Resolvendo preocupações de segurança em nuvem pela definição clara de responsabilidades de acordo com a ISO 27017

Soluções em nuvem são respostas atrativas para aqueles que buscam por economia em custos e infraestruturas de resposta rápida a demanda, e buscas na Internet podem mostrar a você como estas soluções estão crescendo rapidamente e sendo adotadas por organizações de todos os tamanhos, especialmente por organizações de pequeno e médio porte.

Contudo, a própria natureza delas requer que clientes e provedores compartilhem atividades de gestão e operacionais em algum grau, e a falta ou falha em observar as responsabilidades com relação a estas atividades pode trazer danos significativos as partes interessadas.

Este artigo apresentará como atividades de segurança da informação deveriam ser vistas em ambientes em nuvem e como a ISO 27001 e a ISO 27017 (um código de práticas para segurança da informação para serviços em nuvem) pode ajudar organizações a definir apropriadamente responsabilidades em ambientes em nuvem e assegurar a proteção das informações.

Modelos de serviços em nuvem

Antes que uma avaliação de segurança da informação possa ser feita, devemos primeiro entender como serviços em nuvem podem ser providos aos clientes. Os modelos de serviço em nuvem mais comuns disponíveis no Mercado, em ordem de complexidade, são:

Infraestrutura como serviço (Infrastructure as a Service – IaaS): modelo que oferece apenas infraestrutura computacional básica (ex.: máquinas físicas e virtuais, localização, rede, backup, etc.).

Plataforma como serviço (Platform as a Service – PaaS): modelo que oferece, além da infraestrutura computacional, um ambiente de desenvolvimento para desenvolvedores de aplicações (ex.: sistemas operacionais, ambiente para execução de linguagem de programação, bases de dados, etc.).

Software como serviço (Software as a Service – SaaS): modelo que oferece aos usuários finais acesso a aplicações e bases de dados (ex.: e-mail, compartilhamento de arquivos, redes sociais, ERPs, etc.).

Assets_control_by_cloud_service_models_PTFigura 1 – Controle de ativos por modelos de serviço em nuvem

Perceba que, à medida que a complexidade aumenta da IaaS para SaaS, os ativos sob controle da organização começam a ficar sob controle do provedor; contudo, em termos de segurança da informação, algumas atividades ainda permanecem sob controle da organização cliente, com o veremos na próxima seção.

Principais preocupações de segurança e pontos a serem observados

A partir de um ponto de vista de segurança da informação, as principais preocupações envolvendo os modelos de nuvem acima mencionados, e o que você deveria ter o bom senso de considerar em termos de segurança, são:

Classificação, rótulo e tratamento de informações. Os dados armazenados e processados em ambientes de nuvem de provedores em última instância pertencem ao, ou estão sob a responsabilidade da, organização cliente, assim a decisão final sobre como elas devem ser classificadas, rotuladas e tratadas deve sempre ser tomada pelo cliente. Assim, mesmo que todos os ativos estejam sob controle do provedor, como no modelo SaaS, é uma boa coisa que sua responsabilidade com relação a segurança da informação cubra apenas a implementação dos controles relacionados a classificação dada pela organização cliente.

Gestão de identidades. Nos modelos PaaS e SaaS, dependendo do Sistema de informação considerado (ex.: um ERP), grupos de usuários podem ser divididos em usuários requeridos para manter o Sistema no ar (atividades operacionais), frequentemente sob controle do provedor; e usuários requeridos para gerir o acesso a funcionalidades do sistema (ex.: funções financeiras e de RH de um ERP) e usuários finais, estes últimos dois frequentemente sob controle da organização cliente. Assim, em um sistema similar, é uma boa coisa manter um controle estrito sobre quais usuários podem pertencer a quais grupos.

Monitoramento. Independente do modelo de nuvem adotado, dados monitorados podem estar relacionados ao desempenho de ativos (ex.: largura de banda, taxa de transferência, etc.) ou a processamento de dados (ex.: registros acessados, atividades de usuários, horário de login de usuário, etc.), e no último caso, informações sensíveis podem ser comprometidas através dos dados monitorados, assim é uma coisa boa definir quais dados o provedor pode monitorar e quais dados devem ser tornados disponíveis apenas para a organização cliente.

Privacidade. Este é talvez o aspecto mais crítico da segurança da informação relacionado a adoção de serviços em nuvem, uma vez que o provedor de serviço, por controlar a infraestrutura básica, pode acessar todos os dados que estão na nuvem a qualquer hora. Além disso, os locais a partir dos quais o provedor de nuvem opera podem ter leis e regulamentações que podem se mostrar um risco a confidencialidade das informações.

Usando a ISO 27017 para ajudar clientes e provedores a definir responsabilidades de segurança em nuvem

O “bom senso” que vimos na seção anterior já é considerado de um modo formal nas normas de segurança ISO. Enquanto a ISO 27001 provê controles para assegurar a definição apropriada de responsabilidades com relação a segurança da informação (ex.: A.6.1.1 – Papéis e responsabilidades de segurança da informação e A.6.1.2 – Segregação de funções), a ISO 27017 oferece uma visão integrada, considerando como clientes e provedores deveriam abordar o mesmo controle. Veja este artigo: ISO 27001 vs. ISO 27017 – Information security controls for cloud services.

Assim, considerando esta visão integrada, as recomendações gerais da norma sobre responsabilidades compartilhadas em ambientes de nuvem podem ser descritas como:

Políticas de segurança: Organizações cliente deveriam declarar a relevância dos serviços em nuvem para seu negócio e processos de segurança da informação, e provedores deveriam declarar que os requisitos de clientes de serviços de nuvem deveriam ser considerados na gestão de seus próprios processos de segurança.

Cláusulas contratuais: Organizações cliente deveriam incluir cláusulas em seus SLAs considerando aspectos de segurança da informação a serem atendidos pelo provedor. Estas cláusulas deveriam cobrir os requisitos da organização assim como aqueles de seus próprios clientes, incluindo preocupações com privacidade. Provedores deveriam incluir cláusulas em seus contratos com clientes especificando claramente as capacidades que eles podem oferecer com relação aos serviços em nuvem providos, e informações relacionadas a privacidade (ex.: onde o provedor opera e a que leis e regulamentações eles devem atender).

Controle de acesso e monitoramento: Provedores deveriam tornar disponíveis funcionalidades que permitissem aos clientes gerir, controlar e monitorar funcionalidades por conta própria, sem depender da intervenção do provedor (ex.: definição da classificação da informação, gestão de usuários, e monitoramento do desempenho de recursos).

Não deixe que a falta de responsabilidades faça buracos em suas salvaguardas de segurança

Benefícios de serviços em nuvem têm permitido a muitas organizações, especialmente àquelas com recursos limitados, expandir suas atividades e melhorar suas chances de sucesso, e seria terrível ver todos os esforços comprometidos por conta de algo tão simples quanto falhas em resolver definições de responsabilidades.

Os controles e recomendações da ISO 27001 e a ISO 27017 podem ser usados para estabelecer responsabilidades claras tanto para provedores quanto para clientes, minimizando os riscos de que responsabilidades indefinidas possam levar ao comprometimento de informações e falha em se atingir os objetivos do negócio.

Confira a Conformio compliance and cybersecurity platform para ajudá-lo a gerenciar um sistema completo de segurança da informação.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001