Riscos de segurança na computação em nuvem

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

* Com Leonardo Silva
___________________

É praticamente impossível imaginar as empresas sem o suporte tecnológico em suas operações, sejam elas ligadas ao objetivo fim do negócio ou não.

Porém, como contraponto às facilidades proporcionadas pela tecnologia, aumenta-se também os riscos relacionados principalmente à confidencialidade e integridade das informações, disponibilidade dos dados, atendimento a regulamentos e leis etc.

A exposição a esses riscos cresce significativamente diante de tecnologias emergentes, como é o caso do Cloud Computing (em português “Computação em Nuvem”), que é a utilização de recursos tecnológicos, por meio de uma rede privada (link dedicado) ou pública (internet), acessados remotamente.

Dentre os principais serviços oferecidos pelas empresas fornecedoras dessa nova tecnologia destacam-se:

§         IaaS (Infrastructure as a Service – infra-estrutura como serviço) – Exemplo: utilização de servidores.

§         PaaS (Plataform as a Service – Plataforma como serviço) – Exemplo: utilização de plataforma web, e-mail etc.

§         SaaS (Software as a Service – Software como serviço) – Exemplo: utilização de softwares de vários tipos, como ERP.

O SaaS, por exemplo, funciona da seguinte forma:  a empresa usuária X deseja utilizar um ERP, mas não quer expandir seu hardware, adquirir um banco de dados ou manter uma equipe interna para dar suporte à ferramenta.

Então ela busca no mercado empresas que forneçam o SaaS e escolhe a empresa fornecedora Y, que já possui a infraestrutura pronta e simplesmente interliga a sua estrutura à da empresa contratante.

Esse modelo permite que a empresa usuária sequer precise saber onde de fato fisicamente estão instalados os servidores que processam os seus dados, a exemplo de como já acontece com os serviços conhecidos de e-mail online.

O grande paradigma dessa facilidade está relacionado ao sigilo, disponibilidade e segurança dos dados processados. Como se manter confortável e seguro dentro desse contexto estritamente virtual?

As empresas que contratam os serviços de Cloud Computing desejam, além de um serviço prestado com excelência e dentro dos níveis acordados, segurança, sigilo, confidencialidade e disponibilidade dos seus dados.

Já as empresas fornecedoras de serviço desejam possuir um diferencial que traga conforto aos clientes e, consequentemente, expandir a sua carteira. A partir daí, nasce a necessidade de se conhecer os riscos existentes e tomar ações reais para gerenciá-los.

A adoção de controles internos (políticas e procedimentos) para garantir o êxito das operações chaves do processo executado é uma das maneiras mais comuns para gerenciar os riscos, mas apenas isso não basta.

Mesmo que a empresa fornecedora de serviços possua uma área de qualidade e/ou de auditoria interna, é necessário um diagnóstico externo e com independência para a obtenção de um resultado mais significativo e com isenção, o que pode dar maior conforto à empresa usuária.

Sob esse aspecto, temos a aplicação das certificações como ISO/IEC 20000, quanto à utilização das boas práticas no gerenciamento de serviços de TI, e o SAS 70 para os controles internos adotados para o gerenciamento de riscos.

O CobiT (Control Objectives for Information and Related Technology , que é um framework de boas práticas para Governança de TI, mantido pelo ITGI – IT Governance Institute), possui um direcionamento para tratar os riscos, gerenciando-os de quatro maneiras:

1)    Mitigação – tomando ações para diminuir a possibilidade de que ele aconteça;

2)    Transferindo – compartilhando o risco com um parceiro de negócio ou a contratação de um seguro;

3)    Aceitando – confirmando e monitorando os riscos, tendo um plano de ação pronto para respondê-los quando necessário;

4)    Evitando – adotando uma opção diferente que evite completamente o risco.

Os riscos relacionados à tecnologia não devem ser encarados como “casualidade” e tampouco se deve contar com a sorte para evitá-los.

Os riscos são uma realidade irreversível, principalmente hoje, no mundo digital, onde as fronteiras não possuem limites mensuráveis.

Tão emergente quanto a busca por soluções capazes de agregar valor, desempenho e qualidade, é a necessidade de encontrar alternativas que garantam conforto quanto à segurança dos dados processados e dos controles internos adotados pela empresa fornecedora, que garantam a continuidade das operações. [Webinsider]

…………………………

Conheça os serviços de conteúdo da Rock Content..

Avatar de Nilo Rocha

Nilo Rocha (nilo@tercogt.com.br) é consultor sênior da Terco Grant Thornton e Leonardo Silva é associado, ambos trabalham na área de TI.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on pocket

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *