Saiba governar sua nuvem

0

Diariamente somos munidos por uma avalanche de notícias e publicidades sobre cloud computing. Apesar do tema já ter sido bem explorado, com maior representatividade desde 2008, quando passamos a acompanhar de perto o surgimento deste novo modelo de serviço, no Brasil ainda são poucas as empresas que decidiram migrar para a computação em nuvem. Os motivos são muitos, que caminham desde a insegurança com relação à proteção de dados sensíveis e, o mais importante, a falta de maturidade na governança deste novo ambiente.
A migração de uma governança tradicional voltada a TI Corporativa a governança deste novo ambiente de cloud – que permite armazenamento de dados em qualquer lugar do mundo e a qualquer hora – necessita de uma redefinição do modelo de controle, seja ela um ambiente público ou privado. Antes de fazer esta migração, é preciso ter envolvido todas as áreas da empresa, entre elas as áreas de negócios, segurança, TI, riscos e outras. E algumas perguntas precisam ser feitas, como o que levar para nuvem? O que é do fornecedor e o que é meu? Qual tipo de nuvem é ideal para minha corporação? É preciso deixar claro as obrigações dos fornecedores e os direitos do contratante, isso tudo formalizado em contrato jurídico. Esta é uma maneira de garantir maior segurança e confiabilidade no serviço.
Assim como aconteceu anos atrás com o surgimento da terceirização de serviço, a computação em nuvem nada mais é que um serviço de outsoursing, com a mudança de um ambiente interno para um ambiente de internet, que promete economia, flexibilidade, agilidade, escalabilidade e disponibilidade. Mas, para alcançar estes benefícios é necessário que a empresa tenha uma governança e controles eficientes e eficazes personalizados para o ambiente em nuvem.
A economia e a escalabilidade são os grandes chamarizes para a computação em nuvem. A capacidade de aumentar e diminuir o ambiente, sempre quando necessário, e a redução com custos em relação à infraestrutura e abstração de tecnologias são fatores que devem ser considerados para a governança da nuvem, para maior controle do ambiente.
A Segurança da Informação é ainda mais importante em cloud, onde é necessário ter definido quem tem o controle das informações, quem pode compartilhar e, acima de tudo, ter determinado junto ao fornecedor todas as regras e leis aplicadas aos dados migrados, a fim de controlar e auditar o que está sendo feito dentro do seu ambiente. É fundamental estar ciente que a segurança dos dados não se faz apenas no controle dos acessos, mas também na certeza de um ambiente íntegro e disponível.
Apesar de teoricamente ser bastante difundida, a computação em nuvem ainda é uma tecnologia que está amadurecendo e se reinventando, com novas funcionalidades. A tomada de decisão para migração para este novo modelo de serviço precisa passar antes por pontos sensíveis da empresa, que atinja todas as áreas na criação de um novo modelo de governança. Listo abaixo alguns princípios e riscos para considerar que ajudarão a responder a pergunta: ir ou não ir para nuvem?

1. Recuperação e resposta a incidentes em caso de perda da nuvem;
2. Proteção dos dados e informações na nuvem, como criptografia, inclusive dos administradores da plataforma;
3. Considerar a criação de novas métricas para avaliar a segurança dos ativos e serviços na nuvem;
4. Considerar estratégias para reverter ou migrar de provedor de solução da nuvem;
5. Considerar proteção dos dados quando realizar testes com informações de produção, como mascaramento;
6. Avaliar a disponibilidade nos picos da utilização dos serviços;
7. Considerar a segurança da propriedade intelectual armazenada na nuvem, inclusive os diferenciais competitivos de cada empresa (se a empresa for baseada em tecnologia);
8. Considerar o aumento de criticidade dos incidentes na nuvem;
9. Considerar as leis locais dos provedores e seus direitos e obrigações na relação com o provedor (lucro cessante, perdas e danos, NDA);
10. Considerar a avaliação de terceiros, auditores e consultores, em relação às boas práticas de Segurança.

* Umberto Rosti é administrador, sócio-fundador da SafeWay Consultoria, com MBA em Tecnologia pela FGV, possui mais de 14 anos de experiência atuando principalmente com Segurança da Informação em consultoria e auditoria. Também é certificado CISA, CRISC e professor de pós-graduação em Segurança da Informação, além de participar de organizações como ISACA e CB21.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.