White Papers

Exposição de Dados em
Segurança nas Nuvens
André Luis Fogaça Kos

Conviso IT Security | Operations Team

BRASILIA | CURITIBA | SÃO PAULO

Escritório Central
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
t (41) 3095.5736
t (41) 3095.3986
www.conviso.com.br
 Conviso IT Security

Exposição de Dados em Ensinando Privacidade

Quando falamos de privacidade [5], o que nos
Segurança nas Nuvens preocupa de imediato são as milhares de
câmeras que nos seguem onde quer que
por André L. F. Kos
estejamos, o sinal do celular que registra em que
Conviso IT Security | Operations Team
regiões da cidade estamos, é o acesso indevido
aos nossos dados armazenados nos órgãos do
Introdução
governo, bancos e nas empresas com as quais
Perguntas sobre segurança na nuvem e
transacionamos e tudo onde tem nossa
viabilidade do armazenamento de informações
informação. Porém, precisamos aprender que
críticas em serviços baseados na web foram
privacidade começa com a atitude de cada
levantadas após um incidente que envolveu o
pessoa. Nestes últimos dias têm sido divulgadas
Twitter [1] e o Google Apps [2], onde um cracker
notícias onde as pessoas não cuidam da sua
obteve e distribuiu mais de 300 documentos
privacidade de forma adequada e sofrem
confidenciais, relativos ao Twitter, que estavam
conseqüências.
armazenados nos aplicativos do Google [3].
O primeiro caso conta que dois adolescentes, de
De acordo com o analista do Gartner, John
livre e espontânea vontade, se colocaram à
Pescatore [3], os clientes devem lembrar que o
frente da câmera do computador, se conectaram
Twitter e a maioria dos aplicativos do Google, até
na TwitterCam e começaram a trocar carícias
18 meses atrás, foram desenvolvidos para o
íntimas e se exoborem em cenas próximas ao
compartilhamento de informações e não para
sexo explícito. Em pouco tempo, além dos
proteger as informações e evitar que elas sejam
assistentes on line, milhares de pessoas viram as
transferidas. Com a recente oferta de software
cenas em site de divulgação de filmes. Como
que rodam na nuvem, é comum surgirem
são menores de idade, irão receber punição
dúvidas sobre que software deve ou não ser
cabível, mas, em função das regras da nossa
hospedado na web ou se no futuro todo
sociedade, a garota é quem está sofrendo mais
software estará instalado somente na grande
e segundo reportagens, a família pensa em
rede [4].
mudar de cidade. Ainda em seu blog, Edison
Um exemplo recente foi o cancelamento da Fontes, CISM, CISA [5], chega a uma conclusão
prova do Exame Nacional do Ensino Médio de que é necessário ensinar privacidade.
(ENEM). Segundo o Jornal Estado de São Paulo “Precisamos ensinar às pessoas que não
[5], uma falha do Instituto Nacional de Estudos e podemos colocar a culpa nos outros e na
Pesquisas Educacionais (INEP) permitiu acesso imprensa por divulgar notícias que foram
livre aos dados pessoais de 12 milhões de geradas pelas próprias pessoas”.
inscritos nas últimas três edições do Exame.
Realmente existe Segurança nas
O que é mais grave é que, ao ser avisado pelo Nuvens?
Jornal, o INEP afirmou que os dados seriam Um dos maiores riscos da computação em
acessados apenas pelas instituições de ensino, nuvem é o desconhecido, já que muitos
mediante identificação e senha. Isto é,
fornecedores são empresas relativamente novas
aparentemente, não foi feito nenhum teste, pois,
ou oferecem serviços em nuvem há pouco
se tivessem sido realizados testes básicos, a falha
t e m p o . " C a d a c o m p a n h i a é d i f e re n t e ,
teria sido facilmente identificada. Seguindo ainda
começando por quanto cada uma investe em
essa teoria, o que poderia ter sido feito era tratar a
segurança da informação como um processo, segurança, com base em tamanho e

considerar todas as dimensões e ter um crescimento e também na sofisticação do grupo

profissional com experiência nesta prática como de gerenciamento", diz Cakebread, ex-
parte da equipe do projeto com a autonomia e Salesfroce. Mark Nicolett, vice-presidente de
autoridade adequadas [5]. pesquisas da Gartner, relata que o foco dos

White Paper | Exposição de Dados em Segurança nas Nuvens! 1


fornecedores está, em primeiro lugar, em suas
capacidades principais, como backup de dados
ou entrega de aplicativos para Recursos
Humanos: "A segurança é, geralmente, o último
componente adicionado à uma nova tecnologia,
e em computação em nuvem não foi
exceção"[6].
A Computação nas Nuvens ou Cloud Computing
é considerada uma evolução natural da
computação atual e onde, a cada dia, empresas
investem em ritmo crescente nesta tecnologia.
Uma das principais vantagens é a virtualização
de produtos e serviços computacionais,
proporcionando uma redução dos altos custos
com tecnologia e infra-estrutura local, além
disso, as empresas ganham praticidade e
versatilidade, pois os serviços são obtidos de
maneira mais fácil e transparente [7]. Abaixo
segue um vídeo demonstrativo e ilustrativo [8] de
Segurança nas Nuvens, abordando alguns
temas conhecidos da web:
Screen Shot do vídeo demonstrativo disponibilizado no
YouTube em http://www.youtube.com/watch?
v=8RMWO9JxZjA&feature=related
Conclusões
Caso ainda se pergunte se vale a pena expor
seus dados em sites de relacionamento e meios
de comunicação, vale do ponto de vista
profissional, como é o caso do LinkedIn [9]. Nele
você monta um currículo online, onde pode ter
uma rede de amigos onde possa compartilhar
informações profissionais e fazer indicações para
o mercado de trabalho. Fontes como essas são
válidas, porém deve-se manter o mínimo de
segurança possível para não expor informações
privadas de sua empresa e de si próprio.
White Paper | Exposição de Dados em Segurança nas Nuvens!
Conviso IT Security
A Segurança da Informação é um bem
necessário e todos devem manter-se antenados.
Já com a Segurança nas Nuvens, é preciso uma
abordagem e segurança diferentes,
referenciando sempre que os dados e aplicativos
que são utilizados estão expostos na web, onde
todos podem ter contato e estão mais
vulneráveis a perdas e furtos. Ou seja, não basta
ao usuário se preocupar em onde ele vai acessar
esses dados (Lan Houses ou Cafés), e sim em
como é tratado esse tipo de informação, se ele
se preocupa em como isso é confidencial (no
caso do seu login e senha), na integridade dos
dados (vazar informações confidenciais em um
site de relacionamentos) e da disponibilidade
relacionada (assegurar que apenas as pessoas
que tem acesso possam visualizar suas
informações).
Referências
[1] http://www.twitter.com
[2] http://www.google.com/apps
[3] http://www.ipnews.com.br/voip/infra-
estrutura/seguranca/invas-o-do-twitter-e-do-
google-apps-levanta-questoes-sobre-
seguranca-em-nuvem.html
[4] http://convergenciadigital.uol.com.br/cgi/
cgilua.exe/sys/start.htm?
infoid=20210&sid=15
[5] http://www.itweb.com.br/blogs/blog.asp?
cod=58
[6] http://www.itweb.com.br/noticias/
index.asp?cod=62822
[7] http://www.fatecjp.com.br/revista/art-
ed02-001.pdf
[8] http://www.youtube.com/watch?
v=8RMWO9JxZjA&feature=related
[9] https://www.linkedin.com
Sobre o Autor
André Kos atua com informática desde 2003,
acumulando experiência em consultoria e
processos de Help Desk. Iniciou suas atividades
na Conviso IT Security em 2008, onde trabalha
como Gerente de Projetos, responsável por
coordenar as atividades da equipe de consultoria
e a troca de conhecimento com o Conviso
Security Labs.
2