Gestão de riscos na nuvem: O que considerar ao fazer a mudança?
Os benefícios de migrar ou contratar serviços na nuvem são inúmeros e comprovados por empresas de todos os portes, e esse movimento vem crescendo em todos os setores da economia, e também entre os funcionários dessas empresas, com a chamada Shadow IT. E, aliado a esse crescimento, também aumenta a preocupação com a segurança dos dados e das aplicações, fazendo com que a gestão de riscos na nuvem ganhe mais importância entre as equipes de segurança.
Conhecer a extensão dos serviços e aplicações na nuvem em uso na sua empresa é o primeiro passo, avaliando como são usados, o valor que geram para a empresa e as medidas de segurança já implantadas. Nessa fase, o CIO (Chief Information Officer) deve identificar quais aplicações rodam na sua rede, os dados que trafegam por essas aplicações, seus usuários internos e o seu compartilhamento com terceiros e, claro, os riscos.
Essas informações são a base para o desenvolvimento de uma estratégia de gestão de riscos na nuvem, estabelecendo políticas de segurança e conformidade, criticidade dos dados e aplicações para a continuidade dos negócios.
Após essa avaliação, o CIO pode começar a integrar os serviços e aplicações na nuvem que já estão em uso na empresa, eliminando redundâncias e também as que não atendam aos requisitos de segurança, estabelecendo controles baseados nas melhores práticas compartilhadas por associações.
E, ao mesmo tempo, CIOs e CFOs (Chief Financial Officer) lidam com os provedores de computação e de serviços na nuvem, decidem quais serviços e aplicações serão migrados e, todos juntos, estabelecem um roadmap para as novas contratações e migrações.
Considerações na jornada para a nuvem
No momento de contratar o seu provedor de nuvem, o CIO deve levar em consideração três pontos principais para implantar uma estratégia de gestão de risco na nuvem:
Avaliação e migração: O provedor oferece serviços profissionais para ajudar na migração para a nuvem, caso a sua empresa não conte internamente com recursos especializados? Oferece um “período de experiência” para você testar o serviço? Qual é a sua posição no mercado?
Modelos de negócios e flexibilidade: O provedor oferece contratos no modelo “pay as you go” e tem flexibilidade e agilidade para incorporar novos serviços e aumentar a capacidade de processamento conforme a demanda do seu negócio? Como essa flexibilidade é oferecida – sistemas de gerenciamento operados pelo usuário ou é preciso ligar para um atendimento?
Contingenciamento: Em uma eventual falha no sistema, quais são os planos de contingenciamento e de back-up do provedor? A empresa possui sites redundantes? Quais são os seus planos de “recovery”?
E, por conta de todas essas considerações, diversas pesquisas indicam que a segurança dos dados é a maior preocupação entre os líderes de TI, seguida pela disponibilidade das aplicações. Empresas que lidam com informações financeiras e prontuários médicos, por exemplo, devem seguir uma série de normas e padrões para armazenamento e transferência desses dados, aumentando a importância da gestão de riscos na nuvem, com estratégias de proteção automatizadas e customizadas para os negócios.