sábado, setembro 7, 2024
Últimos:

Prof. Marcos Assi

Artigos

Quatro dicas de conformidade na nuvem

marcos

A computação em nuvem parece simples, na teoria. Na verdade, simplicidade de operação, implantação e licenciamento são as características mais atraentes. Mas quando se trata de compliance, basta arranhar a superfície para encontrar mais perguntas do que você imaginava, e haverá muito no que pensar.

Compliance cobre muitos terrenos, de regulamentações do Governo à própria governança das empresas. Você pode ter controles internos, mas ao mudar para uma plataforma de infraestrutura de nuvem pública, pode se ver obrigada a abrir mão desses controles para aqueles fornecidos pelo provedor de cloud.

É a posição em que muitos auditores – e CIOs e CEOs – se encontram hoje. Eles querem saber como migrar para a nuvem preservando o respeito às regulamentações.

Aqui estão quatro dicas de analistas, fornecedores e consultores para manter a conformidade na nuvem.

1 – Esteja ciente dos novos desafios que a nuvem pode trazer para sua equipe de TI
Ao avaliar provedores de cloud, comece buscando boas práticas e estratégias para a identidade do usuário e gerenciamento de acesso, proteção de dados e resposta a incidentes. Esses quesitos são a base dos requerimentos para estar compliance. Ao delinear as especificidades regulatórias para o potencial provedor de cloud, você provavelmente vai enfrentar alguns desafios específicos da nova plataforma.

A localização dos dados é uma. O Ato de Proteção de Dados da União Europeia, por exemplo, luta para manter informações pessoais dentro da UE. Para obedecer, sua fornecedora de nuvem deve manter os dados de clientes europeus na Europa. O que muitas delas já informaram não fazer

O desligamento do usuário é outra questão que requer cuidados. É uma questão que vai se tornar mais desafiadora conforme os métodos de senha e autenticação aumentarem de complexidade e volume. Adotar um esquema de gerenciamento federado facilita para que os usuários loguem em múltiplas nuvens, mas vai tornar o desligamento muito mais difícil.

2 – Rastreie os padrões de mudança rápida
Goste ou não, suas decisões sobre quais aplicativos migrar para a nuvem e quando migrá-los vai beneficiar o entendimento de  padrões que estão evoluindo para a computação em nuvem.

Hoje você pode olhar para os certificados e as normas técnicas de segurança como requisitos generalizados tipicamente requisitados pelas regulamentações de governo e de setores produtivos, mas isso não garante que os processos da sua companhia estarão em conformidade com as leis.

Padrões são úteis, mas são só um dos pontos. E não são muito específicos quando se trata de segurança de dados, gerenciamento de identidades, controles do administrador, coisas do tipo. É precisodar mais visibilidade para os usuários quanto ao que está acontecendo. Evitar colocá-los diante de uma grande caixa preta.

Informar corretamente os usuários é um dos objetivos da Cloud Security Alliance (CSA), organização que vem ganhando popularidade rapidamente entre consumidores, auditores e provedores de serviço. A meta da CSA é desenvolver auditorias de estruturas padronizadas de para facilitar a comunicação entre usuários e fornecedores de cloud. Como, por exemplo, a definição de padrões de governança de risco e compliance (GRC), com quatro elementos principais: Protocolo de Confiança em Nuvem, Auditoria de Cloud, Consenso de Avaliação de Iniciativas, e Matrix de Controle da Nuvem. Esta última inclui uma planilha que mapeia requerimentos básicos para os padrões principais das áreas de controle de TI.

Os esforços da CSA e de outras entidades de padronização, somado àquelas dos grupos das indústrias e agências do Governo, deverão produzir uma imensa variedade de padrões nos próximos anos. A CSA tem alianças formais com a ISO, a UIT, NIST, entre outras entidades, para que os desenvolvimentos possam ser usados por esses grupos como contribuições para os padrões que estão em construção.

3- Fique atento ao nível de serviço oferecido
Independentemente do tamanho ou status da sua companhia, não presuma os termos e condições dos modelos de contrato de cloud. Comece examinando com atenção o acordo de nível de serviço (SLA). E realizando sua própria análise de riscos e benefícios para ver se os contratos padrão do fornecedor de nuvem se encaixam nas necessidades de compliance. Ao fim dessa análise inicial, é possível ter condições de determinar o que será preciso negociar para aumentar seu nível de conforto.

Muitas empresas presumem que se você está lidando com uma grande fornecedora, não há negociação. Na verdade, você pode descobrir que o provedor está disposto a abrir algumas exceções para melhorar o nível de conforto.

Se você é novo na nuvem, pode descobrir que começar com um piloto, ou com dados não essenciais, é uma boa maneira de construir confiança.

Mas a devida diligência não termina com um contrato de nível de serviço adequado. É preciso acompanhar o fornecedor de perto, sempre. Você pode ter contratado um bom nível de serviço, mas se a nuvem do provedor cair, o que acontece com a continuidade da sua empresa?

4- Torne a segurança uma prioridade
Para entender melhor o seu risco potencial, assim como benefícios, você deve levar a sua equipe de segurança para a conversa com o fornecedor dos serviços na nuvem, logo na primeira oportunidade. Dessa forma, questões de segurança e compliance serão trazidos rapidamente ao contexto. É importante que executivos entendam as implicações de segurança e possam pesar os níveis de risco contra o orçamento que irão despender para a mitigar alguns destes riscos.

Mudar para uma nuvem pode oferecer oportunidades de alinhar a segurança com metas corporativas de forma mais permanente, por formalizar a função avaliação/riscos em um comitê de segurança. A equipe pode ajudar a avaliar riscos e fazer propostas de orçamentos para se adequar à estratégia do seu negócio.

Você também deve prestar atenção a inovações de segurança vindas de numerosos serviços de segurança e, parcerias entre fornecedores de nuvem.

Cloud computing pode apresentar alguns riscos, mas eles provavelmente diminuirão com as inovações que estão a caminho.

Fonte: Jim Buchanan, CIO/EUA

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.

Você pode gostar também

Falta cultura da contabilidade internacional

marcos

Veja 11 dicas para realizar um evento corporativo de sucesso

marcos

5 dicas para uma gestão de compliance efetiva

marcos