O documento discute a questão 38 da prova objetiva do MPU sobre armazenamento em nuvem. Alega que embora os serviços de nuvem sigam padrões de segurança, não existe risco zero e há vulnerabilidades ainda desconhecidas. Também cita outra questão do CESPE que reconhece os riscos da nuvem, como perda de dados. Pede a anulação ou alteração do gabarito preliminar da questão.
1. Rio de Janeiro, 22 de Maio de 2013.
PARECER TÉCNICO
O parecer técnico solicitado tem como objeto a questão 38 da prova
objetiva para Cargo 1 – Analista do MPU - Área de Atividade Apoio
Jurídico, Especialidade: Direito, publicada no site
http://www.cespe.unb.br/concursos/MPU_13/arquivos/MPU13_CBNS1_01.pdf
em 21 de maio de 2013, elaborada pelo Cespe/UnB.
“O armazenamento em nuvem, ou em disco virtual, possibilita o
armazenamento e o compartilhamento de arquivos e pastas de modo
seguro, ou seja, sem que o usuário corra o risco de perder dados..”.
A questão apresenta o item como CERTO de acordo com gabarito
PRELIMINAR publicado pelo banca Cespe/UnB.
Analisando a questão entretanto, viemos por meio desta pleitear a
alteração de gabarito ou a ANULAÇÃO da mesma:
Ponderações:
Uma premissa da Segurança da Informação é de que não existe risco
zero, o risco pode ser baixo, pode tender a zero, mas nunca pode ser
zero.
Sabendo que o análise de risco é medida a partir do impacto e da
probabilidade da ocorrência de incidentes e que tal probabilidade é
aferida por vulnerabilidades e ameaças, existem vulnerabilidades que
ainda não foram descobertas e ameaças imprevisíveis que
caracterizam um risco residual.
As NBR:ISO 27001 e 27002 vem para estipular técnicas de segurança
para controle de SGSI e boas práticas. Os serviços da nuvem tendem a
seguir padrões internacionais, mas transferir a responsabilidade para
empresas terceiras da nuvem não extinguem completamente o risco,
podem transferir a responsabilidade, mas jamais extinguir o risco.
2. Podemos inclusive citar uma questão da banca deste ano que ratifica
esta posição.
CESPE / 2013 / SEGER / ES - Analista Executivo - Direito
Acerca de segurança da informação, assinale a opção correta.
a) Com o armazenamento dos dados na nuvem, o usuário não precisa
preocupar-se com vírus ou com becape, uma vez que a
responsabilidade passou a ser dos gestores de dados.
b) Worm é um tipo de vírus que pode capturar todo conteúdo digitado
no computador.
c) Firewall é um software que usa regras de segurança, com as funções
de aprovar pacotes de dados que atendam essas regras e de bloquear
os demais.
d) Não há semelhança entre antispywares e antivírus, que exercem
funções bem distintas.
e) Para garantir a segurança em um computador, é suficiente a
instalação do antivírus.
Gabarito: Letra C, logo a alternativa A é incorreta caracterizando o
risco do armazenamento na nuvem.
Ademais, se considerarmos as nuvens públicas (Skydrive, DropBox), o
controle de acesso é fraco o que pode implicar a captura da senha e a
perda de dados, como frequentemente vemos em situações de
WebMail e Redes Sociais.
Este documento é Assinado Digitalmente:
X
Renato dos Santos da Costa
Professor
Currículo Lates: http://lattes.cnpq.br/6315288152256525