A computação em nuvem dispensa apresentações, pois tanto os usuários domésticos quanto as corporações já estão acostumados com esse modelo, que oferece inúmeras oportunidades e, claro, riscos.
A definição da estratégia de segurança a ser adotada começa pelo entendimento das responsabilidades do provedor em função do modelo de serviço (IAAS, PAAS e SAAS) adotado. Por exemplo: ao optar por um modelo como IAAS cabe ao provedor (AWS, Azure, Google) a proteção da infraestrutura sobre a qual os clientes realizarão as operações de negócio. As práticas relacionadas à segurança física do centro de dados não são de responsabilidade dos seus clientes. Já a proteção das aplicações e dos dados propriamente ditos estão sob responsabilidade do cliente final.
Muitas empresas ignoram suas responsabilidades no que tange à segurança das informações quando migram para o modelo de computação em nuvem. Esse, talvez, seja o maior risco para essas organizações. Ao adotar o modelo de software como serviço, as empresas precisam implementar controles para garantir a proteção dos dados e investigação de possíveis incidentes. Por sua vez, o provedor deve garantir a proteção e a disponibilidade do ambiente (sistema operacional, servidores etc.).
É de suma importância entender as vantagens e desvantagens de cada uma das nuvens antes de tomar uma decisão a respeito daquela que melhor se adapta a seus negócios. E isso faz com que a nuvem híbrida (que pode ser formada por sistemas multivendor ou por uma combinação entre nuvens privadas e públicas) seja uma alternativa para esse momento de transição. Entretanto, os desafios para manter esse ambiente seguro crescem ainda mais na nuvem híbrida, pois a visibilidade e a gestão da conformidade de dezenas – talvez centenas de endpoints – são base de qualquer estratégia de proteção para ambientes em nuvem.
Incidentes recentes que resultaram em vazamento de dados mostram a importância de poder ver os recursos na nuvem e geri-los conforme as políticas de segurança voltadas para cada tipo de serviço – como, por exemplo, para o de armazenamento de dados. Da mesma forma, controles como gestão de acesso e identidade, auditoria das transações e proteção de aplicações são exemplos de algumas das práticas de segurança que devem ser consideradas. Os provedores disponibilizam a segurança como serviço, e, portanto, as empresas podem habilitar recursos de segurança “nativos” para proteção de dados, usuários e aplicações.
A fim de definir a estratégia de segurança em nuvem, é preciso ao menos considerar o modelo de serviço, avaliar os requisitos de negócio e os riscos existentes. Requisitos como a Lei Geral de Proteção de Dados Pessoais (LGPD) e a Resolução n.º 4.658 do Banco Central têm impacto direto nessa definição. O planejamento estratégico em questão deve responder a questões como: “Como garantir o inventário e tratamento adequado de dados pessoais?”, ou “Como responder a um incidente de vazamento de dados?”. Será que os processos e ferramentas utilizados no modelo tradicional são eficientes e eficazes o suficiente?
Essas e muitas outras questões precisam ser respondidas por uma estratégia capaz de fazer frente às ameaças e apta a contribuir para que as organizações possam obter o máximo da computação em nuvem.
Tags: