Como usar a ISO 27017 para gerir riscos legais relacionados a localização geográfica

Serviços em nuvem são frequentemente vendidos como soluções que podem estar em qualquer lugar e todo lugar. Tudo que é necessário é um computador e uma conexão de rede para trabalhar com dados, aplicações e recursos. Enquanto que no ponto de vista do usuário isto é verdade, serviços em nuvem em última instância se apoiam em uma infraestrutura física, que tem que estar em algum lugar, e as decisões de provedores sobre onde implantar esta infraestrutura pode trazer riscos que deveriam ser tratados.

Este artigo apresentará alguns aspectos legais geográficos que usuários de serviços em nuvem deveriam considerar quando da avaliação dos riscos de um provedor de serviço em nuvem de entregar os resultados esperados e como a ISO 27001 e ISO 27017, um código de prática para segurança da informação para serviços em nuvem, pode ajudar a abordar e definir adequadamente controles de segurança.

Por que eu deveria estar preocupado sobre onde meu provedor de serviços em nuvem implanta sua infraestrutura?

Porque todos os lugares possuem algum grau de leis, regulações e outros assuntos legais que definem como serviços podem ser executados ou entregues, e se o seu provedor de serviço em nuvem opera em um lugar (ex.: cidade, estado ou país) diferente do seu, as visões legais diferentes do serviço podem levar a riscos inaceitáveis para o seu negócio, requerendo uma revisão das condições do serviço ou ao menos ajustes no plano de tratamento de riscos.

Como serviços em nuvem, localização geográfica e questões legais se relacionam entre si?

Antes de falar sobre como questões legais podem afetar os riscos de serviços em nuvem, é necessário entender como eles se relacionam a localização geográfica, e a primeira coisa que precisamos saber é que a implantação da infraestrutura física de serviços em nuvem deve ser abordada a partir de dois pontos de vista: como recursos centralizados e descentralizados.

No ponto de vista dos recursos centralizados, a infraestrutura física de serviços em nuvem é concentrada para tirar vantagem da economia de escala (o custo por unidade diminui na medida que o tamanho da operação aumenta), resultando em instalações de tamanho considerável em um único lugar, com uma igual necessidade considerável de recursos.

No ponto de vista dos recursos descentralizados, a infraestrutura física é espalhada para aumentar a disponibilidade (nenhum evento localizado pode derrubar o serviço) e penetração de mercado (disponibilidade para tantos usuários quanto possível), resultando em instalações em muitos locais diferentes (ex.: cidades, estados e países).

Finalmente, após selecionar os locais de implantação mais promissores, a decisão final considera como leis, regulamentações, e outras questões legais aplicáveis a sites em potencial podem impactar nos custos e lucratividade operacional do provedor, e este é o ponto onde os usuários de serviços de nuvem deveriam prestar atenção, porque a melhor solução para provedores não necessariamente significa a melhor para os clientes, e em alguns casos é justamente o contrário.

Riscos legais em serviços de nuvem derivados de localização geográfica

Considerando a infraestrutura de serviço de nuvem implantada em um local, ou locais, outro que não aquele da sede do provedor, ou de onde seus clientes operam, isto pode dar surgimento a riscos tais como:

• Falta ou conflito de requisitos legais: No caso de litígio entre usuário e provedor, áreas cinzentas nos sistemas legais envolvidos podem levar a batalhas que podem durar anos.
• Tendências em resultados de julgamentos: Dependendo de onde as causas podem ser julgadas, aspectos históricos ou culturais podem gerar resultados mais favoráveis a uma parte ou outra.
• Poder do governo sobre os dados: Governos locais podem ter autoridade indiscriminada para acessar dados armazenados em infraestruturas de nuvem.
• Tecnologias e controles limitados: Algumas práticas e tecnologias podem não ser permitidas, ou impostas, minando o desempenho e a proteção do serviço.

Como a ISO 27001 e a ISO 27017 ajudam a lidar com questões geográficas de serviços em nuvem?

De acordo com a ISO 27001, uma organização deveria primeiro identificar requisitos legais (cláusula 4.2) aplicáveis aos seus serviços de nuvem e realizar uma avaliação de riscos (cláusula 6.1.2) para identificar, analisar e avaliar riscos legais relacionados a localização da infraestrutura de provedores de serviço de nuvem. Informações úteis podem ser encontradas nos sites dos provedores (ex.: “Sobre nós”, “Nossos serviços”, etc.) e buscas na Internet. Da mesma forma, tente perguntar diretamente a eles. As informações que você encontrará por conta própria, e a presteza com que provedores darão a informação, ou justificarão não as fornecer, dirá muito sobre eles.

Situações como aceso limitado a recursos, localizações em áreas inseguras, e brechas e requisitos legais deveria acionar um alerta.

Situações como instalações grandes em áreas seguras, próximas a recursos críticos, e termos de serviço claros e justos deveriam melhorar a avaliação.

A segunda coisa é assegurar que os provedores selecionados atenderão aos controles de segurança para os riscos que você considera relevantes. A ISO 27001 recomenda, através do controle A.15.1.2 – Abordando segurança dentro de acordos com fornecedores, que acordos assinados (ex.: SLAs, Termos de Serviço, etc.) incluem todos os requisitos de segurança da informação relevantes. Exemplos a serem incluídos, baseados nos controles do Anexo A da ISO 27001, são a implementação de:

• Defesa de perímetro externo e interno (A.11.1.1 – Segurança de perímetro físico);
• Controles de acesso (A.11.1.2 – Controles de entrada física);
• Planejamento de recursos (A.12.1.3 – Gestão de capacidade);
• Atividades de segurança da informação e processo para lidar com situação de desastre (A.17.1 – Continuidade da segurança da informação);
• Direito de auditor a infraestrutura do provedor (A.18.2.1 – Análise crítica independente da segurança da informação).

Estes exemplos são recomendações da ISO 27017 complementadas pelos controles do Anexo A da ISO 27001:

• Identificação de autoridades relevantes considerando a localização onde dados e informações são armazenadas e processadas (A.6.1.3 – Contato com autoridades);
• Definição de funcionalidades de criptografia a serem disponibilizadas pelo provedor de serviço em nuvem que são tanto adequadas aos propósitos do negócio quanto aceitas pelas leis e regulamentações dos locais onde provedores têm suas infraestruturas (A.10.1.1 – Política no uso de controles criptográficos).

Saiba mais sobre segurança com fornecedores e responsabilidades compartilhadas lendo estes artigos: Processo em 6 etapas para tratar a segurança em fornecedores de acordo com a ISO 27001 e Resolvendo preocupações de segurança em nuvem pela definição clara de responsabilidades de acordo com a ISO 27017.

A localização da infraestrutura de nuvem não é irrelevante

Um dos maiores benefícios operacionais da computação em nuvem, liberar você da carga operacional, também esconde alguns perigos ao reduzir a percepção do usuário de riscos comuns a infraestrutura e ao adicionar novos riscos associados ao espalhamento desta mesma infraestrutura em regiões com diferentes requisitos legais.

Ao usar os controles da ISO 27001 e as recomendações da ISO 27017, você pode retomar o controle de tais riscos e assegurar que provedores de serviços em nuvem tenha a habilidade de oferecer o desempenho de serviço esperado com proteção apropriada das informações.

Use este treinamento online gratuito ISO 27001 Foundations course para aprender como lidar com requisitos legais.