Segurança em Ambiente em Nuvem e a ISO/IEC 27017: 2016 – Código de prática para controles de segurança da informação baseado na ISO / IEC 27002 para serviços em nuvem
*Ricardo Ambrizzi
Com o avanço tecnológico da sociedade 4.0 e o cenário mundial em que vivemos, as organizações estão cada vez mais sendo transformadas com a tecnologia de cloud computing.
De acordo os estudos do Gartner, há uma previsão de aumento dos custos mundiais dos consumidores finais dos serviços de cloud computing público de cerca de 18% em 2021, isso deve-se ao aumento das organizações estarem cada vez mais operando em home office e a preocupação de estabelecer uma infraestrutura com disponibilidade de alto de desempenho, escalável e acessível.
Desde os processos mais simples aos mais complexos, o tratamento de dados que envolvem o armazenamento, o compartilhamento de dados foram migrados para os serviços em nuvens, trazendo facilidades e benefícios e ao mesmo trazendo novas ameaças e riscos para serem controlados pelas organizações.
Quais são os principais riscos com o aumento do consumo desta tecnologia?
No relatório apresentado pela Cloud Security Alliance em 2020, foram ressaltadas grandes ameaças que ainda persistem em 2021 e que geram grandes riscos na utilização do cloud computing como:
- Violação de dados
Com a ausência de controles eficazes e monitoramento dos ambientes em nuvens, as organizações estão sofrendo com o aumento de ciberataques e vazamento e exposição dos dados armazenados e compartilhados.
- Configuração incorreta e controle de mudança inadequado
Com a ausência de padrões técnicos bem estabelecidos e documentos, controles para auditar a conformidade da execução das atividades de segurança definidos, pode provocar uma vulnerabilidade a ser explorada por ataques cibernéticos.
- Falta de arquitetura e estratégia de segurança em nuvem
Com a ausência de um planejamento e estratégia de segurança para o controle e monitoramento da transição para arquitetura em nuvem, pode ocasionar futuros incidentes de segurança da informação. Sendo de suma importância, a análise detalhada dos riscos neste processo de transição, controles nas mudanças a serem executadas e um gerenciamento dos acessos e dos ambientes no que refere-se a confidencialidade, a integridade e a disponibilidade dos ambientes.
Como estabelecer um ambiente em nuvem seguro e confiável?
Quando analisamos a estrutura de um ambiente em nuvem, identificamos dois agentes com responsabilidades distintas, contudo, cruzam-se em determinado momento para assegurar os pilares da segurança da informação: confidencialidade, integridade e disponibilidade.
O “cliente do serviço em nuvem” e o “provedor de serviço em nuvem”, que possuem responsabilidades para a execução de controles de segurança a serem estabelecidos em suas organizações. Buscando a definição e boas práticas mundiais, a ISO (International Organization for Standardization) estruturou a ABNT NBR ISO/IEC 27017:2016 – Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem.
A norma fornece diretrizes e controles adicionais para implementações específicas para o ambiente em nuvem e para desenvolver ações contemplando as ameaças de segurança da informação e riscos, específicos para ambientes em nuvem, com base na ISO/IEC 27002.
Através de controles específicos para os ambientes em nuvem, a norma estabelece controles para a relação entre clientes do serviço em nuvem e provedores dos serviços em nuvem mitigando os riscos ponta-a-ponta do ambiente do cliente e do provedor.
Diversas organizações no cenário atual, já detém essa certificação da ABNT NBR ISO/IEC 27017:2016, demonstrando assim o comprometimento e a boa-fé na proteção e segurança no armazenamento e compartilhamento dos dados, reduzindo os riscos de perdas financeiras devido a violações de dados e agregando novos clientes através da confiabilidade de sua estrutura.
Com a Safeway, nossos clientes entendem melhor suas necessidades de Segurança da Informação, bem como tem as ferramentas necessárias para detectar, responder e mitigar ameaças. Nós o ajudaremos a proteger seus ativos críticos, sua marca e seus negócios, através do nosso serviço de Consulting and Professional Services.
* Ricardo Martins Melo Ambrizzi, Consultor de Segurança da Informação na [SAFEWAY]