Por Tiago Oliveira Santos (*)

A Cloud tem conquistado o seu espaço no portefólio de ferramentas utilizadas pelas empresas, substituindo as aplicações instaladas localmente e agora comercializadas num modelo de serviço (software as a service) ou substituindo as infraestruturas físicas adquiridas pelos clientes (infraestruture as a service). Tornou-se por isso um instrumento onde as empresas depositam ativos de informação de elevado valor, levantando por isso preocupações de segurança e confidencialidade.

Uma breve reflexão sobre as principais ameaças aos sistemas de informação das empresas conduz-nos invariavelmente ao fator humano como a principal fragilidade e, neste aspeto, a adoção da Cloud nada muda.

Apesar dos mediáticos casos da Playstation ou da Target, ou de outros casos conhecidos pela dimensão do número de utilizadores envolvidos, a verdade nua e crua é que a principal ameaça à segurança da informação sempre foi (e continua a ser) interna às empresas. Esta ameaça vem em dois sabores: O primeiro é o acesso à informação pelos colaboradores e a falta de rastreabilidade de quem acede a que informação e políticas claras de “need to know”; O segundo é a capacidade para manter os sistemas de informação atualizados, minimizando as vulnerabilidades conhecidas e também as perdas de dados.

Neste sentido a Cloud não é mais segura, nem menos segura, que qualquer outro tipo de solução, já que as organização (pessoas e políticas) são as mesmas. A pergunta certa não é se a Cloud é segura, mas sim se as políticas, processos e competências da organização que a utiliza são seguras. A Cloud é sim uma excelente oportunidade de obrigar a uma reflexão sobre quem é responsável pela informação.

O maior risco que a Cloud gera é a capacidade de armazenar cada vez mais informação. O risco está na informação.

Tendo em conta a dimensão do tecido empresarial português, que é essencialmente constituído por PME’s, é essencial uma abordagem prática e objetiva para resolver o tema da segurança na Cloud, que tentamos aqui resumir:

  1. Defina que informação quer ter

Os “dados” têm o dom da geração espontânea, o que quer dizer que na esfera da sua organização existe informação que os colaboradores obtêm no seu dia-a-dia e que vai sendo registada nos ativos da empresa, sem pontos de controlo ou políticas definidas. Estes “dados” só passam a ser um ativo quando são tratados de forma estruturada. Até lá são apenas um risco (podem até ser dados pessoais), em relação ao qual não é extraído nenhum valor.

Mantenha um controlo firme sobre a informação que pode (e deve) fazer parte do negócio definindo uma política de informação.

  1. Need to Know

Na sua organização existe uma política escrita sobre quem deve ter acesso a que informação? Que mecanismos estão implementados para assegurar que essa política é cumprida? As informações só devem ser acedidas e só podem ser alteradas por quem é autorizado.

Para a segurança da informação é importante lembrar que a proteção é indiferente de onde a informação esteja armazenada: papel, computador, trafego de rede, backup, etc.

  1. Sistemas de informação

Não deixe que os sistemas de informação definam as competências que tem de ter: faça o inverso: que competência são úteis para o negócio que quero ter?

Estas competências definem o tipo de sistemas que pode ter, tudo o resto deve ser externalizado.

  1. Comece pelo fim

É mais fácil definir o que é de facto importante se imaginarmos um cenário inimaginável. Em situação de catástrofe, que informação e sistemas gostava de salvar? Defina planos de continuidade e de recuperação para estes ativos e vai ver como tudo o resto é fácil.

Esta metodologia proporciona resultados rápidos nas questões essenciais, sem ser necessário um projeto exaustivo de consultoria.

(*) Chief Operating Officer da AR Telecom