UE com guia para melhorar segurança nos contratos de cloud

Não há suficiente foco na segurança quando um serviço de nuvem é usado, de acordo com uma agência europeia de segurança.

Os utilizadores precisam de serem melhores a questionar os fornecedores de cloud sobre os pontos mais delicados da gestão de disponibilidade e de vulnerabilidade nos contratos, de acordo com um novo guia da Agência Europeia para a Segurança da Informação (ENISA).
O objectivo da ENISA é melhorar a compreensão do sector público para a segurança dos serviços em nuvem e os potenciais indicadores e métodos que podem ser utilizados durante a prestação de serviços, dizem os autores.
Os contratos de aquisição e de gestão para serviços de cloud é uma tarefa cada vez mais importante para as equipas de TI.
“As organizações começaram a mudar de sistemas internos para a terceirização e utilização de serviços em nuvem. Assim, as capacidades e o foco da equipa de TI tem que mudar”, diz Marnix Dekker, co-autor do relatório.
Uma parte integrante desse trabalho é especificar os requisitos de segurança à cabeça, mas ainda mais importante é ser capaz de monitorizar e verificar se os requisitos de segurança estão a ser cumpridos em toda a vigência do contrato, de acordo com o guia.
“É preciso ter a certeza de que a solução que se está a comprar se encaixa nas necessidades de segurança”, refere Dekker.
Até agora, muito do foco tem sido na garantia de que as medidas de segurança adequadas estão a funcionar, mas não tanto na forma como funcionam quando o serviço de cloud computing está instalado e a funcionar, de acordo com Dekker.
“Um bom exemplo é a gestão das correcções de segurança [“patches”]. No pedido de proposta, pede-se que a gestão de ‘patches’ esteja a funcionar. Como cliente, você também se quer saber numa base contínua se os ‘patches’ foram aplicados, mas essa parte é muitas vezes ignorada”, salienta Dekker.
O guia abrange oito diferentes parâmetros a que a equipa de TI precisa de estar atenta. Entre os mais importantes estão a disponibilidade do serviço, resposta a incidentes, e gestão de conformidade técnica e de vulnerabilidades, de acordo com Dekker.
Quando se trata de disponibilidade de serviço – o que não é apenas um requisito de segurança, mas um requisito de negócio – as pessoas ainda têm problemas para especificar como deve ser definido e reportado.
“O que se vê frequentemente é uma afirmação muito genérica de que o serviço deve ser instalado e a funcionar, sem pensar em que funções devem ser instaladas e a funcionar”, refere.
Pode levar 15 minutos a enviar um e-mail, mas o prestador de serviços em nuvem pode dizer que o serviço não está “em baixo”, de acordo com Dekker. É por isso que é importante pensar para lá do serviço estar disponível e de como isso deve ser medido, disse ele.
A resposta a incidentes, que pode estar relacionada com a disponibilidade e a segurança, também é importante.
“É difícil escrever um contrato em quão rapidamente os incidentes devem ser resolvidos, até porque eles podem ser muito complicados de solucionar. Mas para os utilizadores é importante obter dados sobre o quão rápido os incidentes foram ou não resolvidos”, disse Dekker.
Mesmo se existem questões que precisam de ser consideradas quando se move para a cloud, a ENISA vê isso como uma oportunidade para tornar os sistemas mais seguros.
“Por causa das economias de escala, os fornecedores de cloud computing podem contratar peritos e ter pessoal de segurança a tempo inteiro”, considera Dekker.
Mas apenas se for bem feito. “Quando os utilizadores estão mais conhecedores e fazem as perguntas certas, os melhores fornecedores de cloud serão capazes de lhes responder e a segurança vai melhorar”, segundo Dekker.




Deixe um comentário

O seu email não será publicado