Beruflich Dokumente
Kultur Dokumente
São Luís – MA
2018
1
SUMÁRIO
2
1. CLOUD, IaaS E NUVEM PÚBLICA
3
2. ANÁLISE DE RISCO
4
2.1 Análise de risco geral na Infraestrutura como Serviço (IaaS)
São identificados e caracterizados alguns potenciais riscos geradores de eventos com
impacto negativo, classificados de acordo com a ameaça produzida ou seja o risco que
representam para a empresa cliente, os Cloud Services Customer (CSC). Estes riscos são
tipificados em Indisponibilidade da informação, Perda, Roubo, ou Divulgação de dados
sensíveis.
O modelo de serviço IaaS permite a um CSC usar determinada infraestrutura, que
pode ir desde as instalações para alojar equipamentos informáticos em ambiente perfeitamente
controlado, até aos equipamentos propriamente ditos, como servidores, processadores,
memória RAM, espaço para guardar informação (storage) e serviços de rede (switching e
networking). Destacamos alguns fatores de riscos do IaaS:
● Multitenancy e falha de isolamento – incorpora riscos de Roubo e/ou Divulgação -
um dos grandes benefícios da Cloud reside na possibilidade de partilha de recursos de
hardware e software por várias entidades (tenants). Neste ambiente multitenant é
fundamental que os recursos partilhados sejam totalmente isolados e protegidos de
forma que não haja divulgação de dados por outros tenants, por exemplo em situações
de realocação de recursos, sendo esse o risco que deve ser controlado e mitigado;
● Falta de visibilidade das medidas técnicas de segurança no local - inclui riscos de
Perda, Roubo, Indisponibilidade e/ou Divulgação - Responsabilidade da NTC fornecer
as capacidades contratadas, garantindo que não tenha falhas de segurança através de
uma adequada governação e política de segurança que vá de encontro às necessidades
do cliente;
● Ausência de Disaster Recovery Plan (DRP) e backup – inclui riscos de
Indisponibilidade e/ou Perda - este fator implica um alto grau de risco pelo que a NTC
deve assegurar estas medidas básicas preventivas alinhadas com as necessidades do
cliente;
● Segurança física – integra riscos de Roubo e/ou Divulgação - no modelo IaaS em que
os recursos são partilhados por várias entidades, é essencial que a NTC assegure
medidas de segurança física [ISO/IEC 27002:2013] que previnam o acesso não
autorizado ou a destruição de informação sensível ou vital; A segurança física diz
respeito às instalações dos servidores. Os cuidados envolvem manter a temperatura do
local em níveis baixos, possuir fonte de energia elétrica alternativa e permitir que
5
apenas funcionários autorizados frequentem o espaço onde estão instalados os
servidores, por isso a utilização de backups caso ocorra algo inesperado.
● Eliminação dos dados – inclui risco de Divulgação - o CSP deve garantir medidas
adequadas de destruição da informação depois de terminados os contratos, de forma a
evitar a recuperação e divulgação de informação crítica e sensível dos clientes;
● Infraestrutura Offshoring – integra riscos de Indisponibilidade, Perda, Roubo e/ou
Divulgação - a mudança para uma infraestrutura offshoring( Infraestrutura de baixo
custo) aumenta a possibilidade de ataques que poderão afetar os ativos no cloud da
organização. Normalmente estes ataques são perpetuados através das comunicações,
expondo tanto a “nuvem” como a infraestrutura interna da organização, tanto do cliente
como do CSP;
● Autenticidade do Cloud Service Provider – incorpora riscos de Indisponibilidade,
Perda, Roubo e/ou Divulgação - é da responsabilidade do cliente dos serviços de TI na
Cloud a verificação da autenticidade e credibilidade do CSP, nomeadamente quanto à
sua “saúde” financeira, rentabilidade dos últimos 3 anos, referências de mercado e
garantias de terceiros.
6
3. Ativos e riscos
É fundamental conhecer e analisar a infraestrutura da empresa para prevenir
problemas futuros que possam prejudicar a empresa, abaixo podemos analisar algumas tabelas
que detalham e falam de forma mais específica quais seriam os ativos, físicos e virtuais, da
NTC Cloud Computing, associando-os a suas respectivas características dentro da empresa,
suas vulnerabilidades e seus riscos.
Nome do
Categoria Ativo Relevância Confidencialidade Integridade
Equipamentos Roteador Muito Alta Alta Muito Alta
Equipamentos DataCenter Muito Alta Muito Alta Muito Alta
Serviço Web Firewall Baixa Muito Alta Muito Alta
Suporte No-Break Muito Alta Baixa Baixa
Suporte Gestão de TI Muito Alta Alta Alta
Equipamentos CFTV Muito Alta Médio Médio
Cabeamento Servidores Alta Muito Alta Muito Alta
Serviço Web Backup Baixa Muito Alta Muito Alta
Serviço Web Storages Alta Alta Muito Alta
Tabela 1. Ativos e suas características dentro da empresa