Wednesday, March 10, 2010

Segurança nas Nuvens - Parte 2

Continuando o assunto segurança em Cloud Computing, vamos analisar o primeiro risco apontado pelo relatório da ENISA: Perda de Governança (R.2 Loss of Governance).

Mais uma prova de que questões técnicas  não devem ser a única preocupação para profissionais da área de Segurança da Informação. Este risco está classificado como Organizacional e de Política, e as questões levantadas são extremamente pertinentes, afinal de contas a terceirização de serviços pode representar um risco de não atendimento a requisitos regulatórios (PCI, SOX, entre outros) e outros riscos de segurança. Até que ponto a empresa contratada segue os procedimentos corretos para garantir (ou pelo menos fazer o melhor possível, porque não existe 100% de segurança) os níveis adequados de proteção para os dados que ficam na nuvem?

Existem SLA's adequados? Existem cláusulas contratuais que garantam à empresa cliente a possibilidade de realização de auditorias regulares, ou mesmo a contratação de empresas terceiras especializadas na realização de testes de vulnerabilidades e invasão? A fornecedora de serviços de computação em nuvem segue as boas práticas de Gestão de Segurança da Informação? Até que ponto a questão de segurança está bem definida em contrato e não provocará surpresas em caso de um incidente de segurança? Surpresas do tipo: Este serviço ou proteção não fazem parte do escopo deste serviço gerenciado...

É fundamental, portanto, garantir em contrato o correto atendimento às questões de segurança, sob pena de não atendimento a requisitos regulatórios, perda de credibilidade e danos à imagem da empresa.

2 comments:

  1. Grande Paulo, como vão as coisas? Muito tempo se passou desde aquele curso da ISS (+ de 10 anos? =)

    Como sempre, post muito interessante e relevante.. Me lembrou de um vídeo cômico sobre quando a Segurança nas Nuvens não é bem implementada e o SLA não é bem escrito =)

    http://www.youtube.com/watch?v=VjfaCoA2sQk

    [ ]s!

    Sandro Süffert

    ReplyDelete
  2. Fala Sandro, blz?

    Então, acho que faz uns 5 anos pelo menos.
    Quanto ao vídeo do Hitler, é muito engraçado mesmo. Aliás, existem outras versões como a da Nortel. Na realidade, aquelas cenas do filme podem ser adaptadas a qualquer coisa. Basta ter um pouco de criatividade e bom humor.

    Um forte abraço!

    Paulo

    ReplyDelete