Com o crescimento dos serviços em nuvem, bem como a crescente ameaça de violações de dados, as organizações estão se tornando mais conscientes dos riscos associados à uma precária infraestrutura de segurança.
No entanto, essas ameaças podem ser mitigadas com a implementação de protocolos de segurança apropriados, através de negociações com os provedores de nuvem.
A realidade mostra ainda que as empresas já entendem que a responsabilidade pela segurança, proteção e privacidade de dados de uma infraestrutura na nuvem está cada vez mais direcionada à elas, as organizações contratantes dos serviços de nuvem, principalmente após a aprovação da Lei Geral de Proteção de Dados (LGPD), onde define que o controlador de dados é responsável pela segurança dos dados.
Portanto, cabe aos controladores de dados serem os principais responsáveis por garantir que seus dados sejam mantidos em segurança.
O crescimento da nuvem e a garantia pela proteção e privacidade de dados faz com que sua empresa deva assumir a responsabilidade pela segurança
Os serviços em nuvem são ideais para organizações que precisam de escalabilidade, flexibilidade e facilidade de integração sem precisar investir recursos maciços em hardware. Mas os serviços em nuvem também trazem desafios inerentes a segurança.
Contar apenas com serviços em nuvem efetivamente entrega a responsabilidade pela proteção e privacidade de dados para outra empresa. Além disso, também pode gerar conflito sobre quem é responsável pelos backups e pela restauração de dados perdidos.
De acordo com a LGPD, o controlador de dados (a organização que possui os dados) é responsável por garantir a proteção e privacidade das informações. Não são os provedores de serviços em nuvem que são considerados processadores de dados.
Portanto, cabe aos controladores de dados serem os principais responsáveis por garantir que seus dados sejam mantidos em segurança.
Se ocorrer uma violação de dados, mesmo nos casos em que a empresa contratante pelos serviços de nuvem não tenha vulnerabilidades, ele deverá comprovar os devidos cuidados em seu processo de gerenciamento de dados.
Serão necessárias evidências para mostrar que a organização implementou as práticas de segurança em qualquer terceiro e concordou por escrito com as medidas de segurança esperadas.
O proprietário dos dados tem a responsabilidade final por isso, então não há como esconder se você não fez sua devida “tarefa de casa” ou se não avaliou o risco. Se você já fez tudo isso e ainda houve uma brecha, então você demonstrou que tem a devida responsabilidade e os cuidados necessários e tem evidências do que fez.
Assumindo a responsabilidade pela segurança na nuvem
Ter várias camadas de segurança deve ser sempre uma prioridade, pois evita depender de um único sistema ou provedor para toda a infraestrutura de segurança.
Por mais requisitos e recursos de segurança sejam oferecidos, se sua empresa estiver em qualquer nuvem, ela não deve transferir a responsabilidade para o provedor de serviços. Você realmente precisa controlar algo nesta equação de onde seus dados estão residindo.
É por esse motivo que é recomendável possuir serviços que possam atuar como uma convergência entre a infraestrutura local de uma organização e um provedor de serviços em nuvem.
Com essa estrutura. é possível que que as organizações estendam suas políticas de segurança além do alcance de sua própria infraestrutura.
Essa estrutura deve oferecer:
- Firewalls para identificar malware, bloqueando-o da rede.
- Autenticação para verificar as credenciais dos usuários e garantir que eles acessem apenas os recursos apropriados.
- Firewalls de aplicativos da Web (WAFs) para bloquear malware projetado para violar a segurança no nível do aplicativo.
- Prevenção de perda de dados (DLP) para garantir que os usuários sejam impedidos de transmitir informações confidenciais.
Essa arquitetura normalmente funciona garantindo que o tráfego de rede entre os dispositivos locais e o provedor de nuvem esteja em conformidade com as políticas de segurança da organização.
Essa infraestrutura de TI decorre ainda de sua capacidade de fornecer informações sobre o uso de aplicativos e plataformas em nuvem e identificar qualquer uso não autorizado. Esse último elemento é especialmente importante em setores regulamentados, a exemplo do como o bancário.
O objetivo aqui é identificar os aplicativos na nuvem em uso e localizar quais destas soluções apresentam ameaças, assim como usuários e outros fatores de alto risco.
Existem ferramentas que podem impor vários controles de acesso de segurança diferentes, incluindo criptografia e criação de perfil de dispositivo.
Elas também podem fornecer outros serviços, como o mapeamento de credenciais, permitindo acesso a um sistema remoto em nome de um usuário que já foi autenticado quando o logon único não está disponível.
Por fim, sua empresa pode incluir outros serviços de segurança, como criptografar todo o tráfego de e para o provedor de serviços em nuvem. Essas estruturas de tecnologia são particularmente úteis para organizações com operações de TI em processo de avaliação e uso restrito, que permitem às unidades operacionais adquirir e gerenciar seus próprios recursos na nuvem.
Com os benefícios crescentes dos serviços em nuvem e os riscos de segurança associados, as empresas precisam reavaliar não apenas suas políticas de segurança, mas também as de seu provedor de serviços, para garantir que tenham realizado os devidos cuidados e que tenham tomado todas as medidas razoáveis para proteger seus dados e a de seus clientes.
Sobre Tripletech IT Solutions
A Tripletech IT Solutions atua no mercado corporativo sempre em busca da excelência dos serviços prestados na área de Tecnologia da Informação, destacando-se nesse segmento por acompanhar as constantes evoluções e tendências de mercado. A empresa é formada por profissionais com ampla expertise adquirida ao longo dos anos no mercado de TI.
Nosso foco é sempre oferecer a melhor solução de acordo com a necessidade na medida certa para cada tipo de ambiente em cada cliente, tratando a TI de uma forma ampla, objetiva e sem complicações. Valorizamos e investimos no capital humano, nosso produto mais valioso.