Até pouco tempo atrás, falar na computação em nuvem com organizações, gestores de TI e profissionais de segurança era quase um assunto proibido. O simples fato de comentar com os administradores que todas as suas informações ficariam armazenadas em sistemas fora de sua organização era motivo de descrença e o projeto já morreria por ali.
Nestes bate-papos, inclusive, surgia sempre a pergunta: “mas, e a segurança?”
Os tempos mudaram, mas o questionamento persiste: a segurança na nuvem ainda é um tabu para os gestores? Será que ainda existe este pensamento?
Confira a seguir por que devemos mudar de vez nosso pensamento sobre a segurança da informação na nuvem!
Como ocorre a implementação da segurança na nuvem?
Em primeiro lugar, a função mais importante que os profissionais devem desenvolver, visando planejar uma solução em nuvens (e até mesmo on-premise ), é entender o negócio da organização na qual trabalha.
É inaceitável que se contrate um provedor de nuvem, ou até mesmo desenvolver soluções internas de tecnologia, sem conhecimento profundo dos planos estratégicos da empresa. Isso porque é primordial que toda informação exista para suportar o negócio; caso contrário, a sua existência na empresa é descartável.
Entendido o negócio, deve-se então pensar em gestão e cibersegurança. É de suma importância saber, primeiro, o que sua empresa faz para proteger as informações que possui. Ou seja, é preciso conhecê-la, bem como os profissionais que utilizam essas informações. É crucial, também, saber quais informações eles acessam para então classificá-las, elencando níveis de acesso à informação.
Nesse momento um conhecimento profundo do ciclo da informação dentro da organização é vital. Sem uma gestão eficaz da informação, nenhum profissional saberá ao certo o que proteger (ou de quem proteger), para que a informação será utilizada e por quem.
Como escolher um provedor de segurança na nuvem?
Após ser elaborada a política de gestão e segurança, aí sim pode-se pensar na ferramenta (tecnologia) que será utilizada para gerenciar a informação. No caso dos provedores de nuvem, “qual a modalidade de serviço deverá ser contratada”, pois a modalidade define as responsabilidades.
Existem, basicamente, três modelos oferecidos pelos provedores de nuvem:
Saas (Software as a service)
Nessa modalidade de prestação de serviço os clientes poderão acessar aplicativos (softwares) baseados em computação na nuvem. Serviços como editores de textos e planilhas, agendas eletrônicas, softwares de comunicação instantânea e videoconferências, dentre outros, são oferecidos para usuários que se conectarem no portal de serviço do fornecedor.
Em alguns casos, se o cliente não possuir acesso a internet, é possível utilizar os serviços offline e no momento que houver uma conexão, os dados que foram trabalhados, serão salvos na nuvem. Segundo Ruschel, Zanotto e Mota (2010), SaaS representa “os serviços de mais alto nível disponibilizados em uma nuvem. Esses serviços representam as aplicações completas que são oferecidas aos usuários”.
PaaS (Platform as a Service)
Para Ruschel, Zanotto e Mota (2010), o Paas tem por objetivo “facilitar o desenvolvimento de aplicações destinadas aos usuários de uma nuvem, criando uma plataforma que agiliza esse processo”. Nessa modalidade o provedor de segurança na nuvem irá colocar todo o sistema a disposição de desenvolvedores, que poderão colocar suas aplicações online sem se preocuparem com a infraestrutura de funcionamento, somente com a parte que lhe diz respeito, a aplicação.
IaaS (Infrastructure as a Service)
Arriscaria dizer que esse foi o primeiro módulo de fornecimento de serviços em nuvem. É onde a organização contrata um datacenter para alocação de servidores, no início próprio, hoje mais precisamente escolhendo qual a capacidade precisará para implantar os seus serviços. Essa modalidade poderá ser utilizada para testes de desenvolvimentos, armazenamento de backups, hospedagem de sites, aplicativos web.
Basicamente a diferença do IaaS e do Paas, é que no caso de IaaS, o gestor de TI terá uma maior autonomia de utilização dos servidores, uma vez que contratará basicamente espaço, capacidade de processamento e memória. No caso do Paas, ele não precisa preocupar também com a gestão da infra, focando na sua aplicação.
Como o provedor faz a gestão de segurança na nuvem?
Para escolher qual a melhor solução para sua empresa, após ter feito o “dever de casa” e elaborar a política de gestão e segurança da informação, deve-se escolher qual das modalidades atende às necessidades da organização. Lembrando que, como visto na figura acima, dependendo da escolha a responsabilidade pela segurança será mais ou menos compartilhada com o provedor.
Ao definir que será utilizada o modelo SaaS, a maior parte da segurança é feita pelo provedor, cabendo ao gestor configurar as ferramentas de segurança que são disponibilizadas pelo provedor. Já no caso de PaaS e IaaS, os provedores oferecem as ferramentas como opção, e toda a responsabilidade da segurança lógica da solução será responsabilidade do gestor, cabendo a ele portanto toda a construção e configuração das ferramentas para segurança.
Como a segurança da infraestrutura de datacenter é papel dos provedores, hoje os provedores estão muito preocupados com este pré-requisito e investem pesado neste sentido. Os maiores possuem todas as certificações necessárias na área e investem em estrutura e tecnologia para manter um alto nível de segurança, não sendo mais um problema para o projeto.
Isso leva inclusive a reflexão do valor que deveria ser investido para se montar uma infraestrutura própria e atender a demanda da organização. É mais um fator que leva a escolha dos provedores de segurança na nuvem.
O mercado de segurança na nuvem
Por tudo isso foi destacado a primeira etapa do projeto de segurança da informação na nuvem. É muito comum encontrarmos no mercado profissionais altamente classificados tecnicamente, com capacidade para configurar sistemas complexos, mas que não possuem conhecimento do negócio ou de políticas de gestão e segurança da informação, ficando portanto o momento da configuração das técnicas, prejudicado por não saber ao certo o que deve ser feito.
Além disso tudo dito até agora, o momento final é o da análise de contratos de prestação de serviços. Um dos grandes problemas jurídicos enfrentados é fato dos contratos “on-line” serem praticamente de aceite por parte do cliente, ou seja, não há uma negociação das cláusulas do contrato, mas sim o aceite por parte do cliente.
Isso leva a necessidade de se analisar a fundo os contratos para se definir bem as responsabilidades, se os termos estão claros para ambas as partes, qual o foro de discussão de problemas (isso poderá acarretar custos altos fora do país), SLA (Service Level Agreement) que mostre claramente qual a disponibilidade do provedor e quais as penalidades em caso de falha. Lembrando que esta análise deve ser elaborada com os critérios criados no momento de elaborar a política da segurança da organização.
Enfim, deixar de usar a nuvem hoje por problemas de segurança já não é uma realidade. O maior problema hoje está mais internamente, ou seja, nos profissionais que planejarão as soluções de segurança, do que nos próprios provedores.
Existem várias soluções de segurança para computação em nuvem, em diversos níveis e valores de investimentos. Mas sem conhecer o que a organização precisa, o que deve realmente ser feito, tornam-se inúteis e sem sentido. Portanto, procure um bom profissional, faça sua política e invista em nuvens, elas certamente atenderão as necessidades de sua organização.
Quer se especializar em cibersegurança e ficar por dentro de tudo o que ocorre nesse universo? Então inscreva-se agora no MBA em Segurança Cibernética e garanta já seu acesso ao mercado das tecnologias do futuro!