Segurança da informação em nuvem. Quem é o responsável? Todo mundo!

Segurança da informação: a computação em nuvem tornou-se bastante popular para armazenar, processar e gerenciar dados em diversos setores, de modo que é correto afirmar que todas as empresas contam com, ao menos uma solução em nuvem, que pode ser desde uma solução de e-mail ou comunicação até a hospedagem de bancos de dados e ERPs mais complexos.

A segurança da informação em ambientes em nuvem merece especial atenção, pois, para funcionar, depende da participação de diferentes atores, que desempenham papéis e responsabilidades limitadas e relativas a sua função. No decorrer do texto abordaremos o datacenter, ou provedor de hospedagem, o terceiro (ou mais de um) que possa estar envolvido no desenvolvimento da aplicação ou gestão da infraestrutura e, por último, a própria empresa que faz a contratação. Ao compreender essas responsabilidades, as organizações podem tomar medidas adequadas para proteger seus dados e garantir a integridade, confidencialidade e disponibilidade de suas informações.

O papel do provedor de nuvem, ou datacenter

Por trás do que chamamos de nuvem, estão os datacenters, com estruturas robustas de hardware, software e conectividade para suportar as cargas de trabalho de clientes, com diversas necessidades ao redor do mundo

Cabe a este provedor, garantir que hardware e software estejam disponíveis e a acessíveis aos usuários, ao que chamamos de SLA (Service Level Agreement), ou acordo de nível de serviço. SLA refere-se ao compromisso formal que o datacenter tem para manter a disponibilidade. Práticas comuns no mercado apontam para SLAs de 99%, 99,5% e até 99,9%. Para entregar a disponibilidade, essas empresas precisam cumprir uma série de tarefas, como, por exemplo:

  • Implementar medidas de segurança para proteger o ambiente dos data centers contra acesso físico não autorizado, ou seja, só tem acesso aos equipamentos, pessoas que trabalham no datacenter e garantem sua manutenção.
  • Garantir a segurança lógica da rede, protegendo-a contra-ataques cibernéticos, intrusões e sequestro de dados. Aqui estamos falando de segurança de perímetro, como proteção por firewall e camadas de segurança.
  • Manter softwares atualizados com patches de segurança e correções de vulnerabilidades conhecidas.
  • Implementar mecanismos de autenticação e autorização robustos para controlar o acesso aos dados.
  • Criptografar dados em repouso e em trânsito para protegê-los contra interceptação ou acesso não autorizado.
  • Monitorar proativamente a infraestrutura de nuvem em busca de atividades suspeitas e responder prontamente a incidentes de segurança.
  • Entregar a disponibilidade dos serviços que o cliente contratou. Neste item, atenção aos contratos, que limitam as responsabilidades do fornecedor de nuvem.

O papel de fornecedores terceiros

O datacenter entrega a infraestrutura, mas quem instala o ambiente de dados são outras equipes de T.I., que podem ser do próprio cliente ou envolver o serviço de terceiros especializados. Esses terceiros podem ser fornecedores de software, especialistas em migração e gestão de ambientes ou consultores de segurança. Quando não há o envolvimento de terceiros, a equipe de T.I. da empresa faz essa gestão. As responsabilidades relativas a este escopo de atuação incluem:

  • Garantir que os sistemas e aplicativos fornecidos sejam seguros e livres de vulnerabilidades conhecidas.
  • Implementar políticas de segurança e práticas adequadas para proteger os dados manipulados ou armazenados.
  • Arquitetar a estrutura em nuvem para assegurar o bom funcionamento do ambiente.
  • Realizar testes de penetração e avaliações de segurança para identificar e corrigir possíveis vulnerabilidades.
  • Fornecer suporte técnico e consultoria em questões relacionadas à segurança da informação em nuvem.
  • Garantir sigilo sobre os dados aos quais tiver acesso.
  • Fazer a gestão de demanda de serviços alinhada ao fluxo financeiro do negócio.

E o cliente? Tem responsabilidades?

Embora o provedor de nuvem e o terceiro envolvidos tenham responsabilidades importantes, o cliente também desempenha um papel relevante em se tratando de segurança da informação em nuvem e, portanto, também tem uma série de responsabilidades, como:

  • Avaliar cuidadosamente a reputação e a confiabilidade do provedor de nuvem antes de migrar dados sensíveis.
  • Avaliar a aderência dos serviços a regras de compliance e proteção de dados.
  • Configurar corretamente os recursos de segurança fornecidas pelo provedor de nuvem.
  • Garantir que internamente a empresa conte com equipamentos e conexões seguras entre o usuário e a nuvem.
  • Garantir a contratação de todos os serviços e recursos necessários para manter o ambiente operacional e seguro, como por exemplo: backup, contingência, firewall e licenciamento de softwares.
  • Implementar medidas adicionais de segurança, como criptografia de dados antes do envio à nuvem.
  • Definir regras e boas práticas do negócio para o uso adequado dos dados em nuvem.
  • Educar seus usuários sobre práticas seguras, como senhas fortes e autenticação em dois fatores.
  • Monitorar regularmente a atividade da conta na nuvem em busca de atividades suspeitas ou não autorizadas.

Por fim, fica clara que a segurança da informação em ambientes de nuvem é uma responsabilidade compartilhada entre todos os envolvidos na cadeia de serviços, do datacenter ao cliente, passando por todos os terceiros e culminando no usuário, que segue as regras que a empresa contratante determinar. Compreender as necessidades e adotar as medidas é imperativo para uma estratégia de segurança efetiva.

Leia mais sobre a segurança da informação em Segurança da informação de ponta a Ponta – Como usar a ISO 27001 e o modelo de proteção em camadas para aumentar a segurança da informação no negócio

Gostou? Compartilhe com sua rede: