30/12/2013
Confira entrevista exclusiva do especialista ao Portal ABES
Paulo Pabliusi, Ph.D. em Information Security, pela Royal Holloway University of London, mestre em Ciência da Computação pela Unicamp, presidente do Cloud Security Alliance Brasil Chapter, Diretor de Comunicação da Associação de Auditoria e Controles de Sistemas de Informação (ISACA-RJ) e sócio-diretor da Procela Inteligência em Segurança, compartilha seus conhecimentos e experiência sobre segurança em computação em nuvem nesta entrevista exclusiva para o Portal ABES, concedida durante o CSC Fórum 2013, realizado em São Paulo, onde apresentou a palestra "Espionagem Cibernética Globalizada - Novos Desafios para segurança de serviços baseados na Nuvem em Apoio ao Negócio".
Explique a importância da computação em nuvem para segurança das informações?
A computação, quando migrada para nuvens públicas, exige um modelo de segurança da informação que reconcilie a capacidade de expansão e multilocação de recursos computacionais com a necessidade de confiança. Assim que migram seus ambientes de computação para a nuvem, com suas respectivas identidades, infraestrutura e informações, as instituições se veem na eminência de abrir mão de certos níveis de controle. Para tanto, é necessário que elas confiem nos sistemas e nos provedores de nuvem e verifiquem seus processos e eventos. Fazem parte desse processo de confiança e verificação o controle de acesso, a segurança dos dados, o gerenciamento e monitoramento contínuo de eventos e informações. Em resumo, todos os elementos de segurança que são compreendidos por um departamento de TI, implantados com a tecnologia existente, com possibilidade de extensão para a nuvem.
Ao contrário do que usualmente acontece em um centro de dados tradicional, na nuvem a barreira que protege a infraestrutura é diluída. Nesse momento, a segurança passará a ser concentrada na informação. Os dados precisarão de segurança própria que os acompanhe e os proteja. Isso implicará no seu completo isolamento, já que precisam ser mantidos em segurança para que fiquem protegidos quando vários clientes usarem recursos compartilhados em uma infraestrutura de nuvem. Também é importante que a virtualização, o controle de acessos e a criptografia sejam suficientes para permitirem níveis alternáveis de separação entre corporações, usuários e comunidades de interesse.
A classificação de dados também é fundamental, uma vez que as empresas precisarão saber, exatamente, quais informações são importantes e onde elas estão localizadas, para lhes garantir a devida atenção, em especial quanto aos procedimentos de prevenção contra a perda de dados.
Em sua avaliação, como é possível garantir a segurança na nuvem?
São sete importantes princípios a seguir, quando o assunto é a segurança da informação em computação em nuvem:
1. Acesso privilegiado de usuários - A sensibilidade de informações confidenciais nas empresas obriga um controle de acesso dos usuários e informação bem específica de quem terá privilégio de administrador, para então esse administrador controle os acessos.
2. Compliance com regulamentação - As empresas são responsáveis pela segurança, integridade e confidencialidade de seus próprios dados. Os fornecedores de computação em nuvem devem estar preparados para auditorias externas e certificações de segurança.
3. Localização dos dados - A empresa que usa nuvem provavelmente não sabe exatamente onde os dados estão armazenados, talvez nem o país onde as informações estejam guardadas. O fornecedor deve estar disposto a se comprometer a armazenar e a processar dados em jurisdições específicas, assumindo um compromisso em contrato de obedecer aos requisitos de privacidade que o país de origem da empresa pede.
4. Segregação dos dados - Geralmente uma empresa divide um ambiente com dados de diversos clientes. É importante entender o que é feito para a separação de dados e que tipo de criptografia é seguro o suficiente para o funcionamento adequado da aplicação.
5. Recuperação dos dados - O fornecedor em nuvem deve saber onde estão os dados da empresa e o que acontece para recuperação de dados em caso de catástrofe. Qualquer aplicação que não replica os dados e a infraestrutura em diversas localidades está vulnerável a falha completa. Importante ter um plano de recuperação completa e um tempo estimado para tal.
6. Apoio à investigação - A auditabilidade de atividades ilegais pode se tornar impossível em computação em nuvem, uma vez que há uma variação de servidores conforme o tempo onde estão localizados os acessos e os dados dos usuários. Importante obter um compromisso contratual com a empresa fornecedora do serviço e uma evidência de sucesso no passado para esse tipo de investigação.
7. Viabilidade em longo prazo - No mundo ideal, o fornecedor de computação em nuvem jamais vai falir ou ser adquirido por uma empresa maior. A empresa precisa garantir que os seus dados estarão disponíveis caso o fornecedor de nuvem deixe de existir ou seja migrado para uma empresa maior. Importante haver um plano de recuperação de dados.O capítulo Brasil da Cloud Security Alliance, entidade sem fins lucrativos que represento após ser eleito presidente em setembro de 2013, possui como missão a utilização das melhores práticas para a prestação de garantia de segurança dentro da computação em nuvem, e oferecer educação sobre os usos de computação em nuvem para ajudar a proteger todas as outras formas de computação.
O que é espionagem cibernética e qual a real posição do Brasil em relação a este assunto?
A guerra cibernética é uma modalidade onde a conflitualidade não ocorre com armas físicas, mas através da confrontação com meios eletrônicos e informáticos no chamado ciberespaço. No seu uso mais comum e livre, o termo é usado para designar ataques, represálias ou intrusão ilícita num computador ou numa rede. A espionagem cibernética é um ato praticado no contexto de guerra cibernética para se obter informações sigilosas de governos de países. A violação desse sigilo pode causar muitos danos reais ao país atacado.
A presidente Dilma deixou bem clara a posição do Brasil em relação a este assunto, em seu recente discurso de abertura da 68ª Assembleia-Geral das Nações Unidas, em Nova York, afirmando que as ações de espionagem dos Estados Unidos no Brasil “ferem” o direito internacional e “afrontam” os princípios que regem a relação entre os países. Segundo ela, “imiscuir-se dessa forma na vida dos outros países fere o direito internacional e afronta os princípios que devem reger as relações entre eles, sobretudo, entre nações amigas”.
Quais são as principais ameaças à segurança das empresas?
As três principais ameaças à segurança da informação das empresas são:
-
Perda de Confidencialidade: quando há uma quebra de sigilo de uma determinada informação (ex: a senha de um usuário ou de um administrador de sistema), permitindo que sejam expostas informações restritas que seriam acessíveis apenas por um determinado grupo de usuários autorizados.
-
Perda de Integridade: acontece quando uma determinada informação fica exposta a uma pessoa não autorizada, que efetua alterações que não foram aprovadas e não estão sob o controle do proprietário (corporativo ou privado) da informação.
-
Perda de Disponibilidade: acontece quando a informação deixa de estar acessível por quem necessita dela. Por exemplo, a perda de comunicação com um sistema importante para a empresa, ocorrida com a queda de um servidor ou de uma aplicação crítica de negócio, que apresentou uma falha devido a um erro causado por motivo interno ou externo ao equipamento ou por ação não autorizada de pessoas com ou sem má intenção.