Dados na nuvem ou em casa: O que é mais seguro?

Na contramão do que diz o senso comum, Gartner reitera sua posição sobre o tema, aponta tendências e sugere um plano de ação aos líderes de segurança da informação

Antes de começar a ler este texto, provavelmente você já tenha respondido à pergunta do título. E, mais provável ainda, de maneira negativa. Afinal, dizer que a nuvem pública é menos segura do que, por exemplo, servidores locais, já virou uma “pós-verdade” — adjetivo que, segundo o dicionário Oxford, faz referência a “circunstâncias em que os fatos objetivos têm menos influência na formação de opinião pública do que os apelos emocionais e as opiniões pessoais”.

No entanto, durante a Conferência Gartner Segurança & Gestão de Risco, ocorrida nos dias 8 e 9 deste mês, em São Paulo, o que seu ouviu foi justamente o oposto. Claudio Neiva, vice-presidente de pesquisas da consultoria, reiterou o posicionamento por ela mantido nos últimos três anos.

Na contramão do que prega o senso comum, o Gartner sustenta que trabalhar dados na nuvem pública é normalmente mais seguro do que fazê-lo em suas próprias instalações, “no data center que você tem dentro de casa”, como reforçou Neiva.

Isso porque, justificou ele, inexistem “evidências” sobre a debilidade em termos de segurança por parte dos mais renomados provedores de serviço (CSPs): “Os problemas observados estavam relacionados a falhas cometidas pelos usuários, a exemplo de senha e autenticação fracas”.

Neiva também chamou atenção para o reflexo da infraestrutura — com processos estabelecidos, qualidade, escalabilidade — dos principais provedores (hoje em torno de 15, classificados pelo Gartner como “Tier 1”), tanto em recursos técnicos quanto operacionais: “Sua capacidade de acesso a profissionais mais qualificados para manter a estrutura de segurança do ambiente, com um nível de maturidade maior que a maioria das empresas pode encontrar no mercado, também é um fato.”

“Geralmente, estamos preocupados tecnicamente com a segurança. Mas, do ponto de vista de utilização, de saúde financeira (dos CSPs), de verificar se esses provedores vão ter condição de sustentar tal serviço por muito tempo, às vezes, esquecemos desses detalhes”, completou Neiva.

Controle da informação, a grande questão

Sim, a preocupação com a maturidade de segurança da nuvem – com vistas a endereçar todos os processos e mecanismos de seu acesso e utilização – é de suma importância.  Mas não o principal, segundo o analista do Gartner. “A questão mais importante é a criação de uma política de utilização da nuvem: o que eu posso e o que eu não posso colocar lá. (…)O provedor de nuvem tem a obrigação de manter segura a infraestrutura que suporta a visualização de todos os clientes. Já [a segurança] do conteúdo é obrigação do cliente” — cujos profissionais de segurança, privacidade, conformidade e gerenciamento de riscos devem ser competentes nesse tipo de ambiente”, disse Neiva.

A virtualização e o papel do DevSecOps

Dentro do que efetivamente vai para a nuvem, a partir de processos de virtualização, como fica a segurança em meio a demandas – por exemplo, aplicações, que cada vez mais demandam agilidade e, por isso, não podem esperar muito tempo pela avaliação da área? Ou, como disse Neiva, “ainda mais do CISO”?

A resposta é o DevSecOps, metodologia — tida como uma das principais tendências tecnológicas — que implica o envolvimento, à luz de uma mentalidade ágil, da equipe de segurança da informação ao longo de todo o processo do desenvolvimento – do planejamento até a codificação, testes, implementação, operação e monitoramento.

Conforme orientação do Gartner, sob a perspectiva da abordagem Carta (Continuous Adaptive Risk and Trust Assessment, ou análise continua e adaptável de risco e confiança), no tocante a novas aplicações é preciso que as empresas busquem, em meio a bibliotecas, vulnerabilidades conhecidas, neutralizando a maior parte dos riscos. Já para códigos proprietários, deve-se buscar um equilíbrio entre a velocidade e segurança exigidas pelo negócio.

Outras tendências apontadas pelo Gartner

– Até o final desta década, 50% das empresas irão requerer uma aprovação, em caráter de exceção, de cargas de trabalho (workloads) em casa, ou seja, fora de uma infraestrutura de nuvem não pública.

– As organizações irão parar de se referir a computação em nuvem como “exceção” e, em vez disso, a computação local se tornará o cenário menos comum até 2022.

“Temos evidências suficientes que as coisas estão indo por esse caminho. Simplesmente dizer não à adoção de nuvem não será uma solução para todo mundo. O que precisamos entender é como fazer isso de forma homeopática”, de olho na evolução das soluções oferecidas nesse ambiente, resumiu Neiva, que também compartilhou um plano de ação, que pode ser conferido abaixo, em uma de suas apresentações na Conferência Segurança & Gestão de Risco:

– Defina uma estratégia de nuvem de, no mínimo, três anos e alinhada aos objetivos da empresa;

– Identifique quais cenários já estão propícios à migração e quais necessitam de certos investimentos para garantir sua visibilidade, conformidade, entre outros requisitos do negócio;

– Estude políticas de utilização da nuvem: por quem, como e quando ela será acessada;

– Desenvolva competências técnicas e operacionais relacionadas à virtualização. Entre elas, o entendimento de DevOps e seu conjunto de ferramentas.

– Descubra quais as falhas, dentro do seu conjunto de ferramentas, que afetem a visibilidade ao mudar para a nuvem;

– E desenvolva competências de trabalho diferentes daquelas associadas ao ambiente tradicional

Tiago S. Barbosa Ferreira

Tiago S. Barbosa Ferreira

Partiner em SorocabaTI
Atuando na Areá de infraestrutura e Suporte desde 2005.

Atualmente trabalho com Analise e Suporte, Infraestrutura de redes, Administração de Servidores e analise e levantamentos de requisitos para projetos de implantação e migração de ambientes!
Tiago S. Barbosa Ferreira

Seja o primeiro a comentar!

Deixe uma resposta

Seu endereço de email não será publicado.


*