Qual seria a sua reação se alguém diz que "A Nuvem" é tão segura que não é preciso fazer mais nada para proteger os seus dados? Sinceramente, espero que a sua reação seja como a do esquilo dramático. No entanto, considerando as anedotas que tenho escutado, esta questionável dica é cada vez mais comum.

Na verdade, a computação em nuvem não é um pó mágico que pode ser aplicado sem critério para que a sua informação esteja mais segura. Infelizmente, duas definições de dicionário da palavra “nuvem” são “fazer menos claro ou transparente” e “causa de pessimismo, suspeita, problemas ou preocupação”.

Os serviços na nuvem são basicamente o que fazemos deles e precisamos aplicar um nível pelo menos equivalente de rigorosidade, em termos de avaliação de riscos relacionados com os ativos que estão hospedados em sua própria rede.

Pelo fato de que a nuvem pode fazer com que os riscos e as responsabilidades sejam menos claras, é necessário ser mais perspicaz na hora de perguntar aos vendedores sobre quais medidas são tomadas para garantir os serviços. Ao escolher um novo fornecedor, você deve pesquisar a fundo sobre as suas políticas e procedimentos de segurança.

Além disso, é uma boa ideia explicar de forma clara quais responsabilidades recaem sobre o fornecedor e o que deve fazer em sua própria empresa para estar protegido.

Perguntas sobre a política de segurança na nuvem

preguntas sobre seguridad en la nube

Antes de procurar um fornecedor, você deve explicar as respostas para algumas perguntas sobre as necessidades de sua empresa:

  • Quais tipos de serviços na nuvem você usa?

Você usará a nuvem simplesmente para armazenar arquivos, para hospedar aplicativos de software ou máquinas virtuais?

  • Como estes serviços foram implementados?

A sua nuvem pode ser pública ou privada, ou algo intermediário, dependendo de suas necessidades específicas e sua tolerância ao risco.

  • Quão sensível será a funcionalidade ou informação que hospedará?

Tenha em conta que a nuvem é outra forma de se referir aos “computadores de outros”. Quantifique o risco significaria para a sua empresa que este provedor sofra uma fuga de dados ou seja fechado.

  • Quem terá acesso à funcionalidade?

Online e com o princípio mínimo de privilégio, pode ser que nem todos os seus usuários precisem acessar à nuvem para fazer o seu trabalho de forma efetiva.

  • Quais requerimentos legais ou de conformidade devem ser levados em conta?

Cada setor tem a sua própria relação com o alfabeto de regulações de segurança nacionais e internacionais. O que funciona para uma empresa pequena pode não ser suficiente para um grande escritório financeiro, por exemplo.

  • O que deve ser incluído em uma política de uso aceitável para os seus usuários?

A educação e o entretenimento são cruciais para garantir que continuem as melhores práticas. Devem ser estabelecidas políticas explicitas para serviços na nuvem, com o intuito de que os usuários saibam o que é considerado um comportamento seguro.

  • Quais são as consequências de não utilizar as boas práticas?

Isso vai tanto para o provedor do serviço como para os seus amigos, embora as consequências para o primeiro provavelmente sejam produto de negociação ou de um acordo de nível de serviço. É necessário que esteja claro para todos os envolvidos o que pode ocorrer se alguém descumpre com as suas responsabilidades com relação a segurança da informação.

Procedimentos de segurança na nuvem

Cloud security policy - several clouds with secure padlock on them

Depois de esclarecer os seus objetivos e limites, poderá perguntar para os vendedores sobre os seus procedimentos. O site da Gulf Cooperation Council eGovernment temu m documento (em inglês) que discute políticas da nuvem e inclui, no apêndice A, uma lista completa de perguntas que podem ser uma boa base quando prepara as suas.

Confira a seguinte lista de possíveis temas que devem ser levados em conta:

  • O fornecedor conta com auditorias de segurança externas realizadas regularmente?
  • Quais são as políticas de atualizações e patches?
  • Contam com produtos antimalware ou de detecção de intrusos verificando as máquinas?
  • Quais tipos de autenticação estão disponíveis no serviço?
  • Quais tipos de controles estão disponíveis para a Identidade e Controle de Acesso nas contas dos usuários?
  • Conta com criptografia para o tráfego da nuvem e para o armazenamento?
  • Como os direitos de Propriedade Intelectual relacionados aos dados hospedados em seus servidores são protegidos?
  • Quais tipos de alertas e relatórios de eventos serão disponibilizados?
  • Como segmentam os recursos de seus clientes?
  • Qual a periodicidade para a realização e avaliação de backups e onde são armazenados?
  • Contam com uma política de resposta a incidentes estabelecida?
  • Contam com uma política de divulgação responsável publicada?
  • Possuem registro de eventos que pode permitir uma análise forense em caso de que se produza um incidente de segurança?
  • Em qual pais estão localizados os seus servidores físicos?
  • Quais são as políticas relacionadas com a mobilidade e a retenção de dados?
  • Quais opções estão disponíveis para a exclusão ou destruição segura de dados?

Se você realiza a sua tarefa de implementação, as nuvens não precisam trazer opacidade ou inquietude. A capacidade de acessar arquivos e serviços desde onde esteja é poderosa, e pode introduzir novos riscos para o seu ambiente. Além disso, também pode ser uma oportunidade para obter os serviços de um sócio de confiança para melhorar a sua produtividade de uma forma geral.

A chegada de nuvens na realidade pode despejar o ar e proporcionar um suspiro de boas-vindas. Você precisa apenas saber aproveitá-la. :)