news Arrow to Content

April 3, 2012

Nuvem Ganha Diretrizes de Segurança

Depois de quase um ano de muito trabalho, o Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos apresentou uma publicação de 80 páginas intitulada “Guidelines on Security and Privacy in Public Cloud Computing”, com diretrizes e orientações sobre segurança e privacidade na computação em nuvem. Objetivo é auxiliar corporações e governos na tarefa de avaliar o uso da nuvem pública.

Segundo a descrição feita pelo próprio NIST, o documento traz “uma visão geral sobre os desafios de segurança e privacidade relacionados à cloud computing pública. Além disso, apresenta recomendações que as organizações devem considerar ao terceirizar dados, aplicativos e infraestrutura para um ambiente de nuvem pública. O documento oferece visões sobre ameaças, riscos de tecnologia e meios de proteção relacionados a cloud pública para ajudar as empresas a tomarem decisões baseadas em informações sólidas sobre este uso da tecnologia.”

Ainda de acordo com o instituto, o documento é desenvolvido para os responsáveis por conduzir iniciativas de computação em nuvem; profissionais responsáveis por medidas de privacidade e segurança para cloud computing; adminsitradores de redes e sistemas; e usuários de serviços de nuvem pública.

Para os especialistas, considerando que os ambientes de cloud pública trazem consigo uma série de desafios de segurança, os quais, talvez, não existam em ambientes de nuvem privada ou híbrida, vale a pena ler as considerações do NIST. Elas ajudam a entender quais são os problemas e preocupações que devem ser endereçadas antes de armazenar os dados em uma nuvem pública.

O estudo completo está disponível em: www.nist.gov/itl/csd/cloud-012412.cfm

Fonte: Convergência Digital

Categories: Publicações || Tags: , , , , , ,

November 29, 2011

Riscos Legais da Nuvem no Brasil

Deixar claras as obrigações dos provedores de serviços em nuvem e os direitos do cliente pode gerar mais segurança.Fonte: Edileuza Soares, CIO-UOL

Serviços e soluções entregues em qualquer lugar do planeta. Essa característica do conceito de cloud computing desafia o atual modelo jurídico que se baseia em leis locais. Em razão disso, os riscos legais são até maiores do que os de outros contratos tradicionais do outsourcing de TI, afirmam especialistas em direito digital, que chamam a atenção para alguns cuidados que podem evitar questionamentos futuros na Justiça.

As pesquisas apontam que a maioria das empresas vai, mais cedo ou mais tarde, migrar para a nuvem. Essa é a tendência mundial em razão do fenômeno Big Data e da pressão que a TI sofre para entregar aplicações com mais velocidade para suportar os negócios pelos mais variados dispositivos, principalmente os sem fio.

Segundo analistas, cada vez mais as companhias terão de abraçar a mobilidade para que os usuários tenham acesso a dados corporativos, a qualquer hora e lugar. A expansão das redes 3G e a chegada da 4G deverão acelerar esse processo, arrastando muitos serviços para cloud.

Entrar nesse mundo sem fronteiras exige mais cautela na elaboração dos contratos firmados com os prestadores de serviço, adverte o advogado Rony Vainzof, professor de Direito Eletrônico da Fundação Getúlio Vargas e sócio do escritório Opice Blum. “É importante que o contrato contenha cláusulas sobre questões de privacidade edisponibilidade dos dados”, recomenda, enfatizando a importância de detalhamento dos acordos de Service Level Agreement (SLA).

O advogado ressalta que não há necessidade de uma legislação especial para cloud computing, uma vez que os contratos comerciais são regidos pela Lei de Introdução ao Código Civil Brasileiro. Entretanto, ele diz que as empresas têm de ficar atentas à jurisdição, em caso de armazenamento de dados fora do território nacional. “É importante estabelecer nessas situações qual legislação vai prevalecer”, orienta Vainzof. Ele afirma que se as partes decidirem adotar a lei brasileira, a escolha tem de estar explícita nos documentos.

As empresas devem conhecer os riscos de hospedagem de informações fora do Brasil. Em caso de ordem judicial, o sigilo de dados pode ser quebrado, dependendo da lei de privacidade aplicada pelo país onde o servidor estiver instalado.

Por esse motivo, a legislação brasileira determina que algumas informações sigilosas e de segurança nacional sejam processadas no País. Entre elas, dados de saúde da previdência social, consumidores de serviços públicos, usuários de serviços de telefonia e sistema financeiro. O Banco Central estabelece normas sobre a guarda dos dados financeiros.

A principal preocupação do governo brasileiro e de órgãos reguladores é com a indisponibilidade das redes que impeça o acesso a dados sensíveis e à privacidade. A advogada Patrícia Peck Pinheiro, outra especialista em Direito Digital, alerta que em alguns países como China, Chile e México dados sigilosos podem ser passados pelas autoridades locais, em caso de ordem judicial.

Patrícia explica que geralmente as empresas que optam por serviços em ambiente compartilhado são informadas pelos seus provedores de que não se responsabilizam pelas questões de segurança, nem mesmo dão garantia de disponibilidade das aplicações. Assim, o contratante sabe que essa responsabilidade é dele e que o risco é alto.

“A nuvem pública custa menos, a cloud privada é sob medida e os provedores arcam com todos os custos e têm o comando da segurança”, diz ela. Apesar disso, ela considera que ambas e os serviços mistos têm vantagens. “Cada modelo tem ônus e bônus, depende da proposta”, afirma.

Assim como Vainzof, Patrícia aconselha avaliar os data centers. Caso estejam alocados fora do Brasil, é imprescindível saber se o país adota sistema legal diferente da legislação nacional e conhecer as possíveis implicações jurídicas.

Os contratos precisam ser amarrados, estabelecendo obrigações do provedor e direitos. A advogada constata que algumas empresas fecham acordos apenas com base nas propostas e não estabelecem por escrito as responsabilidades dos prestadores de serviço.

A advogada ensina que os contratos devem deixar claro, por exemplo, a responsabilidade do fornecedor em caso de apagão de energia, de telecom ou da rede, as infrações em caso de vazamento de dados e se rede será criptografada. Ela diz que essas questões, SLA e plano de contingência têm de estar detalhados no contrato, bem como penalidades por descumprimento do acordo.

“Devem ficar claros os aspectos e limites de responsabilidade das partes no que tange à garantia de acesso, guarda, recuperação e eliminação dos dados que ficarão na nuvem, bem como a capacidade de suportar incidente de vazamento de informações ou acesso por autoridade estrangeira”, orienta.

Ela reforça que esse detalhamento por escrito faz toda a diferença em caso de contestação na Justiça, visto que o Judiciário vai se apoiar no Código Civil. Como os serviços em nuvem envolvem muitas especificações técnicas, a advogada recomenda incluir no contrato um glossário com os termos técnicos, como SaaS, IaaS e PaaS. A sugestão é para facilitar o entendimento pelo Judiciário.

Os contratos, prossegue, não podem gerar dúvidas, devem proteger ambas as partes e prever acordo amigável em caso de rescisão. Mudanças de provedor e transferência de bases de dados são sempre processos traumáticos e envolvem riscos. Então, melhor é blindá-los contra eventuais problemas. (E.S.)

Marco regulador para cloud no Brasil 
Questões legais para cloud computing tornaram-se uma preocupação dos governos. Estados Unidos e Europa estão discutindo regras para que esse negócio deslanche com garantias aos que vendem e compram o serviço. O Brasil também começou a debater propostas para ter seu marco legal para nuvem.

A Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Braxton) realizou encontro em Brasília sobre cloud computing com analista das Frost & Sullivan para tentar sensibilizar a equipe da presidente Dilma Rousseff para esse tema. A reunião foi com representantes de órgãos como ministérios de Ciência, Tecnologia e Inovação; Infraestrutura; Planejamento; Desenvolvimento, Indústria e Comércio Exterior.

Segundo Nelson Wortsman, diretor de Infraestrutura e Convergência Digital da Brasscom, o objetivo foi mostrar que o Brasil precisa estabelecer normas e restrições para que a computação em nuvem ganhe força aqui.
Pela maturidade dos data centers do País, a Brasscom acredita que o Brasil tem condições até de tornar-se uma plataforma de nuvem para atender à América Latina e alavancar as indústrias locais de software e hardware. Porém, Wortsman afirma que algumas barreiras precisam ser vencidas, além de normas.

“Já foi diagnosticado que o Brasil precisa ter telecomunicações e energia mais baratos”, diz. Esses são os dois maiores custos dos data centers e a Brasscom espera que o governo brasileiro encontre meios de reduzir esses gastos. Ele acrescenta que a Copa do Mundo e Olimpíadas vão exigir processamento de muitas aplicações. Para acelerar esse processo, a Brasscom pretende trabalhar com órgãos do governo para traçar uma agenda nacional para cloud computing.

Fonte: Blog MPSafe – Seu Porto Seguro na Nuvem

Categories: Publicações || Tags: , , , , , ,

November 18, 2011

Cloud Security Alliance quer atrair corporações no Brasil

Em entrevista dada à CDTV, do Portal Convergência Digital, durante o Rio Info 2011, evento de TI realizado de 27 a 29 de setembro, no Rio de Janeiro, o presidente da Cloud Security Alliance, Leonardo Godim, revela que, em 2012, a entidade vai tentar se aproximar mais dos fornecedores e das organizações que usam cloud.

Isso porque, atualmente, a maior parte dos associados da entidade é formada por pessoas físicas. “Como definimos boas práticas de segurança, acreditamos que temos potencial para ajudar a formular políticas de uso da tecnologia. Por isso, queremos aumentar nosso escopo de atuação no ano que vem”, afirma o presidente da CSA Brasil.

Godim também destacou que, hoje, o maior entrave para a adoção de cloud no mercado corporativo é a falta de planejamento estratégico. “Se há falhas de segurança no mundo tradicional, certamente elas vão se repetir no mundo da nuvem”, sustenta Godim.

O presidente da Cloud Security Alliance diz ainda que a nuvem não é insegura, apesar de, hoje, o item segurança ser apontado como a principal barreira para a implantação da tecnologia. “Insisto que a questão está nas práticas de segurança”.

Godim destacou ainda a necessidade de um marco regulatório para cloud computing no Brasil, Assista a entrevista de Leonardo Godim na CDTV.

http://goo.gl/vyrVb

Fonte: Convergência Digital – Hotsite Cloud Computing

 

Categories: Publicações || Tags: , , , , , ,

November 18, 2011

Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem V3.0

A CSA (Cloud Security Alliance) lançou em 14Nov uma nova versão (V.3) do seu guia de segurança para áreas críticas da computação em nuvem.

A 3ª edição do guia da CSA visa estabelecer uma base estável e segura para operações de nuvem. Este esforço proporciona um roteiro prático ​​para os gestores que querem adotar o paradigma da nuvem de forma segura. Domínios foram reescritos para enfatizar a estabilidade, segurança e privacidade, garantindo a privacidade das empresas em um ambiente de multihospedagem.

A versão 3 amplia o conteúdo incluído nas versões anteriores, com recomendações práticas e requisitos que podem ser medidos e controlados. Autores especializados na indústria de Cloud Security se esforçaram para apresentar um trabalho equilibrado entre os interesses dos provedores de nuvem e seus clientes inquilinos. Os controles são focados na preservação da integridade dos dados de propriedade do inquilino, abrangendo o conceito de uma infraestrutura física compartilhada.

O Guia de Segurança V.3 da CSA servirá como porta de entrada para padrões emergentes em desenvolvimento nas organizações mundiais de definição de padrões, sendo concebido para servir como uma cartilha, de nível executivo, para qualquer organização em busca de uma transição segura e estável para hospedagem suas operações de negócios na nuvem.

A nova versão está disponivel no site da CSA

https://cloudsecurityalliance.org/research/initiatives/security-guidance/

Fonte: Blog MPSafe – Seu Porto Seguro na Nuvem

Categories: Publicações || Tags: , , , , , ,

November 18, 2011

NIST publica versão final de definição de Cloud Computing

Depois de alguns anos de trabalho e 15 versões provisórias, o NIST (National Institute of Standards and Technology), parte do Departamento de Comércio do governo norte-americano, publicou a versão final de sua definição para computação em nuvem. De acordo com a entidade, o cloud computing é “um modelo para acesso a rede sob demanda, ubíquo e conveniente para um pool compartilhado de recursos computacionais configuráveis que podem ser rapidamente provisionados e lançados com mínimo esforço de gerenciamento ou interação com o provedor de serviços”.

A definição do NIST lista cinco características essenciais para cloud computing: autosserviço sob demanda, acesso a rede de banda larga, pool de recursos, rápida elasticidade ou expansão e serviço de mensuração. A definição também cita três modelos de serviço (software, plataforma ou infraestrutura) e quatro modelos de desenvolvimento (privado, comunitário, público e híbrido) que, juntos, categorizam modos de entrega de serviços em nuvem.

O objetivo da definição é servir como meio de comparação de serviços em nuvem e estratégias de desenvolvimento, além de prover um parâmetro para a discussão sobre o que é cloud computing e qual o melhor modo de usar o conceito.

“Quando agências ou empresas usam a definição, eles têm uma ferramenta para determinar em que medida as implementações de TI que estão fazendo estão de acordo com modelos e características de cloud computing. Isto é importante porque ao adotar uma nuvem autêntica, as empresas estão mais perto de dos benefícios prometidos como redução de custos e de energia, rápido desenvolvimento e melhoria do atendimento ao cliente. Além disso, o alinhamento de uma implementação com a definição pode ajudar na avaliação das características de segurança da nuvem”, diz Peter Mell, cientista de computação do NIST.

Antes de ser publicada, a definição recebeu a contribuição do INCITS (International Committee for Information Technology Standards), grupo que trabalhou para desenvolver um padrão internacional para a definição de cloud computing. O primeiro draft da definição foi criado em novembro de 2009. “Passamos por várias versões e discutimos o assunto com o governo e com a indústria, antes que tivéssemos uma versão estável”, lembra Mell.

A “versão estável”, a 15ª, foi publicada no site sobre cloud computing do NIST em julho de 2009. Em janeiro de 2011 esta versão foi publicada para receber comentários públicos. Os pesquisadores receberam uma série de retornos da sociedade, relacionadas principalmente a interpretação do conceito, de modo que a definição recebeu poucas alterações, todas feitas para garantir interpretações consistentes. A versão final da definição está disponível em:

http://csrc.nist.gov/publications/PubsSPs.html#800-145

Fonte: Convergência Digital – Hotsite Cloud Computing

Categories: Publicações || Tags: , , , , , ,

Page Dividing Line