Muitos empresários e gerentes de TI acabam postergando a adoção da computação em nuvem em suas empresas por medo da exposição que seus dados empresariais poderiam ter. Apesar disso, em 2015, uma pesquisa da Frost&Sullivanapontou que 41% das empresas brasileiras já utilizam algum elemento de cloud computing e outros 42% planejavam investir nela.
Sua empresa já utiliza ou pensa em usar alguma solução em nuvem? Você sabe quais são os testes, certificados e práticas que os provedores de solução em nuvem vêm se submetendo para eliminar as dúvidas sobre a segurança em cloud computing?
Reunimos neste post as principais preocupações dos gestores com a segurança da computação em nuvem e as práticas adotadas pelos fornecedores de serviços para acabar com os possíveis riscos.
SEGURANÇA EM CLOUD COMPUTING: MITO OU VERDADE?
A previsão do Gartner é que até o final de 2016, 95% das falhas de segurança envolvendo cloudcomputing sejam culpa dos usuários finais ou dos administradores da solução, mas não de seus provedores.
Além disso, um outro estudo sobre a maneira como as aplicações em nuvem são usadas para enviar dados, armazenar informações e compartilhar arquivos, mostra que a segurança da nuvem não é a grande vilã, e sim o uso que as empresas e seus colaboradores estão fazendo dela.
No estudo, Q4 2015 Shadow Data Report, é apresentado que 1 a cada 10 documentos possuem dados confidenciais ou sujeitos a algum tipo de regulamentação, como informações pessoais de colaboradores (33% dos casos); informações sobre a saúde dos trabalhadores (14% das ocorrências) e até dados sobre meios de pagamentos (apenas 5% dos arquivos compartilhados).
É importante destacar que 26% das empresas afirmam não ter conhecimento sobre os documentos que são armazenados e amplamente compartilhados entre seus funcionários, parceiros, fornecedores e prestadores de serviços, contudo nenhum dos entrevistados relatou ter sofrido ataques virtuais ou perdido documentos por fatores intencionais ou falhas nos aplicativos.
Isso quer dizer que cuidados com o uso, estabelecimento de políticas com claras definições sobre permissões e acessos dos colaborados aos documentos e aos aplicativos hospedados na nuvem, são práticas fundamentais. Ao mesmo tempo, é importante perceber que na computação tradicional os riscos de má utilização seriam os mesmos ou até maiores.
EXISTEM NORMAS DE SEGURANÇA QUE OS PROVEDORES DE CLOUD COMPUTING PRECISAM OBEDECER?
A resposta é sim! Existem vários certificados, legislações e regras de segurança que os principais provedores de soluções em nuvem se submetem para poderem atuar globalmente.
Um bom exemplo é o da Microsoft que tem mais de 40 selos que atestam a segurança do Azure e Office 365 para ser usado pelas empresas, instituições financeiras e governos. Dentre esses selos, podemos destacar a obtenção dos certificados ISO 27001, 27017 e 27018, além de ter autorização do governo dos Estados Unidos para ser fornecedora de soluções em nuvem para seus organismos, após ter passado por mais de 400 testes de segurança.
Isso quer dizer que ao optar pelo Microsoft Azure, Office 365 ou Dynamics CRM Online, sua empresa terá a certeza de que seus dados estarão mais protegidos que se contratasse um servidor interno e não o submetesse aos testes de segurança internacionais aos quais o ambiente da Microsoft foi submetido. Também significa que ao contratar os serviços da Microsoft sua empresa já recebe uma boa camada de proteção aos seus dados, aplicativos e infraestrutura na nuvem, podendo focar mais nas necessidades de negócios e menos na tecnologia.
Veja a baixo todos os selos obtidos pela Microsoft após cumprir regras de governos, adotar as melhores práticas exigidas por organismos internacionais ou passar por testes de segurança:
O QUE FAZER PARA ADOTAR A COMPUTAÇÃO EM NUVEM COM TODA A SEGURANÇA PARA MINHA EMPRESA?
- O primeiro passo é conferir se o provedor dos serviços de cloud computing atende as normas e obteve certificados internacionais de segurança. Apesar de boa parte deles já possuírem esses certificados, alguns ignoram as melhores práticas e oferecem baixos níveis de segurança para os usuários gratuitos e para as empresas que contratam suas soluções. Uma boa forma de descobrir se o fornecedor atende ou não esses requisitos, é solicitando que ele apresente um ou mais documentos que comprovem o que está sendo divulgado.
- O segundo passo é contar com uma consultoria de TI para apoiar na elaboração e implantação de políticas e práticas de segurança na gestão dos aplicativos, usuários e dados de sua empresa. O segredo dessa etapa é aliar as necessidades de negócios que sua empresa tem com a expertise da consultoria para determinar os diversos acessos e permissões que os usuários podem ter na utilização cotidiana de tudo o que estiver no ambiente interno e na nuvem contratada por sua empresa.
- O terceiro passo é contratar serviços adicionais que elevem a segurança da TI de sua empresa. O Microsft Azure, por exemplo, oferece ao menos três soluções que melhoram sua segurança: o Multi-Factor Authentication; o Cofre de Chaves e o Azure Active Directory
Como vimos, a preocupação sobre a segurança da computação em nuvem deve ser sempre considerada pelas empresas. Contudo, ela não deve ser colocada como um entrave para a adoção e uso da cloud computing em seu cotidiano!