REGISTRO DOI: 10.69849/revistaft/fa10202102101847
Alexandre Leal Calgaro
RESUMO
A computação em nuvem transformou significativamente a maneira como as organizações gerenciam e armazenam suas informações, oferecendo soluções escaláveis e eficientes. No entanto, a migração para a nuvem também introduziu uma série de desafios de segurança que necessitam de atenção meticulosa. Este artigo explora as complexidades da segurança na computação em nuvem, destacando os principais riscos, vulnerabilidades e estratégias de mitigação eficazes. Através de uma abordagem qualitativa que inclui revisão de literatura e análise documental, o estudo identifica práticas que podem ser adotadas para proteger os ambientes de nuvem. As conclusões enfatizam a importância de uma gestão de segurança proativa e adaptativa que acompanhe as evoluções tecnológicas e as ameaças emergentes, garantindo a integridade e a privacidade dos dados armazenados na nuvem.
Palavras-chave: Computação em nuvem, Segurança da informação, Vulnerabilidades, Gestão de riscos, Proteção de dados.
ABSTRACT
Cloud computing has profoundly transformed how organizations manage and store their information, providing scalable and efficient solutions. However, migrating to the cloud has also introduzem a range of security challenges that require meticulous attention. This article explores the complexities of cloud computing security, highlighting key risks, vulnerabilities, and effective mitigation strategies. Through a qualitative approach that includes literature review and document analysis, the study identifies practices that can be adopted to protect cloud environments. The findings emphasize the importance of proactive and adaptive security management that keeps pace with technological evolutions and emerging threats, ensuring the integrity and privacy of data stored in the cloud.
Keywords: Cloud computing, Information security, Vulnerabilities, Risk management, Data protection
1 INTRODUÇÃO
A adoção da computação em nuvem tem crescido exponencialmente nos últimos anos, impulsionada pela promessa de eficiência operacional, redução de custos e flexibilidade escalável. No entanto, a migração de infraestruturas tradicionais de TI para ambientes de nuvem trouxe à tona complexas questões de segurança, que se tornaram um dos principais focos de preocupação para organizações que lidam com dados sensíveis e confidenciais.
A natureza distribuída e o modelo de serviço da computação em nuvem introduzem riscos de segurança únicos, que não estão presentes nos sistemas de TI convencionais. Entre esses riscos, destacam-se o acesso privilegiado de usuários, a observância de regulamentações específicas e a localização física dos dados, que podem atravessar fronteiras nacionais e estar sujeitos a legislações divergentes.
Este artigo visa explorar a segurança da computação em nuvem, analisando as vulnerabilidades inerentes a este modelo de computação e as ameaças que estas vulnerabilidades apresentam para a segurança dos dados. O estudo se aprofunda nas práticas de segurança que podem ser adotadas para mitigar tais riscos, garantindo a integridade, a confidencialidade e a disponibilidade das informações.
Este trabalho examina a eficácia das regulamentações atuais e das normas de segurança que governam a computação em nuvem. A adequação dessas normas é importante para o desenvolvimento de estratégias de segurança efetivas e para o estabelecimento de um ambiente de nuvem confiável.
A segurança na computação em nuvem não se limita apenas à proteção tecnológica, também envolve uma série de políticas e procedimentos que precisam ser seguidos para assegurar que os dados não apenas estão protegidos contra acessos não autorizados, mas também são gerenciados de forma a cumprir com as regulamentações de proteção de dados vigentes.
A partir das análises realizadas, este artigo propõe um conjunto de melhores práticas e recomendações para organizações que buscam migrar para a nuvem ou que já estão operando neste ambiente. As sugestões são projetadas para ajudar essas organizações a fortalecer suas posturas de segurança e a melhorar a gestão de riscos associados à computação em nuvem.
2 REFERENCIAL TEÓRICO
2.1 COMPUTAÇÃO NA NUVEM
Computação na Nuvem representa um modelo revolucionário de computação que permite ao usuário final acessar uma vasta gama de dados, aplicativos e serviços de qualquer local, sem restrições de plataforma, necessitando apenas de uma conexão à internet para se conectar à “nuvem”. Segundo Buyya et al. (2009):
Uma nuvem é um sistema paralelo e distribuído, composto por uma coleção de computadores virtualizados e interligados, que são oferecidos dinamicamente como um ou mais recursos computacionais unificados, baseados em acordos de nível de serviço negociados entre o fornecedor e os consumidores.
Nos Anais do EATI – Encontro Anual de Tecnologia da Informação e Semana Acadêmica de Tecnologia da Informação, destaca-se que uma das principais vantagens da computação em nuvem é a capacidade de acessar dados e aplicações de qualquer lugar, necessitando apenas de uma conexão estável à internet, o que proporciona flexibilidade e mobilidade para os usuários.
A computação em nuvem adota o modelo de pagamento por uso, permitindo ao usuário pagar exclusivamente pelo que utiliza, evitando o desperdício de recursos. Os recursos podem ser rapidamente escalados conforme a necessidade, com cobranças baseadas no consumo de recursos, como o número de horas de CPU usadas e o volume de dados armazenados.
A redução de custos com energia elétrica também é significativa, uma vez que manter servidores ligados constantemente com sistemas de refrigeração e infraestrutura com no-breaks representa um grande investimento. Além disso, não é necessário preocupar-se com manutenção de hardware, backups de dados ou controle de segurança, pois estes serviços são responsabilidade do fornecedor.
2.2 SEGURANÇA DO COMPUTADOR
Nas últimas décadas, com o advento dos computadores, surgiu a necessidade de desenvolver ferramentas automatizadas para a proteção de arquivos e dados armazenados nos sistemas, processo conhecido como segurança de computador.A segurança em redes de computadores envolve a proteção de informações, sistemas, recursos e outros ativos, com o objetivo de diminuir a probabilidade de incidentes que comprometam a segurança dos dados. A defesa contra diversos tipos de ameaças assegura a continuidade dos negócios, reduz riscos e aumenta o retorno sobre o investimento.
A segurança da informação é alcançada através de uma combinação de políticas de segurança, processos, procedimentos, estruturas organizacionais e recursos de hardware e software, que devem ser constantemente estabelecidos, implementados, monitorados, revisados e atualizados (Bezerra, 2014).
De acordo com Nist (2005), a segurança da informação é definida como a proteção de sistemas de informação automatizados para garantir a integridade, disponibilidade e confidencialidade dos recursos do sistema. Campos (2006) afirma que a confidencialidade se refere ao acesso restrito às informações, sendo limitado apenas às pessoas autorizadas. Qualquer acesso não autorizado, intencional ou não, por exemplo, através do acesso a documentos ou descoberta de senhas, é considerado um incidente de segurança por violação de confidencialidade.
A integridade dos dados é a garantia de que as informações e os programas sejam alterados apenas de maneira especificada e autorizada. A integridade do sistema assegura que o sistema desempenhe sua função designada de forma eficaz, sem manipulação não autorizada (NIST, 2005).
A disponibilidade, por sua vez, é a certeza de que os usuários autorizados possam acessar as informações e os ativos relacionados sempre que necessário, com os recursos protegidos contra perdas ou degradação (NBR ISO/IEC 27002:2005).
2.2.1 Provedores de computação em nuvem
Existem inúmeros provedores de armazenamento em nuvem disponíveis online, com novos surgindo frequentemente. Além dos provedores de armazenamento genéricos, existem aqueles especializados em nichos específicos. Os investimentos em segurança por parte desses provedores geralmente são proporcionais ao que é prometido nos contratos com os clientes (Bezerra, 2014).
O armazenamento de dados na nuvem oferece vantagens significativas, como a proteção contra perdas de dados devido a eventos imprevistos. Assim, estabelecer uma rotina regular de backup de dados críticos na nuvem é prudente, pois desastres como incêndios ou eventos naturais podem devastar operações locais. Confiar exclusivamente em backups locais pode resultar em recuperações ineficazes em momentos críticos.
Devido à sua infraestrutura massiva, os provedores de nuvem são capazes de oferecer níveis elevados de segurança. A segurança de redes lógicas e físicas é onerosa, mas os custos se tornam mais acessíveis para os clientes quando distribuídos através de grandes provedores de serviços de internet.
Para proteger os dados, a maioria dos provedores emprega uma combinação de técnicas e práticas recomendadas de segurança lógica e física (ISO 17799:2000), incluindo:
a) Criptografia: Utilização de algoritmos complexos para codificar informações, acessíveis apenas por meio de chaves detidas pelo cliente ou pessoas autorizadas;
b) Processo de Autenticação: Registro de usuários combinado com métodos de autenticação, como nome de usuário e senha;
c) Práticas de autorização: Classificação de informações por parte das empresas e concessão de acesso apenas ao necessário para as atividades laborais.
A possibilidade de um provedor encerrar suas atividades é real, assim como a necessidade de uma organização mudar de provedor devido à insatisfação com o serviço. A portabilidade dos dados é importante nesses casos, embora incompatibilidades entre diferentes provedores possam complicar o processo.
A diversidade de ferramentas e softwares usados pelos provedores de nuvem, sem um padrão unificado, pode atrasar a portabilidade. Portanto, é essencial analisar cuidadosamente um provedor antes de contratar seus serviços.
A reputação também é importante para os provedores de armazenamento em nuvem, um provedor percebido como não confiável terá dificuldades em manter clientes e, consequentemente, em sustentar sua posição no mercado.
2.3 SEGURANÇA E NORMATIZAÇÃO DO USO DOS SERVIÇOS EM NUVEM
A computação em nuvem promete reduzir custos em tecnologia da informação para organizações, através da simplificação de ambientes, redução de encargos administrativos e facilidade na alocação de recursos.
No entanto, essa tecnologia requer atenção especial das entidades governamentais para garantir a segurança da informação e comunicação (SIC). O Departamento de Segurança da Informação e Comunicação (DSIC) estabeleceu a Norma Complementar nº 14, direcionando a utilização segura de tecnologias de computação em nuvem dentro da Administração Pública Federal (APF). Esta norma assegura que a legislação brasileira prevaleça sobre todas as outras, protegendo as informações armazenadas na nuvem (Bezerra, 2014).
Dentre as diretrizes estão a inclusão de cláusulas contratuais que assegurem a disponibilidade, integridade, confidencialidade e autenticidade das informações, além da avaliação cuidadosa sobre quais dados serão armazenados na nuvem, considerando classificação da informação, controles de acesso e a localização física dos dados.
O Governo brasileiro tem acompanhado a transição para serviços baseados em nuvem, iniciando estudos e implementações desde o início dos anos 2000. Com o estabelecimento do Comitê Gestor de Segurança da Informação e subsequentes revisões normativas, o Brasil está caminhando para uma política pública robusta para a computação em nuvem, incluindo a implementação de uma nuvem privativa para a administração pública.
O Serpro e a Dataprev, como agentes tecnológicos do governo, estão liderando os esforços para desenvolver uma infraestrutura de nuvem privada, promovendo a interoperabilidade entre cidadãos e o governo. Estes estudos abrangem a virtualização completa da infraestrutura, crucial para a implementação eficaz da nuvem, e a automação para facilitar o autoatendimento, permitindo que os clientes contratem recursos computacionais de forma independente.
2.4 SEGURANÇA EM NUVEM
Segurança na Nuvem Em um cenário computacional, é comum a segurança ser negligenciada em favor de requisitos funcionais dos sistemas. Esse descuido pode levar ao desenvolvimento de sistemas vulneráveis a falhas e ataques externos. Na era da Computação em Nuvem, muitas empresas estão considerando a migração de serviços básicos como e-mail e até sistemas mais complexos como CRMs para a nuvem. (De Capitani di Vimercati e Samarati, 2006).
A tendência é crescente e muitas corporações globais já estão explorando essa possibilidade. No entanto, a segurança na nuvem ainda suscita desconfiança, principalmente pela preocupação em enviar informações confidenciais, como dados de clientes ou faturamento, para servidores compartilhados com outras empresas (Bezerra, 2014). A incerteza sobre a localização exata dos dados, junto com a relutância em confiar em terceiros com acesso potencial a essas informações, são questões prementes.
A privacidade é outro aspecto crucial da computação em nuvem, tanto em termos de conformidade legal quanto de confiança do consumidor, e deve ser considerada em todas as etapas de um projeto nesse ambiente (Bezerra, 2014).
Assegurar a proteção dos dados e a privacidade conforme exigido pela legislação vigente é um desafio constante. Além da conformidade, há preocupações com o processamento de dados dos usuários em computadores que não pertencem a eles, o que aumenta a desconfiança. (De Capitani di Vimercati e Samarati, 2006).
Há uma conscientização crescente sobre a necessidade de projetar a proteção de dados desde o início, envolvendo leis de proteção à privacidade, regulamentos, práticas legais, códigos de conduta, tecnologias que aumentam a privacidade e educação sobre o tema para usuários e profissionais de TI. Infelizmente, a gestão inadequada da privacidade pode levar a abusos no uso das informações (De Capitani di Vimercati e Samarati, 2006).
2.4.1 Riscos e vulnerabilidades
Brodkin (2008) destaca os riscos associados à Computação em Nuvem, enumerando os sete riscos mais significativos:
- Acesso privilegiado de usuários: Empresas terceirizadas frequentemente possuem mais privilégios do que os próprios funcionários da organização, resultando em acessos que são mal controlados ou monitorados.
- Observância da regulamentação: A responsabilidade pela segurança e integridade dos dados, mesmo armazenados na nuvem, recai sobre as empresas clientes. É crucial uma análise detalhada dos contratos com provedores para evitar surpresas desagradáveis.
- Localização dos dados: Os dados podem estar distribuídos em diversos datacenters ao redor do mundo, sujeitos às leis locais que podem comprometer a privacidade dos dados.
- Segregação dos dados: Provedores de nuvem servem múltiplos clientes e as falhas nas ferramentas de virtualização podem expor dados sensíveis a acessos não autorizados.
- Recuperação dos dados: É essencial que os provedores de nuvem mantenham um mapeamento eficiente dos dados para facilitar a recuperação rápida em caso de danos nos datacenters.
- Apoio à investigação: Investigar atividades ilegais pode ser extremamente difícil na Computação em Nuvem devido à dispersão de dados e usuários por diversos servidores e localizações.
- Viabilidade a longo prazo: Com a popularização da Computação em Nuvem, muitos provedores podem não sustentar suas operações a longo prazo, comprometendo a disponibilidade futura dos dados.
O tratamento de risco pode ser abordado de quatro maneiras: estabelecimento de controles para mitigar o risco, aceitação do risco, eliminação do risco e transferência do risco para um terceiro, como seguros (Gomez et al., 2010).
A identificação e verificação de ativos críticos e suas interconexões podem ser alcançadas através do planejamento de segurança e a compilação de informações de planejamento de capital e arquitetura empresarial.
Os riscos à segurança da informação continuam sendo uma preocupação significativa, especialmente com a crescente dependência das organizações em relação à Tecnologia da Informação (TI) e à Internet, aumentando a necessidade de práticas de gestão que reduzam o risco e garantam a continuidade dos serviços (Zott e Amit, 2010).
Em suma, as organizações globais buscam proteger suas aplicações em um ambiente de ameaças em constante evolução, o que inclui uma gama de vulnerabilidades emergentes e uma crescente mobilidade do usuário
Já as vulnerabilidades são brechas, seja físicas ou lógicas, que malfeitores podem explorar para acessar informações de uma organização. A NBR ISO/IEC 27002:2005 define vulnerabilidade como uma fraqueza que pode ser explorada por uma ou mais ameaças. As vulnerabilidades podem estar presentes em processos, políticas, equipamentos e recursos humanos.
As vulnerabilidades na Computação em Nuvem, segundo Chow (2009), incluem:
- Virtualização: Falhas encontradas nos hipervisores podem permitir acesso administrativo não autorizado. Correções são regularmente disponibilizadas para mitigar essas falhas.
- Provedor de Computação em Nuvem: Ataques direcionados ao provedor podem comprometer toda a infraestrutura de autenticação, permitindo acesso a dados sensíveis.
- Deficiências de protocolos: Vulnerabilidades nos protocolos de serviços web podem permitir que invasores manipulem esses serviços como se fossem usuários legítimos.
- Maior superfície de ataque: Com dados armazenados fora dos firewalls corporativos, a infraestrutura de rede que conecta aos serviços de nuvem precisa de
- Vulnerabilidades na infraestrutura: O envenenamento de caches DNS e a segurança inadequada de dispositivos como roteadores e switches são pontos críticos para a segurança dos dados transmitidos.
2.4.2 Ameaças
A Internet é um vetor de numerosas ameaças externas e internas, incluindo:
- Espionagem: Informações armazenadas na nuvem podem ser alvo de hackers ou ataques de engenharia social.
- Crackers: Ataques personalizados buscam extrair informações valiosas para fins financeiros.
- Vírus: Apesar das várias camadas de segurança implementadas, é possível que vírus ataquem os dados armazenados.
- Engenharia Social: Táticas de manipulação podem enganar funcionários desavisados para acessar e divulgar informações sensíveis.
Dantas (2011) descreve as ameaças à segurança da informação como agentes ou condições que exploram vulnerabilidades e comprometem as informações e seus ativos, as ameaças podem surgir de várias formas, incluindo naturais, como enchentes ou furacões; involuntárias, como erros ou acidentes; e intencionais, como ataques de hackers, fraudes e furtos.
Stallings (2005) classifica os ataques à segurança em passivos e ativos, os ataques passivos envolvem monitoramento ou espionagem de transmissões, enquanto os ataques ativos incluem a modificação do fluxo de dados ou a criação de fluxos falsos, podendo ser classificados em categorias como falsificação, repetição, modificação de mensagens e negação de serviço.
3 METODOLOGIA
Este estudo adota uma abordagem qualitativa e exploratória para investigar os aspectos de segurança associados à computação em nuvem, sendo a pesquisa qualitativa apropriada para este estudo porque permite uma análise profunda das percepções, comportamentos e práticas relacionadas à segurança da informação em ambientes de nuvem.
A pesquisa foi iniciada com uma revisão extensiva da literatura existente, incluindo artigos acadêmicos, relatórios de segurança, publicações de normas técnicas e legislação relevante.
As fontes foram selecionadas com base em sua relevância para os tópicos de segurança em nuvem, riscos, vulnerabilidades e medidas de mitigação. Esta revisão ajudou a estabelecer uma base teórica sólida e identificar lacunas no conhecimento atual.
4 RESULTADOS E DISCUSSÃO
A pesquisa revelou que os principais riscos associados à computação em nuvem incluem acesso privilegiado indevido, inadequação da regulamentação e questões relacionadas à localização dos dados. A possibilidade de terceiros terem acesso privilegiado mostra-se como uma lacuna significativa na segurança, que pode ser explorada por atores mal-intencionados. Este estudo constatou que muitas organizações não possuem políticas suficientemente robustas para controlar e monitorar o acesso concedido a provedores de serviços terceirizados.
Além disso, a conformidade com as regulamentações locais e internacionais apresenta desafios, especialmente quando os dados estão armazenados em jurisdições com diferentes leis de proteção de dados, a discussão sobre a segregação de dados ilustrou a dificuldade em manter a privacidade das informações quando múltiplos clientes compartilham a mesma infraestrutura física, levantando preocupações significativas sobre a vulnerabilidade a ataques cibernéticos.
As vulnerabilidades nos hipervisores, que são cruciais para a virtualização em ambientes de nuvem, representam um risco de segurança crítico. Os resultados indicam que, apesar das atualizações e patches regulares, ainda existe uma latente exposição a ataques que podem comprometer máquinas virtuais inteiras. A discussão destacou a importância de uma gestão rigorosa de patches e de uma vigilância contínua para mitigar esses riscos.
Por outro lado, a infraestrutura de rede que conecta os usuários aos serviços de nuvem é frequentemente vulnerável a ataques de negação de serviço e outras formas de interferência maliciosa. Isso sublinha a necessidade de implementar medidas de segurança mais robustas, como o uso de DNSSEC e melhorias nas configurações de roteadores e switches para fortalecer a resiliência geral dos sistemas.
O estudo também abordou a questão da portabilidade dos dados, um aspecto crucial quando empresas consideram mudar de provedores de nuvem, a falta de padrões interoperáveis pode resultar em ‘lock-ins’ de fornecedor, onde os dados se tornam efetivamente inacessíveis ou transferíveis apenas com significativo esforço e custo.
Além disso, a viabilidade a longo prazo de provedores de nuvem é uma preocupação constante, muitos provedores podem não sustentar suas operações ao longo do tempo, colocando em risco a disponibilidade contínua dos dados. A pesquisa enfatizou a importância de realizar uma diligência adequada e de implementar estratégias de mitigação, como contratos bem estruturados e planos de recuperação de desastres.
Ficou evidente que, apesar das sofisticadas medidas de segurança implementadas por provedores de nuvem, as ameaças internas, como funcionários descontentes ou mal-intencionados, representam um dos maiores riscos à segurança das informações.
CONCLUSÃO
A migração para a computação em nuvem oferece uma série de benefícios inegáveis, incluindo eficiência operacional, redução de custos e flexibilidade. No entanto, como demonstrado ao longo deste estudo, a implementação desse modelo de computação não está isenta de riscos significativos de segurança que podem comprometer a integridade, a confidencialidade e a disponibilidade de dados críticos. Este artigo detalhou as principais vulnerabilidades associadas à computação em nuvem, explorou as ameaças emergentes e avaliou as estratégias de mitigação para enfrentar esses desafios.
Os riscos identificados, como acesso privilegiado indevido, regulamentação inadequada, localização incerta dos dados, falhas na segregação de dados e desafios na recuperação de dados, sublinham a necessidade de uma abordagem robusta e multidimensional para a segurança em nuvem. A implementação de medidas rigorosas, como criptografia avançada, autenticação multifatorial e políticas de segurança rigorosas, é essencial para proteger os ambientes de nuvem contra violações.
Além disso, este estudo enfatizou a importância da conformidade regulatória e da cooperação entre empresas e provedores de serviços de nuvem para garantir que os padrões de segurança sejam mantidos em todos os níveis. As organizações devem permanecer vigilantes e proativas, atualizando continuamente suas práticas de segurança para responder às mudanças nas ameaças e tecnologias.
As descobertas deste artigo também destacam a necessidade de uma estratégia de gestão de riscos dinâmica e adaptativa, as avaliações de risco frequentes e abrangentes, juntamente com uma forte governança de TI, são fundamentais para manter a segurança dos dados na nuvem e para assegurar que as operações de negócios sejam protegidas contra interrupções inesperadas.
Dessa forma, as práticas adequadas de segurança e gestão de riscos, os desafios associados à computação em nuvem podem ser efetivamente gerenciados. Organizações que abordam proativamente esses riscos podem aproveitar os benefícios da computação em nuvem enquanto minimizam as ameaças à segurança de seus dados críticos. Por fim, enquanto a computação em nuvem continua a evoluir, também deve evoluir a nossa compreensão e nossas estratégias de mitigação dos riscos associados, garantindo assim um ambiente de nuvem seguro e confiável para todos os usuários.
REFERÊNCIAS
ANÁLISE DO EATI – ENCONTRO ANUAL DE TECNOLOGIA DA INFORMAÇÃO E SEMANA ACADÊMICA DE TECNOLOGIA DA INFORMAÇÃO. Frederico Westphalen – RS. Ano 2, n. 1, p. 213-216, nov./2012.
BEZERRA, E. K. Gestão de Segurança da Informação NBR 27001 e NBR 27002. Disponível em: https://pt.scribd.com/doc/55387254/Gestao-de-Riscos-de-TI-NBR-27005. Acesso em: 17 jan. 2021
BUYYA, R.; BROBERG, J.; GOSCINSKI, A. Cloud Computing: Principles and Paradigms. 1. ed. New Jersey: John Wiley & Sons, Inc., 2011. 664 p. ISBN 978-0-470-88799-8.
BUYYA, R.; YEO, C. S.; VNUGOPAL, S. Market-oriented cloud computing: Vision, hype, and reality for delivering IT services as computing utilities. 2009.
DANTAS, M. L. Segurança da Informação: Uma Abordagem focada em Gestão de Riscos. Olinda: Livro Rápido, 2011.
DE CAPITANI DI VIMERCATI, S.; SAMARATI, P. Privacy in the electronic society. Apresentado na Conferência Internacional sobre Sistemas de Segurança da Informação, Kolkata, Índia, 2006.
GOMEZ, C. P.; COSTA, A. C. V.; FARIAS, C. S. Sustentabilidade da localidade e a competitividade das empresas ali instaladas: a construção das relações entre os constructos. In: XII Encontro Nacional de Gestão Ambiental e Meio Ambiente, São Paulo, nov. 2010. Anais… São Paulo: [s.n.], 2010.
MARCIANO, J. L.; LIMA-MARQUES, M. O enfoque social da segurança da informação. 2006.
STALLINGS, W. Criptografia e Segurança de Redes. 4. ed. São Paulo: Pearson Prentice Hall, 2005.
VERAS, M. Cloud Computing: Nova Arquitetura da TI. 2016.
ZOTT, C.; AMIT, R. Business Model Design: an activity system perspective. Long Range Planning, v. 43, p. 216-226, 2010.