ENISA avisa sobre os riscos do cloud computing

Os utilizadores de cloud computing enfrentam múltiplos problemas de segurança, como a perda de controlo sobre os dados ou dificuldade no cumprimento de normativas, assim como outros riscos legais na transferência de dados de uma jurisdição legal para outra. A conclusão é de um estudo realizado pela ENISA, European Network and Information Security Agency.

Esta agência sublinha estes problemas, pois considera que são os que mais sérias consequências podem ter para as empresas que decidam apostar nos serviços proporcionados pelo cloud computing.A ENISA examinou os ficheiros que as empresas põem em risco quando adoptam o cloud computing, incluindo os dados dos seus clientes e a sua própria reputação. Esta agência analisou também as vulnerabilidades a que os sistemas de cloud computing se expõem, assim como os riscos para o seu negócio e as probabilidades de sofrerem incidentes graves.

Quando uma empresa passa os seus sistemas para serviços baseados em nuvem, tem que passar o controlo de um grande número de questões de segurança para as mãos do fornecedor de serviços, o que pode ter um impacto negativo. Por exemplo, os termos de utilização do fornecedor podem não permitir a verificação de portas, assim como a avaliação de vulnerabilidades e a realização de testes de penetração. O resultado, diz a ENISA, é uma falha grave nas defesas do sistema.

A conformidade com as normativas em vigor pode também ser um problema, se o fornecedor não puder oferecer os níveis adequados de certificação ou o próprio esquema de certificação não for o adequado a estes sistemas cloud. Uma das vantagens dos serviços cloud é que os dados podem ser armazenados em diferentes localizações, o que permite a salvaguarda das informações em caso de incidente em algum destes centros de dados. No entanto, este esquema pode também representar um risco elevado, sobretudo se os data centers estiverem localizados em países com um sistema legal deficiente.

Entre outras áreas de preocupação, de acordo com o relatório da ENISA, encontram-se as garantias de segurança dadas pelo fabricante, as falhas nos mecanismos que separam os dados de diferentes empresas, a gestão de interfaces às quais os hackers podem facilmente aceder, dados apagados de forma não adequada e acções mal-intencionadas de pessoal interno. Para minimizar estes riscos, o relatório propõe uma lista de perguntas que as empresas devem colocar aos seus potenciais fornecedores de serviços cloud. Por exemplo, que garantia oferece de que os recursos do cliente estarão completamente isolados, que programa de formação em segurança tem a empresa para os seus empregados ou que medidas tomou para assegurar os níveis de serviço de empresas de serviços terceiras.

Além disso, a ENISA considera que um bom contrato pode minimizar os riscos. Como tal, as empresas devem prestar especial atenção aos seus direitos e deveres relacionados com a transferência de dados, acessos a informações por imperativo legal ou notificações de falhas de segurança, por exemplo.

No entanto, o relatório da ENISA não é todo feito de pessimismo à volta do cloud computing, considerando também que os serviços cloud podem proporcionar uma defesa muito mais robusta, escalável e acessível do ponto de vista financeiro contra determinados tipos de ataques. Por exemplo, a capacidade de localizar recursos de forma dinâmica pode proporcionar uma melhor protecção contra ataques DDoS.




Deixe um comentário

O seu email não será publicado