Sistemas de TI baseados em nuvem desempenham funções importantes em quase todos os setores modernos. Empresas, organizações sem fins lucrativos, governos e até mesmo instituições educacionais usam a nuvem para expandir o alcance do mercado, analisar o desempenho, gerenciar recursos humanos e oferecer serviços aprimorados. Naturalmente, uma governança efetiva de segurança na nuvem é essencial para qualquer entidade que queira colher os benefícios da TI distribuída.
Como todo domínio de TI, a computação em nuvem tem preocupações de segurança exclusivas. Embora a ideia de manter os dados seguros na nuvem tenha sido considerada uma contradição impossível, as práticas amplamente divulgadas do setor revelam inúmeras técnicas que oferecem segurança eficaz na nuvem. Como os provedores de nuvem comerciais, como o Amazon AWS, demonstraram que, ao manter a conformidade com o FedRAMP, a segurança eficaz na nuvem é viável e prática no mundo real.
$config[code] not foundCriação de um roteiro de segurança impactante
Nenhum projeto de segurança de TI pode funcionar sem um plano sólido. Práticas que envolvem a nuvem devem variar de acordo com os domínios e implementações que eles buscam proteger.
Por exemplo, suponha que uma agência do governo local institua uma política de trazer seu próprio dispositivo ou BYOD. Pode ter que aprovar diferentes controles de supervisão do que se simplesmente impedisse seus funcionários de acessar a rede organizacional usando seus smartphones, laptops e tablets pessoais. Da mesma forma, uma empresa que deseja tornar seus dados mais acessíveis a usuários autorizados, armazenando-os na nuvem, provavelmente precisará seguir etapas diferentes para monitorar o acesso, do que se mantivesse seus próprios bancos de dados e servidores físicos.
Isso não quer dizer, como alguns sugeriram, que manter a nuvem segura pode ser menos provável do que manter a segurança em uma LAN privada. A experiência mostrou que a eficácia de diferentes medidas de segurança na nuvem depende de quão bem elas aderem a determinadas metodologias comprovadas. Para produtos e serviços em nuvem que empregam dados e ativos do governo, essas práticas recomendadas são definidas como parte do Programa Federal de Gerenciamento de Risco e Autorização, ou FedRAMP.
O que é o Programa Federal de Gerenciamento de Risco e Autorização?
O Programa Federal de Gerenciamento de Risco e Autorização é um processo oficial que as agências federais empregam para avaliar a eficácia dos serviços e produtos de computação em nuvem. Na sua essência estão os padrões definidos pelo Instituto Nacional de Padrões e Tecnologia, ou NIST, em vários documentos da Publicação Especial, ou SP, e Federal Information Processing Standard, ou FIPS,. Esses padrões se concentram na proteção efetiva baseada na nuvem.
O programa fornece diretrizes para muitas tarefas comuns de segurança na nuvem. Isso inclui o tratamento adequado de incidentes, o uso de técnicas forenses para investigar violações, o planejamento de contingências para manter a disponibilidade de recursos e gerenciar os riscos. O programa também inclui protocolos de credenciamento para Organizações de Acreditação de Terceiros, ou 3PAOs, que avaliam implementações em nuvem caso a caso. A manutenção da conformidade com a certificação 3PAO é um sinal claro de que um integrador de TI ou fornecedor está preparado para manter as informações seguras na nuvem.
Práticas de segurança eficazes
Então, como as empresas mantêm os dados seguros com provedores de nuvem comerciais? Embora existam inúmeras técnicas importantes, algumas são dignas de menção aqui:
Verificação de provedor
Fortes relações de trabalho são construídas na confiança, mas essa boa fé deve se originar em algum lugar. Não importa o quão bem estabelecido seja um provedor de nuvem, é importante que os usuários autentiquem suas práticas de conformidade e governança.
Os padrões governamentais de segurança de TI geralmente incorporam estratégias de auditoria e pontuação. Verificar o desempenho anterior do seu provedor de nuvem é uma boa maneira de descobrir se eles são dignos de seus negócios futuros. Indivíduos que possuem endereços de e-mail.gov e.mil também podem acessar os Pacotes de Segurança do FedRAMP associados a diferentes provedores para corroborar suas declarações de conformidade.
Assuma uma função proativa
Embora serviços como Amazon AWS e Microsoft Azure declarem sua adesão aos padrões estabelecidos, a segurança abrangente na nuvem exige mais de uma parte. Dependendo do pacote de serviços em nuvem que você adquirir, talvez seja necessário direcionar a implementação de determinados recursos importantes ou avisá-los de que precisam seguir procedimentos de segurança específicos.
Por exemplo, se você é um fabricante de dispositivos médicos, leis como a Health Insurance Portability e Accountability Act, ou HIPAA, podem exigir que você tome medidas extras para proteger os dados de saúde do consumidor. Esses requisitos geralmente existem independentemente do que seu provedor deve fazer para manter sua certificação do Programa Federal de Gerenciamento de Risco e Autorização.
No mínimo, você será o único responsável por manter práticas de segurança que cubram sua interação organizacional com os sistemas em nuvem. Por exemplo, você precisa instituir políticas de senha segura para sua equipe e seus clientes. Deixar cair a bola na sua extremidade pode comprometer até mesmo a implementação de segurança na nuvem mais eficaz, portanto, assuma a responsabilidade agora.
O que você faz com seus serviços em nuvem acaba afetando a eficácia de seus recursos de segurança. Seus funcionários podem se envolver em práticas shadow de TI, como o compartilhamento de documentos via Skype ou Gmail, por motivos de conveniência, mas esses atos aparentemente inócuos podem prejudicar seus planos de proteção em nuvem cuidadosamente definidos. Além de treinar a equipe como usar corretamente os serviços autorizados, você precisa ensiná-los a evitar armadilhas envolvendo fluxos de dados não oficiais.
Entenda os termos do seu serviço em nuvem para controlar o risco
Hospedar seus dados na nuvem não concede necessariamente a você as mesmas permissões inerentes ao armazenamento pessoal. Alguns provedores mantêm o direito de vasculhar seu conteúdo para que eles possam veicular anúncios ou analisar seu uso de seus produtos. Outros podem precisar acessar suas informações durante o fornecimento de suporte técnico.
Em alguns casos, a exposição de dados não é um grande problema. No entanto, quando você lida com informações do consumidor ou dados de pagamento pessoalmente identificáveis, é fácil ver como o acesso de terceiros pode causar um desastre.
Pode ser impossível impedir totalmente todo o acesso a um sistema ou banco de dados remoto. No entanto, trabalhar com provedores que lançam registros de auditoria e logs de acesso ao sistema mantém você informado sobre se seus dados estão sendo mantidos com segurança. Esse conhecimento ajuda muito as entidades a mitigar os impactos negativos de quaisquer violações que ocorram.
Nunca assuma que a segurança é um assunto único
A maioria das pessoas inteligentes muda suas senhas pessoais regularmente. Você não deveria ser tão diligente quanto à segurança de TI baseada em nuvem?
Independentemente da frequência com que a estratégia de conformidade de seu fornecedor exige que ele realize auto-auditorias, você precisa definir ou adotar seu próprio conjunto de padrões para avaliações de rotina. Se você também estiver vinculado aos requisitos de conformidade, caberia a você adotar um regime rigoroso que garanta o cumprimento de suas obrigações, mesmo que seu provedor de nuvem não o faça de maneira consistente.
Criando implementações de segurança na nuvem que funcionam
A segurança efetiva da nuvem não é uma cidade mística que está para sempre além do horizonte. Como um processo bem estabelecido, ele está bem ao alcance da maioria dos usuários e provedores de serviços de TI, independentemente dos padrões aos quais eles obedecem.
Ao adaptar as práticas descritas neste artigo aos seus objetivos, é possível alcançar e manter padrões de segurança que mantenham seus dados seguros sem aumentar drasticamente a sobrecarga operacional.
Imagem: SpinSys
1 comentário ▼
