Computação em Nuvem: Gestão Confiável de Segurança da Informação, Cibersegurança e Proteção da Privacidade
Colocar na nuvem, qualquer um coloca. Dar a volta por cima e ter uma Gestão Confiável, quero ver quem faz!
Ana Vasconcelos, Pintura Oleo, Coleção Particular Edison Fontes
Edison Fontes, CISM, CISA, CRISC, Ms. 2023
Não resta dúvidas que a Computação em Nuvem já é um ambiente necessário e crítico para o uso da tecnologia por qualquer entidade operacional da terra. Podemos afirmar que em quantidade, este ambiente atende ou pode atender satisfatoriamente a grande maioria dos serviços e aplicações de todas as organizações. Somente ir para a nuvem, para a maioria das empresas acarreta uma melhoria imediata, principalmente se consideramos o ambiente físico e a infraestrutura.
Mas estar na Nuvem significa automaticamente estar em Computação em Nuvem e em conformidade com os critérios para uma adequada Gestão de Segurança da Informação, Cibersegurança e Proteção da Privacidade? Resposta não! Aliás, você sabe quais são os critérios de segurança para uma gestão adequada? Responda para você mesmo.
A CSA – Cloud Security Alliance, entidade mundial de profissionais e independente de fornecedores de serviços e produtos, definiu inicialmente o Security Guidance for Critical Areas of Focus in Cloud Computing, e depois foi aprimorado para o ENISA – European Union Agency For Cybersecurity emitindo o Cloud Computing Benefits, Risk and Recomendations for Information Security. Disto tudo, a CSA considera 13 Domínios de Controles que devem obrigatoriamente devem ser seguidos para uma Gestão Confiável de Segurança da Informação, Cibersegurança e Proteção da Privacidade para o Ambiente de Computação em Nuvem.
- Domínio de Arquitetura
Define os padrões e estruturas (NIST, ISSO, que devem ser considerados para a solução as ser implementada.
- Governança e Gestão de Riscos
Os serviços e produtos em nuvem devem ser avaliados em relação aos riscos e alinhados com as Governanças de Tecnologia, Segurança e Corporativa.
- Exigências Legais, Contratos e outras obrigações.
Devemos considerar a legislação aplicável, normativos de agencias reguladoras e outras obrigações que a organização precisa estar em conformidade.
- Auditoria
É necessário que a solução de tratamento de informação em nuvem seja passível de auditoria. O nível de exigência e a granularidade do tipo de auditoria vai depender do tipo de negócio, porte, localização em países e outros controles. A organização precisa estar ciente do que é necessário considerar.
- Governança da Informação
Como é a definição do uso da informação e os poderes que os diversos atores possuem em relação ao tratamento da informação.
- Continuidade do ambiente para a continuidade do negócio.
Qual a garantia para que o ambiente continuará disponível caso alguma indisponibilidade aconteça com o fornecedor dos serviços em nuvem? Este controle precisa estar bem definido e formalizado em contrato. Também deve ser definido o grau de validação que a organização que contratou o serviço em nuvem pode garantir que terá a continuidade do serviço que utiliza.
- Infraestrutura de segurança
O serviço em nuvem deve ter e deve garantir uma excelente infraestrutura de segurança, de maneira que o serviço prestado está em um ambiente confiável. Este grau de eficácia da infraestrutura deve ser explicito e contratual.
- Virtualização e Containers
Virtualização é uma das fortes características da Computação em Nuvem. Porém é necessário definir ou identificar quem (Provedor ou Organização que contrata) é responsável pela Virtualização e seus controles de segurança. Bem como, alguns destes controles são disponibilizados pelo Provedor, mas precisam ser implementados pela Organização.
- Resposta de Incidente
Computação em Nuvem também precisa considerar que incidentes acontecem (mais ou menos grave) e o Provedor deve ter uma estrutura de comunicação e responsabilização. O ambiente virtual pode facilitar certos controles, mas não pode deixar de considerar a Gestão de Incidentes, inclusive com testes para a garantia da sua efetividade.
- Segurança da Aplicação
A aplicação não altera se está sendo executada em nuvem ou tradicionalmente em servidores locais. A responsabilidade pelos controles de segurança precisam estar bem definidos como serão gerenciados e de quem é a responsabilidade. Outra questão são as aplicações já geradas em ambiente nuvem. Elas têm características diferentes das aplicações tradicionais e precisam também ser consideradas nas suas especificidades de segurança.
- Segurança dos Dados e Criptografia
É necessário a definição e controle para a necessidade de dados em utilizar criptografia. Dependendo da organização e tipo de negócio, alguns dados devem obrigatoriamente ser criptografados. Ter definido como será esta criptografia, responsabilidade pela gestão de chaves e outros controles, precisam ser definidos e formalizados. Não fique tranquilo se o Provedor afirma que criptografa tudo. Verdade? E somente ele consegue descriptografar? Seu negócio fica em conformidade com este controle?
- Identidade e Gestão de Acesso
Este deve ser um dos primeiros controles a serem considerados quando da Computação em Nuvem. Normalmente continua totalmente de responsabilidade da Organização. Mesmo que seja contratado um serviço em nuvem, a Gestão de Acesso é realizada pela Organização. O Provedor pode e deve facilitar este controle.
- Segurança como Serviço
Segurança como Serviço (SaaS) permite que a Organização proteja seus recursos de informação na Nuvem, contratando um serviço do Provedor. Sem nenhuma dúvida é uma excelente opção, considerando que o ambiente em nuvem possui características e conhecimento especifico, que muitas organizações e seus profissionais não possuem. Porém a quantidade de controles de segurança é muito grande e devem ser acertados com a Organização. O Provedor pode assumir certa implementação de controle que não seja coerente com a necessidade de conformidade da Organização, Então estes controles devem ser validados pela Organização.
- Tecnologia Relacionadas
O uso da Computação em Nuvem muitas vezes está relacionado com o uso de outras tecnologias tipo Big Data, Internet das Coisas (IoT), serviços móveis, Tecnologia Operacional (OT) e outras. É necessário validar se o que a Computação em Nuvem oferece está coerente com as necessidades destas tecnologias e uso na Organização.
Todos estas dimensões tornam obrigatório que a Organização realize uma Due Diligence no serviço em nuvem que pretende contratar ou que já tem contratado. Não se pode simplesmente aceitar que o Provedor indique que os controles de segurança foram implementados. Pode até ser verdade, porém os controles e a maneira como foram implementados podem não ser adequados para a sua organização.
Em resumo, precisamos identificar se o controle de segurança específico:
– é garantido pelo Provedor;
– está limitado; ou
– não existe.
Em relação à Políticas e Normas de Segurança da Informação, Cibersegurança e Proteção de Privacidade, os regulamentos tradicionais serão aplicados à Computação em Nuvem, porém, com certeza será necessário acrescentar alguns controles ou termos alguma Políticas e Normas específicas para este novo ambiente de tratamento da informação.
CONCLUSÃO
A Computação em Nuvem pode apresentar inúmeras vantagens e uma maior facilidade para a existência de controles de segurança. Porém, não acontece magicamente. É necessário considerar todas as dimensões apresentadas pela CSA – Cloud Security Alliance. Evidentemente não é a única referência, porém é uma entidade não relacionada a Provedores e busca profissionalmente fornecer diretrizes e orientações para as Organizações.
Espero que você tenha um bom proveito deste artigo.
Grande abraço.
Edison Fontes, CISM, CISA, CRISC, Ms.
CyberSecurity Evangelist – NTT DATA Europe & LATAM