Protegendo a nuvem: questões que precisam ser consideradas antes de estabelecer uma política de segurança

Seguinte

Você é o que você come. Sua experiência com serviços baseados na nuvem reflete a mesma realidade, eles são o que você faz deles. Isso faz com que seja necessária certa dedicação em avaliar riscos, demonstrando o mesmo nível necessário para ativos encontrados em nossa rede.

Quão segura ela é?

A verdade é que a computação em nuvem não pode ser compreendida como uma espécie de fortaleza de segurança mágica que você pode utilizar sempre que quiser proteger sua informação. Serviços de nuvem devem ser abordados com o mesmo nível de rigor e minuciosidade de avaliação de risco como qualquer outra informação localizada na rede.

Você terá de adotar abordagens firmes quando perguntar para seus vendedores sobre o que eles fazem exatamente para proteger seus serviços. Dê uma boa olhada nas políticas de segurança e processos. Seja específico sobre quais são as responsabilidades do vendedor e o que você planeja exatamente fazer para proteger sua companhia.

Política de segurança – perguntas referentes à nuvem

  • Que tipos de serviço da nuvem você usará?

Você usará a nuvem apenas para armazenar arquivos, para hospedar softwares de aplicativos ou para hospedar máquinas virtuais?

  • Como esses serviços serão implementados?

Sua nuvem pode ser implementada de maneira pública, privada ou ainda algo entre essas duas formas, dependendo de suas especificações, necessidades e tolerância de riscos.

  • Quão sensível é a informação que será armazenada?

Leve em consideração que “nuvem” é um outro jeito de se dizer “computador de outra pessoa”. Tente calcular a quantidade de riscos que isso criaria para sua empresa caso o vendedor passe por alguma violação ou não trabalhe mais com isso.

  • Quem terá acesso a essa função?

Talvez não seja necessário que todos os usuários tenham acesso à nuvem para ter de fazerem seu trabalho de forma efetiva.

  • Que regulamentação ou questões legais você precisa considerar?

Cada indústria possui sua própria relação com aspectos básicos de regulamentações de segurança de dados internacional ou nacional. Algo que poderia funcionar com um estabelecimento de varejo, mas talvez não seja suficiente para um negócio financiado ou legal, por exemplo.

  • O que precisará ser incluso em uma Política de Uso dos usuários?

Treinamento e educação são cruciais para garantir que as melhores práticas sejam obedecidas. Essa questão precisa estar bem clara para que os usuários saibam o que constitui um comportamento seguro.

  • Quais seriam as consequências caso as boas práticas não forem seguidas?

Isso se aplica a ambos usuários e vendedores. Enquanto é provável que os vendedores possam ser penalizados como um resultado do Acordo de Termos de serviço, é necessário deixar claro para todos os envolvidos o que acontecerá quando as responsabilidades ao proteger os dados não são cumpridas.

Isso vale tanto para vendedores de Cloud como para usuários, no entanto, as consequências para o último serão provavelmente o produto em negociação ou a existência de um Acordo de Nível de Serviço. Deve estar claro para todos os interessados o que acontecerá se alguém falhar com suas responsabilidades em proteger sua informação.

Procedimentos de Segurança

Quando você terminou de definir os objetivos do serviço de nuvem, você pode começar a abordar vendedores sobre suas políticas e procedimentos. Abaixo você encontrará uma lista com possíveis tópicos a serem levados em conta.

  • O vendedor possui auditorias de segurança regularmente?
  • Qual é sua política de atualizações e patching?
  • Eles possuem produtos antivírus ou contra invasões em suas máquinas?
  • Que tipos de autenticação estão disponíveis com o serviço deles?
  • Que tipos de controles de identidade e administração de acesso dos usuários estão disponíveis?
  • A criptografia está disponível para tráfego dentro e fora da nuvem ou somente no armazenamento?
  • Como os direitos da propriedade intelectual referentes aos dados armazenados serão protegidos em seus servidores?
  • Que tipos de eventos sobre alertas estão disponíveis para você?
  • Como são segmentados os recursos de um cliente para o outro?
  • Qual a frequência com que realizam testes de backups e como são armazenados?
  • Eles possuem uma política de responsabilidade sobre incidentes estabelecida?
  • Possuem uma política de responsabilidade de divulgação publicada?
  • Eles possuem alguma medida que possibilitaria análises forenses caso haja algum incidente de segurança?
  • Em que país se encontram seus servidores físicos?
  • Quais são as políticas sobre mobilidade dos dados e retenção?
  • Que opções estão disponíveis para prevenir a destruição ou exclusão de dados?

Se você fizer sua lição de casa antes de começar repentinamente sua fase de implementação, você pode facilmente evitar a falta de clareza no processo e outros problemas. A capacidade de acessar arquivos e utilizar serviços de qualquer lugar em que haja internet é um fato importante que pode levar a introdução de novas ameaças ao seu ambiente ou pode levar a oportunidade de adquirir serviços de um parceiro confiável, fazendo com que sua performance geral seja melhorada.