ANÁLISE DE SEGURANÇA NA CONTRATAÇÃO DE SERVIÇOS EM NUVEM

Comparativo Estados Unidos e Brasil

Autores

DOI:

https://doi.org/10.31510/infa.v17i2.855

Palavras-chave:

Segurança da Informação, Computação em Nuvem, Gestão de Riscos

Resumo

Este trabalho tem o objetivo de descrever e analisar práticas correntes de avaliação da segurança da informação na adoção de serviços de computação em nuvem. Ele discute o esforço empregado na realização destas práticas e elenca as melhorias necessárias para aumento da eficiência na execução do processo de avaliação de riscos e implementação de controles no Brasil. O artigo realiza uma revisão de duas abordagens governamentais utilizadas na gestão de riscos para a adoção de serviços de computação em nuvem: O Federal Risk and Authorization Management Program ou FedRAMP e os processos do governo brasileiro para gestão de riscos em segurança da informação. O estudo elenca ações como a manutenção de conjuntos pré-definidos de controles, o reúso das análises realizadas para qualificação dos sistemas e a categorização das informações quanto ao sigilo em grandes blocos como formas de avançar no processo de avaliação no Brasil. As formas de execução desta avaliação impactam diretamente nos desenhos das soluções, no desenvolvimento dos serviços, e nos modelos de contratação.

Downloads

Não há dados estatísticos.

Biografia do Autor

Marcio de Carli, Pontifícia Universidade Católica de Minas Gerais – Belo Horizonte – MG – Brasil

Possui graduação em Ciência da Computação pela Universidade Estadual de Campinas (2009) e graduação em Engenharia de Alimentos pela Universidade Estadual de Campinas (2001). Especialista em gestão e estratégia de empresas pela FUNCAMP 2005. Atuou como tecnologista no Instituto de Aeronáutica e Espaço - IAE de 2010 a 2014. Desde 2014 atua como Analista Tributário, na Coordenação de Tecnologia da Informação da RFB na área de Segurança da Informação. Tem experiência na área de Ciência da Computação/Tecnologia da Informação/Segurança da Informação. Atualmente cursa Especialização em Segurança da Informação no IESB em Brasília e Especialização em Ciência de Dados e Big Data na PUC Minas.

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 31000:2018: Gestão de riscos - Diretrizes. Rio de Janeiro, 2018. 17 p.

______. ISO/IEC 27005:2018: Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação. Rio de Janeiro, 2019. 66 p.

BRASIL. GSI/PR. Norma Complementar 04/IN01/DSIC/GSI/PR. Brasília, DF, 15 fev. 2013. Disponível em: <http://dsic.planalto.gov.br/legislacao/nc_04_grsic.pdf>. Acesso em: 23

nov. 2018.

______. Norma complementar 14/IN01/DSIC/GSI/PR. Brasília, DF, 19 mar. 2018. Disponível em: <http://dsic.planalto.gov.br/arquivos/documentos-pdf/NC_14_R01.pdf>. Acesso em: 25 jul. 2018.

______. Norma complementar 20/IN01/DSIC/GSI/PR. Brasília, DF, 15 dez. 2014. Disponível em: <http://dsic.planalto.gov.br/legislacao/copy_of_NC20_Revisao01.pdf>. Acesso em: 23

nov. 2018.

BRASIL. MINISTÉRIO DA ECONOMIA. Instrução normativa no 1, de 10 de

janeiro de 2019. Diário Oficial da União, Brasília, DF, 10 jan. 2019.

Disponível em: <https://www.comprasgovernamentais.gov.br/index.php/legislacao/

instrucoes-normativas/1068-in-1-de-2019>. Acesso em: 18 fev. 2020.

______. Pregão eletrônico no 29/2018. Brasília, DF, 2018. Disponível em: <http://www.planejamento.gov.br/acesso-a-informacao/licitacoes-e-contratos/licitacoes/pregao/2018/pregao-eletronico-no-29-2018>. Acesso em: 18 fev 2020.

GSA. FedRAMP: The federal risk and authorization management program. 2019. Disponível em: <https://www.fedramp.gov/>. Acesso em: 05 dez. 2019.

HART M., MANADHATA P., JOHNSON R. (2011) Text Classification for Data Loss Prevention. In: Fischer-Hübner S., Hopper N. (eds) Privacy Enhancing Technologies. PETS 2011. Lecture Notes in Computer Science, vol 6794. Springer, Berlin, Heidelberg. DOI: https://doi.org/10.1007/978-3-642-22263-4_2.

MAKHLOUF, R. Cloudy transaction costs: a dive into cloud computing economics. J Cloud Comp 9, 1 (2020). DOI: https://doi.org/10.1186/s13677-019-0149-4.

OPARA-MARTINS, J., SAHANDI, R. & TIAN, F. Critical analysis of vendor lock-in and its impact on cloud computing migration: a business perspective. J Cloud Comp 5, 4 (2016). DOI: https://doi.org/10.1186/s13677-016-0054-z.

TCU. Acórdão no 1.739/2015. Brasília, DF, 15 jul. 2015. Disponível em: <http://www.tcu.gov.br/Consultas/Juris/Docs/judoc/Acord/20150720/AC_1739_24_15_P.doc>. Acesso em: 25 jul. 2018.

U.S DEPARTMENT OF COMMERCE. FIPS 200. 2006. Disponível em:

<https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.200.pdf>. Acesso em: 05 dez. 2019.

______. FIPS 199. 2004. Disponível em:

<https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf>. Acesso em: 05 dez. 2019.

______. FISMA Implementation Project: Risk management framework (rmf) overview. 2019. Disponível em: <https://csrc.nist.gov/projects/risk-management/risk-management-framework-(RMF)-Overview>. Acesso em: 05 dez. 2019.

______. NIST-SP 500-291 v2. 2013. Disponível em: <https://www.nist.gov/system/files/documents/itl/cloud/NIST_SP-500-291_Version-2_2013_June18_FINAL.pdf>. Acesso em: 01 dez. 2020.

______. NIST SP 800-37 rev.2. 2018. Disponível em: <https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final>. Acesso em: 18 fev. 2020.

______. NIST SP 800-53 rev.4. 2015. Disponível em:<https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final>. Acesso em: 05 dez.

U.S. FISMA. 2002. Disponível em: <https://csrc.nist.gov/CSRC/media/Projects/Risk-Management/documents/FISMA-final.pdf>. Acesso em: 05 dez. 2019.

U.S. FISMA. 2014. Disponível em: <https://www.congress.gov/bill/113th-congress/senate-bill/2521>. Acesso em: 19 fev. 2020.

VASCONCELOS, F. V. et al. A segurança jurídica da computação em nuvem: Responsabilidade jurídica na proteção de dados digitais por parte dos provedores de

aplicação de internet. 2017.

VIMERCATI, S. C.; FORESTI, S. Quasi-identifier. In: Encyclopedia of Cryptography and Security. Boston, MA: Springer US, 2011. p. 1010–1011. ISBN 978-1-4419-5906-5. DOI: https://doi.org/10.1007/978-1-4419-5906-5_763.

Downloads

Publicado

18/12/2020

Como Citar

DE CARLI, M. ANÁLISE DE SEGURANÇA NA CONTRATAÇÃO DE SERVIÇOS EM NUVEM: Comparativo Estados Unidos e Brasil. Revista Interface Tecnológica, [S. l.], v. 17, n. 2, p. 31-43, 2020. DOI: 10.31510/infa.v17i2.855. Disponível em: https://revista.fatectq.edu.br/index.php/interfacetecnologica/article/view/855. Acesso em: 1 ago. 2021.

Edição

Seção

Tecnologia em Informática