Para reforçar a segurança dos dados e mitigar o risco de ameaças cibernéticas, existem requisitos de conformidade na nuvem que as empresas precisam cumprir, de acordo com o segmento do negócio.
Com medidas de segurança adequadas, as empresas podem aumentar a proteção dos dados e evoluir no cumprimento com as principais normas do mercado, como ISO 27001, PCI, Bacen e LGPD.
Para saber mais, leia o conteúdo até o final.
O que é Conformidade na Nuvem?
A conformidade na nuvem é o processo de cumprimento com os padrões de uso de computação em nuvem para aumentar a segurança, privacidade e proteção de dados, de acordo com as diretrizes do setor e as regulações locais, nacionais e internacionais.
O processo envolve a implementação de controles e processos de segurança adequados para proteger os dados no ambiente de nuvem.
Isso pode incluir criptografia, controles de acesso, gerenciamento de vulnerabilidades, monitoramento e avaliações regulares no provedor para auxiliar no cumprimento das normas e regulações necessárias.
Os pilares da Conformidade na Nuvem
Para estar em conformidade com a nuvem, é importante que os serviços de cloud computing sigam alguns pilares, como:
Regulações
As regulações são o ponto principal da conformidade na nuvem. A equipe jurídica das empresas é responsável por definir quais leis devem ser seguidas e as consequências da não conformidade.
Em seguida, é importante avaliar quais controles de segurança precisam ser implementados para cumprir as regulações aplicáveis.
Alguns exemplos incluem HIPAA, PCI, GDPR e LGPD.
Padrões
Existem setores do mercado que disponibilizam a metodologia adequada com instruções específicas para lidar com os dados na nuvem e ajudar a evitar incidentes de segurança.
Os padrões, também conhecidos como frameworks, referem-se a um conjunto de requisitos e normas que os ambientes na nuvem devem atender para aumentar a segurança, privacidade e proteção dos dados dos clientes.
Alguns exemplos são PCI DSS, HIPAA e ISO 27001.
Governança
A governança é a supervisão fornecida a uma empresa por executivos seniores e pelo conselho de administração.
Antes de realizar a migração para a nuvem, é importante considerar quais metas e objetivos influenciam no gerenciamento do ambiente. Isso permite que a governança ajude a orientar as equipes corretamente para atingir os resultados esperados.
Por exemplo, definir as diretrizes sobre como organizar, compartilhar e rastrear informações na nuvem, além de abranger a propriedade e responsabilidade da estratégia de nuvem.
As principais regulações do mercado
ISO 27001
A ISO 27001 é uma norma internacional que estabelece os requisitos para manter um Sistema de Gestão de Segurança da Informação (SGSI) eficaz.
Ela reúne um conjunto de medidas de segurança adequadas para a empresa avaliar e proteger as informações que são armazenadas ou processadas em ambientes de nuvem.
Por exemplo, medidas para identificar os riscos associados à seleção de provedores de serviços na nuvem e avaliar a adequação das medidas de segurança adotadas pelo provedor.
PCI DSS
Em inglês, Payment Card Industry Data Security Standard, o PCI DSS é um conjunto de requisitos de segurança desenvolvido pelas principais bandeiras de cartão de crédito para ampliar a proteção dos dados do titular do cartão de crédito durante as transações financeiras.
Em resumo, as empresas que armazenam ou processam dados de cartões de crédito em ambientes de nuvem precisam seguir as instruções da norma para utilizar o provedor de nuvem corretamente e atender os requisitos de segurança exigidos.
Ele estimula a necessidade de monitorar e registrar todas as atividades relacionadas aos dados de cartão de crédito e implementar controles de segurança para mitigar o risco de ameaças no ambiente.
Bacen
O Banco Central do Brasil tem acompanhado a evolução tecnológica e seus impactos no sistema financeiro, como a adoção de soluções na nuvem.
Com isso, surgiu a Resolução 4.658 que dispõe sobre a política de cibersegurança e os requisitos para processar e armazenar dados com serviços de computação em nuvem. Algumas diretrizes necessárias são a avaliação prévia de riscos e Due Diligence, definição de responsabilidades entre as partes, entre outros.
Outro destaque é Resolução nº 4.916 que é semelhante à anterior, mas se aplica apenas ao Bacen e às entidades supervisionadas por ele, como bancos comerciais, de desenvolvimento, cooperativas de crédito, dentre outras.
LGPD
A Lei Geral de Proteção de Dados (LGPD) é a legislação brasileira que estabelece regras e princípios para o tratamento de dados pessoais por empresas e instituições públicas e privadas.
A norma estabelece regras para a proteção dos dados, com o objetivo de aumentar a privacidade e a segurança dessas informações e promover a confiança dos usuários em relação à utilização desses serviços.
Isso inclui a necessidade de adotar medidas de segurança para proteger os dados contra acessos não autorizados, perda, alteração, destruição ou vazamento
Saiba mais: LGPD e Infraestrutura em Nuvem
Melhores práticas para aumentar a conformidade na nuvem
1. Definir as regulações do segmento
A primeira etapa para alcançar a conformidade na nuvem é identificar quais regulações e padrões a organização precisa cumprir, de acordo com o segmento do mercado.
A partir disso, é possível entender as melhores práticas para elaborar a estratégia de segurança da empresa e diminuir a superfície de ataque na nuvem.
2- Seguir o Modelo de Responsabilidade compartilhada
O provedor escolhido precisa oferecer os recursos de segurança necessários, com certificações e auditorias adequadas para atender aos padrões exigidos pelo mercado.
A maior parte deles costuma utilizar o Modelo de Responsabilidade Compartilhada.
O provedor é responsável pela segurança da infraestrutura que executa os serviços na nuvem, enquanto o cliente é responsável pelas configurações corretas dos serviços de nuvem, bem como os dados no ambiente. Portanto, é importante estar ciente das responsabilidades como cliente.
3. Gerenciar o controle de acesso
As empresas precisam estabelecer as políticas de segurança adequadas para limitar e conceder acesso ao ambiente de nuvem e aos dados armazenados nele.
É possível estabelecer regras de acesso com base na necessidade da atividade para acompanhar quem tem acesso e por quanto tempo.
4. Classificar os dados
A classificação permite determinar e atribuir valor aos dados da organização e também agrega um ponto de partida comum para a conformidade. Isso ajuda a gerenciar, proteger e armazenar os dados com mais facilidade.
Esse processo permite determinar a confidencialidade dos dados e o possível impacto caso eles sejam comprometidos, perdidos ou utilizados indevidamente.
5- Priorizar os Acordos de Nível de Serviço (SLAs)
Os acordos de nível de serviço (SLAs) definem as regras básicas e expectativas da empresa em relação ao provedor de nuvem contratado.
É fundamental estabelecer um SLA bem definido com as informações necessárias sobre as atividades do provedor, conforme as regulações que regem o negócio.
Exemplos de verificações do CleanCloud Score
- Role com política irrestrita: essa prática permite que qualquer pessoa obtenha acesso não autorizado a uma conta com dados confidenciais, por meio de chamadas de API. Recomenda-se utilizar políticas com permissões restritas atreladas às funções, com apenas o acesso necessário para realizar determinada tarefa;
- Banco de dados SQL sem log de auditoria: os dados de auditoria são úteis para manter a segurança e a conformidade, entender a atividade e as tendências do banco de dados, além de obter informações sobre possíveis violações de segurança. Por isso, é recomendado habilitar o recurso de auditoria nos bancos de dados SQL;
- Usuários com roles muito permissivas: as roles como roles/owner, roles/editor ou roles/viewer são muito permissivas e não devem ser utilizadas. É importante restringir as permissões de acordo com o princípio do privilégio mínimo, para permitir somente os acessos necessários em determinada tarefa.
Conte com o CleanCloud Score para evoluir a conformidade na nuvem
Uma das melhores práticas para evoluir a conformidade na nuvem é contar com soluções que ofereçam visibilidade do ambiente para identificar as vulnerabilidades e corrigi-las.
O CleanCloud Score disponibiliza mais de 400 verificações nas nuvens AWS, Azure e Google Cloud para evoluir a jornada de conformidade na nuvem, de acordo com as principais frameworks e regulações do mercado.
Acesse o site e saiba mais.
