Rhand Leal
setembro 20, 2016
Serviços em nuvem são frequentemente vendidos como soluções que podem estar em qualquer lugar e todo lugar. Tudo que é necessário é um computador e uma conexão de rede para trabalhar com dados, aplicações e recursos. Enquanto que no ponto de vista do usuário isto é verdade, serviços em nuvem em última instância se apoiam em uma infraestrutura física, que tem que estar em algum lugar, e as decisões de provedores sobre onde implantar esta infraestrutura pode trazer riscos que deveriam ser tratados.
Este artigo apresentará alguns aspectos legais geográficos que usuários de serviços em nuvem deveriam considerar quando da avaliação dos riscos de um provedor de serviço em nuvem de entregar os resultados esperados e como a ISO 27001 e ISO 27017, um código de prática para segurança da informação para serviços em nuvem, pode ajudar a abordar e definir adequadamente controles de segurança.
Porque todos os lugares possuem algum grau de leis, regulações e outros assuntos legais que definem como serviços podem ser executados ou entregues, e se o seu provedor de serviço em nuvem opera em um lugar (ex.: cidade, estado ou país) diferente do seu, as visões legais diferentes do serviço podem levar a riscos inaceitáveis para o seu negócio, requerendo uma revisão das condições do serviço ou ao menos ajustes no plano de tratamento de riscos.
Antes de falar sobre como questões legais podem afetar os riscos de serviços em nuvem, é necessário entender como eles se relacionam a localização geográfica, e a primeira coisa que precisamos saber é que a implantação da infraestrutura física de serviços em nuvem deve ser abordada a partir de dois pontos de vista: como recursos centralizados e descentralizados.
No ponto de vista dos recursos centralizados, a infraestrutura física de serviços em nuvem é concentrada para tirar vantagem da economia de escala (o custo por unidade diminui na medida que o tamanho da operação aumenta), resultando em instalações de tamanho considerável em um único lugar, com uma igual necessidade considerável de recursos.
No ponto de vista dos recursos descentralizados, a infraestrutura física é espalhada para aumentar a disponibilidade (nenhum evento localizado pode derrubar o serviço) e penetração de mercado (disponibilidade para tantos usuários quanto possível), resultando em instalações em muitos locais diferentes (ex.: cidades, estados e países).
Finalmente, após selecionar os locais de implantação mais promissores, a decisão final considera como leis, regulamentações, e outras questões legais aplicáveis a sites em potencial podem impactar nos custos e lucratividade operacional do provedor, e este é o ponto onde os usuários de serviços de nuvem deveriam prestar atenção, porque a melhor solução para provedores não necessariamente significa a melhor para os clientes, e em alguns casos é justamente o contrário.
Considerando a infraestrutura de serviço de nuvem implantada em um local, ou locais, outro que não aquele da sede do provedor, ou de onde seus clientes operam, isto pode dar surgimento a riscos tais como:
De acordo com a ISO 27001, uma organização deveria primeiro identificar requisitos legais (cláusula 4.2) aplicáveis aos seus serviços de nuvem e realizar uma avaliação de riscos (cláusula 6.1.2) para identificar, analisar e avaliar riscos legais relacionados a localização da infraestrutura de provedores de serviço de nuvem. Informações úteis podem ser encontradas nos sites dos provedores (ex.: “Sobre nós”, “Nossos serviços”, etc.) e buscas na Internet. Da mesma forma, tente perguntar diretamente a eles. As informações que você encontrará por conta própria, e a presteza com que provedores darão a informação, ou justificarão não as fornecer, dirá muito sobre eles.
Situações como aceso limitado a recursos, localizações em áreas inseguras, e brechas e requisitos legais deveria acionar um alerta.
Situações como instalações grandes em áreas seguras, próximas a recursos críticos, e termos de serviço claros e justos deveriam melhorar a avaliação.
A segunda coisa é assegurar que os provedores selecionados atenderão aos controles de segurança para os riscos que você considera relevantes. A ISO 27001 recomenda, através do controle A.15.1.2 – Abordando segurança dentro de acordos com fornecedores, que acordos assinados (ex.: SLAs, Termos de Serviço, etc.) incluem todos os requisitos de segurança da informação relevantes. Exemplos a serem incluídos, baseados nos controles do Anexo A da ISO 27001, são a implementação de:
Estes exemplos são recomendações da ISO 27017 complementadas pelos controles do Anexo A da ISO 27001:
Saiba mais sobre segurança com fornecedores e responsabilidades compartilhadas lendo estes artigos: Processo em 6 etapas para tratar a segurança em fornecedores de acordo com a ISO 27001 e Resolvendo preocupações de segurança em nuvem pela definição clara de responsabilidades de acordo com a ISO 27017.
Um dos maiores benefícios operacionais da computação em nuvem, liberar você da carga operacional, também esconde alguns perigos ao reduzir a percepção do usuário de riscos comuns a infraestrutura e ao adicionar novos riscos associados ao espalhamento desta mesma infraestrutura em regiões com diferentes requisitos legais.
Ao usar os controles da ISO 27001 e as recomendações da ISO 27017, você pode retomar o controle de tais riscos e assegurar que provedores de serviços em nuvem tenha a habilidade de oferecer o desempenho de serviço esperado com proteção apropriada das informações.
Use este treinamento online gratuito ISO 27001 Foundations course para aprender como lidar com requisitos legais.