Compartilhe esta publicação
10 recomendações de privacidade na nuvem para empresas
No Brasil, temos a LGPD, Lei Geral de Proteção de Dados, sancionada em agosto de 2018, que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
À medida que as empresas continuam a se transpor para a Nuvem, não há melhor momento para revisar todos os aspectos da coleta de dados, seu uso, armazenamento, transferência e processamento.
1. Investigar shadow IT, provedores de nuvem não autorizados e sua segurança
Dados de organizações podem facilmente vazar por serviços de shadow cloud; por exemplo, usuários convertendo um PDF da lista de telefones de um cliente, traduzindo um plano de projeto, ou usando uma ferramenta de apresentação ou serviços de colaboração não gerenciados baseados na nuvem.
A corporação é responsável pela perda de dados causada por funcionários, não importa o que aconteça. Portanto, a Tecnologia da Informação precisa ser capaz de visualizar todos os serviços em nuvem, inclusive daqueles configurados por usuários individuais ou pequenos grupos.
Depois de ter uma visão abrangente do uso não autorizado da nuvem, essa informação deve ser compartilhada com a equipe de compras para ajudá-los decidir qual serviço deve ser aprovado.
2. Integrar com SSO global
Os sistemas globais de logon único podem garantir que o acesso de usuários seja removido de todos os serviços quando eles deixam a organização, assim como reduzir o risco de perda de dados a partir de reuso de senha.
Em um serviço que não seja SSO (single Sign-on), usuários frequentemente ligam para a equipe de helpdesk quando esquecem a senha. Então, SSO tem o benefício adicional de reduzir essa quantidade de ligações.
3. Trabalhar com GRC e fazer workshop sobre como os usuários usam a nuvem
GRC (governança, risco e conformidade) deve ser trazido para ajudar definir as políticas da Nuvem. Frequentemente, eles não têm certeza de como as nuvens estão sendo usadas e quais dados estão sendo carregados e, portanto, as políticas são gerais.
Você precisa criar um time incluindo usuários, GRC e segurança TI para definir políticas para o mundo real. Para isso, revise as possíveis ações que podem acontecer em cada serviço de Nuvem, e garanta que as políticas estejam definidas para todas as eventualidades.
4. Revise a IaaS – Não presuma que DevOps fez tudo certo
A área da Nuvem que mais cresce é IaaS – Plataformas Cloud AWS, Azure e Google. Nesse caso, é muito fácil para que desenvolvedores configurem incorretamente as definições e deixem os dados abertos para ataques.
A tecnologia é necessária para verificar todos os serviços de IaaS (sempre encontramos mais do que as pessoas acreditam ter), e as definições – idealmente, esse seria um sistema que pudesse mudar as definições automaticamente para assegurar opções.
5. Mantenha-se atualizado com a tecnologia – “sem servidor”, contêineres, serviços de e-mail em Nuvem etc.
A Nuvem inclui muitas tecnologias que estão em constante evolução; por isso, a segurança precisa mudar também. Desenvolvedores geralmente estão na vanguarda dos avanços tecnológicos - trazendo o código do GitHub, executando sistemas de contêineres que duram apenas alguns minutos (mesmo que não seja um tempo muito curto para exigir proteção) e outros.
A segurança de TI precisa estar em parceria com as equipes de desenvolvimento e implantar tecnologias para se defender contra as ameaças mais recentes.
6. Integre-se ao gateway da web e DLP - não perca a segurança ao mudar para a nuvem
Após investir tempo e dinheiro em segurança durante a última década, você não quer perder todo esse investimento ao mudar para a Nuvem. À medida que sistemas e dados sobem, você deve implementar tecnologias que possam integrar com seus serviços e tecnologia existentes.
Por exemplo, você não deveria ter dois modelos diferentes de DLP, dependendo dos serviços de computação usados pelos seus funcionários. Implemente sistemas que possam se integrar uns com os outros, de preferência com um sistema de gerenciamento que unifique os dados de várias fontes diferentes, e apresente-os de num só lugar.
7. Não presuma que CSPs irão manter seus históricos para sempre
Se o pior acontecer, você precisará investigar o histórico de um incidente de perda de dados. CSPs raramente irão salvar históricos para sempre - consulte o seu contrato para saber por quanto tempo eles mantêm registros, e considere ter os seus próprios históricos para que investigações forenses possam ser executadas mesmo que o incidente original de perda de dados tenha ocorrido há bastante tempo.
8. Considere diferentes políticas baseadas em localização, dispositivo etc.
Uma vez que os dados estejam na Nuvem, a ideia é facilitar o trabalho global. Isso é sempre apropriado? Por exemplo, e se um funcionário quiser baixar um documento corporativo confidencial por meio de um serviço em Nuvem para um dispositivo não gerenciado?
Considere as situações que seus funcionários encontrarão e formule uma política que forneça o máximo de segurança necessária e, ao mesmo tempo, cause o mínimo de interrupções possível.
9. Promova as nuvens de que você GOSTA para seus usuários
Recompensas funcionam melhor do que punições para treinar usuários. Não apenas bloqueie os serviços que você não gosta. Promova largamente os serviços em nuvem que você aprova, aqueles que estão em conformidade com suas necessidades de segurança, seus indicadores de desempenho e capacidades.
Promova-os por meio da intranet, blogs e marketing interno, e redirecione as solicitações para serviços sem suporte para aqueles que você gosta.
10. Privacidade e segurança é uma responsabilidade de todos: traga outros departamentos e usuários
Talvez a última recomendação deveria ser a primeira: use todos os métodos disponíveis para treinar usuários, mas antes que você faça isso, trabalhe com esses usuários e seus representantes para definir políticas apropriadas.
A meta é encorajar usuários para que usem serviços em nuvem que não sejam apenas seguros, mas que lhes permitam ser o mais produtivos possível. Os próprios usuários normalmente têm ótimas ideias sobre os serviços que gostariam de usar, o porquê e como, então traga-os para ajudar a definir as políticas e trabalhar em conjunto com o GRC.
Que você tenha uma implantação de nuvem segura e bem-sucedida e que mantenha seus usuários e dados pessoais de clientes tão seguros quanto possível em 2021 e além.
Para obter mais informações, dê uma olhada em nosso recurso adicional sobre como proteger seus dados pessoais na nuvem.
Este texto foi traduzido e adaptado. Clique aqui para acessar o conteúdo original.