news Arrow to Content

June 20, 2012

Eleição na Cloud Security Alliance Brasil

Atenta ao crescimento da nuvem no mercado de TI, a CSA-Brasil elege nova Diretoria.

O mercado de TI no Brasil passa por um histórico momento de transformação, em que empresas de todos os portes buscam redução de custos e agilidade no lançamento de novos produtos e serviços.

Como tais objetivos podem ser mais bem alcançados com o uso da computação em nuvem, hoje a migração da computação tradicional das empresas para este novo ambiente não é mais uma questão de ‘se’, mas sim de ‘quando’ irá ocorrer.

Em função desta tendência, surge um novo e enorme mercado no país, praticamente desatendido, com demanda que cresce exponencialmente para serviços profissionais, que incluem a consultoria para construção de infraestruturas de nuvem pública, privada e híbrida.

E a segurança do ambiente corporativo de computação em nuvem assume papel preponderante neste processo, viabilizador da confiança indispensável a essa migração.

Em plena sintonia com esta exponencial mudança no mercado brasileiro de TI, que segue a tendência de crescimento global da nuvem, o capítulo Brasil da Cloud Security Alliance – CSABR tem como missão promover a utilização das melhores práticas para a prestação de garantia de segurança dentro da computação em nuvem.

Além disto, também oferece educação sobre os usos da nuvem, de modo a ajudar as corporações a protegerem também todas as outras formas de computação.

Na mais recente eleição da sua Diretoria, passou a compor o board do capítulo CSABR, como Presidente, André Serralheiro; como Vice-Presidente, Anchises Moraes ; como Diretores: Eduardo Haruo Kamioka, Leonardo Goldim, Marcelo Carvalho , Paulo Sergio Pagliusi, Reginaldo Sarraf e Uelinton Santos. A CSABR também elegeu os Colaboradores: Cristian Latapiat, Lincoln Werneck, Luiz Felipe FerreiraMarco SinhoreliOlympio Rennó, Ricardo MakinoWalter Capanema e Yuri Diogenes.

Entre os próximos desafios da equipe da CSABR, encontra-se a tradução, para o português, do CSA Security GuidanceV.3 (Guia de Segurança para Áreas Críticas com foco em Nuvem), que descreve as melhores práticas para gestores que querem adotar o paradigma da nuvem de forma segura – e o desenvolvimento de um White Paper inédito, intitulado “Adoção de Computação em Nuvem e suas Motivações”.

Página Oficial:
CSA-Brasil

Fan Page:
CSA-Brasil

Twitter:
CSA-Brasil


 

Categories: Publicações || Tags: , , , , ,

April 4, 2012

Segurança na Nuvem – Capítulo Especial

Os autores do Livro “Certificação Security+, da prática para o exame SYO-301“, Yuri Diógenes e Daniel Mauser adicionaram um capítulo especial em PDF que trata sobre a Segurança na Nuvem.

Clique aqui para baixar o capítulo.

Categories: Publicações || Tags: , , , , ,

April 3, 2012

Nuvem Ganha Diretrizes de Segurança

Depois de quase um ano de muito trabalho, o Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos apresentou uma publicação de 80 páginas intitulada “Guidelines on Security and Privacy in Public Cloud Computing”, com diretrizes e orientações sobre segurança e privacidade na computação em nuvem. Objetivo é auxiliar corporações e governos na tarefa de avaliar o uso da nuvem pública.

Segundo a descrição feita pelo próprio NIST, o documento traz “uma visão geral sobre os desafios de segurança e privacidade relacionados à cloud computing pública. Além disso, apresenta recomendações que as organizações devem considerar ao terceirizar dados, aplicativos e infraestrutura para um ambiente de nuvem pública. O documento oferece visões sobre ameaças, riscos de tecnologia e meios de proteção relacionados a cloud pública para ajudar as empresas a tomarem decisões baseadas em informações sólidas sobre este uso da tecnologia.”

Ainda de acordo com o instituto, o documento é desenvolvido para os responsáveis por conduzir iniciativas de computação em nuvem; profissionais responsáveis por medidas de privacidade e segurança para cloud computing; adminsitradores de redes e sistemas; e usuários de serviços de nuvem pública.

Para os especialistas, considerando que os ambientes de cloud pública trazem consigo uma série de desafios de segurança, os quais, talvez, não existam em ambientes de nuvem privada ou híbrida, vale a pena ler as considerações do NIST. Elas ajudam a entender quais são os problemas e preocupações que devem ser endereçadas antes de armazenar os dados em uma nuvem pública.

O estudo completo está disponível em: www.nist.gov/itl/csd/cloud-012412.cfm

Fonte: Convergência Digital

Categories: Publicações || Tags: , , , , , ,

April 3, 2012

Correio Eletrônico na Nuvem – Migração, Riscos e Recomendações de Proteção

Você conhece as vantagens de se migrar o e-mail corporativo para a nuvem? E os cuidados necessários à estratégia de migração? Antes de se adotar o correio eletrônico na nuvem, é preciso levar em conta os custos ocultos, as questões legais, as contratuais e seguir diversas recomendações, inclusive as de segurança. Os principais riscos relativos à adoção do correio eletrônico na nuvem devem ser atentamente analisados.

Uma das principais razões para se pensar em e-mail na nuvem é a significativa economia de escala obtida com esse modelo computacional. A maioria das corporações não tem mais que centenas ou milhares de usuários, enquanto um provedor de nuvem pode fornecer esses serviços para dezenas de milhões de usuários, a custos bem menores – podendo chegar, no limite, a zero. Além disso, devido a restrições orçamentárias, o e-mail interno às organizações não disponibiliza grande capacidade de armazenamento. É comum um e-mail interno ser restrito a 500 MB por usuário, enquanto um e-mail na nuvem oferta 30 GB. O custo por GB na nuvem é bem menor pela economia de escala ofertada e, logo, o provedor pode oferecer, com custo mínimo, maior capacidade de armazenamento.

Entretanto, definir uma estratégia de migração para e-mail na nuvem exige cuidados. Um deles é levar em conta os custos ocultos. Embora o e-mail na nuvem tenha um preço por usuário bem menor, há certos custos que não aparecem imediatamente. Por exemplo, custo do maior uso de redes e banda larga, e da migração do ambiente interno para a nuvem. Também será necessário manter um staff mínimo de suporte, para apoio ao usuário final e para a gestão da interface com o provedor da nuvem.
O contrato com o provedor deve ser analisado com cautela. Alguns itens merecem atenção redobrada, como o custo para retenção longa de backup (archiving) e para o cancelamento do contrato (e migração para outra nuvem). Há também as questões legais. Suas caixas postais podem ficar armazenadas em um centro de dados localizado em outro país? Nesse caso, sob qual jurisdição as questões legais serão resolvidas? E caso haja uma investigação forense, como os dados poderão ser disponibilizados?

 

Quando uma informação é armazenada em nuvem, em última instância será armazenada em um servidor e em um dispositivo de armazenamento residente em algum local físico, que pode ser em outro país, sujeito a legislação distinta. Além disso, por razões técnicas, essa informação poderá migrar de um servidor para outro, estando ambos em países diferentes. Nada impede que a lei de um desses países permita o acesso às informações armazenadas, mesmo sem o consentimento do proprietário.

 

Por exemplo, em diversos países a legislação antiterrorista ou de combate à pedofilia permite o acesso a informações pessoais, sem aviso prévio, em caso de evidências legais de atos criminosos. A questão é que o conceito de computação em nuvem é recente. A legislação em vigor mal entendeu a Internet e está distante de entender a nuvem. Ainda está no paradigma da época em que os PCs viviam isolados e, no máximo, havia troca de disquetes. Apreender um desktop para investigação forense em e-mail cujo conteúdo está em nuvem é totalmente irrelevante. E como obter as informações de discos rígidos virtuais, espalhados por diversos provedores de nuvem? Outros cuidados envolvem a segurança e integração com aplicações que interajam com o serviço de e-mail.

 

Diante do exposto, Cezar Taurion estabelece que, antes da migração do e-mail do ambiente interno para a nuvem, devem ser observadas as seguintes recomendações [1]:
· Criar um projeto específico para a migração do e-mail para a nuvem.
· Determinar claramente os objetivos do projeto em pauta (reduzir custos?).
· Identificar os custos internos por usuário de e-mail e compará-los com os dos provedores de e-mail em nuvem.
·  Analisar diferenças de funcionalidade existentes entre os recursos oferecidos pelo e-mail interno e os oferecidos pelo provedor de nuvem (como nível de disponibilidade, política de backup, consumo da largura de banda por usuário [2]).
· Engajar o setor jurídico no processo de migração, de modo a selecionar o provedor de e-mail na nuvem mais adequado e estudar atentamente o contrato.

 

Passemos à análise dos riscos. Recentemente, diversas organizações adotaram soluções gratuitas de e-mail baseado em nuvem, como o Google GmailTM, Yahoo MailTM e HotmailTM. Embora para a maioria dos casos tais soluções possam ser excelentes, podem não ser tão adequadas para organizações que necessitam trocar e-mails com conteúdo sensível como, por exemplo, as de defesa. Nestes casos, a segurança provida pelos provedores de e-mail em nuvem é considerada aquém do ideal, devido ao fato de que a maioria dos e-mails é enviada em texto aberto. Assim, para proteger seus e-mails, o remetente precisará criptografá-los, seja fazendo uso de uma infraestrutura de chaves públicas, seja coordenando com o receptor uma forma da informação ser decifrada após o recebimento.

 

Segundo um estudo publicado pelo portal About.com Defense [3], os principais riscos relativos ao correio eletrônico na nuvem podem ser assim resumidos:


1. E-mails e anexos armazenados em qualquer lugar do mundo. Um dos problemas do correio eletrônico em nuvem é que não se sabe em que lugar do mundo os e-mails e anexos são armazenados. Eles poderiam ser facilmente armazenados em países envolvendo distintas legislações. Como exemplo, leia o conteúdo exposto na norma: NIST SP-800-144 – Guidelines on Security and Privacy in Public Cloud Computing [4].

 

2. Provedores de correio eletrônico em nuvem, geralmente, reivindicam licença do conteúdo ofertado, inclusive e-mails. Leia bem os termos e condições, para ter certeza que você não desista de direitos que você não pode abrir mão. Por exemplo, os termos e condições estabelecidos pelo Google GmailTM incluem, na seção 11.1, esta declaração:

 

By submitting, posting or displaying the content you give Google a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services”.

 

Na Seção 11.2, também está escrito:

 

You agree that this license includes a right for Google to make such Content available to other companies, organizations or individuals with whom Google has relationships for the provision of syndicated services, and to use such Content in connection with the provision of those services.

 

Certifique-se de que estas são condições com as quais você pode concordar, antes de utilizar e-mails baseados em nuvem.

 

3. E-mail com relatórios sensíveis de segurança e informações não classificadas, mas restritas, não deve transitar na nuvem. Deve-se atentar para não expor indevidamente informações classificadas, que venham a transitar, desprotegidas, no e-mail em nuvem.


4. Legislação vigente sobre segurança da informação pode restringir o uso do e-mail na nuvem. Se a sua corporação está sujeita a regulamentações, tais como HIPAA ou Sarbanes-Oxley, então é importante que qualquer solução de nuvem que você use para enviar e-mail tenha uma equipe com capacidade e especialização para manter seu negócio em conformidade. Se o provedor é incapaz de fornecer esta garantia, então se deve procurar outro provedor de serviços.


5. Um software em nuvem é considerado aceitável se o provedor ofertar ao cliente garantias e controles de segurança, mas a maioria dos provedores de e-mail em nuvem não as oferece. O consumidor precisa ter certeza de que o provedor de e-mail em nuvem suporta suas necessidades e fornece garantias e mecanismos de controle de segurança, de acordo com a dinâmica exigida pelo ambiente em nuvem. Assim, de acordo com Marcon Jret al, todo provedor de nuvem deve [5]:

  • Controlar o acesso de usuários aos serviços fornecidos pela nuvem – de acordo com as políticas definidas pelo consumidor
  • Honrar os acordos de nível de serviço (SLA –Service Level Agreement) ou contratos de QoS (Quality of Service) estabelecidos com o consumidor
  • Controlar o acesso aos dados dos usuários
  • Controlar o acesso à área do sistema, no nível de usuário e administrativo (com acesso privilegiado)
  • Manter as informações do perfil do usuário e as políticas de controle de acesso atualizadas;
  • Permitir a coleta de informações do perfil do usuário e das políticas de controle de acesso implantadas no provedor de nuvem
  • Fornecer meios de notificação para alterações em contas de usuários (criação, remoção, concessões de acesso), visando coibir configuração de contas falsas ou modificação de direitos de acesso no provedor sem que o consumidor saiba
  • Fornecer trilhas de auditoria para o ambiente de cada consumidor – identificando atividades de gerenciamento e acesso, assim como a utilização de qualquer recurso para o qual sejam estabelecidas cotas de uso.

Em contraste ao exposto, os termos e condições estabelecidos pelo provedor de e-mail em nuvem Google GmailTM incluem, na seção 14.2, a seguinte declaração, indicando que o risco do uso dos serviços é do consumidor, e que o serviço é fornecido “como está” e “quando disponível”:

 

“YOU EXPRESSLY UNDERSTAND AND AGREE THAT YOUR USE OF THE SERVICES IS AT YOUR SOLE RISK AND THAT THE SERVICES ARE PROVIDED “AS IS” AND “AS AVAILABLE.”

 

Finalmente, as vantagens de se migrar o e-mail corporativo para a nuvem são notáveis. Mas a estratégia de migração demanda cuidados prévios. Antes de se adotar o correio eletrônico na nuvem, é preciso levar em conta os custos ocultos, as questões legais, as contratuais e seguir diversas recomendações, inclusive as de segurança. Os principais riscos relativos à adoção do correio eletrônico na nuvem, expostos neste artigo, devem ser analisados com a devida atenção.

 

A Cloud Security Alliance Brazil publicou, em Jun2010, o Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem [6], com as seguintes recomendações, todas aplicáveis ao provedor de e-mail em nuvem:

 

a.      É preciso examinar e avaliar a cadeia de suprimentos do provedor da nuvem (relacionamentos com prestadores de serviço). Isso também significa verificar o gerenciamento de serviços terceirizados feito pelo próprio provedor da nuvem.

 

b.      A avaliação do provedor do serviço em nuvem deve concentrar-se nas políticas de recuperação de desastres e continuidade de negócio, e em seus processos. Deve incluir, também, a revisão das avaliações do provedor destinadas a cumprir exigências de políticas e procedimentos, e a avaliação das métricas usadas pelo provedor, para disponibilizar informações sobre o desempenho e a efetividade dos controles.

 

c.      O plano de recuperação de desastres e continuidade de negócios do consumidor do serviço em nuvem deve incluir cenários de perda dos serviços prestados pelo provedor e da perda, deste último, de suas capacidades dependentes de terceiros.

 

d.      A regulamentação da governança de segurança da informação, a gestão de riscos, as estruturas e os processos do provedor da nuvem devem ser amplamente avaliados.

 

e.      É preciso solicitar documentação de como as instalações e os serviços do provedor da nuvem são avaliados, quanto aos riscos e ao controle de vulnerabilidades.

 

f.      Deve-se solicitar ao provedor da nuvem uma definição do que ele considera fator de sucesso em segurança da informação e serviços críticos, indicadores-chave de desempenho, e como esses pontos são mensurados.


 

[1] Taurion, Cezar. E-mail em nuvem: quando e como?Portal iMasters, Set2010, acesso em Jan2012. Disponível em:http://imasters.com.br/artigo/18170/cloud/e-mail_em_nuvem_quando_e_como/
[2] Segundo Christopher Voce, analista da Forrester, para cada grupo de 100 utilizadores ativos no Outlook instalado localmente são consumidos 37 KB/s de largura de banda. Já o mesmo grupo de 100 utilizadores, ligados ao serviço de e-mail Outlook na plataforma de e-mail em nuvem, requer mais do que o dobro: 85KB/s. Matéria: Seis dicas para a migração do e-mail para a cloud. Portal ComputerWorld, Abr2011, acesso em Jan2012. Disponível em:http://www.computerworld.com.pt/2011/04/01/seis-dicas-para-a-migracao-do-e-mail-para-a-cloud/

 

[3] Bame, Michael. Dangers of Cloud Based Email. Portal About.com Defense, Jan2012, acessado em 12Jan2012. Disponível

em: http://defense.about.com/od/BusinessOps/a/Dangers-Of-Cloud-Based-Email.htm

 

[4] NIST SP-800-144 – Guidelines on Security and Privacy in Public Cloud Computing. National Institute of Standards and Technology, Jan2011, acesso em Jan2012. Disponível em:http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf

 

[5] Marcon Jr, Arlindo; Laureano, Marcos; Santin, Altair; Maziero, Carlos. Minicurso Capítulo 2: Aspectos de segurança e privacidade em ambientes de Computação em Nuvem. X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, 2011. Em:http://professor.ufabc.edu.br/~joao.kleinschmidt/aulas/seg2011/nuvem.pdf

 

[6] https://cloudsecurityalliance.org/guidance/CSAGuidance-pt-BR.pdf

 

Fonte: Blog MPSafe – Seu Porto Seguro na Nuvem

Categories: Publicações || Tags: , , , , ,

April 3, 2012

Há um Verme (Worm) na Nuvem! Quão seguros são os servidores em nuvem?

Nos círculos técnicos, as pessoas têm noção das inúmeras variáveis ​que ​envolvem as nuvens. E que os provedores de nuvem deixam as questões de segurança da máquina virtual, tanto quanto possível, para os clientes resolverem. Os técnicos sabem disso. Porém, nem todos os clientes de nuvem se enquadram nessa categoria (a de técnicos) e nem todas as nuvens são criadas da mesma maneira. Há muitos clientes casuais (leia-se: leigos) e também outros que, embora técnicos, são também muito ocupados.

Digo isto pois é altamente provável que muitas imagens em nuvem (cloud images) do Windows possam estar vulneráveis (por default) ​​a um exploit denominado MS12-020 RDP.

Novas pesquisas, usando o script nmap NSE “rdp-MS12-020.nse”, desenvolvido pela @ea_foundation, mostram que todas as imagens em nuvem do Windows Rackspace estão (por default) vulneráveis. E no AWS (Amazon Web Services) EC2 (Elastic Compute Cloud), quaisquer imagens AMIs ou EBS existentes sem correção (patch) do Windows (pré 13/03/2012), que foram inicializadas com as regras de firewall padrão do Console de Gerenciamento AWS, estão igualmente vulneráveis.

Ou seja, há um verme na nuvem (um cloudworm). Embora os provedores de serviços em nuvem têm tomado algumas medidas para mitigar o risco do exploit MS12-020, o que fizeram é longe de ser suficiente para proteger os clientes. Isto se deve ao fato de que ambos os provedores de serviços em nuvem, AWS EC2 e Rackspace, têm suas configurações de segurança padrão (default) vulneráveis.

Para lançar instâncias da EC2, a nuvem AWS EC2 tem, como regra padrão, um ‘global allow RDP‘ (porta 3389) para todos os seus clientes usando o Console de Gerenciamento AWS. Por sua vez, a nuvem Rackspace tem um ‘ServiceNet’ inseguro (unfirewalled LAN) em todos os seus servidores em nuvem. Traduzindo (para não técnicos): Isto significa que, quando um exploit é desenvolvido para explorar a falha MS12-020, ele pode ser implantado em um número muito grande de servidores em nuvem, caso os provedores de nuvem não ajam prontamente e de forma proativa.

Os clientes mais vulneráveis ​​são os usuários de nuvem casuais, que têm uma expectativa de que os prestadores de serviços em nuvem estejam fornecendo seus servidores virtuais com um conjunto razoável de regras de firewall padrão. Infelizmente, no caso da MS12-020, o oposto é verdadeiro.

Finalmente, os usuários mais experientes podem também não estar fora de perigo. Iniciar as imagens em nuvem do Windows mais antigas deixará o servidor vulnerável, até que o usuário tenha corrigido e reiniciado seu servidor de nuvem – a não ser que ele tenha um conjunto razoável de regras RDP e tenha protegido todas as interfaces de rede “abertas”. Clique aqui para ver a Prova de Conceito (POC)

Fonte: earthgecko. Tradução: Paulo Pagliusi Agradecimento: Rogério de Souza

Fonte: Blog MPSafe – Seu Porto Seguro na Nuvem

Categories: Publicações || Tags: , , , , ,

November 29, 2011

Riscos Legais da Nuvem no Brasil

Deixar claras as obrigações dos provedores de serviços em nuvem e os direitos do cliente pode gerar mais segurança.Fonte: Edileuza Soares, CIO-UOL

Serviços e soluções entregues em qualquer lugar do planeta. Essa característica do conceito de cloud computing desafia o atual modelo jurídico que se baseia em leis locais. Em razão disso, os riscos legais são até maiores do que os de outros contratos tradicionais do outsourcing de TI, afirmam especialistas em direito digital, que chamam a atenção para alguns cuidados que podem evitar questionamentos futuros na Justiça.

As pesquisas apontam que a maioria das empresas vai, mais cedo ou mais tarde, migrar para a nuvem. Essa é a tendência mundial em razão do fenômeno Big Data e da pressão que a TI sofre para entregar aplicações com mais velocidade para suportar os negócios pelos mais variados dispositivos, principalmente os sem fio.

Segundo analistas, cada vez mais as companhias terão de abraçar a mobilidade para que os usuários tenham acesso a dados corporativos, a qualquer hora e lugar. A expansão das redes 3G e a chegada da 4G deverão acelerar esse processo, arrastando muitos serviços para cloud.

Entrar nesse mundo sem fronteiras exige mais cautela na elaboração dos contratos firmados com os prestadores de serviço, adverte o advogado Rony Vainzof, professor de Direito Eletrônico da Fundação Getúlio Vargas e sócio do escritório Opice Blum. “É importante que o contrato contenha cláusulas sobre questões de privacidade edisponibilidade dos dados”, recomenda, enfatizando a importância de detalhamento dos acordos de Service Level Agreement (SLA).

O advogado ressalta que não há necessidade de uma legislação especial para cloud computing, uma vez que os contratos comerciais são regidos pela Lei de Introdução ao Código Civil Brasileiro. Entretanto, ele diz que as empresas têm de ficar atentas à jurisdição, em caso de armazenamento de dados fora do território nacional. “É importante estabelecer nessas situações qual legislação vai prevalecer”, orienta Vainzof. Ele afirma que se as partes decidirem adotar a lei brasileira, a escolha tem de estar explícita nos documentos.

As empresas devem conhecer os riscos de hospedagem de informações fora do Brasil. Em caso de ordem judicial, o sigilo de dados pode ser quebrado, dependendo da lei de privacidade aplicada pelo país onde o servidor estiver instalado.

Por esse motivo, a legislação brasileira determina que algumas informações sigilosas e de segurança nacional sejam processadas no País. Entre elas, dados de saúde da previdência social, consumidores de serviços públicos, usuários de serviços de telefonia e sistema financeiro. O Banco Central estabelece normas sobre a guarda dos dados financeiros.

A principal preocupação do governo brasileiro e de órgãos reguladores é com a indisponibilidade das redes que impeça o acesso a dados sensíveis e à privacidade. A advogada Patrícia Peck Pinheiro, outra especialista em Direito Digital, alerta que em alguns países como China, Chile e México dados sigilosos podem ser passados pelas autoridades locais, em caso de ordem judicial.

Patrícia explica que geralmente as empresas que optam por serviços em ambiente compartilhado são informadas pelos seus provedores de que não se responsabilizam pelas questões de segurança, nem mesmo dão garantia de disponibilidade das aplicações. Assim, o contratante sabe que essa responsabilidade é dele e que o risco é alto.

“A nuvem pública custa menos, a cloud privada é sob medida e os provedores arcam com todos os custos e têm o comando da segurança”, diz ela. Apesar disso, ela considera que ambas e os serviços mistos têm vantagens. “Cada modelo tem ônus e bônus, depende da proposta”, afirma.

Assim como Vainzof, Patrícia aconselha avaliar os data centers. Caso estejam alocados fora do Brasil, é imprescindível saber se o país adota sistema legal diferente da legislação nacional e conhecer as possíveis implicações jurídicas.

Os contratos precisam ser amarrados, estabelecendo obrigações do provedor e direitos. A advogada constata que algumas empresas fecham acordos apenas com base nas propostas e não estabelecem por escrito as responsabilidades dos prestadores de serviço.

A advogada ensina que os contratos devem deixar claro, por exemplo, a responsabilidade do fornecedor em caso de apagão de energia, de telecom ou da rede, as infrações em caso de vazamento de dados e se rede será criptografada. Ela diz que essas questões, SLA e plano de contingência têm de estar detalhados no contrato, bem como penalidades por descumprimento do acordo.

“Devem ficar claros os aspectos e limites de responsabilidade das partes no que tange à garantia de acesso, guarda, recuperação e eliminação dos dados que ficarão na nuvem, bem como a capacidade de suportar incidente de vazamento de informações ou acesso por autoridade estrangeira”, orienta.

Ela reforça que esse detalhamento por escrito faz toda a diferença em caso de contestação na Justiça, visto que o Judiciário vai se apoiar no Código Civil. Como os serviços em nuvem envolvem muitas especificações técnicas, a advogada recomenda incluir no contrato um glossário com os termos técnicos, como SaaS, IaaS e PaaS. A sugestão é para facilitar o entendimento pelo Judiciário.

Os contratos, prossegue, não podem gerar dúvidas, devem proteger ambas as partes e prever acordo amigável em caso de rescisão. Mudanças de provedor e transferência de bases de dados são sempre processos traumáticos e envolvem riscos. Então, melhor é blindá-los contra eventuais problemas. (E.S.)

Marco regulador para cloud no Brasil 
Questões legais para cloud computing tornaram-se uma preocupação dos governos. Estados Unidos e Europa estão discutindo regras para que esse negócio deslanche com garantias aos que vendem e compram o serviço. O Brasil também começou a debater propostas para ter seu marco legal para nuvem.

A Associação Brasileira de Empresas de Tecnologia da Informação e Comunicação (Braxton) realizou encontro em Brasília sobre cloud computing com analista das Frost & Sullivan para tentar sensibilizar a equipe da presidente Dilma Rousseff para esse tema. A reunião foi com representantes de órgãos como ministérios de Ciência, Tecnologia e Inovação; Infraestrutura; Planejamento; Desenvolvimento, Indústria e Comércio Exterior.

Segundo Nelson Wortsman, diretor de Infraestrutura e Convergência Digital da Brasscom, o objetivo foi mostrar que o Brasil precisa estabelecer normas e restrições para que a computação em nuvem ganhe força aqui.
Pela maturidade dos data centers do País, a Brasscom acredita que o Brasil tem condições até de tornar-se uma plataforma de nuvem para atender à América Latina e alavancar as indústrias locais de software e hardware. Porém, Wortsman afirma que algumas barreiras precisam ser vencidas, além de normas.

“Já foi diagnosticado que o Brasil precisa ter telecomunicações e energia mais baratos”, diz. Esses são os dois maiores custos dos data centers e a Brasscom espera que o governo brasileiro encontre meios de reduzir esses gastos. Ele acrescenta que a Copa do Mundo e Olimpíadas vão exigir processamento de muitas aplicações. Para acelerar esse processo, a Brasscom pretende trabalhar com órgãos do governo para traçar uma agenda nacional para cloud computing.

Fonte: Blog MPSafe – Seu Porto Seguro na Nuvem

Categories: Publicações || Tags: , , , , , ,

November 18, 2011

Cloud Security Alliance quer atrair corporações no Brasil

Em entrevista dada à CDTV, do Portal Convergência Digital, durante o Rio Info 2011, evento de TI realizado de 27 a 29 de setembro, no Rio de Janeiro, o presidente da Cloud Security Alliance, Leonardo Godim, revela que, em 2012, a entidade vai tentar se aproximar mais dos fornecedores e das organizações que usam cloud.

Isso porque, atualmente, a maior parte dos associados da entidade é formada por pessoas físicas. “Como definimos boas práticas de segurança, acreditamos que temos potencial para ajudar a formular políticas de uso da tecnologia. Por isso, queremos aumentar nosso escopo de atuação no ano que vem”, afirma o presidente da CSA Brasil.

Godim também destacou que, hoje, o maior entrave para a adoção de cloud no mercado corporativo é a falta de planejamento estratégico. “Se há falhas de segurança no mundo tradicional, certamente elas vão se repetir no mundo da nuvem”, sustenta Godim.

O presidente da Cloud Security Alliance diz ainda que a nuvem não é insegura, apesar de, hoje, o item segurança ser apontado como a principal barreira para a implantação da tecnologia. “Insisto que a questão está nas práticas de segurança”.

Godim destacou ainda a necessidade de um marco regulatório para cloud computing no Brasil, Assista a entrevista de Leonardo Godim na CDTV.

http://goo.gl/vyrVb

Fonte: Convergência Digital – Hotsite Cloud Computing

 

Categories: Publicações || Tags: , , , , , ,

November 18, 2011

Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem V3.0

A CSA (Cloud Security Alliance) lançou em 14Nov uma nova versão (V.3) do seu guia de segurança para áreas críticas da computação em nuvem.

A 3ª edição do guia da CSA visa estabelecer uma base estável e segura para operações de nuvem. Este esforço proporciona um roteiro prático ​​para os gestores que querem adotar o paradigma da nuvem de forma segura. Domínios foram reescritos para enfatizar a estabilidade, segurança e privacidade, garantindo a privacidade das empresas em um ambiente de multihospedagem.

A versão 3 amplia o conteúdo incluído nas versões anteriores, com recomendações práticas e requisitos que podem ser medidos e controlados. Autores especializados na indústria de Cloud Security se esforçaram para apresentar um trabalho equilibrado entre os interesses dos provedores de nuvem e seus clientes inquilinos. Os controles são focados na preservação da integridade dos dados de propriedade do inquilino, abrangendo o conceito de uma infraestrutura física compartilhada.

O Guia de Segurança V.3 da CSA servirá como porta de entrada para padrões emergentes em desenvolvimento nas organizações mundiais de definição de padrões, sendo concebido para servir como uma cartilha, de nível executivo, para qualquer organização em busca de uma transição segura e estável para hospedagem suas operações de negócios na nuvem.

A nova versão está disponivel no site da CSA

https://cloudsecurityalliance.org/research/initiatives/security-guidance/

Fonte: Blog MPSafe – Seu Porto Seguro na Nuvem

Categories: Publicações || Tags: , , , , , ,

November 18, 2011

NIST publica versão final de definição de Cloud Computing

Depois de alguns anos de trabalho e 15 versões provisórias, o NIST (National Institute of Standards and Technology), parte do Departamento de Comércio do governo norte-americano, publicou a versão final de sua definição para computação em nuvem. De acordo com a entidade, o cloud computing é “um modelo para acesso a rede sob demanda, ubíquo e conveniente para um pool compartilhado de recursos computacionais configuráveis que podem ser rapidamente provisionados e lançados com mínimo esforço de gerenciamento ou interação com o provedor de serviços”.

A definição do NIST lista cinco características essenciais para cloud computing: autosserviço sob demanda, acesso a rede de banda larga, pool de recursos, rápida elasticidade ou expansão e serviço de mensuração. A definição também cita três modelos de serviço (software, plataforma ou infraestrutura) e quatro modelos de desenvolvimento (privado, comunitário, público e híbrido) que, juntos, categorizam modos de entrega de serviços em nuvem.

O objetivo da definição é servir como meio de comparação de serviços em nuvem e estratégias de desenvolvimento, além de prover um parâmetro para a discussão sobre o que é cloud computing e qual o melhor modo de usar o conceito.

“Quando agências ou empresas usam a definição, eles têm uma ferramenta para determinar em que medida as implementações de TI que estão fazendo estão de acordo com modelos e características de cloud computing. Isto é importante porque ao adotar uma nuvem autêntica, as empresas estão mais perto de dos benefícios prometidos como redução de custos e de energia, rápido desenvolvimento e melhoria do atendimento ao cliente. Além disso, o alinhamento de uma implementação com a definição pode ajudar na avaliação das características de segurança da nuvem”, diz Peter Mell, cientista de computação do NIST.

Antes de ser publicada, a definição recebeu a contribuição do INCITS (International Committee for Information Technology Standards), grupo que trabalhou para desenvolver um padrão internacional para a definição de cloud computing. O primeiro draft da definição foi criado em novembro de 2009. “Passamos por várias versões e discutimos o assunto com o governo e com a indústria, antes que tivéssemos uma versão estável”, lembra Mell.

A “versão estável”, a 15ª, foi publicada no site sobre cloud computing do NIST em julho de 2009. Em janeiro de 2011 esta versão foi publicada para receber comentários públicos. Os pesquisadores receberam uma série de retornos da sociedade, relacionadas principalmente a interpretação do conceito, de modo que a definição recebeu poucas alterações, todas feitas para garantir interpretações consistentes. A versão final da definição está disponível em:

http://csrc.nist.gov/publications/PubsSPs.html#800-145

Fonte: Convergência Digital – Hotsite Cloud Computing

Categories: Publicações || Tags: , , , , , ,

Page Dividing Line