Computaçao em nuvem: o que pensar em segurança?

Author Photo
9:51 am - 14 de agosto de 2013

A Computação em Nuvem proporciona várias vantagens e algumas modificações da forma de gestão da organização.Em relação às vantagens as mais evidentes são: – possível diminuição de custo com investimentos em tecnologia, – repasse da responsabilidade pelas licenças e atualizações do ambiente     computacional que se utiliza; – repasse da gestão técnica do ambiente computacional.Na questão da gestão, a organização deixa a gestão de investimentos em software e hardware para a gestão de gasto mensal pela contratação de um serviço.Mas que cuidados um gestor da organização deve ter? Segurança das informações dessa organização é um desses elementos. E relacionado à segurança o que se deve cuidar quando se trata de computação em nuvem? Alguns cuidados e ações devem ser considerados:1. Confidencialidade das informaçõesNão apenas o tratamento da informação no ambiente computacional da nuvem, que pode ter como vizinho, concorrentes, mas também a transmissão e recebimento da informação. Devem existir controles que garantam que a informação da organização não será acessada em nenhum dos pontos de transmissão, processamento e armazenamento. Estes controles devem ser explicitados para a organização que está contratando a computação em nuvem e devem ter definidos até que ponto são efetivos e que situações ou ameaças eles não são eficientes. Por exemplo: qual a possibilidade de um funcionário da nuvem que esteja mal intencionado, vender informação da organização para um concorrente?2. Proteção da proteção Com certeza uma das soluções para a confidencialidade citada no item anterior é o uso de criptografia. E lógico: uma criptografia forte! Precisamos saber como se dá o processo de gestão das chaves de criptografia. Um erro no processo ou indisponibilidade de pessoas chaves podem gerar uma base de dados criptografada altamente segura, em uma caixa preta que ninguém nem nenhum programa consiga acessá-la. Proteger a proteção também exige segurança em todos os seus aspectos.3. Mais interesse dos criminososCom certeza sua organização possui dados que criminosos e concorrentes desleais desejam acessar. Mas, são alguns. Estando em nuvem a organização está junto com outras organizações. Os criminosos podem não saber que existe naquela nuvem, mas sabem que organizações interessantes estão lá. Você vira alvo sem querer.4. Auditoria externaExija que o fornecedor de computação em nuvem sofra auditorias externas e que o resultado completo dessas auditorias seja disponibilizado para a organização assim que for concluído.5. E se a nuvem acabar?Considere a possibilidade do fornecedor de computação em nuvem encerrar suas atividades de maneira abrupta. O que acontecerá com seus dados e com os serviços? Ah! Existe uma multa de grande porte? Que adianta isso se a organização vai parar o seu negócio por que um fornecedor deixou de prestar serviço? Um terceiro que possa ser depositário dos dados ou um possível fornecedor do serviço pode ser uma opção. Porém, essa situação não é simples. Mas, tem que ser considerada.6. Na nuvem, mas, o território nacionalConsiderando a complexidade quando da ocorrência de problemas, recomendo que a nuvem deve estar no nosso território nacional. Facilita questões legais. Processar serviços de um negócio é muito mais complexo do que um WebMail que eu uso de maneira particular e que os dados podem estar em qualquer lugar do mundo.7. Com Sistemas legados não se vai para a nuvemO uso de sistemas legados não colabora para transformar esse processamento em serviço na nuvem. Vai ter que continuar na organização.8. Alguns serviços não vão para a nuvemMesmo a computação em nuvem declarando que atende o item 1 anteriormente citado, algumas organizações ou alguns serviços das organizações não vão para a nuvem. Acredito que pesquisas, fórmulas e informações altamente críticas não devem chegar às nuvens. Não imagino que a fórmula da Coca Cola será colocada na nuvem.9. Transparência para incidentesO provedor de serviço em nuvem deve ter transparência sobre os incidentes que acontecerem relacionados à organização. A organização deve saber o que tem ocorrido no ambiente das suas informações.10. ResponsabilidadeA computação é na nuvem, mas a responsabilidade é da organização.Mesmo utilizando a computação em nuvem a organização é responsável perante os seus clientes e relação ao serviço que presta. Não se pode dizer que um sistema deixou de funcionar por culpa do provedor da nuvem e por isso a organização está sem prestar serviço ao seu cliente. Se o cliente ficar prejudicado ele vai cobrar da organização e não da nuvem.A computação na nuvem é mais uma forma de processar as informações e possibilitar que a organização preste um bom serviço ou venda um bom produto. Nem todas as organizações ou nem todos os serviços da organização vão e podem ir para a nuvem. Computação em nuvem: use com moderaçãoEdison Fontes, CISM, CISAConsultor, Professor e Autor de Livros de Segurança da Informação.Núcleo Inteligência. Participa ABSEG, ISACA e InfoSecCouncil.[email protected]“Medicina, lei, negócios e engenharia são ocupações nobres para manter a vida. Mas, poesia, beleza, romance e amor são razões para ficar vivo.”, Robin Willians no Filme Sociedade dos Poetas Mortos, 1989.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.