Computação em Nuvem: Gestão Confiável de Segurança da Informação, Cibersegurança e Proteção da Privacidade

Ana Vasconcelos, Pintura Oleo, Coleção Particular Edison Fontes

Edison Fontes, CISM, CISA, CRISC, Ms. 2023

Não resta dúvidas que a Computação em Nuvem já é um ambiente necessário e crítico para o uso da tecnologia por qualquer entidade operacional da terra. Podemos afirmar que em quantidade, este ambiente atende ou pode atender satisfatoriamente a grande maioria dos serviços e aplicações de todas as organizações. Somente ir para a nuvem, para a maioria das empresas acarreta uma melhoria imediata, principalmente se consideramos o ambiente físico e a infraestrutura.

Mas estar na Nuvem significa automaticamente  estar em Computação em Nuvem e em conformidade com os critérios para uma adequada Gestão de Segurança da Informação, Cibersegurança e Proteção da Privacidade? Resposta não! Aliás, você sabe quais são os critérios de segurança para uma gestão adequada? Responda para você mesmo.

A CSA – Cloud Security Alliance, entidade mundial de profissionais e independente de fornecedores de serviços e produtos, definiu inicialmente o Security Guidance for Critical Areas of Focus in Cloud Computing, e depois foi aprimorado para o ENISA – European Union Agency For Cybersecurity emitindo o Cloud Computing Benefits, Risk and Recomendations for Information Security. Disto tudo, a CSA considera 13 Domínios de Controles que devem obrigatoriamente devem ser seguidos para uma Gestão Confiável de Segurança da Informação, Cibersegurança e Proteção da Privacidade para o Ambiente de Computação em Nuvem.

1. Domínio de Arquitetura

Define os padrões e estruturas (NIST, ISSO, que devem ser considerados para a solução as ser implementada.

2. Governança e Gestão de Riscos

Os serviços e produtos em nuvem devem ser avaliados em relação aos riscos e alinhados com as Governanças de Tecnologia, Segurança e Corporativa.

3. Exigências Legais, Contratos e outras obrigações.

Devemos considerar a legislação aplicável, normativos de agencias reguladoras e outras obrigações que a organização precisa estar em conformidade.

4. Auditoria

É necessário que a solução de tratamento de informação em nuvem seja passível de auditoria. O nível de exigência e a granularidade do tipo de auditoria vai depender do tipo de negócio, porte, localização  em países e outros controles. A organização precisa estar ciente do que é necessário considerar.

5. Governança da Informação

Como é a definição do uso da informação e os poderes que os diversos atores possuem em relação ao tratamento da informação.

6. Continuidade do ambiente para a continuidade do negócio.

Qual a garantia para que o ambiente continuará disponível caso alguma indisponibilidade aconteça com o fornecedor dos serviços em nuvem? Este controle precisa estar bem definido e formalizado em contrato. Também deve ser definido o grau de validação que a organização que contratou o serviço em nuvem pode garantir que terá a continuidade do serviço que utiliza.

7. Infraestrutura de segurança

O serviço em nuvem deve ter e deve garantir uma excelente infraestrutura de segurança, de maneira que o serviço prestado está em um ambiente confiável. Este grau de eficácia da infraestrutura deve ser explicito e contratual.

8. Virtualização e Containers

Virtualização é uma das fortes características da Computação em Nuvem. Porém é necessário definir ou identificar quem (Provedor ou Organização que contrata) é responsável pela Virtualização e seus controles de segurança. Bem como, alguns destes controles são disponibilizados pelo Provedor, mas precisam ser implementados pela Organização.

9. Resposta de Incidente

Computação em Nuvem também precisa considerar que incidentes acontecem (mais ou menos grave) e o Provedor deve ter uma estrutura de comunicação e responsabilização. O ambiente virtual pode facilitar certos controles, mas não pode deixar de considerar a Gestão de Incidentes, inclusive com testes para a garantia da sua efetividade.

10. Segurança da Aplicação

A aplicação não altera se está sendo executada em nuvem ou tradicionalmente em servidores locais. A responsabilidade pelos controles de segurança precisam estar bem definidos como serão gerenciados e de quem é a responsabilidade. Outra questão são as aplicações já geradas em ambiente nuvem. Elas têm características diferentes das aplicações tradicionais e precisam também ser consideradas nas suas especificidades de segurança.

11. Segurança dos Dados e Criptografia

É necessário a definição e controle para a necessidade de dados em utilizar criptografia. Dependendo da organização e tipo de negócio, alguns dados devem obrigatoriamente ser criptografados. Ter definido como será esta criptografia, responsabilidade pela gestão de chaves e outros controles, precisam ser definidos e formalizados. Não fique tranquilo se o Provedor afirma que criptografa tudo. Verdade? E somente ele consegue descriptografar? Seu negócio fica em conformidade com este controle?

12. Identidade e Gestão de Acesso

Este deve ser um dos primeiros controles a serem considerados quando da Computação em Nuvem. Normalmente continua totalmente de responsabilidade da Organização. Mesmo que seja contratado um serviço em nuvem, a Gestão de Acesso é realizada pela Organização. O Provedor pode e deve facilitar este controle.

13. Segurança como Serviço

Segurança como Serviço (SaaS) permite que a Organização proteja seus recursos de informação na Nuvem, contratando um serviço do Provedor. Sem nenhuma dúvida é uma excelente opção, considerando que o ambiente em nuvem possui características e conhecimento especifico, que muitas organizações e seus profissionais não possuem. Porém a quantidade de controles de segurança é muito grande e devem ser acertados com a Organização. O Provedor pode assumir certa implementação de controle que não seja coerente com a necessidade de conformidade da Organização, Então estes controles devem ser validados pela Organização.

14. Tecnologia Relacionadas

O uso da Computação em Nuvem muitas vezes está relacionado com o uso de outras tecnologias tipo Big Data, Internet das Coisas (IoT), serviços móveis, Tecnologia Operacional (OT) e outras. É necessário validar se o que a Computação em Nuvem oferece está coerente com as necessidades destas tecnologias e uso na Organização.

Todos estas dimensões tornam obrigatório que a Organização realize uma Due Diligence no serviço em nuvem que pretende contratar ou que já tem contratado. Não se pode simplesmente aceitar que o Provedor indique que os controles de segurança foram implementados. Pode até ser verdade, porém os controles e a maneira como foram implementados podem não ser adequados para a sua organização.

Em resumo, precisamos identificar se o controle de segurança específico:

– é garantido pelo Provedor;

– está limitado; ou

– não existe.

Em relação à Políticas e Normas de Segurança da Informação, Cibersegurança e Proteção de Privacidade, os regulamentos tradicionais serão aplicados à Computação em Nuvem, porém, com certeza será necessário acrescentar alguns controles ou termos alguma Políticas e Normas específicas para este novo ambiente de tratamento da informação.

CONCLUSÃO

A Computação em Nuvem pode apresentar inúmeras vantagens e uma maior facilidade para a existência de controles de segurança. Porém, não acontece magicamente. É necessário considerar todas as dimensões apresentadas pela CSA – Cloud Security Alliance. Evidentemente não é a única referência, porém é uma entidade não relacionada a Provedores e busca profissionalmente fornecer diretrizes e orientações para as Organizações.

 

Espero que você tenha um bom proveito deste artigo.

Grande abraço.

Edison Fontes, CISM, CISA, CRISC, Ms.

CyberSecurity Evangelist – NTT DATA Europe & LATAM

[email protected]