Alguns dos aspectos que inibem o uso e expansão de Cloud Computing tem sido a preocupação com a Segurança Informação, que deverá ser superada quando o mercado compreender que a seriedade ao lidar com informações é a condição básica para sobrevivência de qualquer empresa.
Ao longo destes anos, temos percebido que o desafio do Chief Security Officer (CSO) em lidar com a proteção das informações tornou-se maior, uma vez que cada ciclo de anos migramos para novos modelos de serviços visando redução de custo, melhoria em infraestrutura e redução de riscos operacionais. Consequentemente, os cybercriminals, cada vez mais criativos, têm usado novos métodos de entrada nas redes, seja pela falta de Patch Management, Phishing, Code Injection ou Ransomware, como aponta o 2017 Global Security Report da Trustwave.
O mais importante é saber que grandes executivos de Segurança da Informação não se moldam pelos problemas diários na esfera corporativa, pois o sucesso consiste em uma série de fracassos, lembrando que o invasor never stop. Portanto, cabe ao profissional de SI nunca estacionar e, sempre que possível, reportar os incidentes para o senior management, pois é o negócio que provê os investimentos em segurança.
O trabalho duro e árduo requer uma batalha interminável. Evidente que se espera que o CSO seja talentoso para fazer a diferença, ter entusiasmo, foco nos negócios e estratégia, liderança e conhecer de tecnologia, leis e regulamentações, além das melhores práticas de segurança considerando que a posição deste profissional é relativamente ainda nova nas empresas.
A função deste executivo exige uma quebra de paradigmas, principalmente no que tange tecnologias como Infrastructure-as-a-Service (IaaS), Plataform-as-a-Service (PaaS), Software-as-a-Service (SaaS) e Cloud Computing, apontada como a bola da vez. A pergunta que se faz é: Como assegurar a proteção das informações neste modelo de serviço?
Alguns provedores de tecnologia têm investido forte em serviços de Cloud Computing e consequentemente em processos de Segurança da Informação, como implantação de controles de senha, controle de acesso, criptografia, gestão de vulnerabilidades, risk management, backup, incidentes de segurança, continuidade de negócios e recuperação de desastres, certificação em PCI-DSS, SSAE 16, CASB (Cloud Access Security Broker), best practices ISO 27001, Cloud Security Alliance, Governança de TI (ITIL e COBIT), investimentos em certificação Certified Cloud Security Professional (CCSP) para seus profissionais, além da conscientização dos colaboradores. Parcerias com fornecedores de segurança têm sido as estratégias destes provedores de cloud para garantir a proteção das informações de seus clientes.
Considerando que este mercado está em amadurecimento e as ofertas dos provedores são diferentes, são necessárias algumas premissas, como segurança e disponibilidade, na ponta do iceberg. Portanto, a escolha do provedor de nuvem não pode ser feita de forma superficial e o CSO deve estar atento para este novo modelo de serviço.
Como vemos, existem vários requisitos e pontos que devem ser analisados e considerados pelo CSO. Entretanto é importante que seja realizado um Due Diligence nos provedores de serviços, SLA adequado e suporte 24×7, averiguar o grau de satisfação de outros clientes e nunca esquecer que a governança de TI e Segurança da Informação sempre inicia em casa e continua com você. Não seja uma vítima de segurança em sua própria montanha-russa, mas seja sábio e use de forma eficiente os recursos e as oportunidades com apoio de sua equipe de conselheiros.
*Rangel Rodrigues, especialista em Segurança da Informação, CISSP e pós-graduado em Redes e Segurança da Informação pela FIAP e IBTA, e MBA em Gestão de TI pela FIA-USP. Atuou como Information Security Officer em empresas nacionais e internacionais de grande porte.