Gerir Segurança em ambientes de cloud e híbridos é um desafio enfrentado cada vez mais pelas empresas, independente do tamanho. Vivenciamos um momento importante de migração para a cloud, que vai requerer novos cuidados e novas práticas de gestão. A recente fraude do Dropbox, com o comprometimento de mais de 68 milhões de contas mostra que a segurança da cloud precisa ser considerada.
A seguir sugerimos algumas dicas que você pode utilizar para gerir melhor a segurança na cloud:
1 Encripte os seus dados
A melhor forma de proteger a confidencialidade dos seus dados é encriptá-los. Existe uma grande variedade de tecnologias de encriptação disponíveis no mercado, de forma que o processo em si não é o mais complicado. O grande ponto aqui é quem possui as chaves de encriptação. As empresas devem limitar o acesso para si mesmas e apenas para partes terceiras muito confiáveis. Considere dividir as tarefas, com os dados sendo guardados na cloud, mas as chaves de encriptação em sua empresa.
2 Garanta que todos os utilizadores estão devidamente autenticados
Pense em todas as pessoas que podem ter acesso aos dados armazenados em sua empresa e no fornecedor de cloud e garanta que são as pessoas certas. Contar apenas com senhas é um forma fraca de gerir a autenticação. O recomendável é utilizar uma abordagem de dois-fatores para a segurança, geralmente combinando um password com um token eletrónico, ou um código gerado no telemóvel.
3 Estabeleça níveis de autorização
Se todas as pessoas que possuem acesso aos dados na cloud possuem o mesmo nível de acesso, essa é uma situação de risco. O ideal é dar a cada utilizador apenas o nível de privilégio que ele realmente precisa. Um bom fornecedor de cloud vai permitir que você faça a gestão e estabeleça os privilégios de acesso para cada utilizador.
4 Monitorize e rastreie as atividades dos utilizadores
É essencial para a segurança da cloud possuir visibilidade sobre o que de fato está a acontecer. As políticas e processos descritos mostram apenas o que os gestores acreditam que deveria estar ocorrer, para ter a visibilidade real é preciso auditar e monitorizar atividades dos utilizador. A partir dessa monitorização, é importante rever os controles existentes para se garantir que eles são eficazes. Em caso de um incidente de segurança, esse tipo de monitorização vai rapidamente fornecer informações para a equipe de suporte solucionar e mitigar o risco.
5 Verifique se os dados apagados na cloud foram realmente apagados
A encriptação de dados é a melhor forma para combater esse problema. Então, mesmo que seus dados não tenham sido apagados por completo, pelo menos eles não poderão ser lidos. Faça com que o fornecedor da cloud lhe entregue os detalhes técnicos e informações operacionais sobre como os dados são apagados e o que ocorre com o back-up.
6 Confirme que você é dono dos dados que residem na cloud
Você precisa ter uma compreensão legal de quem é dono dos dados que estão na cloud, em termos de propriedade intelectual e privacidade de dados. Isso é especialmente importante quando você está hospedando dados de outras empresas e utilizadores finais.
7 Estabeleça SLA’s que especifiquem a disponibilidade de dados e sistemas
A força de qualquer negócio com um fornecedor de cloud pode ser resumido nas SLA’s. O acordo de fornecimento deve ser o mais abrangente possível a respeito das responsabilidades do fornecedor, assim como deve ser detalhado sobre definições e penalidades. Por exemplo, se o fornecedor propõe algum tipo de recompensa por tempo de indisponibilidade, o contrato deve especificar se isso inclui indisponibilidade por manutenção programada. Mais importante ainda é a compensação em caso de algum dano real aos dados. É importante lembrar que existem flexibilidades nesses acordos e, quanto maior for o volume negociado, mais o fornecedor de cloud estará disposto a negociar.
8 Garanta que o fornecedor tenha um plano de recuperação de desastres viável
Tenha uma cópia do plano de recuperação de desastres e continuidade do negócio do fornecedor. Contudo, não se contente em ter o plano, tenha certeza de que é um bom plano. Uma factor importante é verificar se o fornecedor possui um data-center replicado, e se pode garantir a recuperação em tempo razoável. Procure saber com que frequência e como o plano de recuperação é testado.