- Entrou
- Fev 29, 2008
- Mensagens
- 5,095
- Gostos Recebidos
- 2
A segurança continua a ser uma das principais questões colocadas pelas empresas na migração para a cloud. Tiago Oliveira Santos sugere uma abordagem prática e objetiva para as PME.
Por Tiago Oliveira Santos (*)A Cloud tem conquistado o seu espaço no portefólio de ferramentas utilizadas pelas empresas, substituindo as aplicações instaladas localmente e agora comercializadas num modelo de serviço (software as a service) ou substituindo as infraestruturas físicas adquiridas pelos clientes (infraestruture as a service). Tornou-se por isso um instrumento onde as empresas depositam ativos de informação de elevado valor, levantando por isso preocupações de segurança e confidencialidade.Uma breve reflexão sobre as principais ameaças aos sistemas de informação das empresas conduz-nos invariavelmente ao fator humano como a principal fragilidade e, neste aspeto, a adoção da Cloud nada muda.Apesar dos mediáticos casos da Playstation ou da Target, ou de outros casos conhecidos pela dimensão do número de utilizadores envolvidos, a verdade nua e crua é que a principal ameaça à segurança da informação sempre foi (e continua a ser) interna às empresas. Esta ameaça vem em dois sabores: O primeiro é o acesso à informação pelos colaboradores e a falta de rastreabilidade de quem acede a que informação e políticas claras de “need to know”; O segundo é a capacidade para manter os sistemas de informação atualizados, minimizando as vulnerabilidades conhecidas e também as perdas de dados.Neste sentido a Cloud não é mais segura, nem menos segura, que qualquer outro tipo de solução, já que as organização (pessoas e políticas) são as mesmas. A pergunta certa não é se a Cloud é segura, mas sim se as políticas, processos e competências da organização que a utiliza são seguras. A Cloud é sim uma excelente oportunidade de obrigar a uma reflexão sobre quem é responsável pela informação.O maior risco que a Cloud gera é a capacidade de armazenar cada vez mais informação. O risco está na informação.Tendo em conta a dimensão do tecido empresarial português, que é essencialmente constituído por PME’s, é essencial uma abordagem prática e objetiva para resolver o tema da segurança na Cloud, que tentamos aqui resumir:
Por Tiago Oliveira Santos (*)A Cloud tem conquistado o seu espaço no portefólio de ferramentas utilizadas pelas empresas, substituindo as aplicações instaladas localmente e agora comercializadas num modelo de serviço (software as a service) ou substituindo as infraestruturas físicas adquiridas pelos clientes (infraestruture as a service). Tornou-se por isso um instrumento onde as empresas depositam ativos de informação de elevado valor, levantando por isso preocupações de segurança e confidencialidade.Uma breve reflexão sobre as principais ameaças aos sistemas de informação das empresas conduz-nos invariavelmente ao fator humano como a principal fragilidade e, neste aspeto, a adoção da Cloud nada muda.Apesar dos mediáticos casos da Playstation ou da Target, ou de outros casos conhecidos pela dimensão do número de utilizadores envolvidos, a verdade nua e crua é que a principal ameaça à segurança da informação sempre foi (e continua a ser) interna às empresas. Esta ameaça vem em dois sabores: O primeiro é o acesso à informação pelos colaboradores e a falta de rastreabilidade de quem acede a que informação e políticas claras de “need to know”; O segundo é a capacidade para manter os sistemas de informação atualizados, minimizando as vulnerabilidades conhecidas e também as perdas de dados.Neste sentido a Cloud não é mais segura, nem menos segura, que qualquer outro tipo de solução, já que as organização (pessoas e políticas) são as mesmas. A pergunta certa não é se a Cloud é segura, mas sim se as políticas, processos e competências da organização que a utiliza são seguras. A Cloud é sim uma excelente oportunidade de obrigar a uma reflexão sobre quem é responsável pela informação.O maior risco que a Cloud gera é a capacidade de armazenar cada vez mais informação. O risco está na informação.Tendo em conta a dimensão do tecido empresarial português, que é essencialmente constituído por PME’s, é essencial uma abordagem prática e objetiva para resolver o tema da segurança na Cloud, que tentamos aqui resumir:
[*=center]Defina que informação quer ter
Os “dados” têm o dom da geração espontânea, o que quer dizer que na esfera da sua organização existe informação que os colaboradores obtêm no seu dia-a-dia e que vai sendo registada nos ativos da empresa, sem pontos de controlo ou políticas definidas. Estes “dados” só passam a ser um ativo quando são tratados de forma estruturada. Até lá são apenas um risco (podem até ser dados pessoais), em relação ao qual não é extraído nenhum valor.Mantenha um controlo firme sobre a informação que pode (e deve) fazer parte do negócio definindo uma política de informação.
[*=center]Need to Know
Na sua organização existe uma política escrita sobre quem deve ter acesso a que informação? Que mecanismos estão implementados para assegurar que essa política é cumprida? As informações só devem ser acedidas e só podem ser alteradas por quem é autorizado.Para a segurança da informação é importante lembrar que a proteção é indiferente de onde a informação esteja armazenada: papel, computador, trafego de rede, backup, etc.
[*=center]Sistemas de informação
Não deixe que os sistemas de informação definam as competências que tem de ter: faça o inverso: que competência são úteis para o negócio que quero ter?Estas competências definem o tipo de sistemas que pode ter, tudo o resto deve ser externalizado.
[*=center]Comece pelo fim
É mais fácil definir o que é de facto importante se imaginarmos um cenário inimaginável. Em situação de catástrofe, que informação e sistemas gostava de salvar? Defina planos de continuidade e de recuperação para estes ativos e vai ver como tudo o resto é fácil.Esta metodologia proporciona resultados rápidos nas questões essenciais, sem ser necessário um projeto exaustivo de consultoria.(*) Chief Operating Officer da AR Telecom