Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
O que sua empresa faz para garantir a segurança da nuvem?
Home > Notícias

O que sua empresa faz para garantir a segurança da nuvem?

Informação é patrimônio e ninguém quer ter prejuízo com vazamento de dados, ainda mais quando a LGPD já impacta o uso de nuvem

Cássio Nascimento*

20/08/2021 às 16h50

nuvem, segurança
Foto: Shutterstock

A adequação às normas da Lei
Geral de Proteção de Dados (LGPD)
, cujo início da vigência das sanções
administrativas iniciou no dia 1º de agosto, é uma preocupação que mantém o
assunto “segurança da informação” no radar dos gestores de tecnologia. E
em um momento em que a aceleração da adoção do cloud computing se tornou
fato para muitas empresas e não apenas algo a se investir no futuro, é natural
que surjam dúvidas como “a LGPD vai impactar o uso do cloud computing pelas
empresas?” ou mesmo “como transferir dados estratégicos para a nuvem sem
comprometer a segurança?”.

Claro que essas se tratam de
preocupações pertinentes. Afinal, informação é patrimônio e ninguém quer ter
prejuízo com vazamento de dados. A resposta para a primeira pergunta é sim, a
LGPD vai impactar o uso de nuvem. Uma das diretrizes estabelecidas pela lei é
que os provedores de nuvem estejam em conformidade com as normas brasileiras.
Isso faz com que as empresas analisem as políticas de segurança seguidas por
seus provedores.

Já em relação à segunda pergunta,
é necessário entender que garantir a segurança da informação em ambientes de TI
depende de muita coisa, incluindo responsabilidades de todos os lados, tanto do
provedor de nuvem como do usuário.

Peguemos como exemplo o modelo de
IaaS (infraestrutura como serviço) para contextualizar o papel do provedor e do
cliente na equação da segurança em nuvem. Nele, o provedor tem responsabilidade
de manter políticas rígidas, procedimentos, planos, bem como todo um arcabouço
de segurança física e lógica para entregar aos clientes o SLA contratado. Isso
inclui a manutenção de zonas de disponibilidade, oferecer redundância,
hardware, switches, firewall, link de dados, servidores, softwares e aplicações
voltados para a segurança do ambiente.

Assim, quando um cliente opta por
cloud computing neste modelo, não precisa se preocupar com a manutenção de
hardware, pois a infraestrutura é responsabilidade do provedor e transparente
para o cliente. Então, de modo geral, os provedores de nuvem oferecem soluções
a partir que garantem padrões rígidos de segurança de modo a mitigar acessos
indevidos e invasões. No entanto, a maioria das violações ou vazamentos em
nuvem é de responsabilidade do usuário — o Gartner prevê que, até 2025, 99% das
falhas de segurança na nuvem acontecerão por falha do usuário.

Quando falamos em risco à
segurança de dados na computação em nuvem, precisamos ter em mente que existem
ameaças internas (riscos que podem ser mitigados a partir de uma auditoria
periódica da estrutura) e externas (riscos que a gente consegue prever às vezes
e que estão ligados à intrusão). É sabido que a maior parte das ameaças, mesmo
as externas, tem grande fatia de responsabilidade em questões internas, ou
seja, de responsabilidade do usuário. 

Cronologicamente falando, para
garantir a segurança de dentro para fora é preciso fazer uma análise de quais
são as vulnerabilidades internas e externas, realizar a análise de riscos e
priorizar o que precisa ser resolvido primeiro. A partir daí, é possível
implementar as políticas e processos mais adequados para mitigar essas
vulnerabilidades. Também é importante ter modelos de checagem dessas políticas
e processos, além de realizar a manutenção constante deles.

Configurações, como a
implementação de políticas de firewall, instalação e configuração do Sistema
Operacional, aplicação de boas práticas na camada lógica, são sempre do
administrador do ambiente — e não do provedor. Desta forma, não é apenas o
usuário que gera risco dentro da empresa, mas também, a má configuração. Ao provedor
de nuvem cabe a gestão da infraestrutura física, como garantir o isolamento do
ambiente, fornecer plataformas, suporte, orientação sobre as boas práticas e
soluções para encontrar vulnerabilidades.

Também não podemos deixar de citar
a relevância da educação após a construção dos processos. Na prática, investir
em soluções para reduzir as vulnerabilidades do ambiente e ignorar o processo
de educação dos usuários é como ter um cinto de segurança no carro, e não o
utilizar. A chance de se ferir em um acidente é imensa. Por isso, é necessário
ter processos bem implementados e campanhas educacionais robustas para que os
funcionários respeitem os códigos de ética e conduta da organização quanto à
segurança de dados.

Além disso, é preciso ter planos,
como o de disaster recovery e, principalmente, o plano de continuidade
de negócios. Claro que estamos pensando em não ter riscos, mas não dá para
pensar que, mesmo avaliando tudo o que vimos, estaremos 100% sem riscos.

Quando o assunto é segurança da
informação em ambientes em nuvem, infraestrutura é apenas uma parte. Do lado do
provedor de nuvem, fica a responsabilidade por manter um data center altamente
protegido e certificado pelas principais normas do mercado. Do lado da empresa
que contrata cloud computing, fica a responsabilidade por garantir políticas e
processos íntegros sobre a gestão da informação.

É necessário ter planos que levem
em consideração riscos internos ou externos, como backup, plano de recuperação
de desastres (DR) e de continuidade de negócio. Ter esses processos mapeados e
bem comunicados para todos os usuários garante que a empresa consiga
restabelecer a operação mais rapidamente. Além disso, caso a empresa seja pega
por uma vulnerabilidade não detectada, os planos estarão lá visando o pior
cenário possível, servindo como aparato legal diante de auditorias.

Estamos acostumados a contratar
seguro para as coisas que damos valor, como carro, casa, vida. Quase sempre,
passamos anos sem consumir ou usar o serviço, mas continuamos pagando. Por que
isso acontece? Porque, historicamente, vivenciamos fatos como acidentes de
carro, emergências em casa, doenças e, por isso, sabemos o valor da prevenção.

Já no contexto da TI, por mais que
estejamos vivenciando um avanço acelerado em direção a uma maturidade maior
sobre segurança, é fato que problemas como vazamentos, sequestro de dados,
perda de informações e pane geral parecem estar longe de nós e, por isso, a
segurança da informação acaba sendo quase um tabu e ficando de lado. Entretanto,
os cibercrimes têm tido destaque, pois vem impactando desde as pequenas
empresas até multinacionais, mas, felizmente, mais pessoas têm buscado agir
preventivamente.

O fato é que, assim como o seguro,
em TI, é melhor prevenir do que remediar. Perder um banco de dados que armazena
todos os dados contábeis, estoque, faturamento, dados de clientes, ou um
sistema usado pela força de vendas ou clientes para fazer pedidos pode gerar
prejuízos imensuráveis e, até mesmo, forçar uma empresa a encerrar suas atividades.
Desta forma, estar em conformidade e em constante vigilância deve ser
prioridade para todo gestor, não só o de TI. Para empresas que possuem poucos
recursos, seja financeiro ou de mão de obra, buscar especialistas no mercado
para uma consultoria pode ser a saída. 

* Cássio Nascimento é project manager
leader na Binario Cloud

Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15