Gerenciar  Segurança em ambientes de nuvem e híbridos é um desafio enfrentado cada vez mais pelas empresas, independente do tamanho. Vivenciamos um momento importante de migração para a nuvem, que vai requerer novos cuidados e novas práticas de gestão. A recente fraude do Dropbox, com o comprometimento de mais de 68 milhões de contas mostra que a segurança da nuvem precisa ser considerada.

Separamos nesses post algumas dicas que você pode utilizar para gerir melhor a segurança em nuvem:

1 Encripte seus dados

A melhor forma de proteger a confidencialidade de seus dados é encriptá-los. Existe uma grande variedade de tecnologias de encriptação disponíveis no mercado, de forma que o processo em si não é o mais complicado. O grande ponto aqui é quem possui as chaves de encriptação. As empresas devem limitar o acesso para si mesmas e apenas para partes terceiras muito confiáveis. Considere dividir as tarefas, com os dados sendo guardados na nuvem, mas as chaves de encriptação em sua empresa.

2 Garanta que todos os usuários estão devidamente autenticados

Pense em todas as pessoas que podem ter acesso aos dados armazenados em sua empresa e no provedor de nuvem e garanta que são as pessoas certas. Contar apenas com senhas é um forma fraca de gerenciar a autenticação. O recomendável é utilizar uma abordagem de dois-fatores para a segurança, geralmente combinando um password com um token eletrônico, ou um código gerado no smartphone.

3 Estabeleça níveis de autorização

Se todas as pessoas que possuem acesso aos dados na nuvem possuem o mesmo nível de acesso, essa é uma situação de risco. O ideal é dar a cada usuário apenas o nível de privilégio que ele realmente precisa. Um bom fornecedor de nuvem vai permitir que você gerencie e estabeleça os privilégios de acesso para cada usuário.

4 Monitore e rastreie as atividades dos usuários

É essencial para a segurança da nuvem possuir visibilidade sobre o que de fato está ocorrendo. As políticas e processos descritos mostram apenas o que os gestores acreditam que deveria estar ocorrendo, para ter a visibilidade real é preciso auditar e monitorar as atividades dos usuários. A partir desse monitoramento, é importante rever os controles existentes para se garantir que eles são eficazes. Em caso de um incidente de segurança, esse tipo de monitoramento vai rapidamente fornecer informações para a equipe de resposta a incidentes solucionar e mitigar o risco.

5 Verifique se os dados deletados na nuvem foram realmente deletados

A encriptação de dados é a melhor forma para combater esse problema. Então, mesmo que seus dados não tenham sido deletados por completo, pelo menos eles não poderão ser lidos. Faça com que o fornecedor da nuvem lhe entregue os detalhes técnicos e informações operacionais sobre como os dados são deletados e o que ocorre com o back-up.

6 Confirme que você é dono dos dados que residem na nuvem

Você precisa ter uma compreensão legal de quem é dono dos dados que estão na nuvem, em termos de propriedade intelectual e privacidade de dados. Isso é especialmente importante quando você está hospedando dados de outras empresas e usuários finais.

7 Estabeleça SLA’s que especifiquem a disponibilidade de dados e sistemas

A força de qualquer negócio com um fornecedor de nuvem pode ser resumido nas SLA’s. O acordo de fornecimento deve ser o mais abrangente possível a respeito das responsabilidades do fornecedor, assim como deve ser detalhado sobre definições e penalidades. Por exemplo, se o fornecedor propõe algum tipo de recompensa por tempo de indisponibilidade, o contrato deve especificar se isso inclui indisponibilidade por manutenção programada. Mais importante ainda é a compensação em caso de algum dano real aos dados. É importante lembrar que existe flexibilidades nesses acordos e, quanto maior foir o volume negociado, mais o provedor de nuvem estará disposto a negociar.

8 Garanta que o fornecedor tenha um plano de recuperação de desastres viável

Tenha uma cópia do plano de recuperação de desastres e continuidade do negócio do fornecedor. Contudo, não se contente em ter o plano, tenha certeza de que é um bom plano. Uma fator importante é verificar se o provedor possui um data-center replicado, e se pode garantir a recuperação em tempo razoável. Busque saber com que frequência e como o plano de recuperação é testado.