.jpg "Quero me preparar")
.jpg "Quero me preparar")
Confira quais práticas devem ser executadas para ter uma boa gestão de segurança da informação.
Um dos principais pontos a ser pensado antes de realizar a migração para a nuvem é a questão da segurança da informação. É importante criar um planejamento para garantir que todas as aplicações ficarão seguras e existirão soluções para corrigir possíveis problemas de forma rápida sem perda de dados. Por isso, para assegurar o sucesso desse processo, confira 10 passos úteis para garantir a proteção dos dados.
10 passos para garantir a segurança da Cloud
• Passo 1: Assegurar a eficiência dos processos de governança e conformidade
Ao se contratar um serviço de computação em nuvem é importante estabelecer quais os procedimentos de segurança serão usados. Estruturas de controle são estabelecidas para diminuir os possíveis riscos e para servir como um ponto de referência para a execução e validação de conformidade. Esses métodos de segurança, as políticas da empresa e o processo de melhoria da qualidade constitui a governança e conformidade.
O projeto e controle operacional da nuvem fica nas mãos do provedor contratado, por isso, é importante entender todos os perigos que podem surgir quando se contrata e utiliza o ambiente virtual. Conhecer detalhadamente esse plano e verificar todos os meios que o fornecedor da nuvem possui para garantir a proteção das informações é a forma de manter o controle sobre a segurança dos dados.
A governança garante que os fornecedores da nuvem passem todas as informações a seus clientes sobre erros ou violações a seus sistemas. Dessa forma, caso o problema seja grave e a culpa seja de uma falha do provedor, as empresas podem exigir indenizações.
• Passo 2: Verificar a auditoria de operações e processos
Fiscalizar a conformidade dos serviços em nuvem é importante para verificar se elas estão de acordo com as políticas e princípios da organização. Através de relatórios feitos por auditores independentes, o gestor pode ter acesso a informações sobre o andamento das operações na nuvem.
As normas apresentadas pelas auditorias são baseadas em um conjunto de políticas, procedimentos e requisitos que o provedor da nuvem deve seguir. Elas servem para avaliar a eficiência e adequação dos processos, sistemas de informações e controles internos integrados da organização.
Para ajudar os clientes a monitorarem o uso de suas aplicações na nuvem, alguns provedores oferecem autosserviços que permitem monitorar e gerenciar o ambiente virtual, como processos de pagamento, instalações para configurar serviços, opção de incluir ou remover identidades de usuários e gestão das autorizações.
• Passo 3: Gerenciar pessoas, papéis e identidades
Como determinados funcionários do provedor da nuvem podem ter acesso aos dados e aplicativos de clientes, é necessário monitorar as pessoas que possuem essa permissão. O fornecedor deve disponibilizar ao cliente o gerenciamento das funções de autorização. É possível que o acesso seja liberado de forma diferente para cada pessoa.
Por meio do sistema de provisionamento e gerenciamento de identidades, o acesso às informações deve ser monitorado e apresentado em relatórios na auditoria, contendo informações de quais funcionários, tanto dos clientes quanto do provedor do serviço, tiveram acesso a qualquer hardware ou software usado para armazenar, transmitir ou executar os dados e aplicações.
• Passo 4: Garantir a proteção dos dados na nuvem
Riscos como roubo, alteração, divulgação ou perda de dados, aumentam a necessidade de se definir de forma clara quais os técnicas que serão usadas para garantir segurança de dados.
A criptografia é importante para proteger os dados na nuvem, por isso, verifique quais esquemas de criptografia estão disponíveis e e como codificar as informações. As empresas devem definir quem terá acesso aos dados e o ideal é que seja limitado até dentro da própria organização. Pode-se fazer a divisão das responsabilidades, ficando o provedor responsável por armazenar os dados e o usuário com a chave de acesso a eles.
• Passo 5: Aplicar políticas de privacidade
É necessário entender que privacidade e segurança não são a mesma coisa. A segurança está direcionada À proteção contra ataques externos, enquanto a privacidade é importante para preservar os dados pessoais detidos por uma organização, que podem sofrer danos por causa de erros no software ou alguma negligência. A privacidade dos dados requer limitações no acesso às informações de identidade pessoal (Pll) de acordo com políticas definidas pelo departamento jurídico e gestão de risco.
É importante definir legalmente um acordo com os requisitos de privacidade disponíveis, além de especificar as responsabilidades das partes envolvidas, o que acontece em caso de perda de dados e em quais circunstâncias há a indenização por causa de danos sofridos.
A empresa que contrata o serviço da nuvem é responsável por definir quais serão as políticas de privacidade e proteção de dados que serão aplicadas à organização. Assim, deve monitorar o fornecedor do serviço para garantir que ele siga todas os aspectos do contrato.
• Passo 6: Avaliar as provisões de segurança para aplicações em nuvem
A segurança das aplicações na nuvem deve ser considerada tão importante quanto a segurança física e da infraestrutura do negócio. Se um problema acontece, os danos podem gerar muito prejuízo tanto financeiro como para a reputação do provedor e até mesmo da empresa, principalmente se os usuários finais sejam clientes e não a equipe interna.
Em cada modelo de serviços na nuvem as políticas de segurança podem ter diferenças, por isso é importante compreender como funciona em cada um deles:
No modelo IaaS (Infrastructure as a Service) a responsabilidade de implementação de softwares e aspectos de segurança relacionados a eles é do cliente.
No modelo PaaS (Plataform as a Service) o provedor do serviço deve garantir a infraestrutura e sistema operacional adequado, enquanto o cliente tem a responsabilidade pela implementação e acesso à própria aplicação. Além de ficar encarregado da criptografia de dados e o gerenciamento das chaves de acesso.
No modelo SaaS (Software as a Service) as responsabilidades são principalmente do provedor, mas o cliente deve garantir que estejam de acordo com suas normas. O cliente só é capaz de modificar os parâmetros expostos pelo provedor.
• Passo 7: Garantir que a rede e conexão da nuvem são seguras
O provedor da nuvem deve assegurar o tráfego de redes legítimas e bloquear os maliciosos, além de rastreá-los por meio de dispositivos ou softwares de Firewall. É importante que o cliente esteja por dentro da situação da rede e dos processos realizados pelo provedor para o controle de incidentes.
Ao contratar um fornecedor de nuvem, outra consideração a ser feita é sobre a violação da confidencialidade e modificação não autorizada de dados. Por isso, controles internos da rede do provedor devem ser avaliados de acordo com as necessidades reais de cada negócio.
• Passo 8: Analisar os controles de segurança na infraestrutura física e instalações
A segurança da infraestrutura física e das instalações, tanto da empresa como a do provedor dos serviços na nuvem são importantes para garantir a proteção dos dados e aplicações do cliente.
As instalações físicas devem estar em áreas seguras, ter um reforço na proteção para que apenas pessoas autorizadas tenham acesso ao local. É necessário que exista um plano de segurança também contra ameaças externas e desastres ambientais, como incêndios, inundações e terremotos.
A manutenção preventiva de equipamentos também deve ser realizada para que não haja interrupções ou falhas no serviço. Além de backups, redundância de equipamentos e planos de continuidade para lidar com possíveis falhas.
• Passo 9: Administrar termos de segurança no contrato de serviço na nuvem
O contrato do serviço da nuvem deve conter detalhadamente as responsabilidades de segurança do provedor. Deve estar especificado que eles devem sempre notificar, o mais rápido possível, o que aconteceu, além de normalizar o acesso ao serviço, investigar qual foi o problema e como isso pode ser corrigido para que não aconteça novamente
Outro termo que deve estar presente no contrato são as métricas para medir o desempenho da gestão de segurança da informação. Os clientes devem definir quais são suas métricas atuais e como vão mudar após o uso de cloud computing.
• Passo 10: Compreender os requisitos de segurança do processo de saída
Assim que o usuário do serviço na nuvem concluir o processo de saída, nenhum de seus dados deve continuar com os fornecedores, todas as suas informações devem ser apagadas do ambiente virtual em que ficaram armazenadas. Esse processo deve ser gradativo para que o cliente consiga recuperar seus dados de forma segura. Durante um tempo determinado, backups de segurança devem ser mantidos até que o processo de saída seja concluído.
Escreva seu comentário