O que sua empresa faz para garantir a segurança da nuvem?

Informação é patrimônio e ninguém quer ter prejuízo com vazamento de dados, ainda mais quando a LGPD já impacta o uso de nuvem

Author Photo
4:50 pm - 20 de agosto de 2021
nuvem, segurança

A adequação às normas da Lei Geral de Proteção de Dados (LGPD), cujo início da vigência das sanções administrativas iniciou no dia 1º de agosto, é uma preocupação que mantém o assunto “segurança da informação” no radar dos gestores de tecnologia. E em um momento em que a aceleração da adoção do cloud computing se tornou fato para muitas empresas e não apenas algo a se investir no futuro, é natural que surjam dúvidas como “a LGPD vai impactar o uso do cloud computing pelas empresas?” ou mesmo “como transferir dados estratégicos para a nuvem sem comprometer a segurança?”.

Claro que essas se tratam de preocupações pertinentes. Afinal, informação é patrimônio e ninguém quer ter prejuízo com vazamento de dados. A resposta para a primeira pergunta é sim, a LGPD vai impactar o uso de nuvem. Uma das diretrizes estabelecidas pela lei é que os provedores de nuvem estejam em conformidade com as normas brasileiras. Isso faz com que as empresas analisem as políticas de segurança seguidas por seus provedores.

Já em relação à segunda pergunta, é necessário entender que garantir a segurança da informação em ambientes de TI depende de muita coisa, incluindo responsabilidades de todos os lados, tanto do provedor de nuvem como do usuário.

Peguemos como exemplo o modelo de IaaS (infraestrutura como serviço) para contextualizar o papel do provedor e do cliente na equação da segurança em nuvem. Nele, o provedor tem responsabilidade de manter políticas rígidas, procedimentos, planos, bem como todo um arcabouço de segurança física e lógica para entregar aos clientes o SLA contratado. Isso inclui a manutenção de zonas de disponibilidade, oferecer redundância, hardware, switches, firewall, link de dados, servidores, softwares e aplicações voltados para a segurança do ambiente.

Assim, quando um cliente opta por cloud computing neste modelo, não precisa se preocupar com a manutenção de hardware, pois a infraestrutura é responsabilidade do provedor e transparente para o cliente. Então, de modo geral, os provedores de nuvem oferecem soluções a partir que garantem padrões rígidos de segurança de modo a mitigar acessos indevidos e invasões. No entanto, a maioria das violações ou vazamentos em nuvem é de responsabilidade do usuário — o Gartner prevê que, até 2025, 99% das falhas de segurança na nuvem acontecerão por falha do usuário.

Quando falamos em risco à segurança de dados na computação em nuvem, precisamos ter em mente que existem ameaças internas (riscos que podem ser mitigados a partir de uma auditoria periódica da estrutura) e externas (riscos que a gente consegue prever às vezes e que estão ligados à intrusão). É sabido que a maior parte das ameaças, mesmo as externas, tem grande fatia de responsabilidade em questões internas, ou seja, de responsabilidade do usuário. 

Cronologicamente falando, para garantir a segurança de dentro para fora é preciso fazer uma análise de quais são as vulnerabilidades internas e externas, realizar a análise de riscos e priorizar o que precisa ser resolvido primeiro. A partir daí, é possível implementar as políticas e processos mais adequados para mitigar essas vulnerabilidades. Também é importante ter modelos de checagem dessas políticas e processos, além de realizar a manutenção constante deles.

Configurações, como a implementação de políticas de firewall, instalação e configuração do Sistema Operacional, aplicação de boas práticas na camada lógica, são sempre do administrador do ambiente — e não do provedor. Desta forma, não é apenas o usuário que gera risco dentro da empresa, mas também, a má configuração. Ao provedor de nuvem cabe a gestão da infraestrutura física, como garantir o isolamento do ambiente, fornecer plataformas, suporte, orientação sobre as boas práticas e soluções para encontrar vulnerabilidades.

Também não podemos deixar de citar a relevância da educação após a construção dos processos. Na prática, investir em soluções para reduzir as vulnerabilidades do ambiente e ignorar o processo de educação dos usuários é como ter um cinto de segurança no carro, e não o utilizar. A chance de se ferir em um acidente é imensa. Por isso, é necessário ter processos bem implementados e campanhas educacionais robustas para que os funcionários respeitem os códigos de ética e conduta da organização quanto à segurança de dados.

Além disso, é preciso ter planos, como o de disaster recovery e, principalmente, o plano de continuidade de negócios. Claro que estamos pensando em não ter riscos, mas não dá para pensar que, mesmo avaliando tudo o que vimos, estaremos 100% sem riscos.

Quando o assunto é segurança da informação em ambientes em nuvem, infraestrutura é apenas uma parte. Do lado do provedor de nuvem, fica a responsabilidade por manter um data center altamente protegido e certificado pelas principais normas do mercado. Do lado da empresa que contrata cloud computing, fica a responsabilidade por garantir políticas e processos íntegros sobre a gestão da informação.

É necessário ter planos que levem em consideração riscos internos ou externos, como backup, plano de recuperação de desastres (DR) e de continuidade de negócio. Ter esses processos mapeados e bem comunicados para todos os usuários garante que a empresa consiga restabelecer a operação mais rapidamente. Além disso, caso a empresa seja pega por uma vulnerabilidade não detectada, os planos estarão lá visando o pior cenário possível, servindo como aparato legal diante de auditorias.

Estamos acostumados a contratar seguro para as coisas que damos valor, como carro, casa, vida. Quase sempre, passamos anos sem consumir ou usar o serviço, mas continuamos pagando. Por que isso acontece? Porque, historicamente, vivenciamos fatos como acidentes de carro, emergências em casa, doenças e, por isso, sabemos o valor da prevenção.

Já no contexto da TI, por mais que estejamos vivenciando um avanço acelerado em direção a uma maturidade maior sobre segurança, é fato que problemas como vazamentos, sequestro de dados, perda de informações e pane geral parecem estar longe de nós e, por isso, a segurança da informação acaba sendo quase um tabu e ficando de lado. Entretanto, os cibercrimes têm tido destaque, pois vem impactando desde as pequenas empresas até multinacionais, mas, felizmente, mais pessoas têm buscado agir preventivamente.

O fato é que, assim como o seguro, em TI, é melhor prevenir do que remediar. Perder um banco de dados que armazena todos os dados contábeis, estoque, faturamento, dados de clientes, ou um sistema usado pela força de vendas ou clientes para fazer pedidos pode gerar prejuízos imensuráveis e, até mesmo, forçar uma empresa a encerrar suas atividades. Desta forma, estar em conformidade e em constante vigilância deve ser prioridade para todo gestor, não só o de TI. Para empresas que possuem poucos recursos, seja financeiro ou de mão de obra, buscar especialistas no mercado para uma consultoria pode ser a saída. 

* Cássio Nascimento é project manager leader na Binario Cloud

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.