Economia, escalabilidade e performance: os benefícios de quem adota o cloud computing são inúmeros e conquistam cada vez mais empresas. Uma vantagem indireta deste serviço de computação é que, com ele, fica muito mais fácil entrar em compliance com leis e normativas, já que a arquitetura da nuvem permite maior controle de tráfego, acessos e armazenamento.
Mas contratar uma solução de cloud para estar em conformidade é muito simplista. Sim, ela pode auxiliar – e muito! – nesse processo, mas existem outras questões paralelas que merecem atenção.
Neste artigo, você entenderá melhor a relação entre cloud e compliance e como utilizar essa moderna tecnologia em favor da sua empresa.
O que é compliance?
Compliance é um termo em voga no mundo corporativo que significa estar em conformidade com leis nacionais e internacionais ou mesmo regimentos internos. Hoje, existem áreas inteiras para coordenar o processo de compliance, que precisa estar de acordo com a governança corporativa, missão, visão e valores de uma empresa.
Um exemplo de lei que entrou no radar do profissional de compliance é a LGPD (Lei Geral de Proteção de Dados), que fiscaliza e regulamenta o tratamento de dados pessoais e sensíveis dos cidadãos brasileiros.
Outros tipos de compliance às quais as empresas estão sujeitas incluem seguir leis ambientais, de segurança do trabalho, anticorrupção, etc.
Por que é importante se preocupar com compliance?
Uma pesquisa feita pela KPMG mostrou que 83% das empresas entrevistadas têm Políticas e um Programa de Ética e Compliance implementados de forma eficiente, buscando identificar, prevenir e investigar condutas inadequadas.
Certificações
Também é comum que o fato de estar 100% em conformidade com alguma Lei ou regulamento específico do setor seja usado como “certificação de qualidade”. O compliance acaba atestando que a empresa é atualizada com as normas vigentes, se preocupa em manter uma postura ética e tem responsabilidades fiscal, social, entre outras.
- TIER 3: assegura a disponibilidade da infraestrutura;
- SOC (1, 2 e 3): comprovam eficiência da segurança física;
- ISO 27001: define modelos para sistemas de gestão de segurança da informação;
- ISO 20000: garante a melhoria constante na qualidade de serviços em TI;
- PCI-DSS: cumprimento de pré-requisitos de segurança para transações financeiras;
- ISO 14001: certifica que a operação respeita o meio-ambiente e as práticas de sustentabilidade;
- ISO 37001: sistema de gestão de anti suborno para uma empresa ética;
- ISO 50001: gestão energética para uma utilização mais eficiente da energia elétrica.
Migrar para a cloud buscando o compliance
Para contextualizar melhor sobre a relação entre o cloud computing e o compliance, vamos passar por algumas funcionalidades de contratar uma solução sob demanda na nuvem – os famosos “as a Service”.
Infraestrutura como serviço em nuvem (IaaS)
Um ponto muito importante a ser considerado quando falamos em infraestrutura como serviço, também chamada de instâncias, é a segurança das informações. Vivemos um momento onde a LGPD é um dos assuntos mais comentados no mundo da tecnologia e a migração para a cloud pode ajudar quem busca conformidade com esta Lei.
É importante, também, observar o ambiente físico ao qual a cloud está estabelecida; para isso, a certificação TIER III garante itens essenciais como redundância no sistema de energia elétrica, sistemas de ar-condicionado de precisão, segurança controlada para acesso físico aos servidores. Até mesmo a proteção com sistema de gás FM-200 e NOVEC 1230 está inclusa no compliance com esta norma.
Firewall como serviço em nuvem (FaaS)
Sabendo que a segurança é um item primordial em uma migração para cloud, devido ao “afastamento” geográfico natural dos dados de um ambiente on-premises interno para a nuvem, é natural que possam haver falhas no processo de segurança e comunicação entre o ambiente da empresa com a infraestrutura remota.
Por isso, ofertas como o Firewall como Serviço podem ajudar a manter a segurança dos dados, protegendo esta camada de comunicação através de regulamentações, como BACEN ou PCI-DSS, que requerem conexões seguras e também a salvaguarda de dados e logs de acesso (também solicitado no Marco Civil da Internet).
Backup como serviço em nuvem (BaaS)
Ao contrário do senso comum, a compliance com a LGPD não trata somente sobre ter regras claras de coleta, tratamento e armazenamento das informações. É preciso garantir a governança delas e manter uma gestão eficiente de toda informação que a empresa gera. Disponibilizar essas informações no momento exato e à pessoa correta poderá evitar diversos contratempos.
Uma solução de backup como serviço, além de criptografar os dados antes mesmo da sua transferência para a nuvem, oferece a possibilidade de controles de acessos personalizados. Além disso, um recurso como o anti-ransomware irá garantir a integridade do backup, certificando que este estará disponível sempre que necessário.
Desktop como serviço em nuvem (DaaS)
Sinônimo de mobilidade operacional, soluções de VDI – ou como são popularmente chamadas, Desktop como Serviço – precisam estar em compliance com leis como LGPD ou GDPR, pois tratam também diretamente de dados de usuários. Assim sendo, precisamos ter o poder de gerenciar esses dados a qualquer momento.
Nestas soluções, é possível gerar grupos de aplicativos, permitindo o acesso somente aos departamentos autorizados, rastreabilidade completa das atividades dos usuários e um dos pontos mais importantes: o licenciamento das aplicações e sistemas utilizados.
Além disso, soluções de desktop embarcadas em nuvem contam com proteção de endpoint, que falaremos no próximo tópico.
Anti-vírus como serviço em nuvem (AaaS)
Assim como a proteção de acesso seguro com a cloud e o ambiente corporativo, devemos nos preocupar com o que está nas pontas, ou seja, a solução de proteção que irá fazer tanto a segurança do workload em cloud (serviços e servidores) quanto da estrutura de endpoint (PCs, laptops, smartphones, etc.).
É importante que estes dispositivos estejam protegidos com uma camada adicional de segurança anti-malware, porque softwares maliciosos, como ransomware, por exemplo, costumam roubar dados e cobrar pelo resgate dos mesmos, ofendendo marcos regulatórios como a LGPD que trata da confidencialidade dos dados.
Leia também: Políticas de backup e conformidades: tudo o que você precisa saber
Serviços agregados às soluções
Além de entender as configurações técnicas que podem beneficiar uma empresa que está em busca de um ambiente 100% compliance, também fica uma dica importantíssima: entender que serviços ela precisa contratar para garantir o bom funcionamento dessas ferramentas.
Itens como monitoramento, testes periódicos, NOC e SOC, etc., são serviços que agregam muito valor e facilitam o processo do time de compliance.
Comumente, eles devem ser contratados à parte do seu fee mensal com sua provedora de cloud, ou a sua equipe interna pode assumir as responsabilidades inerentes à cloud.
Independentemente da sua escolha, cuidar da cloud é imprescindível para que ela seja sua aliada na jornada para o compliance.
Segurança, segurança, segurança
Todas as funcionalidades da cloud podem estar funcionando perfeitamente, mas se existe uma brecha no framework de segurança, tudo pode acabar indo pelo ralo.
Por isso, incluir produtos e serviços de segurança em cloud vai garantir que todas as outras ferramentas que estão ativas e configuradas para colocar a sua empresa em conformidade continuem fazendo o seu trabalho.
Por exemplo, soluções de segurança de borda como firewall e IPS visam proteger acessos indevidos, uma vez que a cloud estará disponível também fora do ambiente da empresa em nível de internet. Caso algo coloque em risco o tráfego de dados, é possível incorrer em exposição indevida, o que ofende severamente leis como a LGPD ou métricas de segurança para conexões de dados bancários como o BACEN, colocando em risco a empresa com multas – fora o dano de imagem.
Não se limitando somente à segurança de borda, existe ainda a proteção de endpoints que mencionamos em um item acima – tanto para o lado “consumidor” da cloud, que são as pessoas e dispositivos que vão efetivamente acessar os dados, quanto do lado “fornecedor”, que são os próprios servidores hospedados na infraestrutura remota. Estas duas pontas devem estar protegidas adequadamente com soluções que visam mitigar e proteger de ataques e problemas de segurança.
Além disso, serviços adicionais de proteção podem garantir uma camada extra de segurança. Por exemplo, soluções de WAF – Web Application Firewall em Cloud -, que protegem workloads web (páginas e aplicativos) de vazamento indevido de dados, especialmente dados pessoais, dados de cartões de crédito (regido pelo PCI-DSS), além de danos à empresa, como indisponibilidades, website defacement, etc.
Por fim, é importante saber que o provedor de cloud precisa, sob o Marco Civil da Internet (Lei 12.965/2014), fazer a guarda dos logs de acesso e ter a rastreabilidade de conexões para a internet, mantendo assim um registro fidedigno e com a acurácia adequada para atender a esta legislação.
Compliance depende de você – mas confiar no seu provedor ajuda
Por fim, percebe-se que muitas das escolhas de uma empresa que visa entrar em compliance com leis e regimentos do seu país ou área de atuação são responsabilidades dela própria.
Porém, já que migrar para a nuvem traz tantos benefícios em prol deste objetivo, nada mais justo do que ter a liberdade de discutir e construir uma infraestrutura com a sua provedora de cloud que já esteja em conformidade com essas regras, tornando a jornada para a cloud ainda mais eficiente e fazendo o seu ambiente estar em compliance desde sua concepção.