Unidade Betim Cursos de Sistemas de Informao Trabalho de Auditoria

NORMA ISO 17799 Gesto das operaes e comunicaes X Impacto da computao nas nuvens.

Jacira Ferraracio

Betim 2008.

SUMRIO

1. IINTRODUO.........................................................................................................................2 1.1 De que trata a NBR ISSO/IEC 17799.......................................................................................3 1.2 Objetivos da NBR ISSO/IEC 17799..........................................................................................4 1.3 Como est estruturada a NBR ISSO/IEC 17799.....................................................................4 2. GESTO DAS OPERAES E COMUNICAES............................................................5 2.1 Procedimentos e responsabilidades operacionais....................................................................5 2.2 Planejamento e aceitao dos sistemas.....................................................................................5 2.3 Proteo contra softwares maliciosos........................................................................................6 2.4 Housekeeping...............................................................................................................................6 2.5 Gerenciamento da rede...............................................................................................................7 2.6 Segurana e tratamento de mdias............................................................................................7 2.7 Troca de informaes e software...............................................................................................8 3. COMPUTAO NAS NUVENS..............................................................................................9 3.1 Definio do termo computao nas nuvens............................................................................9 3.2 Infra-estrutura da computao nas nuvens..............................................................................9 3.3 O impacto da computao nas nuvens....................................................................................10 3.3.1..................................................................Solucionar os problemas na organizaes? .........................................................................................................................................10 3.3.2...........................................................................Oportunidade para muitas empresas? .........................................................................................................................................10 3.3.3..............................................................Problemas de segurana na cloud computing .........................................................................................................................................10 3.3.4........................O impacto da proteo dos software maliciosos em cloud computing .........................................................................................................................................12 3.3.5................................................Impacto de entrega de aplicaes na cloud computing .........................................................................................................................................13 4. CONCLUSO...........................................................................................................................15 REFERNCIAS.....................................................................................................................................16

1- INTRODUO:

A informao hoje em dia um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente precisa ser protegido. Essa proteo se refere a ameaas que esto ligadas a fatores tecnolgicos e no tecnolgicos e tem por objetivo garantir a continuidade dos negcios, minimizando possveis danos e maximizando o retorno sobre investimentos e as oportunidades de negcio. A evoluo da tecnologia e sistemas de informao trouxe muitos avanos significativos em relao eficincia e da mesma forma traz novos riscos, antes inexistentes. Outro fator o crescimento do nvel de dependncia em relao aos sistemas de informao, que aumenta sensivelmente o impacto de ataques ou outros incidentes de segurana. Ao mesmo tempo, a conexo entre redes pblicas e privadas e as tendncias de processamento e computao distribuda agregam novos desafios para a proteo contra acessos no autorizados e ataques de vrias formas. A proteo efetiva requer uma abordagem ampla no apenas tecnolgica, incluindo gerenciamento, procedimentos e um regime de gerenciamento de riscos que permita s empresas tirar proveito dos avanos tecnolgicos sem expor um de seus ativos mais significativos: a informao. Esta Norma pode ser considerada como o ponto de partida para o desenvolvimento de recomendaes especficas para a organizao. Normas podem ser entendidas como um conjunto de regras ou orientaes que visam qualidade, na atuao de uma tarefa. As normas em estudo buscam tornar o ambiente computacional das empresas, mais seguros com relao a abrandar os incidentes computacionais, alm de orientar sobre aes a serem tomadas, quando estes incidentes ocorrerem.

1.1- De que trata a NBR ISO/IEC 17799

A NBR ISO/IEC 17799, norma da Associao Brasileira de Normas Tcnicas (ABNT), trata de tcnicas de segurana em Tecnologia da Informao, e funciona como um cdigo de prtica para a gesto da segurana da informao. Essa norma foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados, pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica, e equivalente norma ISO/IEC 17799. Para os efeitos desta Norma, aplicam-se as seguintes definies: Segurana da informao: Preservao da confidencialidade, integridade e disponibilidade da informao. confidencialidade: Garantia de que o acesso informao seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatido e completeza da informao e dos mtodos de processamento. disponibilidade: Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Avaliao de risco: Avaliao das ameaas, impactos e vulnerabilidades da informao e das instalaes de processamento da informao e da probabilidade de sua ocorrncia. Gerenciamento de risco: Processo de identificao, controle e minimizao ou eliminao dos riscos de segurana que podem afetar os sistemas de informao, a um custo aceitvel.

1.2- Objetivos da NBR ISO/IEC 17799

Os objetivos definidos nessa norma provem diretrizes gerais sobre as prticas geralmente aceitas para a gesto da segurana da informao. Apesar de no ter fora de lei, a NBR ISO/IEC 17799 configura-se como a melhor ferramenta de auditoria de segurana da informao disponvel.

1.3- Como est estruturada a NBR ISO/IEC 17799

A NBR ISO/IEC 17799, verso 2005, est dividida em 11 sees: Poltica de segurana da informao; Organizando a segurana da informao; Gesto de ativos; Segurana em recursos humanos; Segurana fsica e do ambiente; Gesto das operaes e comunicaes; Controle de acessos; Aquisio, desenvolvimento e manuteno de sistemas de informao; Gesto de incidentes de segurana da informao; Gesto da continuidade do negcio; Conformidade.

2- GESTO DAS OPERAES E COMUNICAES

Essa seo da norma serve para dar uma orientao e direo quanto aos procedimentos e responsabilidades operacionais, incluindo gesto de mudanas, segregao de funes e separao dos ambientes de produo, desenvolvimento e teste. Nela so fornecidas diretrizes tambm para gerenciamento de servios terceirizados, planejamento e aceitao de sistemas, proteo contra cdigos maliciosos e mveis, cpias de segurana, gerenciamento da segurana em redes, manuseio de mdias, troca de informaes, servios de correio eletrnico e, por fim, monitoramento.

2.1- Procedimentos e responsabilidades operacionais:

Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao. Convm que os procedimentos e responsabilidades pela gesto e operao de todos os recursos de processamento das informaes sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes. Recomenda-se que se utilize a segregao de funes, quando apropriado, para reduzir o risco de uso negligente ou doloso dos sistemas.

2.2- Planejamento e aceitao dos sistemas

Objetivo: Minimizar o risco de falhas nos sistemas. O planejamento e a preparao prvios so requeridos para garantir a disponibilidade adequada de capacidade e recursos.

Convm que projees da demanda de recursos e da carga de mquina futura sejam feitas para reduzir o risco de sobrecarga dos sistemas. Convm que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados antes da sua aceitao e uso.

2.3- Proteo contra software malicioso

Objetivo: Proteger a integridade do software e da informao. necessrio que se adotem precaues para prevenir e detectar a introduo de software malicioso. Os ambientes de processamento da informao e os softwares so vulnerveis introduo de software malicioso, tais como vrus de computador, cavalos de Tria e outros. Convm que os usurios estejam conscientes sobre os perigos do uso de software sem licena ou malicioso, e os gestores devem, onde cabvel, implantar controles especiais para detectar ou prevenir contra sua introduo. Em particular, essencial que sejam tomadas precaues para deteco e preveno de vrus em computadores pessoais.

2.4- Housekeeping

Objetivo: Manter a integridade e disponibilidade dos servios de comunicao e processamento da informao. Convm que sejam estabelecidos procedimentos de rotina para a execuo das cpias de segurana e para a disponibilizao dos recursos de reserva, de forma a viabilizar a restaurao em tempo hbil, controlando e registrando eventos e falhas e, quando necessrio, monitorando o ambiente operacional.

2.5- Gerenciamento da rede

Objetivo: Garantir a salvaguarda das informaes na rede e a proteo da infra-estrutura de suporte. O gerenciamento da segurana de redes que se estendam alm dos limites fsicos da organizao requer particular ateno. Tambm pode ser necessria a utilizao de controles adicionais para proteo de dados sensveis que transitam por redes pblicas.

2.6- Segurana e tratamento de mdias

Objetivo: Prevenir danos aos ativos e interrupes das atividades do negcio. Convm que as mdias sejam controladas e fisicamente protegidas. Convm que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, mdias magnticas de computadores (fitas, discos, cartuchos), dados de entrada e sada e documentao dos sistemas contra roubo, acesso no autorizado e danos em geral.

2.7- Troca de informaes e software

Objetivo: Prevenir a perda, modificao ou mau uso de informaes trocadas entre organizaes. Convm que as trocas de informaes e software entre organizaes sejam controladas e estejam em conformidade com toda a legislao pertinente. Convm que as trocas sejam efetuadas baseadas em contratos. Convm que os procedimentos e padres para proteger informao e mdias em trnsito tambm sejam acordados. Convm que sejam consideradas as possveis implicaes nos negcios e na segurana, relacionadas com a troca eletrnica de dados, com o comrcio eletrnico, com o correio eletrnico e com a necessidade de controles.

3- COMPUTAO NAS NUVENS

3.1- Definio do termo

O termo cloud computing tem se tornado popular associado utilizao de uma rede massiva de servidores fsicos ou virtuais uma nuvem para a alocao de um ambiente de computao. Apesar do foco inicial em hardware, mas especialistas defendem tratar-se de um conceito mais amplo, principalmente quando se fala de sua aplicao em negcios. O cloud computing , na verdade, um super conjunto de recursos que abrange servidores, impresso, armazenamento e tambm processos, segundo Waldir Arevolo, scio-diretor da TGT Consulting. Posto desta forma, o conceito ganha formas mais complexas do que vem se disseminando at aqui e impe um desafio aos que se propem a utiliz-lo: fazer com que todos estes recursos trabalhem de forma integrada. Na verdade, uma arquitetura em cloud deve dispor de uma infra-estrutura de gerenciamento que inclua funes como provisionamento de recursos computacionais, balanceamento dinmico do workload e monitorao do desempenho. O conceito j comum em algumas empresas, como o Google e o Yahoo, que mantm parques computacionais com centenas de milhares de mquinas

3.2- Infra-estrutura da computao nas nuvens

Um dos aspectos mais especulares da cloud computing a infra-estrutura que a sustenta. Ela formada por imensos parques computacionais num s ambiente. So os data centers. As usinas da

10

nuvem, que em vez de levar energia a uma cidade, fornecem processamento e armazenamento de informaes para todo o planeta. 3.3- O impacto da computao nas nuvens

3.3.1- Solucionar os problemas nas organizaes?

O impacto motivado na idia de que o conceito nasce para solucionar um problema originado dentro das corporaes: As organizaes de TI gastam hoje 80% de seu tempo com a manuteno de sistemas e no seu objetivo de negcio manter dados e aplicativos em operao. dinheiro jogado fora?

3.3.2- Oportunidade para muitas empresas?

Para muitas empresas, principalmente pequenas e mdias, a cloud computing representa uma oportunidade. Usar a internet como um computador, ou um superaquivo, elimina a necessidade de pesados investimentos em infra-instrutura de tecnologia, o que inclui o maquinrio, backups (as cpias de segurana) e as atualizaes permanentes de softwares.

3.3.3- Problemas de segurana na cloud computing

No entanto, a computao nas nuvens possui atributos nicos que demandam anlise de risco em reas como integridade de dados, recuperao e privacidade, e avaliao de questes legais em reas como auditoria. Dentre os problemas de segurana que podem ser abordados destacam-se:

11

Dados sensveis sendo processados fora da empresa trazem, obrigatoriamente, um nvel inerente de risco. Os servios terceirizados fogem de controles fsicos, lgicos e de pessoal que as reas de TI criam em casa.

As empresas so as responsveis pela segurana e integridade de seus prprios dados, mesmo quando essas informaes so gerenciadas por um provedor de servios. Quando uma empresa est usando o cloud, ela provavelmente no sabe exatamente onde os dados esto armazenados. Na verdade, a empresa pode nem saber qual o pas em que as informaes esto guardadas.

Os fornecedores esto dispostos a se comprometer a armazenar e a processar dados em jurisdies especficas. E, mais, se eles vo assumir esse compromisso em contrato de obedecer os requerimentos de privacidade que o pas de origem da empresa pede.

Dados de uma empresa na nuvem dividem tipicamente um ambiente com dados de outros clientes. A criptografia efetiva, mas no a cura para tudo. O que ser feito para separar os dados.

O fornecedor de cloud pode fornecer a prova que a criptografia foi criada e desenhada por especialistas com experincia. Acidentes com criptografia pode fazer o dado inutilizvel e mesmo a criptografia normal pode comprometer a disponibilidade.

Mesmo se a empresa no sabe onde os dados esto, um fornecedor em cloud devem saber o que acontece com essas informaes em caso de desastre. Qualquer oferta que no replica os dados e a infra-estrutura de aplicaes em diversas localidades est vulnervel a falha completa. Ser que o fornecedor se ele tem a habilidade de fazer uma restaurao completa? E quanto tempo vai demorar?

A investigao de atividades ilegais pode se tornar impossvel em cloud computing. Servios em cloud so especialmente difceis de investigar, por que o acesso e os dados dos vrios usurios podem estar localizado em vrios lugares, espalhados em uma srie de servidores que mudam o tempo todo. Seria necessrio ento conseguir um compromisso contratual para dar apoio a formas especficas de investigao e tambm a evidncia de que esse fornecedor j tenha feito isso com sucesso no passado.

No mundo ideal, o fornecedor de cloud computing jamais vai falir ou ser adquirido por uma empresa maior. Mas a empresa precisa garantir que os seus dados estaro disponveis

12

caso isso acontea. Como voc conseguiria seus dados de volta? E esses dados vo estar em um formato que voc pode import-lo em uma aplicao substituta? A segurana na nuvem desperta debates, mas um item sensvel para alguns setores, como os sistema bancrio. No mais, os arquivos pessoais ou mesmo os dados corporativos correm menor risco quando depositados nos servios e softwares da internet do que no disco rgido de um PC. Isso acontece porque as principais empresas da web protegem os documentos com grandes times de especialistas e tambm com sistemas atualizados de combate a vrus. Os back-ups tambm so recorrentes. Poucas pessoas ou mesmo pequenas e mdias companhias tomam esse tipo de cuidado com seus computadores.

3.3.4- O impacto da proteo dos software maliciosos em cloud computing?

O impacto da computao nas nuvens com relao a software maliciosos reside no fato de que ela esta mudando a maneira como as ameaas chegam aos internautas. E conseqentemente, as tticas de combate precisam mudar tambm. Mas no um processo imediato. Essa tarefa leva tempo e depende da evoluo da infra-estrutura da internet e dos servios. As estatsticas de ataque evoluem em progresso aritmtica. Com a popularidade da web 2.0 e a exploso das redes sociais, a tendncia esse quadro se agravar. Como enfrentar as novas ameaas? ai que entram os novos conceitos de proteo, adotados por alguns fabricantes. Um deles a proteo na nuvem, defendida por empresas com Trend, Panda e McAfee, como o caminho para uma nova gerao de antivrus. como no existem mais epidemias e sim ataques com focos especficos, mas em grande quantidade, a sada levar os servios para a nuvem para ganhar agilidade. A idia evitar que o malware chegue ao computador do usurio, que de qualquer forma, continuar tendo um antivrus. Esse aplicativo, contudo, passa a ter, na retarguarda, a proteo de servidores espalhados pelo mundo, na forma de um servio web. Mantidos pelos fabricantes de antivrus, esses servidores armazenam as bases de dados sobre ameaas, que acumulam informaes obtidas a partir de ocorrncias registradas no mundo todo. Quando um arquivo suspeito detectado, as informaes sobre ele so enviadas aos servidores na nuvem, onde so analisadas e comparadas para a identificao do malware. Com isso possvel

13

criar correlacionamentos abrangendo o mundo todo e estabelecer padres de vacina com maior velocidade. Outra vantagem desse conceito, esta na economia de recurso do PC do usurio, j que o processamento feito nos servidores. A Trend Micro adotou o conceito de proteo na nuvem em sua nova gerao de produtos de segurana chamada Smart Protection Network. O servio da Trend entra em ao quando o usurio faz um upload, seja para acessar sua caixa de e-mail ou um site. Nesse caso, ele direcionado rede de servidores da Trend, que realiza, em mdia, 5 milhes de pesquisas em pginas da web por dia. A idia fazer consultas constantes base de informaes, que esta na nuvem, bloqueando as ameaas antes que cheguem ao usurio e antes at de haver uma vacina. Se no estiverem cadastrados no banco de dados de ameaas, os arquivos suspeitos ficam retidos at que os servidores confirmem se so maliciosos ou no. Nesse processo, entram as tecnologias de correlao (que analisa comportamentos para detectar aqueles que, em conjunto, representam ameaas) e de avaliao de reputao de e-mail (que verifica a credibilidade dos sites). Para a McAfee, a computao em nuvem mais uma ferramenta que pode complementar e reforar o antivrus do micro. uma forma de evitar que o usurio tenha de manter um arquivo muito grande de vacinas no seu computador. Com a computao nas nuvens a idia ter o arquivo de vacinas nos servidores, que vo enviar ao PC do usurio apenas o antdoto necessrio para uma ameaa especfica.

3.3.5- Impacto de entrega de aplicaes na cloud computing?

O mundo caminha para um novo modelo de distribuio e entrega de TI. Com isso, cada vez mais a entrega de aplicaes passa a ser feita em um click. Ou seja, o novo modelo para a TI est baseado no cloud computing, na virtualizao de servidores e aplicativos e em uma nova forma de faturamento, por meio de assinatura, e no apenas licenas. Ao mesmo tempo, a velha forma de entregar TI aos usurios continuar valendo para aplicaes crticas ou que necessitem um olhar mais prximo dos gerentes. A computao nas nuvens vem criando uma nova oportunidade de modelar a relao entre os usurios e os fornecedores de tecnologia. Significando que os usurios podero se concentrar no servio oferecido pela tecnologia, e no em como os sistemas so implementados.

14

O foco mudou da infra-estrutura e implementao para os servios que permitem acesso s capacidades oferecidas.

4- CONCLUSO

15

Para os fornecedores, esses esperam com uma grande expectativa de que o impacto da computao nas nuvens ser enorme. Mas para as empresas que iro contratar o servio a questo da segurana nessa nova tecnologia ainda tem gerado uma grande polmica e gerado muitas dvidas. mais seguro ter profissionais internos cuidando da segurana ou atravs de contratos de confidencialidade e tecnologia de ponta nos grandes data centers? Um falha pode representar um fracasso total. Como garantir com certeza de que seus dados estaro seguros espalhados em no sabe aonde? A nuvens garantir esta segurana? Cloud computing uma tecnologia que ainda esta cercada por questes polmicas, como qualquer outra e como nova tecnologia ainda no conhecida vem gerando dvidas e incertezas. Creio que a medida que vai sendo conhecida e divulgada seu crescimento pode ser muito acelerado e exponencial no uso domstico, mas vai sendo gradativo e mais lento principalmente se tratando de empresas, a medida que for promovendo segurana, confiana e eficincia. Mas fica realmente a dvida se realmente seria trocada pela poltica de segurana tradicional e o departamento de TI de uma empresa. Computao nas nuvens promete remodelar a cultura, mas desperta debates e existem muitos desafios a serem vencidos, principalmente da infra-estrutura da prpria rede (internet), e dos grandes riscos de segurana que esto presentes nesta nova tecnologia.

16

REFERNCIAS:

BRASIL, NBR ISO/IEC 17799 (2001) ABNTAssociao Brasileira de Normas Tcnicas, Rio de Janeiro, 2001

BRASIL, Tribunal de Contas da Unio (2007) Boas prticas em Segurana da Informao/ Tribunal de Contas da Uniao 2. Ed., Braslia:2007

COMPUTERWORLD disponvel em <http://computerworld.uol.com.br/mercado/2008/07/11/conheca-os-sete-riscos-de-seguranca-emcloud-computing/> acessado em 03 set 2008

RYDLEWSKI, Carlos; BALTAZAR, Ana Paula. Um lugar nas nuvens, Veja especial TECNOLOGIA, So Paulo, 11 abril 2008.

SPOSITO, Rosa. O antivrus vai para a nuven, INFO, So Paulo, set. 2008. Disponvel em< WWW.info.abril.com.br > acessado em 01 set. 2008