Computação em Nuvem e Segurança. Pedro Mendes. José Pedro Fonseca Mendes (up ) Unidade Curricular: Segurança da Informação

Tamanho: px
Começar a partir da página:

Download "Computação em Nuvem e Segurança. Pedro Mendes. José Pedro Fonseca Mendes (up200402212) Unidade Curricular: Segurança da Informação"

Transcrição

1 Pedro Mendes Computação em Nuvem e Segurança José Pedro Fonseca Mendes (up ) Unidade Curricular: Segurança da Informação Professor: José Magalhães Cruz Mestrado em Ciência da Informação 2014/2015 Faculdade de Engenharia da Universidade do Porto Dezembro de 2014

2 Sumário 1. Introdução O que é computação em nuvem Vantagens e desvantagens da computação em nuvem... 6 Vantagens... 6 Desvantagens Segurança da Informação Computação em nuvem Características essenciais Acesso à rede em banda larga Elasticidade Mensurável Serviço Self-Service Conjunto de recursos Tipos de serviço IaaS PaaS SaaS Modelos de Implementação Nuvem Pública Nuvem privada Nuvem de comunidade Nuvem Híbrida Segurança e privacidade dos dados MCI Segurança da Informação Página 2

3 3.1. Acesso privilegiado de utilizadores Cumprimento de regulamentação Localização dos dados Segregação dos dados Recuperação dos dados Apoio à investigação Viabilidade a longo prazo ISO/IEC series ISO / ISSO Ataques e ameaças à segurança Cloud malware injection attack Metadata spoofing attack Account and service hijacking Unknown risk profile Malicious insiders Outros aspetos da segurança Administrar Regulamentação Leis e Regulamentos Localização dos dados Confiança Acesso Privilegiado Propriedade dos dados Monitorização MCI Segurança da Informação Página 3

4 Dados Auxiliares Gestão de Risco Arquitetura Gestão de Acesso e Identidade Autenticação Proteção de dados Concentração de Valor Isolamento de Dados Limpeza de dados Disponibilidade Resposta a Acidentes Disponibilidade de dados Análise de Incidentes e Resolução Armazenamento na Nuvem Conclusão Referências Bibliográficas Índice de Ilustrações MCI Segurança da Informação Página 4

5 1. Introdução A utilização do computador e o uso da Internet são nas últimas décadas partes integrantes do modo de vida das sociedades. Com a constante evolução das tecnologias computacionais e das telecomunicações o acesso à Internet aparece cada vez mais acessível, amplo e rápido. Com a computação nas nuvens muitas das aplicações de utilizadores assim como os seus dados deixam de estar instalados ou armazenados localmente. Com o serviço de Nuvem eles ficam disponíveis para aceder online, na Internet. Ao fornecedor deste tipo de serviço cabe todas as tarefas de desenvolvimento, armazenamento, manutenção, actualização, backup, etc. Para o utilizador tudo se resume a aceder e utilizar. Mas tal como no mundo real não existem sistemas totalmente seguros e no mundo virtual o utilizador estará sempre sujeito a invasões, roubos e ataques que colocam em risco os seus dados. Apesar dos benefícios da computação em nuvem existe um risco iminente de segurança, especialmente sério quando colocamos informações pessoais ao cargo de alguém que não conhecemos O que é computação em nuvem A definição de cloud computing do NIST ( National Institute of Standards and Technology) refere que este é um modelo de computação que permite o acesso ubíquo e "on-demand" a um conjunto de recursos computacionais configuráveis e disponibilizados em rede, tais como, redes de comunicações, servidores, armazenamento, aplicações e serviços, que podem ser rapidamente aprovisionados e atualizados com um mínimo esforço de gestão ou de interação do fornecedor de serviços. A figura 1 ilustra o conceito associado à computação em nuvem. MCI Segurança da Informação Página 5

6 Figura 1 - Computação em Nuvem 1.2. Vantagens e desvantagens da computação em nuvem Como qualquer outra tendência no mundo da Tecnologias de Informação, a computação em nuvem tem as suas vantagens e desvantagens. Também podemos encarar a situação com outros termos, como desafios, barreiras ou inovação, porém, anotar vantagens e desvantagens é o meio mais claro para auxiliar quem pondera a utilização deste serviço. Vantagens Abstracção Uma vez que todo o processamento de dados é feito na nuvem, o utilizador não precisa de se preocupar com problemas de compatibilidade de hardware/software e segurança. Comodidade A vantagem mais óbvia. Em qualquer lado e a qualquer altura é possível aceder aos dados da nuvem. Tudo o que é necessário é um dispositivo com acesso à internet. MCI Segurança da Informação Página 6

7 Fiabilidade O acesso e processamento de dados não dependem exclusivamente de um servidor, pelo que, em caso de falha, o serviço não fica comprometido. Capacidade de armazenamento virtualmente ilimitada O utilizador não precisa de se preocupar com o alojamento da informação porque esta não fica alojada no seu computador. Desvantagens Dependência O acesso aos dados da nuvem depende forçosamente da conexão à internet. Caso esta não exista não existem alternativas para contornar o problema. Recuperação de dados Apesar de a nuvem ser bastante fiável, falhas e erros são sempre possíveis. Caso a nuvem deixe de funcionar, todos os dados estão comprometidos e podem, eventualmente, ser perdidos. Vulnerabilidade Todos os dados da nuvem estão vulneráveis a ataques informáticos. Quanto mais importante e confidencial for a informação disponível na nuvem, mais apetecível se torna do ponto de vista dos hackers Segurança da Informação A Segurança da informação pode ser definida como um conjunto de medidas que gerem controlos e políticas de segurança tendo como principal objectivo a protecção das informações. MCI Segurança da Informação Página 7

8 Figura 2 - Trinómio CID Os princípios básicos da segurança da informação formam o trinómio: confidencialidade, integridade e disponibilidade. Podemos dizer que são propriedades da informação que devem ser mantidas para que a mesma não sofra uma quebra de segurança. A confidencial idade está associada ao critério de divulgação e acesso autorizado à informação. A integridade está associada ao critério de fidelidade da informação com base no seu estado inicial (quando é gerada) e do seu estado no momento do acesso, ou seja, preocupa-se em evitar alterações não autorizadas que a modifiquem. A disponibilidade está associada ao critério de acessibilidade da informação, ou seja, em garantir que a informação esteja acessível às pessoas e empresas autorizadas sempre que estas necessitem. 2. Computação em nuvem O conceito de cloud computing, é a capacidade de computação infinitamente disponível e flexível na nuvem, é tudo aquilo que fica por detrás da conexão. Na sua génese, preocupações como a largura de banda, espaço de armazenamento, poder de processamento, fiabilidade ou segurança são postas de parte. Basta uma ligação à nuvem e as MCI Segurança da Informação Página 8

9 respostas às necessidades em termos de tecnologias de informação serão satisfeitas. Para concretizar esta ideologia, a computação na nuvem compreende os recursos a seguir apresentados Características essenciais Figura 3 - Características Computação em Nuvem Acesso à rede em banda larga Os recursos estão disponíveis através da rede e podem ser acedidos através de diferentes plataformas (telemóveis, tablets, computadores portáteis e estações de trabalho). A interface de acesso à nuvem não obriga os utilizadores a mudarem as suas condições e ambientes de trabalho. MCI Segurança da Informação Página 9

10 Elasticidade Os recursos podem ser rapidamente alocados e, em alguns casos, de forma automática, para aumentar as capacidades disponíveis ou para as libertar quando já não são necessárias. Do ponto de vista do consumidor, parece que os recursos disponíveis são muitas vezes ilimitados e passíveis de serem utilizados e apropriados em qualquer quantidade e a qualquer momento Mensurável Os sistemas de computação na nuvem devem controlar e otimizar a utilização dos recursos de forma automática, efetuando a medição da utilização, de forma adequada ao tipo de serviço, como por exemplo, armazenamento utilizado, processamento efetuado, largura de banda utilizada ou contas de utilizadores ativas. O uso dos recursos deve poder ser monitorizado e controlado de forma transparente, tanto para o fornecedor, como para o consumidor do serviço utilizado Serviço Self-Service Service Um utilizador pode dispor de forma unilateral e automática, recursos de computação (tempo de servidor ou armazenamento em rede) conforme necessário e de forma automática. Tudo sem necessidade de interação humana com o fornecedor do serviço Conjunto de recursos Os recursos computacionais do fornecedor do serviço são reunidos para servir vários utilizadores usando um modelo de múltiplos utilizadores, com diferentes recursos físicos e virtuais atribuídos dinamicamente de acordo com os pedidos destes últimos. Há um sentido de independência de localização em que geralmente o cliente não tem nenhum controlo ou conhecimento sobre o local exato dos recursos fornecidos, mas pode ser capaz de especificar o local num nível mais elevado de abstração (por exemplo, país, estado ou centro de dados). Armazenamento, MCI Segurança da Informação Página 10

11 processamento, memória e largura de banda de rede são exemplos destes recursos Tipos de serviço A computação em nuvem distribuí os recursos sob a forma de serviços, existem três modelos, IaaS, PaaS e SaaS, que a seguir são apresentados, o tipo de serviço escolhido dita o escopo e o controlo de uma organização sobre o seu ambiente computacional e caracteriza um nível de abstração do seu uso. Figura 4 - Tipos de Serviço IaaS Cloud Infrastructure as a Service ou Infraestrutura como serviço, oferece ao cliente a capacidade de controlar o processamento, armazenamento, rede e outros recursos computacionais fundamentais onde o cliente é capaz de implementar e executar arbitrariamente software que pode incluir sistemas operativos ou aplicações. O cliente não gere nem controla a infraestrutura subjacente da nuvem mas tem a gestão de sistemas operacionais, armazenamento, aplicações implementadas, inclusive um controlo limitado de certos componentes de rede como por exemplo firewalls do Host. MCI Segurança da Informação Página 11

12 PaaS Cloud Platform as a Service ou Plataforma como serviço, tem como objetivo facilitar o desenvolvimento de aplicações destinadas aos cliente de uma nuvem, criando uma plataforma que agiliza esse processo. O PaaS oferece uma infraestrutura de alto nível de integração para implementar e testar aplicações na nuvem. Também fornece um sistema operacional, linguagens de programação e ambientes de desenvolvimento para as aplicações, auxiliando a implementação de softwares, já que contém ferramentas de desenvolvimento e colaboração. O cliente não gere nem controla a infraestrutura subjacente da nuvem, incluindo rede, servidores, sistemas operacionais, ou de armazenamento mas controla as aplicações implementadas SaaS Cloud Software as a Service ou software como serviço, a capacidade oferecida ao cliente neste tipo de serviço é a utilização de aplicações disponibilizadas pelo fornecedor e que correm na infraestrutura da nuvem. As aplicações são acessíveis ao cliente a partir de vários dispositivos e através de um interface como um Web browser ou um interface de programa. O cliente não gere nem controla a infraestrutura subjacente da nuvem, incluindo a rede, servidores, sistemas operacionais, armazenamento, ou até os recursos do software disponibilizado, com a possível exceção neste último de configurações limitadas que possam estar disponíveis Modelos de Implementação Os modelos de implementação caracterizam de uma forma genérica a gestão e a disposição de recursos computacionais fornecidos aos consumidores bem como a distinção entre classes de consumidores Nuvem Pública Uma nuvem pública é aquela em que a infraestrutura e os recursos computacionais que compreende são disponibilizados ao público através MCI Segurança da Informação Página 12

13 da internet. As nuvens públicas pertencem e são operadas pelos fornecedores de serviços disponibilizando meios computacionais aos utilizadores. As aplicações de diversos utilizadores ficam misturadas nos sistemas de armazenamento, o que pode parecer ineficiente a princípio. Porém, se a implementação de uma nuvem pública considera questões fundamentais, como desempenho e segurança, a existência de outras aplicações sendo executadas na mesma nuvem permanece transparente tanto para os prestadores de serviços como para os utilizadores Nuvem privada Uma nuvem privada é aquela em que o ambiente de computação é operado exclusivamente para uma única organização. Pode ser gerido pela organização ou por um terceiro, e pode ser hospedado dentro do centro de dados da organização ou fora dela. Uma nuvem privada tem o potencial de dar à organização um maior controlo sobre a infraestrutura, recursos computacionais e consumidores do que pode uma nuvem pública Nuvem de comunidade Uma nuvem de comunidade situa-se entre a nuvem pública e privada no que diz respeito ao tipo de consumidores. É semelhante a uma nuvem privada mas a infraestrutura e recursos computacionais são exclusivos para duas ou mais organizações que têm a privacidade, segurança e outras regras em comum. Pode ser administrado por organizações ou por um terceiro e pode existir localmente ou remotamente Nuvem Híbrida As nuvens híbridas são mais complexas que os outros modelos de implementação uma vez que envolvem a composição de duas ou mais nuvens (privada, comunidade ou públicas). Cada membro continua a ser uma entidade única, mas é ligado aos outros através de tecnologias padrão ou proprietárias o que permite a portabilidade de aplicações e dados entre ambos. MCI Segurança da Informação Página 13

14 Embora a escolha do modelo de implementação tenha implicações para a segurança e privacidade de um sistema, o próprio modelo de implementação não dita o nível de segurança e privacidade das ofertas de nuvem específicos. Esse nível depende, principalmente, de garantias, tais como a solidez das políticas de segurança e privacidade, que são fornecidos ou alcançado de forma independente pela organização (por exemplo, através de testes de vulnerabilidade independente ou auditoria das operações). 3. Segurança e privacidade dos dados Uma das maiores preocupações relativas à implementação e utilização da Computação em nuvem refere-se a questões de segurança. Toda esta preocupação refere-se a questões de privacidade das informações que estão na nuvem, a existência de planos de contingência caso a infraestrutura da nuvem entre em colapso e o possível início de uma onda de ataques direcionadas à própria nuvem. Tendo em conta estas questões a empresa de consultoria Gartner apresenta uma lista dos sete principais riscos de segurança na utilização de Computação na Nuvem, esta lista de recomendações é apresentada de seguida Acesso privilegiado de utilizadores Dados sensíveis processados fora da empresa trazem, obrigatoriamente, um nível inerente de risco, isto porque serviços terciarizados fogem do controlo físico, lógico e pessoal, áreas que a tecnologia da informação exerce quando vinculadas ao ambiente da empresa. Para Gartner, o conselho a seguir é conseguir o máximo de informação sobre quem vai gerir os dados e solicitar aos fornecedores que passem informações específicas sobre quem terá privilégios de administrador no acesso aos dados, para assim, poder controlar esses acessos. MCI Segurança da Informação Página 14

15 3.2. Cumprimento de regulamentação As empresas são as responsáveis pela segurança e integridade dos seus próprios dados, mesmo quando essas informações são geridas por um fornecedor de serviço da nuvem. Os fornecedores destes serviços estão sujeitos a auditorias externas e a certificações de segurança. Aqueles que se recusem a submeter a esse tipo de escrutínio, estão a dar uma indicação aos seus clientes que o único uso para o qual se pode confiar neles, é apenas na partilha de dados não sensíveis Localização dos dados Quando uma organização usa a nuvem, o mais provável é não saber exatamente onde os seus dados estão armazenados. Na verdade, pode nem se saber qual é o país em que as informações estão guardadas. Os fornecedores deverão pois ser questionados sobre se estão dispostos a comprometerem-se a armazenar e a processar dados em jurisdições específicas, bem como se estão dispostos a contratualizar o compromisso de obedecer aos requerimentos de privacidade desse país, em nome do cliente que representam Segregação dos dados Os dados de uma empresa quando estão na nuvem, normalmente partilham um ambiente de armazenamento com dados de outros clientes. A criptografia dos dados é eficaz, mas não é a solução para tudo. A recomendação aqui é no sentido do fornecedor informar quais as medidas usadas para separar os dados e fornecer provas de como a criptografia é eficaz. De realçar que problemas com a criptografia, podem fazer com que os dados fiquem inutilizáveis e mesmo a criptografia normal pode comprometer a disponibilidade dos mesmos Recuperação dos dados Mesmo se a empresa não sabe onde estão os seus dados, um fornecedor de serviços da nuvem deve saber o que acontece com essas informações em caso de desastre. Qualquer oferta de serviços que não replique os MCI Segurança da Informação Página 15

16 dados e a infraestrutura de aplicações em diversas localidades, está vulnerável a uma falha completa. Deverá ser confirmado com o fornecedor se ele tem a capacidade de fazer uma completa restauração dos dados e quanto tempo poderá demorar Apoio à investigação A investigação de atividades ilegais pode ser impossível num ambiente de computação em nuvem. Os serviços na nuvem são especialmente difíceis de investigar, dado que o acesso e os dados dos vários utilizadores podem estar localizados em vários lugares, espalhados numa série de servidores que são alterados constantemente. Se não for possível conseguir um compromisso contratual que suporte formas específicas de investigação, junto com a evidência de que esse fornecedor já tenha feito isso com sucesso no passado, o mais provável é que em caso de existir um problema, os dados sejam impossíveis de recuperar Viabilidade a longo prazo Num mundo ideal, o provedor de computação em nuvem jamais irá falir ou ser adquirido por uma empresa maior. No entanto, as empresas precisam de garantir que os seus dados estarão disponíveis caso isso aconteça. Como tal, deverá ser questionada a forma de conseguir os dados de volta e se os mesmos estarão num formato que possa ser importado para uma outra aplicação que substitua a anterior. 4. ISO/IEC series Atualmente a informação assume um papel preponderante nas organizações, é um dos seus principais ativos e diariamente é criado um grande volume de informação que deve ser tratada de forma conveniente consoante o valor que representa para a organização. A gestão de segurança de informação tem como principal objetivo manter a qualidade dessas informações, esta qualidade depende da confidencialidade, MCI Segurança da Informação Página 16

17 integridade e disponibilidade das mesmas. Este princípio foi desenvolvido de modo a tornar-se o padrão de segurança da informação, o conjunto de normas ISSO/IEC A série ISO também conhecida como família de normas ISSO constituí um padrão de certificação de sistemas de gestão publicada em conjunto pela ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission ) que se aplica na implementação de Sistemas de Gestão de Segurança da Informação (SGSI), através da inclusão de uma política de segurança, de controlos adequados e da gestão de riscos. A série de normas é aplicável a todo o tipo de organizações desde o setor público ao privado e disponibiliza as melhores práticas e recomendações sobre a gestão da informação, um conjunto de princípios e conceitos que permitem uma melhor gestão dos seus ativos de informação. Todas as organizações são incentivadas a avaliar os seus riscos de segurança da informação e se for o caso implementar controlos de segurança apropriados de acordo com as suas necessidades ISO / ISSO A ISO está a desenvolver novas normas de segurança específicas para os serviços em nuvem, que se espera venham a ser publicadas em Este é mais um passo positivo no sentido de assegurar o cumprimento dos princípios da Lei de Protecção de Dados e aumentar ainda mais a confiança do cliente nas tecnologias de computação em nuvem. As novas normas são baseadas nos padrões da ISSO e A ISO fornece uma estrutura de controlos de segurança que podem ser adotadas e aplicadas numa organização de qualquer tipo para criar um quadro de normas de segurança. A ISO prevê a aplicação prática da ISO numa organização, estes dois padrões são normalmente aplicáveis no funcionamento das tecnologias da informação e MCI Segurança da Informação Página 17

18 comunicação. Os dois novos padrões em desenvolvimento aplicam a norma ISSO especificamente para a computação em nuvem. A ISO trata da aplicação da especificação ISO para a utilização de serviços na nuvem e com a prestação de serviços na nuvem. Esta ISO irá recomendar controlos de segurança da informação específicos na nuvem para complementar os recomendados pela ISO Por sua vez a ISO trata da aplicação da ISO para a manipulação de informações pessoalmente identificáveis (PII) e servirá como um código de conduta para a proteção PII em nuvens públicas. 5. Ataques e ameaças à segurança Na computação em nuvem, um prestador de serviços desempenha um papel crítico na forma como lida com todos os tipos de ameaças e ataques que ele ou os seus clientes podem vir a enfrentar. A maioria dos ataques que as organizações têm enfrentado surge como resultado de uma vulnerabilidade que as organizações têm nos seus sistemas. Além disso, a computação em nuvem herda uma série de ataques de segurança de sistemas distribuídos convencionais, o que tem um impacto enorme nos seus serviços Cloud malware injection attack Está no topo da lista de ataques, o ataque de malware consiste na manipulação de uma cópia do domínio da vítima na nuvem. Um invasor pode ter acesso a dados de utilizadores através deste ataque, explora recursos de acesso privilegiados para atacar esse domínio, este tipo de ataque incluí a perda de credenciais, de dados e o aceso não autorizado a recursos da nuvem Metadata spoofing attack Um serviço web fornece documentos de metadados que armazenam todas as informações sobre esse serviço da Web, como formato de MCI Segurança da Informação Página 18

19 mensagem, requisitos de segurança, local de rede, etc, aos clientes do serviço. Este ataque visa mascarar (spoof) descrições de metadados de um serviço web, para assim, modificar os pontos finais da rede e as referências às políticas de segurança 5.3. Account and service e hijacking Esta ameaça pode acontecer quando um atacante consegue hackear um web site hospedado num fornecedor de nuvem e, em seguida, secretamente instalar seu software e controlar a infra-estrutura do fornecedor de nuvem 5.4. Unknown risk profile Esta ameaça pode surgir como resultado da preocupação específica em quais os recursos e funcionalidade que podem ser adquiridos ao adotar serviços da nuvem sem considerar como os sistemas de segurança são desenvolvidos, quem acede aos dados ou o que acontecerá se forem divulgados por algum motivo 5.5. Malicious insiders Esta ameaça pode ser causada pela falta de transparência no fornecedor do serviço nuvem e como o acesso aos bens virtuais serão concedidos aos empregados. Esta ameaça pode ser mais complicada, devido à falta de visibilidade de como as funções e responsabilidades dos funcionários são ponderadas quando os empregos ou o seu comportamento é alterado. 6. Outros aspetos da segurança 6.1. Administrar Administrar implica o controlo e fiscalização por parte da organização sobre as políticas, procedimentos e padrões para o desenvolvimento de aplicações e de aquisição de serviços de tecnologia da informação, bem MCI Segurança da Informação Página 19

20 como o design, implementação, teste, uso e monitoramento dos serviços implantados ou ocupadas. Com a ampla disponibilidade de serviços de computação em nuvem, a falta de controlo organizacional sobre os empregados que exercem tais serviços de forma arbitrária pode ser uma fonte de problemas. Apesar da computação em nuvem ser simplista na aquisição da plataforma, isto não deve descurar a necessidade de administrar, em vez disso tem o efeito oposto e amplifica essa necessidade Regulamentação Regulamentação refere-se a responsabilidade de uma organização para operar de acordo com as leis estabelecidas, regulamentos, normas e especificações. Existem vários tipos de leis e regulamentos de segurança e privacidade dentro de diferentes países, fazendo da regulamentação uma questão potencialmente complicada para a computação em nuvem Leis e Regulamentos Privacy Act 1974 O Privacy Act gere a recolha, manutenção, utilização e divulgação de informações sobre indivíduos que são mantidos em sistemas de registros por agências federais. Proíbe a divulgação de informações a partir de um sistema de registros sem o consentimento por escrito do indivíduo em questão, a menos que a divulgação esteja em conformidade com uma das doze exceções legais, exigências de manutenção de registros da agência. USAPatriot Act É acrónimo de Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism, este decreto foi assinado depois do 11 de Setembro de 2001 e permite entre outras medidas, que órgãos de segurança e de inteligência dos Estados Unidos interceptem ligações telefónicas e s de organizações e MCI Segurança da Informação Página 20

21 pessoas supostamente envolvidas com o terrorismo, sem necessidade de qualquer autorização da justiça sejam elas estrangeiras ou americanas Localização dos dados O uso de um data center local permite que uma organização estruture o seu ambiente de computação e saber com detalhe onde os dados são armazenados e as garantias da sua proteção. Em contraste, uma característica de muitos serviços de computação em nuvem é que os dados são armazenados de forma redundante em vários locais físicos e informações detalhadas sobre a localização dos dados de uma organização não está disponível ou não é divulgada ao consumidor do serviço. Esta situação faz com que seja difícil de determinar se os requisitos de conformidade legais e regulamentares estão a ser cumpridos. Quando os dados atravessarem as fronteiras, o regime legal de privacidade pode ser ambíguo e levantar uma série de preocupações. Consequentemente, as restrições sobre o fluxo transfronteiriço de dados sensíveis, bem como os requisitos relativos à protecção conferida aos dados, tornaram-se objecto de leis e regulamentos nacionais de segurança e privacidade Confiança Sob o paradigma de computação em nuvem, uma organização abandona o controlo direto sobre muitos aspectos de segurança e privacidade dos seus dados, e ao fazê-lo, confere um elevado nível de confiança para o fornecedor do serviço Acesso Privilegiado Os dados processados ou armazenados fora dos limites físicos de uma organização, e da sua segurança trazem com ela um nível inerente de risco. Do acesso privilegiado e sem controlo decorrem incidentes que podem envolver vários tipos de fraude, sabotagem dos recursos de informação e roubo de informações sensíveis. MCI Segurança da Informação Página 21

22 Propriedade dos dados Os direitos de propriedade sobre os dados devem ser exigidos no contrato de serviço com o fornecedor para assim permitir uma base de confiança e privacidade sobre esses dados. A contínua controvérsia sobre a privacidade e propriedade de dados e direitos nos utilizadores de redes sociais ilustra o impacto que termos ambíguos podem ter sobre as partes envolvidas. Idealmente, o contrato com o fornecedor do serviço deve indicar claramente que a organização mantém a propriedade exclusiva sobre todos os seus dados, que o fornecedor de nuvem não adquire direitos ou licenças, incluindo os direitos de propriedade intelectual ou licenças, para usar os dados da organização para seus próprios fins Monitorização A monitorização contínua da segurança da informação exige uma manutenção contínua e sensibilização sobre os controlos de segurança, vulnerabilidades e ameaças para depois apoiar as decisões de gestão de risco. A recolha e análise dos dados disponíveis sobre o estado do sistema devem ser feitas regularmente e sempre que necessário pela organização para gerir os riscos de segurança e privacidade. A transição para serviços de nuvem pública implica uma transferência de responsabilidade para o fornecedor de nuvem. Para cumprimento das obrigações de monitorização contínua, a organização é dependente do fornecedor de nuvem, cuja cooperação é essencial, uma vez que os aspectos da segurança são da sua responsabilidade Dados Auxiliares Enquanto o foco da atenção na computação em nuvem é principalmente sobre a proteção de dados os fornecedores serviços de nuvem também possuem detalhes significativos sobre as contas dos utilizadores. Estes dados podem ficar comprometidos e utilizados para ataques subsequentes. MCI Segurança da Informação Página 22

23 Gestão de Risco A gestão de riscos é o processo de identificação e avaliação de risco para as operações da organização, os ativos, ou indivíduos resultantes do funcionamento de um sistema de informação, e tomar as medidas necessárias para reduzi-la a um nível aceitável. O processo inclui a realização de uma avaliação de risco, a implementação de uma estratégia de mitigação de risco, e o emprego de técnicas e procedimentos para uma monitorização contínua do estado das informações de segurança. Sistemas baseados na nuvem pública, tal como com os sistemas tradicionais de informação, exigem que os riscos sejam geridos ao longo do ciclo de vida do sistema Arquitetura A arquitetura do software e hardware utilizados para fornecer serviços na nuvem podem variar significativamente entre os fornecedores de nuvem pública para qualquer modelo de serviço específico. A localização física da infra-estrutura é determinada pelo fornecedor de nuvem, como é o desenho e implementação, o conjunto de recursos, escalabilidade e outra lógica necessária no quadro de apoio. É importante compreender as tecnologias do fornecedor de nuvem e as implicações que os controlos técnicos envolvidos têm sobre a segurança e privacidade do sistema ao longo do seu ciclo de vida. A arquitetura do sistema subjacente de uma nuvem pode ser decomposto e mapeado numa estrutura de controlos de segurança e privacidade (superfície de ataque, protecção de rede virtual, máquinas virtuais, protecção do lado do cliente) que podem ser usados para avaliar e gerir o risco Gestão de Acesso e Identidade Dados sensíveis e privacidade de informações tornaram-se cada vez mais uma área de preocupação para as organizações. A autenticação e identidade implica a utilização, manutenção e proteção de PII (Personally Identifiable Information)recolhidas aos utilizadores. Impedir o acesso não MCI Segurança da Informação Página 23

Cloud Computing: Quando a nuvem pode ser um risco para o negócio. Marco Lima aka Mago Enterprise Technology Specialist

Cloud Computing: Quando a nuvem pode ser um risco para o negócio. Marco Lima aka Mago Enterprise Technology Specialist Cloud Computing: Quando a nuvem pode ser um risco para o negócio Marco Lima aka Mago Enterprise Technology Specialist 05 De onde vem o termo nuvem? Business Servidores SAN WAN SAN LANs Roteador NAS Switch

Leia mais

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7

14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 14/IN01/DSIC/GSIPR 00 30/JAN/12 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação ORIGEM e Comunicações Departamento de Segurança da Informação e

Leia mais

EXIN Cloud Computing Fundamentos

EXIN Cloud Computing Fundamentos Exame Simulado EXIN Cloud Computing Fundamentos Edição Maio 2013 Copyright 2013 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

A computação na nuvem é um novo modelo de computação que permite ao usuário final acessar uma grande quantidade de aplicações e serviços em qualquer

A computação na nuvem é um novo modelo de computação que permite ao usuário final acessar uma grande quantidade de aplicações e serviços em qualquer A computação na nuvem é um novo modelo de computação que permite ao usuário final acessar uma grande quantidade de aplicações e serviços em qualquer lugar e independente da plataforma, bastando para isso

Leia mais

Imagem Gustavo Santos. Observe Bombinhas SC.

Imagem Gustavo Santos. Observe Bombinhas SC. Imagem Gustavo Santos. Observe Bombinhas SC. 1 2 1. Uma nova modalidade de prestação de serviços computacionais está em uso desde que a computação em nuvem começou a ser idealizada. As empresas norte-

Leia mais

Planejamento Estratégico de TI. Felipe Pontes felipe.pontes@gmail.com

Planejamento Estratégico de TI. Felipe Pontes felipe.pontes@gmail.com Planejamento Estratégico de TI Felipe Pontes felipe.pontes@gmail.com VPN Virtual Private Network Permite acesso aos recursos computacionais da empresa via Internet de forma segura Conexão criptografada

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA

Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA 2011 Relatório sobre Segurança da Informação nas Empresas RESULTADOS DA AMÉRICA LATINA SUMÁRIO Introdução... 4 Metodologia... 6 Resultado 1: Cibersegurança é importante para os negócios... 8 Resultado

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2

Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Aula 1 Conceitos da Computação em Nuvem A computação em nuvem ou cloud computing

Leia mais

COMPUTAÇÃO EM NUVEM: UM FUTURO PRESENTE

COMPUTAÇÃO EM NUVEM: UM FUTURO PRESENTE COMPUTAÇÃO EM NUVEM: UM FUTURO PRESENTE Andressa T.R. Fenilli 1, Késsia R.C.Marchi 1 1 Universidade Paranaense (UNIPAR) Paranavaí PR Brasil andressa.trf@gmail.com, kessia@unipar.br Resumo. Computação em

Leia mais

Computação em Nuvem. Alunos: Allan e Clayton

Computação em Nuvem. Alunos: Allan e Clayton Computação em Nuvem Alunos: Allan e Clayton 1 - Introdução 2 - Como Funciona? 3 - Sistemas Operacionais na Nuvem 4 - Empresas e a Computação em Nuvem 5 - Segurança da Informação na Nuvem 6 - Dicas de Segurança

Leia mais

CLOUD COMPUTING: COMPARANDO COMO O MUNDO ONLINE PODE SUBSTITUIR OS SERVIÇOS TRADICIONAIS

CLOUD COMPUTING: COMPARANDO COMO O MUNDO ONLINE PODE SUBSTITUIR OS SERVIÇOS TRADICIONAIS CLOUD COMPUTING: COMPARANDO COMO O MUNDO ONLINE PODE SUBSTITUIR OS SERVIÇOS TRADICIONAIS João Antônio Bezerra Rodrigues¹, Claudete Werner¹, Gabriel Costa Silva² ¹Universidade Paranaense (Unipar) Paranavaí

Leia mais

CONCEITOS E APLICAÇÕES DA COMPUTAÇÃO EM NUVEM

CONCEITOS E APLICAÇÕES DA COMPUTAÇÃO EM NUVEM CONCEITOS E APLICAÇÕES DA COMPUTAÇÃO EM NUVEM Rogério Schueroff Vandresen¹, Willian Barbosa Magalhães¹ ¹Universidade Paranaense(UNIPAR) Paranavaí-PR-Brasil rogeriovandresen@gmail.com, wmagalhaes@unipar.br

Leia mais

Gerenciamento e Interoperabilidade de Redes

Gerenciamento e Interoperabilidade de Redes EN-3610 Gerenciamento e Interoperabilidade de Redes Computação em Nuvem Introdução Centralização do processamento Surgimento da Teleinformática Década de 60 Execução de programas localmente Computadores

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Segurança nas Nuvens Onde Coloco Meus Dados?

Segurança nas Nuvens Onde Coloco Meus Dados? Segurança nas Nuvens Onde Coloco Meus Dados? Expectativa de 20 minutos Uma abordagem prática e sensata de usar os Serviços em Nuvem de forma segura. Segurança nas Nuvens O que é? Quais as Vantagens das

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Faculdade Integrada do Ceará FIC Graduação em Redes de Computadores

Faculdade Integrada do Ceará FIC Graduação em Redes de Computadores Faculdade Integrada do Ceará FIC Graduação em Redes de Computadores Disciplina - Sistemas Distribuídos Prof. Andrey Halysson Lima Barbosa Aula 12 Computação em Nuvem Sumário Introdução Arquitetura Provedores

Leia mais

Computação em Nuvem: Riscos e Vulnerabilidades

Computação em Nuvem: Riscos e Vulnerabilidades Computação em Nuvem: Riscos e Vulnerabilidades Bruno Sanchez Lombardero Faculdade Impacta de Tecnologia São Paulo Brasil bruno.lombardero@gmail.com Resumo: Computação em nuvem é um assunto que vem surgindo

Leia mais

Armazenamento em nuvem é feito em serviços que poderão ser acessados de diferentes lugares, a qualquer momento e utilizando diferentes dispositivos,

Armazenamento em nuvem é feito em serviços que poderão ser acessados de diferentes lugares, a qualquer momento e utilizando diferentes dispositivos, Nuvem cloud Armazenamento em nuvem é feito em serviços que poderão ser acessados de diferentes lugares, a qualquer momento e utilizando diferentes dispositivos, não havendo necessidade de armazenamento

Leia mais

TÍTULO: SEGURANÇA DA INFORMAÇÃO E ESTRUTURA DA SOLUÇÃO DA COMPUTAÇÃO EM NUVEM IMPLANTADA EM UMA EMPRESA DO ESTADO DE SÃO PAULO

TÍTULO: SEGURANÇA DA INFORMAÇÃO E ESTRUTURA DA SOLUÇÃO DA COMPUTAÇÃO EM NUVEM IMPLANTADA EM UMA EMPRESA DO ESTADO DE SÃO PAULO Anais do Conic-Semesp. Volume 1, 2013 - Faculdade Anhanguera de Campinas - Unidade 3. ISSN 2357-8904 TÍTULO: SEGURANÇA DA INFORMAÇÃO E ESTRUTURA DA SOLUÇÃO DA COMPUTAÇÃO EM NUVEM IMPLANTADA EM UMA EMPRESA

Leia mais

Câmara dos Deputados CCTCI: Comissão de Ciência e Tecnologia, Comunicação e Informática

Câmara dos Deputados CCTCI: Comissão de Ciência e Tecnologia, Comunicação e Informática Câmara dos Deputados CCTCI: Comissão de Ciência e Tecnologia, Comunicação e Informática A relevância tecnológica, econômica e estratégia da Computação em Nuvem (Cloud Computing) para a competitividade

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

Perguntas para avaliar a efetividade do processo de segurança

Perguntas para avaliar a efetividade do processo de segurança Perguntas para avaliar a efetividade do processo de segurança Questionário básico de Segurança da Informação com o objetivo de ser um primeiro instrumento para você avaliar, em nível gerencial, a efetividade

Leia mais

CUSTO TOTAL DE PROPRIEDADE DO PANDA MANAGED OFFICE PROTECTION. 1. Resumo Executivo

CUSTO TOTAL DE PROPRIEDADE DO PANDA MANAGED OFFICE PROTECTION. 1. Resumo Executivo 1. Resumo Executivo As empresas de todas as dimensões estão cada vez mais dependentes dos seus sistemas de TI para fazerem o seu trabalho. Consequentemente, são também mais sensíveis às vulnerabilidades

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

UMA VISÃO GERAL DA COMPUTAÇÃO EM NUVEM

UMA VISÃO GERAL DA COMPUTAÇÃO EM NUVEM UMA VISÃO GERAL DA COMPUTAÇÃO EM NUVEM Ederson dos Santos Cordeiro de Oliveira 1, Tiago Piperno Bonetti 1, Ricardo Germano 1 ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil edersonlikers@gmail.com,

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO APRESENTAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Este documento foi elaborado pelo setor de Tecnologia da Informação e Comunicação (CSGI), criada com as seguintes atribuições: Assessorar a Direção da SESAU

Leia mais

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas:

Os requisitos de SEGURANÇA DA INFORMAÇÃO dentro de uma organização passaram por duas mudanças importantes nas últimas décadas: $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR 6(*85$1d$($8',725,$'(6,67(0$6 ³6HJXUDQoDGH,QIRUPDo}HV &\QDUD&DUYDOKR

Leia mais

Segurança da Informação

Segurança da Informação INF 108 Segurança da Informação Computação em Nuvem Prof. João Henrique Kleinschmidt Introdução Centralização do processamento Surgimento da Teleinformática Década de 60 Execução de programas localmente

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade...

Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Continuidade de Negócio de TI O Sucesso da sua empresa também depende disso. Qual é sua necessidade... Reduzir custo de TI; Identificar lentidões no ambiente de TI Identificar problemas de performance

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

III. Norma Geral de Segurança da Informação para Uso da Internet

III. Norma Geral de Segurança da Informação para Uso da Internet O B J E CT I V O Estabelecer critérios para acesso à Internet utilizando recursos do Projecto Portal do Governo de Angola. Orientar os Utilizadores sobre as competências, o uso e responsabilidades associadas

Leia mais

Relatório de Progresso

Relatório de Progresso Luís Filipe Félix Martins Relatório de Progresso Mestrado Integrado em Engenharia Electrotécnica e de Computadores Preparação para a Dissertação Índice Introdução... 2 Motivação... 2 Cloud Computing (Computação

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Cloud Computing. Andrêza Leite. andreza.lba@gmail.com

Cloud Computing. Andrêza Leite. andreza.lba@gmail.com Cloud Computing Andrêza Leite andreza.lba@gmail.com Roteiro O que é cloud computing? Classificação O que está 'por traz' da cloud? Exemplos Como montar a sua? O que é cloud computing? Cloud Computing O

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras?

Conscientização sobre a Segurança da Informação. Suas informações pessoais não tem preço, elas estão seguras? Conscientização sobre a Segurança da Informação Suas informações pessoais não tem preço, elas estão seguras? PROFISSIONAIS DE O que é Segurança da Informação? A Segurança da Informação está relacionada

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço

Mestrado em Segurança da Informação e Direito no Ciberespaço Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Supervisão das Politicas de Segurança Computação em nuvem Fernando Correia Capitão-de-fragata

Leia mais

Arquiteturas Paralelas e Distribuídas

Arquiteturas Paralelas e Distribuídas Arquiteturas Paralelas e Distribuídas TSI-6AN Apresentado por: Cleber Schroeder Fonseca 1 CLOUD COMPUTING 2 Cloud Computing A expressão cloud computing (computação nas nuvens) começou a ganhar força em

Leia mais

Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2

Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Aula 2 Computação em Nuvem Desafios e Oportunidades A Computação em Nuvem

Leia mais

Segurança a da Informação Aula 02. Aula 02

Segurança a da Informação Aula 02. Aula 02 Segurança a da Informação 26/9/2004 Prof. Rossoni, Farias 1 Segurança a da Informação é: Cultura, Cidadania, Desenvolvimento pessoal e social, Competitividade, Influência e poder, Imprescindível para a

Leia mais

NUVEM HÍBRIDA: DEIXE AS PREOCUPAÇÕES COM SEGURANÇA NO PASSADO.

NUVEM HÍBRIDA: DEIXE AS PREOCUPAÇÕES COM SEGURANÇA NO PASSADO. NUVEM HÍBRIDA: DEIXE AS PREOCUPAÇÕES COM SEGURANÇA NO PASSADO. Muitas empresas brasileiras estão interessadas nas vantagens proporcionadas pela computação em nuvem, como flexibilidade, agilidade e escalabilidade,

Leia mais

Secretaria de Gestão Pública de São Paulo. Guia para Contratação de Serviços em Nuvem

Secretaria de Gestão Pública de São Paulo. Guia para Contratação de Serviços em Nuvem Secretaria de Gestão Pública de São Paulo Guia para Contratação de Serviços em Nuvem Agenda Guia para Contratação de Serviços em Nuvem Conceito de Nuvem Questões Legais em Contratos Uso do Guia Análise

Leia mais

GIS Cloud na Prática. Fabiano Cucolo 26/08/2015

GIS Cloud na Prática. Fabiano Cucolo 26/08/2015 GIS Cloud na Prática Fabiano Cucolo 26/08/2015 Um pouco sobre o palestrante Fabiano Cucolo fabiano@soloverdi.com.br 11-98266-0244 (WhatsApp) Consultor de Geotecnologias Soloverdi Engenharia www.soloverdi.com.br.

Leia mais

Virtualização e Consolidação de Centro de Dados O Caso da UTAD António Costa - acosta@utad.pt

Virtualização e Consolidação de Centro de Dados O Caso da UTAD António Costa - acosta@utad.pt Universidade de Trás-os-Montes e Alto Douro Virtualização e Consolidação de Centro de Dados O Caso da UTAD António Costa - acosta@utad.pt Agenda A UTAD Virtualização Uma definição Introdução e abrangência

Leia mais

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança.

A ISO 17799 esta dividida em 12 seções da seguinte forma: 1. Objetivo da norma. 2. Termos e definições: 3. Poĺıtica de segurança. A 17799 se refere a mecanismos organizacionais para garantir a segurança da informação. Não é uma norma que define aspectos técnicos de nenhuma forma, nem define as características de segurança de sistemas,

Leia mais

FAZER MAIS COM MENOS Maio 2012 White Paper

FAZER MAIS COM MENOS Maio 2012 White Paper CLOUD COMPUTING FAZER MAIS COM MENOS Maio 2012 CLOUD COMPUTING FAZER MAIS COM MENOS Cloud Computing é a denominação adotada para a mais recente arquitetura de sistemas informáticos. Cada vez mais empresas

Leia mais

TRIBUTAÇÃO NAS NUVENS Uma Regulação em Debate

TRIBUTAÇÃO NAS NUVENS Uma Regulação em Debate TRIBUTAÇÃO NAS NUVENS Uma Regulação em Debate Workshop Divisão Tributária 18.04.2013 CIESP - CAMPINAS PROGRAMA 1. BREVE INTRODUÇÃO À COMPUTAÇÃO EM NUVEM 2. PRINCIPAIS OPERAÇÕES E ASPECTOS TRIBUTÁRIOS POLÊMICOS

Leia mais

ANÁLISE COMPARATIVA DE API S PARA PORTABILIDADE EM NUVEM

ANÁLISE COMPARATIVA DE API S PARA PORTABILIDADE EM NUVEM ANÁLISE COMPARATIVA DE API S PARA PORTABILIDADE EM NUVEM Ana Paula Cristina Ehlke Carrion 1, Tiago Volpato 1, Claudete Werner 1, Ricardo de Melo Germano 1, Gabriel Costa Silva 2 1 Universidade Paranaense

Leia mais

Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem. Considerações quanto à Segurança na Computação na Nuvem

Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem. Considerações quanto à Segurança na Computação na Nuvem Capítulo 17 Considerações quanto à Segurança na Computação na Nuvem 1 C A P Í T U L O 1 7 Considerações quanto à Segurança na Computação na Nuvem 2 Certificação Security+ Da Prática Para o Exame SY0-301

Leia mais

Hospedagem Virtualizada

Hospedagem Virtualizada Conheça também Desenvolvimento de sistemas Soluções de Segurança Soluções com o DNA da Administração Pública Há 43 anos no mercado, a Prodesp tem um profundo conhecimento da administração pública e também

Leia mais

like a Boss mandic Um GUIA para você escolher bem, e se tornar uma Autoridade em Serviços de Compartilhamento de Arquivos na Nuvem.

like a Boss mandic Um GUIA para você escolher bem, e se tornar uma Autoridade em Serviços de Compartilhamento de Arquivos na Nuvem. BOX like a Boss Um GUIA para você escolher bem, e se tornar uma Autoridade em Serviços de Compartilhamento de Arquivos na Nuvem. mandic CLOUD SOLUTIONS Mais e mais empresas buscam soluções para dar suporte

Leia mais

PROJETO RUMOS DA INDÚSTRIA PAULISTA

PROJETO RUMOS DA INDÚSTRIA PAULISTA PROJETO RUMOS DA INDÚSTRIA PAULISTA SEGURANÇA CIBERNÉTICA Fevereiro/2015 SOBRE A PESQUISA Esta pesquisa tem como objetivo entender o nível de maturidade em que as indústrias paulistas se encontram em relação

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Rumo à Integração de Segurança. IDC FutureScape IT Security Products and Services 2015 Predictions

Rumo à Integração de Segurança. IDC FutureScape IT Security Products and Services 2015 Predictions Rumo à Integração de IDC FutureScape IT Security Products and Services 0 Predictions ª Plataforma Processo de Decisão Evolução da ª Plataforma focalizada no risco do acesso a servidores centralizados e

Leia mais

Requisitos de controlo de fornecedor externo

Requisitos de controlo de fornecedor externo Requisitos de controlo de fornecedor externo Cibersegurança para fornecedores classificados como baixo risco cibernético Requisito de 1. Proteção de ativos e configuração de sistemas Os dados do Barclays

Leia mais

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado

Asser Rio Claro. Descubra como funciona um antivírus. Como o antivírus protege o seu computador. A importância de um antivírus atualizado Administração Informática Asser Rio Claro Descubra como funciona um antivírus Responsável por garantir a segurança do seu computador, o antivírus é um programa de proteção que bloqueia a entrada de invasores

Leia mais

SISTEMAS DISTRIBUÍDOS

SISTEMAS DISTRIBUÍDOS SISTEMAS DISTRIBUÍDOS Cluster, Grid e computação em nuvem Slide 8 Nielsen C. Damasceno Introdução Inicialmente, os ambientes distribuídos eram formados através de um cluster. Com o avanço das tecnologias

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Universidade Agostinho Neto Faculdade de Ciências Departamento de Ciências da Computação

Universidade Agostinho Neto Faculdade de Ciências Departamento de Ciências da Computação Universidade Agostinho Neto Faculdade de Ciências Departamento de Ciências da Computação Nº 96080 - Adário de Assunção Fonseca Muatelembe Nº 96118 - Castelo Pedro dos Santos Nº 96170 - Feliciano José Pascoal

Leia mais

ERP é um sistema de gestão empresarial que gerencia as informações relativas aos processos operacionais, administrativos e gerenciais das empresas.

ERP é um sistema de gestão empresarial que gerencia as informações relativas aos processos operacionais, administrativos e gerenciais das empresas. Introdução Sistemas de Informação é a expressão utilizada para descrever um Sistema seja ele automatizado (que pode ser denominado como Sistema Informacional Computadorizado), ou seja manual, que abrange

Leia mais

O que é Cloud Computing?

O que é Cloud Computing? O que é Cloud Computing? Referência The Economics Of The Cloud, Microsoft, Nov. 2010 Virtualização, Brasport, Manoel Veras, Fev. 2011. 2 Arquitetura de TI A arquitetura de TI é um mapa ou plano de alto

Leia mais

CLOUD. tendências CLOUD. entendendo e contratando assertivamente. Agosto/2012 INFORMATIVO TECNOLÓGICO DA PRODESP EDIÇÃO 02

CLOUD. tendências CLOUD. entendendo e contratando assertivamente. Agosto/2012 INFORMATIVO TECNOLÓGICO DA PRODESP EDIÇÃO 02 tendências CLOUD EDIÇÃO 02 Agosto/2012 CLOUD O conceito de nuvem é nebuloso Como uma organização pode contratar assertivamente Serviços em Cloud? Quais são os principais riscos de um contrato de Cloud

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

COMPUTAÇÃO EM NUVEM. Michele Marques Costa 1,2, Julio César2 ¹Universidade paranaense (Unipar)

COMPUTAÇÃO EM NUVEM. Michele Marques Costa 1,2, Julio César2 ¹Universidade paranaense (Unipar) COMPUTAÇÃO EM NUVEM Michele Marques Costa 1,2, Julio César2 ¹Universidade paranaense (Unipar) Paranavaí PR Brasil Mih_nai@hotmail.com juliocesar@unipar.br Resumo. Este artigo contém a definição e citação

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO CEAP CENTRO DE ENSINO SUPERIOR DO AMAPÁ CURSO DE ADMINISTRAÇÃO TECNOLOGIA DA INFORMAÇÃO Prof Célio Conrado E-mail: celio.conrado@gmail.com Site: www.celioconrado.com Conceito Por que usar? Como funciona

Leia mais

Proteção de ambientes Citrix XenServer com Arcserve

Proteção de ambientes Citrix XenServer com Arcserve Proteção de ambientes Citrix XenServer com Arcserve Desafios do cliente Hoje em dia, você enfrenta desafios como acordos de nível de serviço exigentes e limitações de equipe e orçamento. Você procura maneiras

Leia mais

Paulo César Especialista de Soluções da ATM informática paulo.cesar@atminformatica.pt

Paulo César Especialista de Soluções da ATM informática paulo.cesar@atminformatica.pt Desktop Virtual Paulo César Especialista de Soluções da ATM informática paulo.cesar@atminformatica.pt Tendo em conta que a Virtualização será um dos principais alvos de investimento para o ano 2009 (dados

Leia mais

Como usar a nuvem para continuidade dos negócios e recuperação de desastres

Como usar a nuvem para continuidade dos negócios e recuperação de desastres Como usar a nuvem para continuidade dos negócios e recuperação de desastres Há diversos motivos para as empresas de hoje enxergarem o valor de um serviço de nuvem, seja uma nuvem privada oferecida por

Leia mais

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG

Prof. Walter Cunha. Segurança da Informação. Não-Escopo. Escopo. Prof. Walter Cunha Rede LFG Segurança da Informação Prof. Walter Cunha Rede LFG Prof. Walter Cunha Contatos: E-mail: falecomigo@waltercunha.com timasters@yahoogoups.com Atividades: http://www.waltercunha.com/blog/ http://twitter.com/timasters/

Leia mais

ARTIGO CIENTÍFICO DE CONCLUSÃO DE CURSO UM ESTUDO SOBRE OS BENEFÍCIOS E OS RISCOS DE SEGURANÇA NA UTILIZAÇÃO DE CLOUD COMPUTING

ARTIGO CIENTÍFICO DE CONCLUSÃO DE CURSO UM ESTUDO SOBRE OS BENEFÍCIOS E OS RISCOS DE SEGURANÇA NA UTILIZAÇÃO DE CLOUD COMPUTING ARTIGO CIENTÍFICO DE CONCLUSÃO DE CURSO 1 UM ESTUDO SOBRE OS BENEFÍCIOS E OS RISCOS DE SEGURANÇA NA UTILIZAÇÃO DE CLOUD COMPUTING Aluno: Fabrício Rodrigues Henriques da Silva Matrícula: 05201186 Professor:

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

10 Dicas para uma implantação

10 Dicas para uma implantação 10 Dicas para uma implantação de Cloud Computing bem-sucedida. Um guia simples para quem está avaliando mudar para A Computação em Nuvem. Confira 10 dicas de como adotar a Cloud Computing com sucesso.

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação

Tópico 28 e 29 Política de Segurança da Informação. Política de Segurança da Informação Tópico 28 e 29 Política de Segurança da Informação Política de segurança da Informação. Metodologia de levantamento da política de segurança. Objetivos e responsabilidades sobre a implementação. Métodos

Leia mais

Segurança do governo eletrônico

Segurança do governo eletrônico 1. Introdução O governo está empenhado em fornecer programas e serviços de modo que atenda às necessidades de empresas e cidadãos que necessitam desses recursos. Para aumentar a demanda desses serviços,

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

Computação em Nuvem. Henrique Ruschel, Mariana Susan Zanotto, Wélton Costa da Mota. Especialização em Redes e Segurança de Sistemas 2008/2

Computação em Nuvem. Henrique Ruschel, Mariana Susan Zanotto, Wélton Costa da Mota. Especialização em Redes e Segurança de Sistemas 2008/2 Computação em Nuvem Henrique Ruschel, Mariana Susan Zanotto, Wélton Costa da Mota Especialização em Redes e Segurança de Sistemas 2008/2 Pontifícia Universidade Católica do Paraná Curitiba, Abril de 2010

Leia mais

ADAPTANDO UMA APLICAÇÃO PARA CLOUD: UMA ANÁLISE ENTRE OS ESFORÇOS UTILIZADOS

ADAPTANDO UMA APLICAÇÃO PARA CLOUD: UMA ANÁLISE ENTRE OS ESFORÇOS UTILIZADOS ADAPTANDO UMA APLICAÇÃO PARA CLOUD: UMA ANÁLISE ENTRE OS ESFORÇOS UTILIZADOS Cleverson Nascimento de Mello¹, Claudete Werner¹, Gabriel Costa Silva² ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil

Leia mais

Infraestrutura: devo usar a nuvem? Prof. Artur Clayton Jovanelli

Infraestrutura: devo usar a nuvem? Prof. Artur Clayton Jovanelli Infraestrutura: devo usar a nuvem? Prof. Artur Clayton Jovanelli Conceitos principais Nuvem Local Dados (informações) Profissional Pessoal Procedimento padrão (modelo) Produzir Armazenar Como era... Como

Leia mais

Esta Política de Segurança da Informação se aplica no âmbito do IFBA.

Esta Política de Segurança da Informação se aplica no âmbito do IFBA. 00 dd/mm/aaaa 1/11 ORIGEM Instituto Federal da Bahia Comitê de Tecnologia da Informação CAMPO DE APLICAÇÃO Esta Política de Segurança da Informação se aplica no âmbito do IFBA. SUMÁRIO 1. Escopo 2. Conceitos

Leia mais

GESTÃO DE PESSOAS & RECURSOS HUMANOS IPEA, 21 de MAIO de 2014 - EXTRA Nº 05 INSTITUTO DE PESQUISA ECONÔMICA APLICADA

GESTÃO DE PESSOAS & RECURSOS HUMANOS IPEA, 21 de MAIO de 2014 - EXTRA Nº 05 INSTITUTO DE PESQUISA ECONÔMICA APLICADA Boletim GESTÃO DE PESSOAS & RECURSOS HUMANOS IPEA, 21 de MAIO de 2014 - EXTRA Nº 05 INSTITUTO DE PESQUISA ECONÔMICA APLICADA PORTARIA nº 078, DE 20 DE MAIO DE 2014. Institui a sala de pesquisa em dados

Leia mais

Segurança em Sistemas Informáticos

Segurança em Sistemas Informáticos Segurança em Sistemas Informáticos Politicas de Segurança Quando é que se torna necessário uma política de segurança? Quando existe um Bem Num espaço partilhado Uma politica de segurança procura garantir

Leia mais

Curso Plano de Continuidade de Negócios

Curso Plano de Continuidade de Negócios Curso Plano de Continuidade de Negócios Em um cenário mundial de alto risco e volatilidade, com uma interconexão e interdependência de todas as cadeias de suprimento, a segurança e continuidade dos negócios

Leia mais

Novas tecnologias otimizando a avaliação de bens

Novas tecnologias otimizando a avaliação de bens Novas tecnologias otimizando a avaliação de bens Avaliando Imóveis Urbanos em 2 minutos Antônio Pelli Neto Eng. Civil e Mecânico INTRODUÇÃO Agenda: Conceitos básicos sobre Avaliando nas Nuvens Porque somente

Leia mais

Nuvem Pública na APF - Recomendações na Contratação

Nuvem Pública na APF - Recomendações na Contratação Nuvem Pública na APF - Recomendações na Contratação Thiago Ferreira Lopes tferreiralopes@gmail.com UCB João Souza Neto szneto@globo.com UCB Resumo:A Computação em Nuvem é uma opção que gera ganhos com

Leia mais

UMA INTRODUÇÃO SIGNIFICATIVA SOBRE COMPUTAÇÃO NAS NUVENS (CLOUD COMPUTING)

UMA INTRODUÇÃO SIGNIFICATIVA SOBRE COMPUTAÇÃO NAS NUVENS (CLOUD COMPUTING) UMA INTRODUÇÃO SIGNIFICATIVA SOBRE COMPUTAÇÃO NAS NUVENS (CLOUD COMPUTING) Thiago Batista de Oliveira¹, Júlio César Pereira¹ ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil thiagoolyveira@gmail.com,juliocesarp@unipar.br

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO

Intranets. FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO Intranets FERNANDO ALBUQUERQUE Departamento de Ciência da Computação Universidade de Brasília 1.INTRODUÇÃO As intranets são redes internas às organizações que usam as tecnologias utilizadas na rede mundial

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais