Atualmente a Computação em Nuvem é um ambiente necessário e crítico para o tratamento da informação pela tecnologia. Podemos afirmar que este ambiente atende ou pode atender satisfatoriamente a grande maioria dos serviços e aplicações de todas as organizações.
Porém, estar na Nuvem não significa estar automaticamente em Computação em Nuvem e em conformidade com os critérios para uma adequada Gestão de Segurança da Informação, Cibersegurança e Proteção da Privacidade! Existem critérios de segurança para uma gestão adequada.
A CSA – Cloud Security Alliance, entidade mundial de profissionais e independente de fornecedores de serviços e produtos, definiu inicialmente o Security Guidance for Critical Areas of Focus in Cloud Computing, e depois foi aprimorado para o ENISA – European Union Agency For Cybersecurity emitindo o Cloud Computing Benefits, Risk and Recomendations for Information Security. A CSA considera 13 Domínios de Controles que obrigatoriamente devem ser implementados para uma Gestão Confiável de Segurança da Informação, Cibersegurança e Proteção da Privacidade para o Ambiente de Computação em Nuvem.
1. Domínio de Arquitetura
Define os padrões e estruturas (NIST, ISO, que devem ser considerados para a solução a ser implementada.
2. Governança e Gestão de Riscos
Os serviços e produtos em nuvem devem ser avaliados em relação aos riscos e alinhados com as Governanças: de Tecnologia, Segurança e Corporativa.
3. Exigências Legais, Contratos e outras obrigações.
Devemos considerar a legislação aplicável, normativos de Agências Reguladoras e outras obrigações que a organização precisa estar em conformidade.
4. Auditoria
É necessário que a solução de tratamento de informação em nuvem seja passível de auditoria.
O nível de exigência e a granularidade do tipo de auditoria vai depender do tipo de negócio, porte, localização em países e outros controles. A organização precisa estar ciente do que é necessário considerar.
5. Governança da Informação
Define o tratamento da informação, as responsabilidades e os poderes que os diversos atores possuem em relação ao tratamento da informação.
6. Continuidade do ambiente para a continuidade do negócio.
Define os controles de melhor garantia para que o ambiente continue disponível caso alguma indisponibilidade aconteça com o fornecedor dos serviços em nuvem. Este controle precisa estar bem definido e formalizado em contrato. Também deve ser definido o grau de continuidade do prestador de serviço.
7. Infraestrutura de segurança
O serviço em nuvem deve ter e deve garantir uma excelente infraestrutura de segurança, de maneira que o serviço prestado está em um ambiente confiável. Este grau de eficácia da infraestrutura deve ser explicito e contratual.
8. Virtualização e Containers
Virtualização é uma das fortes características da Computação em Nuvem. Porém é necessário definir ou identificar quem (Provedor ou Organização que contrata) é responsável pela Virtualização e seus controles de segurança. Bem como, alguns destes controles são disponibilizados pelo Provedor, mas precisam ser implementados pela Organização.
9. Resposta de Incidente
Computação em Nuvem também precisa considerar que incidentes acontecem (mais ou menos grave) e o Provedor deve ter uma estrutura de comunicação e responsabilização. O ambiente virtual pode facilitar certos controles, mas não pode deixar de considerar a Gestão de Incidentes, inclusive com testes para a garantia da sua efetividade.
10. Segurança da Aplicação
A aplicação não altera se está sendo executada em nuvem ou tradicionalmente em servidores locais. A responsabilidade pelos controles de segurança precisam estar bem definidos como serão gerenciados e de quem é a responsabilidade. Outra questão são as aplicações já geradas em ambiente nuvem. Elas têm características diferentes das aplicações tradicionais e precisam também ser consideradas nas suas especificidades de segurança.
11. Segurança dos Dados e Criptografia
É necessário a definição e controle para a necessidade de dados em utilizar criptografia. Dependendo da organização e tipo de negócio, alguns dados devem obrigatoriamente ser criptografados. Ter definido como será esta criptografia, responsabilidade pela gestão de chaves e outros controles, precisam estar definidos e formalizados.
12. Identidade e Gestão de Acesso
Este deve ser um dos primeiros controles a serem considerados quando da Computação em Nuvem. Normalmente continua totalmente de responsabilidade da Organização. Mesmo que seja contratado um serviço em nuvem, a Gestão de Acesso é realizada pela Organização. O Provedor pode e deve facilitar este controle.
13. Segurança como Serviço
Segurança como Serviço (SaaS) permite que a Organização proteja seus recursos de informação na Nuvem, contratando um serviço do Provedor. Sem nenhuma dúvida é uma excelente opção, considerando que o ambiente em nuvem possui características e conhecimento específico, que muitas organizações e seus profissionais não possuem. Porém a quantidade de controles de segurança é muito grande e devem ser acertados com a Organização.
14. Tecnologia Relacionadas
O uso da Computação em Nuvem muitas vezes está relacionado com o uso de outras tecnologias tipo Big Data, Internet das Coisas (IoT), Serviços Móveis, Tecnologia Operacional (OT) e outras. É necessário validar se o que a Computação em Nuvem oferece está coerente com as necessidades destas tecnologias e uso na Organização.
Todos estas dimensões tornam obrigatório que a Organização realize uma Due Diligence no serviço em nuvem que pretende contratar ou que já tem contratado.
CONCLUSÃO
A Computação em Nuvem pode apresentar inúmeras vantagens e uma maior facilidade para a existência de controles de segurança. Porém, não acontece magicamente. É necessário considerar todas as dimensões apresentadas pela CSA – Cloud Security Alliance. Evidentemente esta não é a única referência, porém é uma entidade não relacionada a Provedores e fornece diretrizes e orientações para as Organizações.
A NTT DATA tem todo conhecimento para ajudar a sua organização para um seguro processamento de Computação em Nuvem.
