27/07/2016 - Equipe Target
Na opção por esse tipo de serviço deve haver confiança e segurança no provedor de serviço
Mauricio Ferraz de Paiva
Com o aumento das restrições ou contenções financeiras, é possível considerar o armazenamento em nuvem para reduzir custos e melhorar a eficiência. Para isso, os gestores têm que alinhar cuidadosamente as necessidades da empresa com o que a nuvem tem a oferecer antes de tomar uma decisão. É muito importante que o cliente que opta por esse tipo de serviço tenha confiança e segurança no provedor de serviço. É preciso perguntar-se: a infraestrutura do provedor é adequada; tem processos que garantem a visibilidade e controle sobre todos os eventos desde o momento em que os dados são migrados na nuvem até mesmo sob operações do dia a dia; tem verificação e controle de acesso; tem aplicação da virtualização do controle de acesso suficiente para se adequar ao controle da sua empresa; tem gerenciamento e monitoramento contínuos; tem criptografia; e será que se poderá acessar os dados daqui a alguns anos?
Também é necessário levar em conta que o ambiente de nuvem utiliza segurança compartilhada. Todos os sistemas, assim, têm que trabalhar para garantir o processo de segurança e privacidade de dados, desde a criação até o uso no dia a dia.
A movimentação de dados do ambiente físico, dentro do cliente, para a nuvem pública, traz a necessidade de garantir o isolamento, desde o processo da movimentação dos dados para o ambiente compartilhado até para o uso no dia a dia. A mudança de ambiente físico para ambiente virtualizado deve contemplar o isolamento dos ambientes e assegurar a segurança das informações.
A NBR ISO/IEC 27002 de 11/2013 – Tecnologia da informação – Técnicas de segurança – Código de Prática para controles de segurança da informação fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. É projetada para ser usada por organizações que pretendam: a) selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na NBR ISO/IEC 27001; b) implementar controles de segurança da informação comumente aceitos; c) desenvolver seus próprios princípios de gestão da segurança da informação.
Importante dizer que a norma foi projetada para as organizações usarem como uma referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI), baseado na NBR ISO/IEC 27001 ou como um documento de orientação para as organizações implementarem controles de segurança ...