Considerações sobre privacidade na nuvem (parte 4) – Segurança para privacidade na nuvem

Esta série de posts sobre as Considerações de Privacidade na Nuvem contém:

Existem muitos aspectos de privacidade e proteção de dados que precisam ser considerados quando as organizações movem suas operações e dados empresariais para a nuvem.

Neste post, iremos abordar a questão da segurança na nuvem, que pode ajudar as organizações a tratarem melhor as preocupações com a privacidade.

Projetando para segurança na nuvem

Hoje, a ciber segurança e a privacidade são temas importantes quando se trata de utilização de serviços de nuvem. Existe uma variedade de preocupações sobre a segurança de dados e a privacidade, e como os dados pessoais serão tanto usados como protegidos, e o crescimento tanto da globalização dos negócios como da adoção da nuvem.

Como temos visto nos últimos anos, a proteção das informações essenciais da organização através de medidas de segurança cibernética robustas e práticas é essencial, independentemente da informação crítica ser armazenada localmente ou fora da organização.

Erros conceituais sobre a segurança na nuvem

Um dos principais mitos sobre a nuvem é que a nuvem é menos segura do que a alternativa local para armazenar as informações mais críticas da organização. Enquanto organizações podem investir pesadamente para proteger suas redes locais de ataques externos, pode haver uma maior ameaça à privacidade das informações quando a informação está em seus escritórios do que quando a informação é armazenada em um data center altamente seguro fora da organização, com várias camadas de segurança implementadas.

No artigo 10 Principais Mitos da Nuvem, o Gartner trata alguns dos principais erros conceituais sobre a nuvem, que podem impedir a inovação e resultar em suposições perigosas.[1] A percepção de que “a nuvem é menos segura do que as implantações locais” é um dos mitos abordados neste artigo. O que o autor aponta é que a maioria das violações continuam a envolver ambientes locais de data center. O conselho do Gartner sobre o tema da segurança de nuvem é que organizações não devem presumir que provedores de nuvem não são seguros, mas ao mesmo tempo, as organizações não devem presumir que eles são seguros.

O que isto significa é que as organizações precisam fazer a sua due diligence, tal como tratada em nosso post anterior e planejar sua migração para a nuvem em quatro fases: planejamento, avaliação, design e manutenção de sua nuvem. Este processo deve incluir uma avaliação do escopo dos dados da organização, seus fluxos de dados, as capacidades de suporte e serviços de seus provedores de nuvem, assim como o suporte e nível de conhecimento disponíveis internamente.

Se os serviços em nuvem são implantados com a privacidade em mente, a segurança pode ser uma das principais considerações para organizações desejarem mudar para um provedor de nuvem respeitável.

A segurança não é mais o principal desafio da nuvem

Do texto Tendências da Computação em Nuvem: Na Pesquisa Sobre o Estado da Nuvem de 2016 (focada em Infraestrutura como um Serviço), a RightScale identificou que “a falta de recursos/competências é agora o desafio número 1 da nuvem (32 por cento), suplantando a questão da segurança (29 por cento).[2]

Conforme a adoção da nuvem cresce e as organizações colocam mais de suas cargas de trabalho e operações de negócios na nuvem, a necessidade de acesso a especialistas em nuvem também cresce.

Projetar, implantar e manter a infraestrutura certa de nuvem com um modelo de suporte 24x7x365 e monitoramento proativo é, portanto, crítico para organizações com preocupações em torno da privacidade.

A Pesquisa Sobre o Estado da Nuvem 2016 também mostrou que:

  • a adoção da nuvem está crescendo;
  • existe um crescimento especialmente forte em nuvem privada; e
  • muitas empresas agora operam uma nuvem híbrida.

Com base nesses resultados adicionais, podemos entender por que estamos vendo menos interesse em torno da segurança na nuvem nesta pesquisa do que vimos em anos anteriores, onde a segurança havia sido citada como o principal desafio da nuvem desde 2013.

Parece que as organizações estão repensando suas estratégias de privacidade e segurança para proteger adequadamente seus ativos mais valiosos de negócios; percebendo os benefícios dos diferentes modelos de implantação de nuvem que podem tratar melhor as preocupações com privacidade e segurança.

Como citado em um artigo do The Wall Street Journal, do CIO americano Tony Scott, os provedores de nuvem oferecem uma maior segurança para os dados.[3] O mais alto funcionário de TI do governo federal americano disse que os provedores de nuvem têm o incentivo, as competências e habilidades para “fazer um trabalho muito melhor de segurança do que qualquer empresa ou organização provavelmente poderá fazer.”[4]

Conforme discutido no nosso post anterior, ter a flexibilidade de implantar múltiplas nuvens híbridas para diferentes cargas de trabalho e tipos de dados permite às empresas obter um melhor desempenho e, ao mesmo tempo, tratar questões relativas à segurança e privacidade. Provedores de nuvem respeitáveis também podem oferecer segurança de alto nível, serviços avançados de segurança e habilidades e conhecimento específico de segurança. Ao operar uma nuvem híbrida, as organizações podem atender melhor seus requisitos de conformidade.

A segurança na nuvem é uma responsabilidade compartilhada

Quando as organizações movem suas implantações para a nuvem, é importante entender as diferentes camadas de segurança. Conforme discutido na segunda parte desta série de blog (É um mundo multi-nuvem:Modelos de Serviço de Implantação Importam Quando se Trata de Privacidade), dependendo do modelo de serviços de nuvem usado (Infraestrutura como um Serviço, Plataforma como um Serviço ou Software como um Serviço), as funções e responsabilidades de um provedor de nuvem e de um usuário de nuvem podem variar.

Ter uma boa compreensão da interação entre nuvens (IaaS, PaaS e SaaS) é vital porque esses modelos dividem a responsabilidade pela privacidade e os riscos de proteção e mitigação de dados de maneiras diferentes. Dependendo do tipo de serviços de nuvem utilizados, as funções e responsabilidades pela segurança e privacidade dos dados e a mitigação dos riscos de violação de dados pode variar e ser dividida entre os vários provedores de nuvem, usuários de nuvem e proprietários internos de dados.

Para proteger adequadamente seus dados e cumprir com os requisitos e leis específicos de privacidade e segurança que são aplicáveis, os usuários de nuvem precisam distinguir entre as medidas de segurança que provedores de nuvem podem implementar e operar e as medidas de segurança e controles que os usuários de nuvem precisam implementar e operar.

A responsabilidade pela segurança dos dados não termina uma vez que os usuários de nuvem migrem seus dados para sua nuvem fora da organização. Os usuários de nuvem, portanto, precisam ter um compreensão sobre quais aspectos da segurança são de sua responsabilidade, e quais são do seu provedor.

Enquanto provedores de nuvem são responsáveis pela segurança de suas infraestruturas de nuvem e práticas organizacionais, os usuários de nuvem continuam a ser responsáveis pela segurança de seus dados que colocaram na nuvem e a segurança de sua infraestrutura que se conecta a suas nuvens fora da organização.

Para garantir a segurança e gerenciar corretamente os riscos de privacidade, as organizações devem realizar uma avaliação periódica dos riscos e do seu impacto na privacidade em todas as suas soluções – tanto locais como de nuvem. As organizações devem testar seus ambientes regularmente através da realização de testes de desempenho e de carga, testes de penetração e de vulnerabilidades.

As organizações devem procurar provedores de nuvem que (i) forneçam seus serviços de uma forma que garanta flexibilidade sobre como configurar, proteger e implantar sua solução hospedada com base em suas necessidades específicas; e (ii) tenham várias soluções, recursos e serviços de segurança disponíveis para permitir que os usuários de nuvem configurem e implantem soluções que podem resolver seus desafios de segurança e conformidade.

Com isto em mente, os usuários de nuvem permanecem responsáveis por qualquer informação pessoal que coletem e processem. Os usuários de nuvem devem, portanto, tomar todas as medidas razoáveis para proteger os dados hospedados e manter a conformidade com as leis e regulamentos conforme usam os dados. Tais medidas razoáveis podem incluir a criptografia de dados pessoais ou regulamentados.

Pense em sua segurança de ponta a ponta

Apesar da segurança estar se tornando algo menos preocupante em provedores de nuvem respeitáveis, a responsabilidade pela segurança e proteção de dados não termina quando as organizações migram seus dados para uma nuvem fora da organização.

O importante não é apenas as organizações realizarem uma avaliação interna e avaliações de seus provedores de nuvem, mas também adotarem uma abordagem proativa e pragmática para a segurança em geral.

Como abordamos anteriormente nesta série de blog, a nuvem tem muitos benefícios, mas se ela não for implantada e adotada da forma correta, as organizações podem não obter todas as vantagens que os provedores de nuvem podem oferecer.

As organizações só podem desfrutar dos benefícios da nuvem se manterem a segurança adequada, de ponta a ponta, de seus sistemas locais e também de sistemas e cargas de trabalho executados em nuvens de terceiros.

A segurança na implantação de nuvem de uma organização será tão boa quanto o elo mais fraco de todo o fluxo de dados. Uma boa postura em torno da segurança dependerá de controles de acesso suficientes e de políticas no lado dos próprios usuários de nuvem. Uma estratégia de adoção de nuvem de uma organização com segurança para a privacidade é, portanto, extremamente importante.

Com uma avaliação suficiente sobre a adequação para a nuvem, planejamento e compreensão de sua paisagem de dados, as organizações podem tomar decisões inteligentes sobre a nuvem. Para avaliar corretamente a adequação dos serviços de nuvem para o tipo de dados destinado a ser armazenado na nuvem, os profissionais de privacidade precisam entender claramente a nuvem, os drivers de negócios internos, a arquitetura subjacente e o papel dos usuários internos e dos diferentes provedores de nuvem na cadeia de processamento de dados.

Como discutido no post anterior (O que os Profissionais da Privacidade Precisam Considerar ao Escolher Serviços de Nuvem?), comparado a uma implantação somente local, armazenar dados e implantar soluções de TI em uma nuvem fora da organização pode resultar em uma solução muito melhor para a privacidade dos dados pessoais. Provedores de nuvem respeitáveis têm altos padrões de segurança de dados, além de extenso conhecimento e experiência em manutenção e proteção das infraestruturas de nuvem. Uma coisa a notar, entretanto, é que um usuário de nuvem permanecerá responsável pelos dados pessoais que são coletados e processados e pelo cumprimento das leis de proteção de dados aplicáveis.

Trate os riscos de segurança cibernética com o conhecimento e os modelos de implantação de nuvem corretos

Como a Pesquisa sobre o Estado da Nuvem 2016 mostra, as organizações estão principalmente preocupadas com a falta de recursos e competências quando se trata de suas implantações de nuvem. As organizações estão lutando com a complexidade da escalabilidade de aplicativos e dados na nuvem, bem como a experiência e os recursos necessários para acompanhar as atualizações contínuas da tecnologia.

Esta falta interna de recursos e de especialização pode resultar em insuficiência de recursos para corretamente proteger, detectar e responder a violações de segurança contra ameaças persistentes avançadas.

Ao implantar a solução de nuvem correta, os usuários de nuvem podem ter acesso às mais recentes defesas de segurança cibernética e atualizações contra ameaças de segurança, sem a necessidade de implantação de dispositivos locais ou o uso de especialistas internos de custo mais elevado.

Além disso, com o provedor de serviços de nuvem certo, as empresas podem garantir que eles tenham a solução certa, com os níveis de serviço adequados de monitoramento, controle, redundância, suporte e tempo de resposta.

É, portanto, imperativo que os profissionais de privacidade iniciem sua avaliação de adequação para a nuvem e estabeleçam parcerias com especialistas de segurança com a experiência e conhecimento para ajudá-los a proteger os aplicativos digitais de suas organizações, e também as experiências dos usuários, contra ataques cibernéticos.

Implantar a solução certa de nuvem pode ajudar as empresas a resolver suas necessidades de conformidade e privacidade de dados e seus requisitos legais. Os usuários de nuvem podem usar a nuvem pública para escalabilidade e agilidade enquanto hospedam cargas de trabalho intensivas, previsíveis e informações confidenciais em servidores dedicados.

Nas operações de negócios globalizados como as atuais, a segurança bem feita é um fator crucial para alcançar os objetivos em torno da privacidade. Com os controles de segurança e a estratégia de privacidade adequada, as organizações podem fazer a nuvem funcionar da forma que melhor se adeque aos tipos de dados e requisitos de conformidade da organização. Com a implantação da nuvem da maneira certa, as organizações podem afastar o que é conhecido como “TI de sombra”[5] para uma abordagem mais centralizada de nuvem e obter um melhor controle de seus dados.

O acesso a especialistas em nuvem e segurança é, portanto, fundamental para as organizações que precisam projetar suas implantações de nuvem com segurança e privacidade em mente.

Aqui estão algumas perguntas que as organizações devem fazer ao avaliar a responsabilidade da segurança na nuvem para entender a responsabilidade compartilhada pela segurança de dados.

  • Existem diferentes provedores envolvidos no fornecimento de serviços de computação em nuvem?
  • Qual a sobreposição da responsabilidade dos diferentes provedores na pilha de nuvem que você está usando?
  • Onde é que a responsabilidade começa e onde ela termina?
  • Existem lacunas?
  • A solução do seu provedor satisfaz as necessidades de sua empresa em torno da integridade, segurança da informação e confidencialidade?
  • Você compreende a segurança física e lógica dos seus dados?
  • Quais controles de acesso foram implementados na instalação de hospedagem onde os servidores estão alojados?
  • Até que ponto seus dados estão criptografados (criptografia em trânsito, em repouso, criptografia lógica)?
  • Quem é o responsável por criptografar seus dados?
  • Existem firewalls e outros controles de acesso implementados?
  • Como os controles de acesso são definidos e implementados?
  • Estão disponíveis recursos de log de acesso e de monitoramento?
  • As atualizações de sistema são tratadas pelo fornecedor? Quem é o responsável?
  • Quais são os processos de notificação de violação de dados? Quem é responsável pela notificação de violação de dados para as pessoas?
  • Você trata os riscos de segurança cibernética?
  • Você entende e pode eficazmente reduzir as ameaças da segurança cibernética?

As organizações também devem confirmar com seus provedores de nuvem se os serviços de hospedagem foram avaliados por auditores terceiros, em conformidade com a ISO 27001 e frameworks de conformidade SSAE 16 e ISAE 3402.

Adotar uma abordagem pragmática para a segurança com base no tipo de dados, vetores de ameaça, evolução da indústria e tratar proativamente as ameaças que são mais susceptíveis a afetar as operações de negócios das organizações são questões fundamentais para o projeto da segurança na nuvem.

Abordar as preocupações com a privacidade e a segurança cibernética no projeto de sua implantação de nuvem é a forma das organizações serem bem-sucedidas ao integrar a nuvem em suas operações de negócios.

  • Conheça também nosso painel de especialistas (Rackspace, Microsoft e o moderador convidado Bill Martorelli, da Forrester Research) que discute muitas questões sobre a nuvem: Acesse http://go.rackspace.com/Microsoft-SolvingForTheCloud e assista a uma série de vídeos sobre o futuro da computação em nuvem — desde os principais motivadores da adoção até assuntos como a segurança e a escassez de competências relevantes para a nuvem.

Nos próximos posts do blog, você conhecerá alguns especialistas em privacidade da América Latina.

[1] 10 Principais Mitos da Nuvem, David Mitchell Smith, Gartner, Inc. Disponível em http://www.forbes.com/sites/gartnergroup/2015/01/29/the-top-10-cloud-myths/2/#b4adc232800a

[2] RightScale, Relatório sobre o Estado da Nuvem 2016 Disponível em http://www.rightscale.com/blog/cloud-industry-insights/cloud-computing-trends-2016-state-cloud-survey

[3] http://blogs.wsj.com/cio/2015/10/23/u-s-cio-says-cloud-providers-offer-best-data-security/

[4] Ibid.

[5] Consulte “Como Trazer a TI de Sombra para a Luz”, whitepaper da Rackspace disponível em https://broadcast.rackspace.com/al/images/mv_shadowIt8steps_wp.pdf

Previous articleOpenStack alcança a maturidade [Infográfico]
Next articleTarefas agendadas na AWS: Apresentação do “Events”
Sabina Jausovec-Salinas worked as a corporate counsel at Rackspace for eight years, until early 2017. Much of her work focused on privacy, data protection, marketing, advertising, and intellectual property law. She managed the company’s privacy program and supported the in-house marketing department in advertising, direct marketing, promotions, contests, public relations and branding. Sabina has a wide-range of international legal experience in US and EU privacy and data protection law. She has worked in multiple practice areas in Slovenia, the UK, and currently in the US. Sabina holds CIPP/US and CIPT certifications and served as a co-chair of the IAPP KnowledgeNet Chapter in San Antonio. To learn more about Sabina visit linkedin.com/in/sabinajausovecsalinas

LEAVE A REPLY

Please enter your comment!
Please enter your name here