O ambiente corporativo atual exige que informações críticas estejam acessíveis em qualquer lugar, a qualquer momento, seja para interessados internos ou externos. Hospedagem em nuvem é uma ferramenta importante justamente por permitir essa troca de arquivos. Embora facilite a comunicação, ela traz riscos e desafios para as organizações que a utilizam.
Oferecendo benefícios como redução dos custos, fácil implementação e capacidade sob demanda, este tipo de hospedagem tem obstáculos significativos para sua adoção. Pode ser difícil conciliá-lo com diretrizes de segurança e requisitos legais. Muitas vezes, a primeira auditoria encerra o projeto e suprime indefinidamente o desejo de experimentar um serviço deste tipo.
Por isso, é fundamental avaliar diversos aspectos para garantir tal conformidade e receber aprovação nas auditorias de segurança. No mínimo, o provedor do serviço deve ser capaz de responder pela localização dos dados tanto de forma estacionária quanto em trânsito; manter trilhas de auditoria para notificar quem acessou o conteúdo e quando isto ocorreu; e fornecer esquemas flexíveis de classificação de dados e de autorização, para que haja controle sobre a estrutura e sobre quem poderá acessar cada conteúdo.
Segurança básica
A base de cada serviço é sua infraestrutura. Reduzir despesas com um serviço de hospedagem de baixo custo não é uma boa estratégia, principalmente se as informações da empresa forem controladas por leis e normas, como no setor financeiro e farmacêutico. Os provedores de hospedagem devem ter certificações de segurança SAS 70 tipo II e ISO 27001, que podem ser compartilhadas com seus clientes para análise.
Locais de recuperação de desastres devem dispor de igual qualidade e certificações. O projeto de rede do fornecedor deve separar claramente os clientes; caso contrário, deve existir uma arquitetura de banco de dados e camadas de aplicativo para aplicar limites ao conteúdo. Um bom projeto é, ainda, capaz de tonar os aplicativos independentes da localização dessas informações, de modo que estas possam ser armazenadas em qualquer local geográfico solicitado pelo cliente.
Além disso, o provedor deve garantir sigilo e integridade em tudo que é armazenado. Algoritmos de criptografia de alta segurança e sistemas de gerenciamento de chaves de múltiplas camadas são cruciais e devem ser implementados de forma que alguém com informações privilegiadas não comprometa a confidencialidade. A proteção do conteúdo em trânsito também merece atenção, o que normalmente requer SSL 3.0 ou superior.
Ainda podemos destacar a importância de conhecer as pessoas que lidam com os materiais, afinal, há sempre a possibilidade de alguém tentar roubar dados valiosos. A análise de antecedentes de funcionários, feita de forma abrangente e contínua, em conjunto com o uso de logs detalhados de auditoria, permite eliminar elos fracos e dar suporte para identificar e processar os responsáveis.
Nem todas as informações utilizadas para fins comerciais precisam ter o mesmo nível de segurança, como materiais auxiliares de marketing que exigem menos proteção do que relatórios financeiros. Assim, atribuir permissões baseadas nas funções de usuários permite simplificar esquemas complexos de autorização e tornar a administração mais fácil e menos propensa a erros.
Essas medidas são necessárias para lançar um serviço baseado em nuvem por empresas privadas ou públicas. Infelizmente, alguns provedores não oferecem nem o mínimo, o que ocorre geralmente naqueles que aproveitam sistemas orientados à pessoa física para oferecer serviços a clientes corporativos. Apenas os sistemas que foram projetados para serem altamente seguros, com recursos implementados corretamente como criptografia e esquemas detalhados de autorização, atingem níveis máximos de segurança.
Segurança avançada
A maioria dos aplicativos online exige apenas um nome de usuário e senha para o login pelo fato da autenticação altamente segura trazer inconvenientes para os usuários. Assim, medidas de alto nível de segurança são aplicadas para proteger os dados e as ações mais críticas. As opções disponíveis são:
1.Determinar previamente as partes do aplicativo que exigem mais segurança, por exemplo, as que concedem acesso a propriedade intelectual, ou permitir que o dono dos dados especifique as informações que exigem proteção adicional;
2.Cada participante tem sua própria política de segurança e regras de classificação, o que é recomendado por permitir que as pessoas com maior conhecimento dos dados tomem as decisões relativas à segurança.
Em sistemas em nuvem altamente seguros, o conteúdo, seja cópia temporária ou permanente, é sempre criptografado, mesmo quando enviado ao navegador do usuário, impossibilitando a abertura não autorizada. Quando o proprietário do documento remove a permissão de acesso de determinado usuário, a chave de criptografia é destruída, o que equivale a triturar digitalmente um documento remoto. Para tornar a operação ainda mais segura, alguns sistemas implementaram a troca de chaves de Diffie-Hellman, na qual a chave nunca é enviada ou armazenada no lado do cliente, mas sim calculada no momento de cada utilização.
Conclusão
A nuvem possibilita uma exigência crítica para as empresas, especificamente a troca segura de informações. Para isto, a infraestrutura que executa os aplicativos e eles mesmos devem ser projetados com segurança integrada, desde criptografia básica e esquemas detalhados de autorização até conteúdo protegido durante o uso com autenticação multifator. Para gerenciar esses sistemas e recuperar o controle, a organização de TI deve adquirir um bom entendimento dos princípios de segurança neste tipo de plataforma e exigir o cumprimento permanente deles por seus fornecedores.
Mushegh Hakhinian é arquiteto de segurança da IntraLinks.
