Text page

Por que migrar as suas informações tecnológicas críticas para a nuvem com segurança?

Os riscos relacionados com os serviços de informática são recorrentes, uma vez que muitas empresas acreditam que a segurança dos dados em nuvem é de responsabilidade do provedor. Quando a sua empresa se utiliza do Target GEDWEB para buscar, acessar, controlar, entender e imprimir documentos regulatórios críticos, há por trás um Sistema de Gestão da Qualidade, certificado nacional e internacionalmente pela Lloyd’s Register Quality Assurance (Inmetro/UKAS) conforme as normas ISO 9001:2008, EN ISO 9001:2008, BS EN ISO 9001:2008 e NBR ISO 9001:2008.

31/08/2016 - Equipe Target

Computação em nuvem se tornou uma grande aliada para os negócios

Mauricio Ferraz de Paiva

É muito difícil quem possua um celular ou um computador não ter ainda usado o serviço da computação em nuvem (cloud computing), pois o facebook, linkedin, dropbox, google drive ou icloud, etc. são disponibilizados por servidores compartilhados, oferecendo a possibilidade de acesso a qualquer usuário conectado à internet. Assim, a computação em nuvem se tornou uma grande aliada para a proteção dos negócios.

Afinal, os provedores de serviços de cloud computing têm de estar sempre atualizados com as melhores práticas e tecnologias de segurança de dados. Dentre os mais comuns, há a segurança do servidor físico da nuvem, a garantia da recuperação de dados caso ocorra algum desastre e o gerenciamento de interrupções de energia.

Isso é o que faz o Target GEDWEB com as informações regulatórias em nuvem, realizando as pesquisas especializadas em bases de dados próprias, rastreando e atualizando, diária e automaticamente (duas vezes ao dia), centenas de milhares de regulamentações técnicas. Mais de 16.000 normas ABNT NBR/NM; mais de 16.000 normas internacionais e estrangeiras de 49 entidades internacionais (BSI, AFNOR, AENOR, JIS, ASTM, ASME, API, IEEE, NFPA e outras); acesso aos projetos de norma brasileira em Consulta Nacional; mais de 8.000 Regulamentos Técnicos/Portarias do Inmetro; Normas Regulamentadoras do MTPS (Ministério do Trabalho e Previdência Social); mais de 115.000 Resoluções ANEEL; Procedimentos ONS (Operador Nacional do Sistema Elétrico); mais de 110.000 Procedimentos Anvisa; mais de 130.000 Resoluções MAPA (Ministério da Agricultura, Pecuária e Abastecimento); e Legislações CONAMA.

A Target segue a NBR ISO/IEC 27017 de 07/2016 - Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base NBR ISO/IEC 27002 para serviços em nuvem que fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo o seguinte: diretrizes adicionais para implementação de controles relevantes especificados na NBR ISO/IEC 27002; controles adicionais com diretrizes de implementação que são relacionadas especificamente a serviços em nuvem. Esta recomendação/norma fornece controles e diretrizes de implementação para provedores de serviços em nuvem e clientes de serviços em nuvem.

Os serviços em nuvem da Target incluem diversos recursos e serviços de segurança para aumentar a privacidade e controlar o acesso à rede. Os firewalls de rede criados e os recursos de firewall de aplicações da web permitem que a empresa usuária crie redes privadas e controle o acesso às suas instâncias e aplicações; envolve a criptografia em trânsito com TLS em todos os dispositivos; e opções de conectividade que permitem conexões privadas ou dedicadas, e conexões do seu ambiente local ou do seu escritório.

O uso de computação em nuvem mudou a forma como é recomendado que as organizações avaliem e mitiguem os riscos de segurança da informação, devido às mudanças significativas em como os recursos computacionais são tecnicamente concebidos, utilizados e governados. Esta recomendação/norma fornece diretrizes adicionais para implementações específicas para a nuvem, com base na NBR ISO/IEC 27002, e fornece controles adicionais para lidar com considerações sobre ameaças de segurança da informação e riscos, específicas para ambientes em nuvem.

Convêm que os usuários desta recomendação/norma consultem a NBR ISO/IEC 27002, seções 5 a 18, para controles, orientação de implementação e outras informações. Devido à aplicabilidade geral da ISO/IEC 27002, muitos dos controles, da diretriz de implementação e outras informações se aplicam a ambos os contextos de computação geral ou em nuvem da organização.

Por exemplo, a NBR ISO/IEC 27002 “6.1.2 Segregação de funções” fornece um controle que pode ser aplicado se a organização está agindo como um provedor de serviço em nuvem ou não. Além disso, um cliente de serviços em nuvem pode derivar requisitos para segregação de funções ao ambiente de nuvem do mesmo controle, por exemplo, segregando os administradores de serviços em nuvem, clientes de serviço e usuários de serviços em nuvem.

Como uma extensão da NBR ISO/IEC 27002, esta recomendação/norma fornece mais controles específicos de serviços em nuvem, diretrizes de implementação e outras informações (ver 4.5), que se destinam a mitigar os riscos que acompanham as características técnicas e operacionais dos serviços em nuvem (ver Anexo B). Os clientes de serviços em nuvem e os prestadores de serviços em nuvem podem se referir à NBR ISO/IEC 27002 e a esta recomendação/norma para selecionar os controles com a diretriz de implementação e adicionar outros controles, se necessário.

No ambiente de computação em nuvem, os dados dos clientes do serviço em nuvem são armazenados, transmitidos e processados por um serviço em nuvem. Portanto, os processos de negócios do cliente do serviço em nuvem podem depender da segurança da informação do serviço em nuvem.

Sem controle suficiente sobre o serviço em nuvem, o cliente de serviços em nuvem pode precisar tomar precauções extras com suas práticas de segurança da informação. Antes de contratar o fornecedor do serviço em nuvem, o cliente do serviço em nuvem precisa selecionar um serviço em nuvem, levando em conta as possíveis lacunas entre os requisitos de segurança da informação do cliente do serviço em nuvem e os recursos em segurança de informações oferecidas pelo serviço em nuvem.

Uma vez que um serviço em nuvem é selecionado, recomenda-se que o cliente gerencie o seu uso de forma a satisfazer os seus requisitos de segurança da informação. Nesta relação, recomenda-se que o provedor do serviço em nuvem forneça as informações e o suporte técnico que são necessários para atender aos requisitos de segurança da informação do cliente do serviço em nuvem.

Soma-se isso um rígido gerenciamento de senhas interativo para assegurar senhas de qualidade. No início, esta nova política ocasionou alguns transtornos iniciais aos usuários, porém, os contratempos foram infinitamente menores aos benefícios gerados pela nova política.

Alguns ajustes no fluxo da troca da senha foram realizados, pois apresentavam problemas em algumas situações específicas. Os principais eventos potencialmente danosos que motivaram esta mudança foram: os usuários desligados das empresas e não suspensos pelos supervisores do GEDWEB que continuavam acessando o sistema; os usuários que não utilizam o sistema com muita frequência, deixando-o exposto, desnecessariamente; senhas extremamente fracas, permitindo facilmente a quebra por hackers e, possivelmente, permitindo acesso indevido ao sistema; e-mails sintaticamente válidos, porém, inexistentes. Por isso a necessidade de validação por e-mail.

Mauricio Ferraz de Paiva é engenheiro eletricista, especialista em desenvolvimento em sistemas, presidente do Instituto Tecnológico de Estudos para a Normalização e Avaliação de Conformidade (Itenac) e presidente da Target Engenharia e Consultoria - mauricio.paiva@target.com.br

FONTE: Equipe Target

Anúncio fixo da norma NBRISO9001 Chegou o novo app Target GEDWeb!
Busque e visualize suas normas ABNT NBR NM
Recursos exclusivos de busca, leitura por voz,
acesso off-line, navegação por setor e muito mais!
Produto/Serviço relacionado à NBRISO9001

Baseado nos documentos visitados

Normas recomendadas para você

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação
NBRISO/IEC27002 de 11/2013

Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações
NBRISO/IEC27003 de 04/2020

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos
NBRISO/IEC27001 de 11/2013

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos

Tecnologia da informação - Gerenciamento de Serviços Parte 5: Exemplo de um plano de implementação da ABNT NBR ISO/IEC 20000-1
ABNT ISO/IEC TR 20000-5 de 06/2011

Tecnologia da informação - Gerenciamento de Serviços Parte 5: Exemplo de um plano de implementação da ABNT NBR ISO/IEC 20000-1

Tecnologia de informação - Código Brasileiro para Intercâmbio de Informação - Padronização
NBR9611 de 02/1991

Tecnologia de informação - Código Brasileiro para Intercâmbio de Informação - Padronização

Tecnologia de informação - Gerência de senhas - Procedimento
NBR12896 de 11/1993

Tecnologia de informação - Gerência de senhas - Procedimento

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação
NBRISO/IEC27007 de 05/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão da segurança da informação

Tecnologia da informação - Gestão de serviço - Parte 2: Orientação para aplicação de sistemas de gestão de serviço
NBRISO/IEC20000-2 de 01/2021

Tecnologia da informação - Gestão de serviço - Parte 2: Orientação para aplicação de sistemas de gestão de serviço

Tecnologia da informação - Computação em nuvem - Visão geral e vocabulário
NBRISO/IEC17788 de 12/2015

Tecnologia da informação - Computação em nuvem - Visão geral e vocabulário

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
NBRISO/IEC27004 de 08/2017

Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação

Tecnologia da informação - Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços
NBRISO/IEC20000-1 de 03/2020

Tecnologia da informação - Gestão de serviços - Parte 1: Requisitos do sistema de gestão de serviços

Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem
NBRISO/IEC27017 de 07/2016

Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital
NBRISO/IEC27038 de 12/2014

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital
NBRISO/IEC27037 de 12/2013

Tecnologia da informação — Técnicas de segurança — Diretrizes para identificação, coleta, aquisição e preservação de evidência digital

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação
NBRISO/IEC27005 de 10/2019

Tecnologia da informação — Técnicas de segurança — Gestão de riscos de segurança da informação

Tecnologia da informação - Técnicas de segurança - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002
NBRISO/IEC27011 de 04/2019

Tecnologia da informação - Técnicas de segurança - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002

Segurança da informação, segurança cibernética e proteção da privacidade - Governança da segurança da informação
NBRISO/IEC27014 de 09/2021

Segurança da informação, segurança cibernética e proteção da privacidade - Governança da segurança da informação

Tecnologia da informação - Técnicas de segurança - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação
NBRISO/IEC27031 de 08/2019

Tecnologia da informação - Técnicas de segurança - Diretrizes para a prontidão para a continuidade dos negócios da tecnologia da informação e comunicação

Tecnologia da informação - Governança da TI para a organização
NBRISO/IEC38500 de 11/2018

Tecnologia da informação - Governança da TI para a organização