A segurança em nuvem é uma das grandes preocupações das empresas que empreendem estratégias de transformação digital. Afinal, virtualizar capacidades e serviços de TI pode gerar uma sensação de perda de controle.
Um estudo realizado pelo Ponemon Institute em diversos países, incluindo o Brasil, aponta que 33% dos entrevistados não têm certeza ou não concordam que suas organizações estejam comprometidas em proteger informações confidenciais na nuvem.
Portanto, a garantia de que os dados produzidos, armazenados e compartilhados em cloud computing estejam sempre disponíveis, íntegros e confiáveis é um tema bastante relevante.
1. Nuvens públicas não são seguras
A palavra “pública” pode, inicialmente, dar a sensação de que o uso de softwares e equipamentos virtualizados não é seguro, mas isso não é verdade.
A nuvem pública é assim denominada porque é mantida por um provedor que entrega recursos para diversos clientes a partir de um ou mais data centers. Essa prática segue protocolos rígidos de segurança da informação, inclusive com camadas de acesso e operação bem definidas.
Contratar recursos de uma nuvem pública, portanto, não significa abrir os dados do negócio para o público em geral. Uma metáfora interessante é a seguinte: o datacenter do provedor é um prédio, a sua empresa está alugando um dos apartamentos e ninguém, além do seu time de TI, tem a chave para entrar nesse imóvel.
2. É muito complexo manter a segurança em nuvem
Também não é verdade que a empresa que contrata serviços de nuvem precisa manter uma grande equipe de segurança da informação para lidar com os riscos.
Pelo contrário, o provedor de cloud se encarrega de manter seus centros de dados livres de ameaça. Para isso, segue práticas testadas e aprovadas em nível internacional, utiliza criptografia e outros métodos de proteção, tem equipe qualificada e ferramentas de última geração para monitorar tudo e agir preventivamente.
3. Só o provedor é responsável pela segurança em nuvem
A crença de que, ao contratar recursos de nuvem, a empresa está 100% livre das preocupações com segurança da informação também é um mito.
O que é verdade é que os usuários da empresa também têm responsabilidades que são definidoras do sucesso na proteção dos dados. Eles devem se comprometer, por exemplo, a não liberar as chaves de acesso para qualquer pessoa e também devem se atentar ao que colocam dentro de sua unidade. Ou seja, em um provedor cloud, os sistemas operacionais que o cliente contrata devem ser atualizados diretamente por ele ou mediante sua solicitação para o provedor, pois esse não pode, por respeito à privacidade, acessar seu ambiente sem permissão. É necessário ter em mente quais as tarefas e funções de cada um dos envolvidos, cliente e provedor, contratado e contratante, e que ambos zelem pela segurança dos ambientes, cada um de acordo com sua função e finalidade, como qualquer trabalho a quatro mãos.
4. É fácil violar a segurança de uma nuvem
Acredita-se que, como é mantida por provedores de serviços que gerenciam armazenamento de dados para outros, a nuvem seja mais suscetível a ameaças.
Na verdade, um dos principais benefícios da cloud computing nesse sentido é o foco do provedor em manter a estrutura do data center, tanto em nível físico quanto lógico. Ou seja, equipamentos e softwares utilizados para fornecer ambientes em nuvem, como por exemplo storages e software de virtualização, devidamente revisados e atualizados. Os provedores costumam lançar mão de monitoramento e automação para essas funções, o minimiza o risco de erros humanos que facilitam violações de dados e invasões de cibercriminosos.
Além disso, firewalls de segurança na nuvem são úteis também para as redes internas. Ao criar camadas adicionais de segurança, o provedor aumenta a proteção contra malware que os usuários podem baixar sem querer, por exemplo.
5. Os dados não podem ser controlados
Outro grande mito em torno da segurança em nuvem é que a organização perde o controle sobre seus dados e, portanto, está mais vulnerável.
O local de armazenamento geográfico de dados é uma preocupação justificável, particularmente para empresas que lidam com registros confidenciais. Devido a padrões regulatórios e de conformidade, pode ser ilegal para essas empresas transferirem dados para o exterior.
No entanto, isso não significa que os dados não possam ser controlados com o armazenamento em nuvem. Se a criação de seu próprio data center não for uma opção, a empresa pode recorrer a provedores locais.
O ideal é firmar contrato com provedores que atendam os regulamentos e leis, mas também sejam transparentes sobre onde os dados do negócio estão alocados, como eles viajam e como estão protegidos.
Como você tem tratado a segurança em nuvem na sua empresa? Leia também um artigo sobre como migrar sua empresa para a nuvem de forma segura!
Leia também: