Qual seria a sua reação se alguém diz que "A Nuvem" é tão segura que não é preciso fazer mais nada para proteger os seus dados? Sinceramente, espero que a sua reação seja como a do esquilo dramático. No entanto, considerando as anedotas que tenho escutado, esta questionável dica é cada vez mais comum.
Na verdade, a computação em nuvem não é um pó mágico que pode ser aplicado sem critério para que a sua informação esteja mais segura. Infelizmente, duas definições de dicionário da palavra “nuvem” são “fazer menos claro ou transparente” e “causa de pessimismo, suspeita, problemas ou preocupação”.
Os serviços na nuvem são basicamente o que fazemos deles e precisamos aplicar um nível pelo menos equivalente de rigorosidade, em termos de avaliação de riscos relacionados com os ativos que estão hospedados em sua própria rede.
Pelo fato de que a nuvem pode fazer com que os riscos e as responsabilidades sejam menos claras, é necessário ser mais perspicaz na hora de perguntar aos vendedores sobre quais medidas são tomadas para garantir os serviços. Ao escolher um novo fornecedor, você deve pesquisar a fundo sobre as suas políticas e procedimentos de segurança.
Além disso, é uma boa ideia explicar de forma clara quais responsabilidades recaem sobre o fornecedor e o que deve fazer em sua própria empresa para estar protegido.
Perguntas sobre a política de segurança na nuvem
Antes de procurar um fornecedor, você deve explicar as respostas para algumas perguntas sobre as necessidades de sua empresa:
- Quais tipos de serviços na nuvem você usa?
Você usará a nuvem simplesmente para armazenar arquivos, para hospedar aplicativos de software ou máquinas virtuais?
- Como estes serviços foram implementados?
A sua nuvem pode ser pública ou privada, ou algo intermediário, dependendo de suas necessidades específicas e sua tolerância ao risco.
- Quão sensível será a funcionalidade ou informação que hospedará?
Tenha em conta que a nuvem é outra forma de se referir aos “computadores de outros”. Quantifique o risco significaria para a sua empresa que este provedor sofra uma fuga de dados ou seja fechado.
- Quem terá acesso à funcionalidade?
Online e com o princípio mínimo de privilégio, pode ser que nem todos os seus usuários precisem acessar à nuvem para fazer o seu trabalho de forma efetiva.
- Quais requerimentos legais ou de conformidade devem ser levados em conta?
Cada setor tem a sua própria relação com o alfabeto de regulações de segurança nacionais e internacionais. O que funciona para uma empresa pequena pode não ser suficiente para um grande escritório financeiro, por exemplo.
- O que deve ser incluído em uma política de uso aceitável para os seus usuários?
A educação e o entretenimento são cruciais para garantir que continuem as melhores práticas. Devem ser estabelecidas políticas explicitas para serviços na nuvem, com o intuito de que os usuários saibam o que é considerado um comportamento seguro.
- Quais são as consequências de não utilizar as boas práticas?
Isso vai tanto para o provedor do serviço como para os seus amigos, embora as consequências para o primeiro provavelmente sejam produto de negociação ou de um acordo de nível de serviço. É necessário que esteja claro para todos os envolvidos o que pode ocorrer se alguém descumpre com as suas responsabilidades com relação a segurança da informação.
Procedimentos de segurança na nuvem
Depois de esclarecer os seus objetivos e limites, poderá perguntar para os vendedores sobre os seus procedimentos. O site da Gulf Cooperation Council eGovernment temu m documento (em inglês) que discute políticas da nuvem e inclui, no apêndice A, uma lista completa de perguntas que podem ser uma boa base quando prepara as suas.
Confira a seguinte lista de possíveis temas que devem ser levados em conta:
- O fornecedor conta com auditorias de segurança externas realizadas regularmente?
- Quais são as políticas de atualizações e patches?
- Contam com produtos antimalware ou de detecção de intrusos verificando as máquinas?
- Quais tipos de autenticação estão disponíveis no serviço?
- Quais tipos de controles estão disponíveis para a Identidade e Controle de Acesso nas contas dos usuários?
- Conta com criptografia para o tráfego da nuvem e para o armazenamento?
- Como os direitos de Propriedade Intelectual relacionados aos dados hospedados em seus servidores são protegidos?
- Quais tipos de alertas e relatórios de eventos serão disponibilizados?
- Como segmentam os recursos de seus clientes?
- Qual a periodicidade para a realização e avaliação de backups e onde são armazenados?
- Contam com uma política de resposta a incidentes estabelecida?
- Contam com uma política de divulgação responsável publicada?
- Possuem registro de eventos que pode permitir uma análise forense em caso de que se produza um incidente de segurança?
- Em qual pais estão localizados os seus servidores físicos?
- Quais são as políticas relacionadas com a mobilidade e a retenção de dados?
- Quais opções estão disponíveis para a exclusão ou destruição segura de dados?
Se você realiza a sua tarefa de implementação, as nuvens não precisam trazer opacidade ou inquietude. A capacidade de acessar arquivos e serviços desde onde esteja é poderosa, e pode introduzir novos riscos para o seu ambiente. Além disso, também pode ser uma oportunidade para obter os serviços de um sócio de confiança para melhorar a sua produtividade de uma forma geral.
A chegada de nuvens na realidade pode despejar o ar e proporcionar um suspiro de boas-vindas. Você precisa apenas saber aproveitá-la. :)