IGTI Blog
Segurança da Informação em Nuvem

A Segurança da Informação em Nuvem

Até pouco tempo atrás, falar em computação em nuvem com gestores das organizações, gestores de TI e profissionais de segurança, era assunto proibido. O simples fato de comentar com os gestores que todas as suas informações ficariam armazenadas em sistemas fora de sua organização, era motivo de descrença e o projeto já morreria por alí. Surgia sempre a pergunta:

– “Mas, e a segurança?”

Façamos uma reflexão: Este assunto ainda é um tabu para os gestores? Será que ainda existe este pensamento?

Caso a sua resposta seja afirmativa, chegou a hora de mudar os seus conceitos!

Em primeiro lugar, a função mais importante que os profissionais devem desenvolver, visando planejar uma solução em nuvens (e até mesmo on-premise), é entender o negócio da organização na qual trabalha. É inaceitável que se contrate um provedor de nuvem, ou até mesmo desenvolver soluções internas de tecnologia, sem conhecimento profundo dos planos estratégicos da empresa. Isso porque é mister que toda informação deve existir para suportar o negócio; caso contrário, a sua existência na empresa é descartável, pois sem função para o negócio, cria-se um “bando de dados” e não um eficaz banco de dados que trará retorno para organização.

Entendido o negócio, deve-se então pensar em gestão e segurança da informação. É de suma importância saber, primeiro, o que sua empresa faz para proteger as informações que possui. É preciso conhecê-la; conhecer os profissionais que utilizam essas informações; quais informações eles acessam; classificá-las; criar níveis de acesso à informação; enfim, é uma condição Sine que Non, montar uma política de gestão e segurança da informação. Nesse momento um conhecimento profundo do ciclo da informação dentro da organização é vital. Sem uma gestão eficaz da informação, nenhum profissional saberá ao certo o que proteger (ou de quem proteger), para que a informação será utilizada e por quem.

Após ser elaborada a política de gestão e segurança, aí sim pode-se pensar na ferramenta (tecnologia) que será utilizada para gerenciar a informação. No caso dos provedores de nuvem, “qual a modalidade de serviço deverá ser contratada”, pois a modalidade define as responsabilidades.

Existem, basicamente, três modelos oferecidos pelos provedores de nuvem:

  • Saas (Software as a service): Nessa modalidade de prestação de serviço os clientes poderão acessar aplicativos (softwares) baseados em computação na nuvem. Serviços como editores de textos e planilhas, agendas eletrônicas, softwares de comunicação instantânea e videoconferências, dentre outros, são oferecidos para usuários que se conectarem no portal de serviço do fornecedor. Em alguns casos, se o cliente não possuir acesso a internet, é possível utilizar os serviços offline e no momento que houver uma conexão, os dados que foram trabalhados, serão salvos na nuvem. Segundo Ruschel, Zanotto e Mota (2010), SaaS representa “os serviços de mais alto nível disponibilizados em uma nuvem. Esses serviços representam as aplicações completas que são oferecidas aos usuários”.

–    PaaS (Platform as a Service): Para Ruschel, Zanotto e Mota (2010), o Paas tem por objetivo “facilitar o desenvolvimento de aplicações destinadas aos usuários de uma nuvem, criando uma plataforma que agiliza esse processo”. Nessa modalidade o provedor de nuvem irá colocar todo o sistema a disposição de desenvolvedores, que poderão colocar suas aplicações online sem se preocuparem com a infraestrutura de funcionamento, somente com a parte que lhe diz respeito, a aplicação.

–    IaaS (Infrastructure as a Service): Arriscaria dizer que esse foi o primeiro módulo de fornecimento de serviços em nuvem. É onde a organização contrata um datacenter para alocação de servidores, no início próprio, hoje mais precisamente escolhendo qual a capacidade precisará para implantar os seus serviços. Essa modalidade poderá ser utilizada para testes de desenvolvimentos, armazenamento de backups, hospedagem de sites, aplicativos web. Basicamente a diferença do IaaS e do Paas, é que no caso de IaaS, o gestor de TI terá uma maior autonomia de utilização dos servidores, uma vez que contratará basicamente espaço, capacidade de processamento e memória. No caso do Paas, ele não precisa preocupar também com a gestão da infra, focando na sua aplicação.

Figura 1: Possibilidades de Serviços na Nuvem

Segurança da Informação em Nuvem

Para escolher qual a melhor solução para sua empresa, após ter feito o “dever de casa” e elaborar a política de gestão e segurança da informação, deve-se escolher qual das modalidades atende às necessidades da organização. Lembrando que, como visto na figura 1, dependendo da escolha, a responsabilidade pela segurança será mais ou menos compartilhada com o provedor.

Ao definir que será utilizada o modelo SaaS, a maior parte da segurança é feita pelo provedor, cabendo ao gestor configurar as ferramentas de segurança que são disponibilizadas pelo provedor. Já no caso de PaaS e IaaS, os provedores oferecem as ferramentas como opção, e toda a responsabilidade da segurança lógica da solução será responsabilidade do gestor, cabendo a ele portanto toda a construção e configuração das ferramentas para segurança.

Como a segurança da infraestrutura de datacenter é papel dos provedores, hoje os provedores estão muito preocupados com este pré-requisito e investem pesado neste sentido. Os maiores possuem todas as certificações necessárias na área e investem em estrutura e tecnologia para manter um alto nível de segurança, não sendo mais um problema para o projeto. Isso leva inclusive a reflexão do valor que deveria ser investido para se montar uma infraestrutura própria e atender a demanda da organização. É mais um fator que leva a escolha dos provedores de nuvem.

Por tudo isso foi destacado a primeira etapa do projeto de segurança da informação em nuvem. É muito comum encontrarmos no mercado profissionais altamente classificados tecnicamente, com capacidade para configurar sistemas complexos, mas que não possuem conhecimento do negócio ou de políticas de gestão e segurança da informação, ficando portanto o momento da configuração das técnicas, prejudicado por não saber ao certo o que deve ser feito.

Além disso tudo dito até agora, o momento final é o da análise de contratos de prestação de serviços. Um dos grandes problemas jurídicos enfrentados é  fato dos contratos “on-line” serem praticamente de aceite por parte do cliente, ou seja, não há uma negociação das cláusulas do contrato, mas sim o aceite por parte do cliente. Isso leva a necessidade de se analisar a fundo os contratos para se definir bem as responsabilidades, se os termos estão claros para ambas as partes, qual o foro de discussão de problemas (isso poderá acarretar custos altos fora do país), SLA (Service Level Agreement) que mostre claramente qual a disponibilidade do provedor e quais as penalidades em caso de falha. Lembrando que esta análise deve ser elaborada com os critérios criados no momento de elaborar a política da segurança da organização.

Enfim, deixar de usar a nuvem hoje por problemas de segurança já não é uma realidade. O maior problema hoje está mais internamente, ou seja, nos profissionais que planejarão as soluções de segurança, do que nos próprios provedores. Existem várias soluções de segurança para computação em nuvem, em diversos níveis e valores de investimentos. Mas sem conhecer o que a organização precisa, o que deve realmente ser feito, tornam-se inúteis e sem sentido. Portanto, procure um bom profissional, faça sua política e invista em nuvens, elas certamente atenderão as necessidades de sua organização.

Professor autor: Cláudio Roberto Magalhães Pessoa