o foco na globalizao, existem muito poucas empresas que no terceirizam parte de seus negcios. Participar de um relacionamento com um terceiro significa que o negcio no utiliza apenas os servios e a tecnologia do provedor do sistema de nuvem, mas tambm precisa lidar com a forma como o fornecedor executa sua organizao, a arquitetura do provedor e a cultura e as polticas organizacionais do provedor. Alguns exemplos dos riscos da computao em nuvem para empresas que necessitam de gerenciamento incluem: As empresas precisam ser cuidadosas na escolha de um provedor. Reputao, histria e sustentabilidade so fatores que devem ser considerados. A sustentabilidade dos itens importantes para garantir que os servios estejam disponveis e que os dados possam ser monitorados. Muitas vezes, o provedor do sistema de nuvem assume a responsabilidade do tratamento da informao, que uma parte crtica do negcio. A no realizao dos nveis de servios acordados pode comprometer no apenas a confidencialidade, mas tambm a disponibilidade, afetando severamente as operaes comerciais. A natureza dinmica da computao em nuvem pode acabar em confuso com relao s informaes que realmente lhes dizem respeito. Quando a recuperao de informao necessria, isso pode gerar atrasos. O acesso de terceiros s informaes confidenciais cria um risco de comprometimento dessas informaes. Na computao em nuvem, isso pode comprometer a proteo da propriedade intelectual (IP) e os segredos comerciais. As nuvens pblicas permitem que os sistemas de alta disponibilidade sejam desenvolvidos em nveis de servio muitas vezes impossveis de serem criados em redes privadas, exceto a custos extraordinrios. A desvantagem dessa disposio a tendncia de misturar os ativos de informao com os de outros clientes da nuvem, inclusive os concorrentes. De acordo com as leis e regulamentaes de diferentes regies, isso pode ser um desafio para as empresas. Neste momento, h pouco precedente jurdico em matria de responsabilidade no sistema de nuvem. imprescindvel obter aconselhamento jurdico adequado para garantir um contrato que especifique as reas onde o provedor do sistema de nuvem ser responsvel pelas consequncias decorrentes de algum tipo de problema em potencial. Devido natureza dinmica do sistema de nuvem, as informaes podem no ser localizadas imediatamente em caso de desastres. Planos de continuidade de negcios e de recuperao de desastres devem ser bem documentados e testados. O provedor do servio de nuvem deve compreender o papel que desempenha quanto aos procedimentos de backup, resposta a incidentes e recuperao. O tempo de recuperao (RTO, Recovery Time Objectives) deve ser indicado no contrato.

Estratgias para lidar com os riscos da computao em nuvem

Estes riscos, bem como outros que uma empresa pode identificar, devem ser gerenciados de forma eficaz. Recomenda-se o uso de um programa robusto de gerenciamento de riscos que seja flexvel o suficiente para lidar continuamente com os riscos das informaes. Em um ambiente onde a privacidade tornou-se fundamental para clientes empresariais, o acesso no autorizado aos dados na nuvem uma preocupao significativa. Ao firmar acordo com um provedor de servios de nuvem, a empresa deve fazer um inventrio de seus ativos de informao e garantir que os dados sejam devidamente classificados e rotulados. Isso ajudar a determinar o que deve ser especificado na elaborao de um acordo de nvel de servio (SLA, Service Level Agreement), de qualquer necessidade de criptografia de dados a serem transmitidos ou armazenados, alm de controles adicionais de informaes confidenciais ou de alto valor para a organizao.

2009 ISACA. T

o d o S

o S

d I r e I T o S

r e S e r v A d o S

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade
Assim como o vnculo que define o relacionamento entre a empresa e o provedor do sistema de nuvem, o SLA uma das ferramentas mais eficazes que a empresa pode usar para garantir a proteo adequada das informaes confiadas ao sistema de nuvem. O SLA ser a ferramenta onde os clientes podero especificar se os frameworks de controle sero utilizados e descrever a expectativa de uma auditoria externa de terceiros. Expectativas claras quanto ao manuseio, utilizao, armazenamento e disponibilidade de informaes devem ser descritas no SLA. Alm disso, os requisitos para a continuidade dos negcios e a recuperao de desastres (discutido anteriormente) devero ser comunicados no acordo. A proteo das informaes evoluir como o resultado de um acordo SLA abrangente, apoiado em um processo de garantia igualmente forte, seguro e abrangente. A estruturao de um SLA completo e detalhado que inclui direitos especficos de auditoria ajudar a empresa no gerenciamento de suas informaes, uma vez que elas saem da organizao e so transportadas, armazenadas ou processadas no sistema de nuvem.

Em um ambiente onde a privacidade tornou-se fundamental para clientes empresariais, o acesso no autorizado s informaes no sistema de nuvem uma preocupao significativa.

Problemas de alterao e administrao relacionados computao em nuvem

A direo estratgica do negcio e da tecnologia da informao em geral o foco principal quando se considera o uso da computao em nuvem. Como as empresas procuram pelo sistema de nuvem para fornecer servios de TI que tm sido tradicionalmente gerenciados internamente, ser preciso aplicar algumas mudanas para ajudar a garantir que elas continuem cumprindo seus objetivos de desempenho, que suas tecnologias de fornecimento e de negcios sejam estrategicamente alinhadas e que os riscos sejam gerenciados. Garantir que a tecnologia da informao esteja alinhada com o negcio, que os sistemas estejam seguros e que os riscos sejam gerenciados um desafio em qualquer ambiente e ainda mais complexo em um relacionamento terceirizado. As atividades tpicas de administrao, como a definio de metas, polticas e padres de desenvolvimento, a definio de funes e responsabilidades, bem como a gesto dos riscos devem incluir consideraes especiais quando o assunto a tecnologia do sistema de nuvem e seus provedores.

Caso ainda no participe dos processos de governana corporativa ou do ciclo de vida de desenvolvimento de sistemas, a mudana para a computao em nuvem determina que o gerente ou diretor de segurana da informao (information security officer) passe a ser includo nesses processos.
Tal como acontece com todas as alteraes organizacionais, espera-se que alguns ajustes sejam aplicados na maneira como os processos de negcio so tratados. Os processos de negcio, assim como o processamento de dados, o desenvolvimento e a recuperao de informaes so exemplos potenciais dessas reas de alterao. Alm disso, ser necessrio rever os processos que detalham o modo como as informaes so armazenadas, arquivadas e copiadas para fins de backup. O sistema de nuvem apresenta muitas situaes exclusivas para as empresas enfrentarem. Um dos maiores problemas que o pessoal das unidades de negcio, que antes era obrigado a passar pela rea de TI, agora pode ignor-la e receber os servios diretamente do sistema de nuvem. Portanto, primordial que as polticas de segurana da informao utilizem os servios do sistema de nuvem.

2009 ISACA. T

o d o S

o S

d I r e I T o S

r e S e r v A d o S

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade Consideraes sobre a qualidade na computao em nuvem
Quando confrontados com a mudana de paradigma e a natureza dos servios prestados atravs de computao em nuvem, existem muitos desafios para os fornecedores de qualidade. O que pode ser feito para melhorar os recursos do profissional de qualidade com o objetivo de fornecer aos usurios diretos e indiretos da computao em nuvem mais confiana no software e nos servios de infraestrutura que compem o sistema de nuvem? Algumas das principais questes sobre qualidade que devem ser abordadas so: Transparncia Os provedores de servios devem demonstrar a existncia de controles de segurana eficazes e robustos, assegurando aos clientes que seus dados esto devidamente protegidos contra o acesso no autorizado, a alterao e a destruio dos mesmos. As questes mais importantes que devem ser decididas so as seguintes: que nvel de transparncia suficiente? O que preciso para ser transparente? A transparncia pode ser malfica? As principais reas onde a transparncia do fornecedor importante incluem: quais funcionrios (do provedor) tm acesso s informaes dos clientes? H segregao de funes entre os funcionrios do provedor de manuteno? Como as diferentes informaes dos clientes so segregadas? Quais so os controles responsveis por evitar, detectar e reagir s violaes? Privacidade Com a preocupao crescente com a privacidade em nvel mundial, torna-se imperativo aos provedores de servio de computao em nuvem provar aos clientes, existentes e potenciais, que os controles de privacidade esto em vigor e demonstrar sua real capacidade para evitar, detectar e reagir s violaes em tempo hbil. A informao e a gerao de relatrios das linhas de comunicao precisam estar em perfeito funcionamento e devem constar em contrato antes mesmo do incio dos servios. Tais canais de comunicao devem ser testados periodicamente durante as operaes. Conformidade A maioria das organizaes atualmente deve cumprir uma srie de leis, regulamentaes e normas. H preocupaes com a computao em nuvem pelo fato de que os dados podem no estar armazenados em um nico lugar e poderiam no A computao em ser recuperados facilmente. essencial garantir que, caso os dados sejam exigidos pelas nuvem representa autoridades, esse procedimento possa ser cumprido sem comprometer outras informaes. uma oportunidade As auditorias realizadas pelas prprias autoridades regulamentadoras, padronizadoras e legalizadoras demonstram que pode haver muitos excessos em tais apreenses. O uso dos rara de remodelar servios do sistema de nuvem no oferece garantias de que uma empresa poder obter suas a segurana e os informaes quando necessrio, e alguns provedores ainda se reservam o direito de reter controles em TI as informaes das autoridades. Fluxo de informaes alm-fronteira Quando a informao pode ser armazenada para um futuro em qualquer lugar no sistema de nuvem, a localizao fsica da informao pode se melhor. transformar em um problema. A localizao fsica determina a jurisdio e a obrigao legal. Asleis que regem as informaes pessoalmente identificveis (PII, personally identifiable information) de um determinado pas variam muito. O que permitido em um pas pode ser uma violao em outro. Certificao Os provedores de servios de computao em nuvem devero fornecer a seus clientes a garantia de que esto agindo de forma correta. A garantia independente das auditorias de terceiros e/ou dos relatrios de auditoria dos servios de suma importncia em qualquer programa de garantia. Utilizar padres e frameworks ajudar as empresas a obterem mais qualidade com relao segurana e aos controles internos do fornecedor da computao em nuvem. No momento da formalizao por escrito, no h padres especficos disponveis publicamente para o paradigma da computao em nuvem. Entretanto, as normas existentes devem ser consultadas para abordar as reas relevantes e as empresas devem consider-las para ajustar seus frameworks de controle j existentes. A computao em nuvem representa uma oportunidade de remodelar a segurana e os controles em TI. Sem dvida, muitas empresas aproveitam essa oportunidade para melhorar a eficincia e a segurana interna de seu portflio de TI.
10
2009 ISACA. T
o d o S o S d I r e I T o S r e S e r v A d o S

Computao em nuvem: benefCios para o negCio Com perspeCtivas de segurana, governana e qualidade Concluso
Enquanto a computao em nuvem est, certamente, pronta para proporcionar muitos benefcios, os profissionais de segurana de informao devem conduzir as anlises de impacto dos negcios, assim como as avaliaes de risco devem indicar aos lderes sobre riscos potenciais para a empresa. As atividades da gesto de riscos devem ser gerenciadas ao longo do ciclo de vida das informaes e os riscos devem ser reavaliados periodicamente ou em caso de alteraes. As empresas que tendem a considerar o uso do sistema de nuvem em seus ambientes devem calcular a economia de custos que este sistema pode oferecer e a quais riscos adicionais est sujeito. Uma vez calculada a economia de custos e identificados os riscos, as empresas tero uma melhor compreenso sobre como podem aproveitar os servios de nuvem. A empresa deve contar com profissionais da rea jurdica, de segurana e de qualidade para garantir que os nveis adequados de segurana e privacidade sejam alcanados. A opo pela nuvem representa uma mudana importante na forma como os recursos de computao sero utilizados e, como tal, ser uma importante iniciativa de governana nas organizaes em que for adotada, exigindo o envolvimento de um amplo grupo de interessados. Recursos adicionais relacionados computao em nuvem: www.isaca.org/cloudcomputingresources

2009 ISACA. T

o d o S

o S

d I r e I T o S

r e S e r v A d o S

11