Compradores de serviços de cloud computing devem estar preparados para negociar proteções melhores - e pagar por isso
Prestadores de serviços em nuvem estão se aproveitando da ignorância dos compradores sobre segurança e empurrando contratos para serviços baratos que não atendem as necessidades dos clientes, especialmente neste quesito. O resultado é que, sem saber, essas mesmas organizações estão expostas a uma série de ameaças.
Antes de ser cortejado para assinar um contrato com preços extraordinariamente baixos e promessas de flexibilidade incomparáveis, há alguns passos que você deve tomar, ainda na fase de negociação, para garantir que a sua incursão nas nuvens não se transforme rapidamente em uma tempestade.
As dicas a seguir são dos documentos "Sweating the Insider Threat" e "Top Security Issues for Cloud Buyers", escritos pelo Diretor da HfS Research, James R. Slaby.
Dica 1:: Certifique-se de seus dados têm defesa
É preciso analisar detalhadamente as opções para proteção de dados sensíveis oferecidas pelos provedores de serviços de cloud computing. O quanto fluem através da rede, o quanto residem em um servidor, ou na infraestrutura de armazenamento.
Para começar, peça aos fornecedores informações sobre o uso de VPNs, o gerenciamento de chaves, e as opções de criptografia. Antes de assinar um contrato, examine os termos relativos à privacidade de dados, auditabilidade, a confiabilidade do serviço, e contingências contra alterações.
Além disso, organizações de segmentos industriais sob estritos regulamentos de privacidade precisam ter certeza de que o provedor de serviço na nuvem a ser contratado tem mecanismos para evitar que os dados sejam armazenados em locais geográficos não autorizados. E não esqueça de perguntar se esses mecanismos são estendidos a terceiros, parceiros do provedor de serviços na nuvem.
Completando o ciclo de vida dos dados, os clientes potenciais devem se questionar se o seu futuro provedor de serviços na nuvem tem mecanismos para comprovar que os dados sensíveis possam ser excluídos de forma segura.
Dica 2:: Prepare-se contra ameaças internas do provedor de serviços
Quando você migra um aplicativo ou serviço de um data center privado para o ambiente de cloud computing público, a possibilidade de ameaças internas aumenta, diz Slaby. Os funcionários do provedor de nuvem passam a ter livre acesso a aplicações e seus dados confidenciais. E eles podem ter privilégios poderosos e de grande alcance, para realizarem seu trabalho. Tem mais: por definição, eles são mais altamente qualificados e conhecedores das vulnerabilidades dos sistemas usados.
Para reduzir esta ameaça, os potenciais assinantes de serviços em nuvem devem garantir que sua própria equipe de TI possa acompanhar adequadamente a gestão dos serviços. Certifique-se que os prestadores dos serviços de cloud computing limitam o acesso dos funcionários e as autorizações para o que seja estritamente necessário para a realização de sua tarefas.
Solicite informações específicas sobre o plano de resposta a incidentes do provedor. Pergunte sobre a existência de contramedidas de segurança, como controles de gerenciamento de mudanças, sistema DLP (Data Loss Prevention) e sistemas SIEM (Security Information and Event Management).
Dica 3:: Mantenha todos na mesma página
A comunicação aberta é uma obrigação em iniciativas de computação em nuvem - e não apenas dentro da empresa cliente, mas entre o cliente e o provedor de nuvem, e ainda qualquer terceiro que o prestador incluir.
Em termos de comunicação interna, por exemplo, "a equipe de CSO quase nunca é convidada, com antecedência suficiente, para avaliar serviços na nuvem de forma adequada", segundo Slaby. "Como resultado, privacidade de dados e outros problemas de segurança recebem pouca atenção, ficando muitas vezes fora dos contratos."
A HFS Research recomenda que as empresas clientes envolvam o seu pessoal de segurança, bem como seus seus fornecedores, no desenvolvimento da estratégia de migração de aplicações para a nuvem.
"Não pense que o prestador de serviços está fazendo o que ele precisa fazer", advertiu Slaby.
Dica 4:: Saiba a quem culpar
Alguns provedores de cloud computing dependem de terceiros para prestar determinados serviços. Um potencial cliente precisa saber identificar as interdependências potencialmente problemáticas. "Considere um modelo de governança em que um fornecedor detém a responsabilidade global para as interrupções e falhas de segurança'", recomenda Slaby.
Dica 5:: Não fique preso
Mesmo com a devida diligência, você pode não encontrar o caminho que precisa para rescindir o contrato com o seu fornecedor de nuvem.
Certifique-se de elaborar uma estratégia de mitigação de risco de modo que você seja capaz de migrar o seu trabalho para um novo provedor (ou voltar a mantê-lo in-house) com rapidez e facilidade em caso de uma eventualidade.
Considere cuidadosamente quanto controle você deseja dar a um único provedor. Finalmente, certifique-se que você tem em casa especialistas em infraestrutura de nuvem e serviços para facilitar a transição para um novo provedor.
Dica 6:: Não compre
É preciso saber dizer não para o canto da sereia dos provedores de cloud computing que tentem tirar proveito da ignorância do comprador sobre segurança em nuvem.
Fuja de contratos padronizados que não necessariamente atendam a critérios como conformidade, auditabilidade, confiabilidade ou a requisitos de transferência de dados.
