A adoção de tecnologias baseadas em nuvem é uma realidade crescente no Brasil. Trata-se de um movimento estratégico das organizações a fim de mitigar riscos e reduzir custos, garantindo agilidade e escalabilidade com o uso de novas soluções.
As empresas que optam pelo uso dessas tecnologias podem identificar possíveis roubos e controles de segurança, que são necessários para manter os dados e os aplicativos na nuvem protegidos. Diante disso, há necessidade de uma importante avaliação de conformidade durante a adoção da nuvem.
Mas antes de iniciarmos a discussão sobre este tema é importante compreendermos os principais serviços mais comuns disponíveis em nuvem atualmente:
SaaS: “Software como Serviço” é a definição de um provedor de serviços que oferece softwares e aplicativos para serem utilizados diretamente da Internet, sem a necessidade de uma infraestrutura local. Tudo é feito pelo acesso direto ao software administrado pelo provedor.
SECaaS (também conhecido como SaaS): o termo “Segurança como Serviço” é inspirado no modelo “Software como Serviço”, e é um formato de negócios em que plataformas de segurança de gestão centralizada permitem a adoção de soluções inovadoras para os ambientes corporativos - sem a necessidade de manter hardwares, bancos de dados, armazenamentos de logs, backups ou atualizações constantes de sistemas por conta dos próprios usuários.
IaaS: “Infraestrutura como Serviço” é o fornecimento da infraestrutura em nuvem de sistemas de armazenamento, redes, servidores, sistemas operacionais e outros recursos por meio de virtualização.
PaaS: “Plataforma como Serviço” é o fornecimento de uma plataforma na qual os usuários desenvolvem e fornecem aplicativos, ficando a cargo do provedor a provisão da infraestrutura para esta finalidade.
Agora que entendemos os principais serviços existentes, voltemos ao ponto da necessidade da avaliação da conformidade destes ambientes, atrelando-as não somente ao nível de segurança que devemos priorizar, mas também às legislações locais, como a LGPD (Lei Geral de Proteção de Dados), ou, por exemplo, a Instrução Normativa GSI n.o 5, que dispõe sobre os requisitos mínimos de segurança da informação para o uso de soluções de computação em nuvem por órgãos e entidades da administração pública federal (antiga Norma Complementar NC-14).
Entre os principais pontos desta necessidade de adequação da conformidade, destacamos:
É extremamente importante assegurar que os controles e os níveis de serviços contratados sejam cumpridos;
É necessária uma garantia de que o armazenamento de informações das soluções baseadas em nuvem tenham os dados, metadados, informações e conhecimentos produzidos sejam hospedados em data centers presentes em território brasileiro;
Todos os backups e auditorias destas soluções baseadas em nuvem devem ser realizados no Brasil, com o controle do fluxo de dado da solução e a rápida notificação de qualquer incidente de cibersegurança existente;
Fonte: Shutterstock
É indispensável ter um termo de confidencialidade que impeça o provedor de serviço de nuvem de usar, transferir e liberar dados, sistemas, processos e informações de quem contratou o serviço;
Armazenar os registros de todos os acessos e controles de autenticação, bem como uma constante auditoria da infraestrutura para garantir que não ocorra a instalação de recursos não autorizados na nuvem.
Também é válido ressaltar que os principais provedores de soluções do mercado já entendem bem esta necessidade e compreendem que o avanço da adoção desta tecnologia, em adequação às leis locais e realizando investimentos no país, garantem não só níveis mais altos de segurança e disponibilidade ao usuários como também são o caminho correto para a ampliação da adoção baseadas em nuvem no Brasil.
***
André Carneiro, colunista do TecMundo, tem cerca de 20 anos de experiência na indústria de segurança. Na Sophos, já atuou como executivo de contas de canal e engenheiro de vendas. Desde setembro de 2019, é o Country Manager da marca para o Brasil e, nessa posição, ele lidera a estratégia de crescimento da Sophos no Brasil, expandindo o alcance da companhia em diferentes mercados.
Categorias
