Por Nuno Mendes (*)

 

As estatísticas mostram que mais de metade das grandes empresas e um terço das pequenas e médias empresas na Europa têm preocupações de segurança quando contemplam transferir as suas operações para a nuvem. Este receio supera até a incerteza acerca da localização de dados vitais, ou mesmo problemas práticos, como eventuais dificuldades ao aceder a informação on-demand.
Outubro é um Mês de Cibersegurança Europeia, portanto importa refletir se estes receios têm ou não fundamento.
Em primeiro lugar, temos de admitir que nenhum sistema é seguro a 100% e isto aplica-se também à nuvem. Mas, para algumas empresas com menores orçamentos e recursos humanos, uma solução na nuvem pode na verdade dar origem a uma melhoria na segurança, já que o fornecedor do serviço pode possuir um maior número de recursos dedicados a proteger o sistema e a gerir eventuais brechas na segurança rápida e eficientemente.
No entanto, esta não é a regra e, apesar de a informação poder estar mais segura online, a sua utilização a nível local deve também ser gerida com cuidados. Além disso, os cibercriminosos usam as mesmas estratégias quando tentam infiltrar-se na nuvem ou em hardware local. Por isso, mesmo que os servidores na nuvem do fornecedor do serviço mostrem ser um alvo mais tentador por conterem os dados de dezenas ou mesmo centenas de empresas, isto não muda o tipo de ameaças a que está sujeito.
Resumidamente escolher nuvem tem riscos associados, mas estes podem ser mitigados se os recursos forem geridos de forma adequada.
Especificar as medidas de segurança no contrato com o fornecedor é uma das áreas sobre as quais nos devemos debruçar. Se a sua empresa adotou um standard de segurança elevado, usa uma solução de software fiável e aplica outras estratégias de proteção eficientes como verificação de dois fatores (two-factor verification) ou encriptação de dados – tudo isto pode e deve ser conservado quando escolhe a nuvem.
Existem também outras opções, como executar uma auditoria de segurança para se assegurar que todas as condições de segurança pedidas para a nuvem ao seu fornecedor são respeitadas. Se não forem, sanções podem ser impostas. Mas a maioria das medidas supramencionadas são apenas reacionárias às situações de transgressão, situações essas que podem já ter acontecido.
Quando migrar o negócio da sua empresa para a nuvem, necessita de colocar a si mesmo as seguintes questões:
A sua empresa ou a área em que ela opera está sujeita a regulação? Muitas indústrias, como a da saúde ou finanças, têm regras estritas no que diz respeito ao armazenamento de dados, restringindo até por vezes o seu armazenamento a outro país. Se sim, pode acontecer que o seu negócio seja incapaz de cumprir os requisitos.
Conhece o valor dos seus ativos? No mínimo, identifique e classifique a informação crítica que pretende armazenar na nuvem – por exemplo, contabilidade ou informação privada dos seus clientes. Agora imagine que perde a acesso a estes dados durante horas ou dias. A sua empresa é capaz de gerir uma situação assim, ou existe um nível superior de segurança necessário e, por isso, a informação precisa de permanecer in-house?
Como protege os seus dados quando está em movimento entre a nuvem e os dispositivos da empresa? Encriptar os dados na nuvem e no caminho para ela – sejam eles provenientes de desktops, portáteis, smartphones ou tablets – é importante se quiser mantê-los seguros.
Consegue controlar quem acede aos seus dados? Isto é importante se quiser evitar acessos não autorizados. Além disso, quando múltiplos utilizadores estão a editar um ficheiro, precisa de saber identificar quem fez as alterações.
E se os sistemas de segurança da nuvem forem violados? A sua empresa é capaz de absorver os danos causados? Não interprete isto da forma errada, não se trata de passivos financeiros, que são provavelmente parte da SLA. Mas se os dados se perderem ou forem roubados, os seus clientes não irão virar-se para o fornecedor do serviço da nuvem na busca de uma solução.

(*) CEO da WhiteHat