Em todo o mundo, o principal aspecto apresentado nos fóruns mundiais de computação em nuvem em que tenho participado, o que restringe a contratação desses serviços é a segurança. Muito se fala e se publica sobre a insegurança de acesso remoto a serviços, insegurança das informações situadas na infraestrutura de terceiros e não própria, ou do compartilhamento de equipamentos que contenham dados e processos de diversas empresas clientes e não exclusiva como de costume. Ou do acesso a serviços estabelecidos nas nuvens que é feito com variados usuários simultaneamente e a preocupação com níveis de segurança de alçadas e garantia de níveis de serviços.
A insegurança perpassa o pessoal de TIC, que estará distante das infraestruturas que habitualmente tem ao alcance das mãos o que proporciona um falso conforto pela presença física, junto aos equipamentos. As modalidades de computação em nuvem: software, plataforma e infraestrutura como serviços estão incluídas na insegurança, cada qual com suas particularidades, porém vou abordar a segurança da computação em nuvem pelo acesso.
O acesso a serviços em nuvem requer uma detida análise, porque fatalmente qualquer serviço requer autorização, e o agente que acessa tem que responder por seus comandos ao serviço, e até ser acionado na justiça caso haja crimes associados a esse acesso. Portanto o uso de login e senha, mais comum atualmente para esse fim, deve ser forte o suficiente para evitar acessos indevidos. Esse tipo de acesso indevido, deveria ser passivo de punição pela autoria do crime sem deixar dúvidas de origem, e com provas que tenham validade jurídica reconhecida pela lei. O login e senha hoje tem custo menor e é de mais fácil gestão, e generalizadamente utilizado, mas tem sido amplamente fraudado, a identificação de usuário e suas senhas foram vazados em serviços importantes como: linkedin em 6 de Junho de 2012, yahoo que teve 440 mil senhas vazadas, Twiter com 55 mil usuários publicados no paste.bin e outros como gmail, hotmail, last .FM, Play station, Four square etc..
Com esses eventos maléficos, o login e senha tornaram-se foco de ações para fortifica-los tais como: uso de números e letras, tamanho da senha, introdução de caracteres especiais, o que exige mais das pessoas que acessam, e elas acabam registrando para não esquecer, tornando o acesso ilícito mais fácil, e tudo isso ainda não tem a eficácia necessária para aumentar a segurança. Por que o login e senha continuam, a trafegar na rede ou está depositado no bloco de notas, e no computador onde se dá o acesso, nesse caso na nuvem. Alguns fatores técnicos que viabilizam um acesso com uma autenticação e uma identificação segura de determinado sistema não são garantidos com o login e senha, atributos como: O que eu sou? O que eu tenho? O que eu sei? São partes integradas fundamentais de identificação que proporcionam segurança, que só estão presentes na certificação digital. O que diz quem eu sou é o certificado digital com os meus dados, o que eu tenho é um dispositivo que pode ser cartão ou token e o que eu sei é a senha disponível somente no dispositivo, portanto, não trafega em qualquer rede.
No caso de uso, no sistema de login e senha, essas três perguntas tem as seguintes respostas: O que eu sou é geralmente o login que se for o e-mail todos têm acesso, não há nenhum dispositivo para responder o que eu tenho, e o que eu sei (a senha) está em um banco de dados que pode não estar cifrado, e portanto acessível a mal uso. O uso do cartão magnético ou token com certificação digital não transmite a senha na Internet, permanecendo no dispositivo, como chave privada. Nesse caso os dados do titular e a senha não ficam armazenados em servidores, pelo contrário, ficam apenas no token ou cartão com tecnologia para destruir a identidade e senha caso haja tentativa de invasão no dispositivo. O certificado digital exige menos do usuário que apenas tem que memorizar uma única chave para qualquer serviço que contemple assinatura digital, com a vantagem de possuir as características de validade jurídica, não repúdio de autoria e integridade do conteúdo. O login e senha não tem validade jurídica pela lei Brasileira, e a comprovação do uso indevido exige análise forense cara e demorada. Portanto o certificado digital ainda é a melhor forma de acesso a serviços em nuvem.
Mestre em Engenharia de software: redes de computadores pelo IPT - USP, Bacharel em Ciências Econômicas e em Ciências de Computação, ambos na Universidade Estadual de Campinas. É Certificado pelo PMI em Gestão de Projetos – PMP e Conselheiro de Administração e Fiscal – IBGC/CCI. Experiência em empresas multinacionais, nacionais e públicas de grande porte: IBM, Ericsson, Unisys, Atos Origin e no SERPRO como diretor de gestão empresarial. Atuação executiva nas áreas de TIC, Finanças e venda de soluções. Conhecimento e habilidade nas áreas de: Planejamento, Gestão, Comercial, Projetos, Certificação Digital, Viabilidade Econômica/Financeira, Segurança e Sustentabilidade. Hoje exerce cargo de Assessor da Presidência do ITI – Instituto de Tecnologia da Informação – responsável pela ICP Brasil. Autarquia supervisionada pela Casa Civil do Governo Federal. Participa da câmara de segurança e é membro substituto ambos no CGI.BR.
You must be logged in to post a comment.
