Embora a utilização de ferramentas na nuvem propiciem várias vantagens para as empresas (economia, segurança, simplicidade, flexibilidade, otimização), a segurança continua como uma das principais preocupações dos gestores de TI do Mundo.
Estimativas indicam que cerca de 70% dos gestores não confiam nas técnicas tradicionais de proteção, sendo que, de acordo com a Cloud Security Alliance (CSA), apenas 16% das organizações possuem estratégias e programas de segurança para a utilização da nuvem.
Para que se possa usufruir com tranquilidade dos recursos e benefícios da Nuvem é importante que haja a implementação efetiva de políticas para proteção e controles de acesso. As principais ações dessas políticas devem abranger:
- Mapeamento independente dos serviços utilizados pelos usuários;
- Adoção de critérios na oferta de acesso privilegiado;
- Implementação de controle de sessão autenticada com expiração por tempo e inatividade;
- Gerenciamento das identidades integrado com os processos de Recursos Humanos;
- Identificação do tipo de acesso, local, hora e perfis para evitar comportamentos danosos e possíveis brechas nos controles;
- Proteção dos dados armazenados e transmitidos por meio de criptografia para evitar a exposição dos dados não somente na transmissão como também em seu armazenamento.
Após uma analise das políticas de proteção é dos riscos da empresa é possível identificar qual o nível de segurança da mesma. Esses níveis são divididos em:
- Básico: quando não existem informações sensíveis armazenadas no servidor Web de desenvolvimento.
- Avançado: quando não há restrição sobre o número de máquinas virtuais na mesma máquina física. No caso de um incidente de segurança, a máquina virtual comprometida é movida para a quarentena, e uma imagem íntegra da mesma é lançada, para propiciar alta disponibilidade ao serviço.
Premium: neste caso, um vazamento de dados dos usuários pode afetar a reputação da empresa. Em caso de incidente, o sistema é movido para a quarentena para evitar o vazamento de informações. O serviço não é relançado automaticamente, para evitar a repetição do ataque e a possibilidade de exposição de dados pessoais.
