by Joaquim Pereira on September 28, 2011

Cada vez mais somos “bombardeados” com o conceito de nuvem ou “cloud”. São vários os fabricantes que já disponibilizam este tipo de serviços anunciado as respectivas vantagens. Disponibilidade, custo, garantia de qualidade de serviço, facilidade de acesso em qualquer local ou mesmo a “garantia” da segurança da informação, são, alguns dos atributos utilizados pelos vários fornecedores deste tipo de serviços os quais têm por objectivo garantir cada vez mais a centralização da informação.

São várias as empresas internacionais e já nacionais que começam a subscrever estes serviços; seja para libertarem da sua infra-estrutura os serviços de e-mail, a disponibilização de aplicações online [com acesso em qualquer local] (veja-se o caso do Google ou mesmo dos serviços Microsoft Office 365), os serviços Web e/ou intranet (com aplicações acessíveis via Web), ou mesmo garantindo o acesso permanente dos utilizadores aos seus ficheiros (armazenados na “cloud”) e, poupando assim os custos normais de armazenamento de dados.

É cada vez mais comum atribuir ao simples utilizador a responsabilidade de armazenar os seus dados (com ou sem backup local — isso muitas vezes nem interessa) sem, no entanto, existir a preocupação de sequer compreender se o utilizador “comum” se encontra sensibilizado para o tipo de informação que deve ou não salvaguardar no seu PC local, ou mesmo na infra-estrutura da sua empresa. Em muitas das empresas encontramos sistemas de categorização da informação rudimentares, inexistentes, ou mesmo “incompreendidos” pelos próprios utilizadores. Esta estratégia é fundamental de modo a garantir-se a confidencialidade da informação.

Conhecem alguma empresa que possua uma política de segurança em que se inclua que tipos de informação podem/devem ser armazenados na “cloud”? Como podem ser acedidos? De que equipamentos (pessoais, da empresa, móveis)? E é seguro? Até que ponto? Como se consegue medir isso?

Claro está, que para os departamentos de IT e para a própria empresa ou organismo as vantagens são bastantes…. Redução de custos de hardware e infra-estrutura, custos de suporte, custos de licenciamento… e muitas mais… sendo estas apenas algumas das inúmeras vantagens que, financeiramente poderão pesar na decisão de subscrever este tipo de serviços, no entanto… e a segurança? Alguém pensou nisso? “Bem… eles dizem que é seguro!” ou “Afinal são uma empresa de renome no mercado!” .. . por certo não será a primeira vez que ouviremos este tipo de comentários.

Existem no entanto entidades que começam a demonstrar preocupação na segurança relativamente a este tipo de serviços. O caso da Amazon (Amazon Web Services) ou da Microsoft (Microsoft Office 365), as quais são certificadas ISO 27001, ou ainda, o Google (Google Apps) ou a RackSpace que utilizam o SAS 70.

Na opinião de muitos dos profissionais da área, a certificação ISO 27001 é considerada como uma das (senão a melhor) garantia de segurança no que respeita aos prestadores de serviços “cloud”.

Existem ainda, organizações, como o caso da ISACA ou da CSA (Cloud Security Alliance), que se encontram a desenvolver metodologias, frameworks e controlos tendo por base a ISO 27001; ou mesmo, mapeando controlos, desenvolvendo matrizes de segurança e ainda, criando modelos específicos para uma aproximação das ferramentas actuais à “apetecível” segurança da “cloud”…. Mas isso será um tema para o próximo tópico!

‘Quem controla a segurança nas “nuvens”?’

Posted in: Segurança.
Last Modified: Março 1, 2016