A adoção de tecnologias baseadas em nuvem é uma realidade crescente no Brasil. Trata-se de um movimento estratégico das organizações a fim de mitigar riscos e reduzir custos, garantindo agilidade e escalabilidade com o uso de novas soluções.

As empresas que optam pelo uso dessas tecnologias podem identificar possíveis roubos e controles de segurança, que são necessários para manter os dados e os aplicativos na nuvem protegidos. Diante disso, há necessidade de uma importante avaliação de conformidade durante a adoção da nuvem.

Mas antes de iniciarmos a discussão sobre este tema é importante compreendermos os principais serviços mais comuns disponíveis em nuvem atualmente:

SaaS: “Software como Serviço” é a definição de um provedor de serviços que oferece softwares e aplicativos para serem utilizados diretamente da Internet, sem a necessidade de uma infraestrutura local. Tudo é feito pelo acesso direto ao software administrado pelo provedor.

SECaaS (também conhecido como SaaS): o termo “Segurança como Serviço” é inspirado no modelo “Software como Serviço”, e é um formato de negócios em que plataformas de segurança de gestão centralizada permitem a adoção de soluções inovadoras para os ambientes corporativos – sem a necessidade de manter hardwares, bancos de dados, armazenamentos de logs, backups ou atualizações constantes de sistemas por conta dos próprios usuários.

IaaS: “Infraestrutura como Serviço” é o fornecimento da infraestrutura em nuvem de sistemas de armazenamento, redes, servidores, sistemas operacionais e outros recursos por meio de virtualização.

PaaS: “Plataforma como Serviço” é o fornecimento de uma plataforma na qual os usuários desenvolvem e fornecem aplicativos, ficando a cargo do provedor a provisão da infraestrutura para esta finalidade.

Agora que entendemos os principais serviços existentes, voltemos ao ponto da necessidade da avaliação da conformidade destes ambientes, atrelando-as não somente ao nível de segurança que devemos priorizar, mas também às legislações locais, como a LGPD (Lei Geral de Proteção de Dados), ou, por exemplo, a Instrução Normativa GSI n.o 5, que dispõe sobre os requisitos mínimos de segurança da informação para o uso de soluções de computação em nuvem por órgãos e entidades da administração pública federal (antiga Norma Complementar NC-14).

Entre os principais pontos desta necessidade de adequação da conformidade, destacamos:

  1. É extremamente importante assegurar que os controles e os níveis de serviços contratados sejam cumpridos;

  1. É necessária uma garantia de que o armazenamento de informações das soluções baseadas em nuvem tenham os dados, metadados, informações e conhecimentos produzidos sejam hospedados em data centers presentes em território brasileiro;

  1. Todos os backups e auditorias destas soluções baseadas em nuvem devem ser realizados no Brasil, com o controle do fluxo de dado da solução e a rápida notificação de qualquer incidente de cibersegurança existente;

Tecnologia em nuvensFonte: Shutterstock

  1. É indispensável ter um termo de confidencialidade que impeça o provedor de serviço de nuvem de usar, transferir e liberar dados, sistemas, processos e informações de quem contratou o serviço;

  1. Armazenar os registros de todos os acessos e controles de autenticação, bem como uma constante auditoria da infraestrutura para garantir que não ocorra a instalação de recursos não autorizados na nuvem.

Também é válido ressaltar que os principais provedores de soluções do mercado já entendem bem esta necessidade e compreendem que o avanço da adoção desta tecnologia, em adequação às leis locais e realizando investimentos no país, garantem não só níveis mais altos de segurança e disponibilidade ao usuários como também são o caminho correto para a ampliação da adoção baseadas em nuvem no Brasil.

***
André Carneiro, colunista do TecMundo, tem cerca de 20 anos de experiência na indústria de segurança. Na Sophos, já atuou como executivo de contas de canal e engenheiro de vendas. Desde setembro de 2019, é o Country Manager da marca para o Brasil e, nessa posição, ele lidera a estratégia de crescimento da Sophos no Brasil, expandindo o alcance da companhia em diferentes mercados.



Olhar Digital