Segurança da informação: a computação em nuvem tornou-se bastante popular para armazenar, processar e gerenciar dados em diversos setores, de modo que é correto afirmar que todas as empresas contam com, ao menos uma solução em nuvem, que pode ser desde uma solução de e-mail ou comunicação até a hospedagem de bancos de dados e ERPs mais complexos.
A segurança da informação em ambientes em nuvem merece especial atenção, pois, para funcionar, depende da participação de diferentes atores, que desempenham papéis e responsabilidades limitadas e relativas a sua função. No decorrer do texto abordaremos o datacenter, ou provedor de hospedagem, o terceiro (ou mais de um) que possa estar envolvido no desenvolvimento da aplicação ou gestão da infraestrutura e, por último, a própria empresa que faz a contratação. Ao compreender essas responsabilidades, as organizações podem tomar medidas adequadas para proteger seus dados e garantir a integridade, confidencialidade e disponibilidade de suas informações.
O papel do provedor de nuvem, ou datacenter
Por trás do que chamamos de nuvem, estão os datacenters, com estruturas robustas de hardware, software e conectividade para suportar as cargas de trabalho de clientes, com diversas necessidades ao redor do mundo
Cabe a este provedor, garantir que hardware e software estejam disponíveis e a acessíveis aos usuários, ao que chamamos de SLA (Service Level Agreement), ou acordo de nível de serviço. SLA refere-se ao compromisso formal que o datacenter tem para manter a disponibilidade. Práticas comuns no mercado apontam para SLAs de 99%, 99,5% e até 99,9%. Para entregar a disponibilidade, essas empresas precisam cumprir uma série de tarefas, como, por exemplo:
- Implementar medidas de segurança para proteger o ambiente dos data centers contra acesso físico não autorizado, ou seja, só tem acesso aos equipamentos, pessoas que trabalham no datacenter e garantem sua manutenção.
- Garantir a segurança lógica da rede, protegendo-a contra-ataques cibernéticos, intrusões e sequestro de dados. Aqui estamos falando de segurança de perímetro, como proteção por firewall e camadas de segurança.
- Manter softwares atualizados com patches de segurança e correções de vulnerabilidades conhecidas.
- Implementar mecanismos de autenticação e autorização robustos para controlar o acesso aos dados.
- Criptografar dados em repouso e em trânsito para protegê-los contra interceptação ou acesso não autorizado.
- Monitorar proativamente a infraestrutura de nuvem em busca de atividades suspeitas e responder prontamente a incidentes de segurança.
- Entregar a disponibilidade dos serviços que o cliente contratou. Neste item, atenção aos contratos, que limitam as responsabilidades do fornecedor de nuvem.
O papel de fornecedores terceiros
O datacenter entrega a infraestrutura, mas quem instala o ambiente de dados são outras equipes de T.I., que podem ser do próprio cliente ou envolver o serviço de terceiros especializados. Esses terceiros podem ser fornecedores de software, especialistas em migração e gestão de ambientes ou consultores de segurança. Quando não há o envolvimento de terceiros, a equipe de T.I. da empresa faz essa gestão. As responsabilidades relativas a este escopo de atuação incluem:
- Garantir que os sistemas e aplicativos fornecidos sejam seguros e livres de vulnerabilidades conhecidas.
- Implementar políticas de segurança e práticas adequadas para proteger os dados manipulados ou armazenados.
- Arquitetar a estrutura em nuvem para assegurar o bom funcionamento do ambiente.
- Realizar testes de penetração e avaliações de segurança para identificar e corrigir possíveis vulnerabilidades.
- Fornecer suporte técnico e consultoria em questões relacionadas à segurança da informação em nuvem.
- Garantir sigilo sobre os dados aos quais tiver acesso.
- Fazer a gestão de demanda de serviços alinhada ao fluxo financeiro do negócio.
E o cliente? Tem responsabilidades?
Embora o provedor de nuvem e o terceiro envolvidos tenham responsabilidades importantes, o cliente também desempenha um papel relevante em se tratando de segurança da informação em nuvem e, portanto, também tem uma série de responsabilidades, como:
- Avaliar cuidadosamente a reputação e a confiabilidade do provedor de nuvem antes de migrar dados sensíveis.
- Avaliar a aderência dos serviços a regras de compliance e proteção de dados.
- Configurar corretamente os recursos de segurança fornecidas pelo provedor de nuvem.
- Garantir que internamente a empresa conte com equipamentos e conexões seguras entre o usuário e a nuvem.
- Garantir a contratação de todos os serviços e recursos necessários para manter o ambiente operacional e seguro, como por exemplo: backup, contingência, firewall e licenciamento de softwares.
- Implementar medidas adicionais de segurança, como criptografia de dados antes do envio à nuvem.
- Definir regras e boas práticas do negócio para o uso adequado dos dados em nuvem.
- Educar seus usuários sobre práticas seguras, como senhas fortes e autenticação em dois fatores.
- Monitorar regularmente a atividade da conta na nuvem em busca de atividades suspeitas ou não autorizadas.
Por fim, fica clara que a segurança da informação em ambientes de nuvem é uma responsabilidade compartilhada entre todos os envolvidos na cadeia de serviços, do datacenter ao cliente, passando por todos os terceiros e culminando no usuário, que segue as regras que a empresa contratante determinar. Compreender as necessidades e adotar as medidas é imperativo para uma estratégia de segurança efetiva.
Leia mais sobre a segurança da informação em Segurança da informação de ponta a Ponta – Como usar a ISO 27001 e o modelo de proteção em camadas para aumentar a segurança da informação no negócio