À margem de uma conferência do GRC Meeting, Luís Azevedo, do Instituto de Informática do Ministério do Trabalho e da Solidariedade Social, disse que os prestadores de serviços de cloud precisam de certificar e comprovar a segurança da sua oferta.
Na visão de Luís Azevedo, em determinadas áreas, poderá ser vantajosa a utilização do modelo de cloud computing na Administração Pública –nomeadamente devido ao potencial de redução de custos. Contudo, o responsável de segurança da informação, que está a estudar implicações de adopção do modelo (em termos de segurança), identifica uma necessidade fundamental: é preciso que os fornecedores de cloud, comprovem e certifiquem a segurança dos seus serviços. Será, na opinião de Azevedo, a forma mais consistente para conseguir ganhar a confiança de utilizadores, e gestores, na administração pública portuguesa. Esta poderá implementar o modelo de cloud computing numa lógica de adopção das melhores práticas, recolhidas a partir de projectos já implementados no sector privado – o qual deverá cumprir o papel de pioneiro. Apesar das questões de segurança, confidencialidade e legalidade, poderá ser viável a constituição de uma cloud “comunitária” capaz de fornecer, por exemplo, funcionalidades de ERP para as organizações da administração pública.
O Instituto de Informática do referido ministério tem procurado implementar ao longo dos últimos anos as melhores práticas de gestão de segurança da informação. Certificado segundo as normas 27001 e 9001, entre outras, o organismo está a preparar a certificação ISO 20 000. Além disso, Luís Azevedo identificou vários desafios que a instituição enfrenta a curto e longo prazo. Num prazo mais curto, o responsável considera ser necessário uniformizar os níveis de riscos, das diversas áreas da organização. Apesar de estes se encontrarem já em níveis muito confortáveis, de acordo com as diversas auditorias internas e externas realizadas nos últimos anos, segundo Azevedo. Isso passará pela alocação de recursos aos campos onde o risco é maior. A longo prazo, o maior desafio será alargar a certificação de gestão de segurança a todo o universo da segurança social portuguesa.
HP: gestão de risco ganha importância
A abrir a conferência, Rui Vilanova, da HP Services, salientou a importância cada vez maior da gestão de riscos e da conformidade, nas empresas. Nesse contexto, explicou a abordagem da oferta da empresa: cujo portfólio inclui serviços e produtos de modelação de riscos, uma matriz para descrever o estado da segurança dos sistemas de informação, um motor de software para definir caminhos de implementação, um guia de referências, mapas de aplicabilidade, e modelos implementação de controlos de segurança.