Segurança da nuvem
Foco na segurança da nuvem: estratégias, arquitecturas e modelos contratuais para proteger os dados sensíveis das empresas num mundo digitalizado
Os dados são uma ferramenta da economia digitalizada moderna, ou o novo ouro das empresas (sector privado), mas também do Estado (sector público). No mundo digitalizado de hoje, há um fluxo imparável de novos conjuntos de dados que acabam na Internet em grande número. Alguns destes registos de dados dizem respeito a dados pessoais que representam uma identidade digital. A verdadeira arte numa empresa é filtrar cuidadosamente estes dados e, acima de tudo, armazená-los. O objetivo deste pequeno documento é mostrar os dados numa nuvem e como são processados na perspetiva de uma empresa. Além disso, este pequeno documento mostra que tipos de contratos, arquitecturas e medidas de segurança adequadas contra ataques cibernéticos a indústria toma para ter uma base sólida para o seu próprio processamento de dados. Antes de nos debruçarmos diretamente sobre o tema da segurança na nuvem, é importante conhecer alguns factos essenciais sobre a computação em nuvem, como funciona e como está estruturada uma nuvem: "A computação em nuvem é um modelo de processamento de dados que pode ser utilizado para aceder a um conjunto partilhado de recursos de computação configuráveis (por exemplo, redes, servidores, sistemas de armazenamento, aplicações e serviços) de forma conveniente através de uma rede, a qualquer momento e em qualquer lugar, conforme necessário. Estes podem ser disponibilizados rapidamente e com um mínimo de esforço administrativo ou de interação com o fornecedor de serviços. A nuvem pode ser utilizada em três variantes (Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS), Software como Serviço (Saas)). O tipo de nuvem difere consoante o tipo de fornecimento (nuvem privada, nuvem comunitária, nuvem pública, nuvem híbrida)" [1]. Na área da computação em nuvem, existem diferentes tipos de aprovisionamento, ou seja, a forma como os fornecedores de nuvem disponibilizam os serviços de nuvem aos seus utilizadores. Existem quatro modelos principais associados à computação em nuvem: 1. Nuvem públicaA nuvem pública permite que todos os utilizadores acedam a recursos informáticos, tais comohardware (sistema operativo, CPU, memória) ou software (servidor de aplicações, base de dados) numa base de subscrição ou de pagamento consoante a utilização. Os casos práticos de utilização incluem o desenvolvimento e o teste de aplicações para tarefas críticas e não críticas, como a partilha de ficheiros e os serviços de correio eletrónico. 2. Nuvem privadaA nuvem privada é normalmente utilizada explicitamente por uma única organização e pode ser gerida internamente ou por um fornecedor externo de serviços de TI. Embora as nuvens privadas sejam frequentemente mais caras do que as nuvens públicas, devido aos investimentos na aquisição e manutenção, respondem mais eficazmente às preocupações das organizações em matéria de segurança e proteção de dados. 3. Nuvem híbrida (forma híbrida de um centro de dados físico ou de uma nuvem privada externa e/ou de uma nuvem pública)A nuvem híbrida utiliza infra-estruturas de nuvem privada e pública. As empresas escolhem este modelo para expandir rapidamente a sua infraestrutura de TI, conforme necessário. Por exemplo, um retalhista em linha pode utilizar recursos de nuvem pública durante a época de férias para complementar ou aliviar a capacidade da sua nuvem privada. 4. nuvem comunitáriaA nuvem comunitária suporta várias organizações que utilizam recursos informáticos em conjunto . Estas incluem, por exemplo, universidades que colaboram em áreas de investigação específicas ou agentes estatais, como departamentos de polícia de um distrito, que partilham recursos. O acesso a uma nuvem comunitária é restrito aos membros da comunidade. Os custos para o utilizador final são tradicionalmente baixos para as nuvens públicas, sem necessidade de grandes investimentos. As nuvens privadas, por outro lado, requereminvestimentos, mas oferecem poupanças fundamentais em comparação com os custos de funcionamento da sua própria infraestrutura.poupanças em princípio. As nuvens privadas garantem também mais segurança esegurança e conformidade do que as nuvens públicas. É por isso que algumas organizações utilizam nuvens privadas para dados e aplicações críticos para o negócio ou mais sensíveis e nuvens públicas para tarefas básicas, como o desenvolvimento de aplicações, ambientes de teste e serviços de correio eletrónico.[2] Uma solução de nuvem híbrida é uma boa forma de minimizar ou diversificar os riscos de um ciberataque. Esta solução oferece um maior controlo sobre a sua própria segurança em comparação com a utilização pura e simples de uma nuvem pública. Além disso, uma infraestrutura de nuvem híbrida oferece a possibilidade de definir normas de segurança individuais e de configurar software personalizado em servidores privados.Configura software personalizado em servidores privados. Esta distribuição conduz a uma maior fiabilidade do sistema e a uma melhor avaliação dos problemas do sistema. Além disso, a relação custo-eficácia é mais elevada do que quando se compram e mantêm servidores no local.[3] Modelos de arquitetura de serviços em nuvemTendo em conta estas vantagens de uma solução de nuvem híbrida, que vão desde um maior controlo da segurança até uma maior fiabilidade, é importante compreender as diferentes arquitecturas de serviços de nuvem. Estas arquitecturas, nomeadamente a Infraestrutura como um Serviço (IaaS), a Plataforma como um Serviço (PaaS) e o Software como um Serviço (SaaS), oferecem diferentes níveis de prestação de serviços e definem diferentes responsabilidades em termos de conformidade. 1. Infraestrutura como serviço (IaaS)Os fornecedores de IaaS fornecem infra-estruturas básicas de computação, armazenamento e rede, bem como o hipervisor para virtualização.O fornecedor de IaaS fornece o hipervisor para virtualização. Os utilizadores são responsáveis pela criação e gestão de instâncias virtuais, pela instalação de sistemas operativos, pelo fornecimento de aplicações e dados e por toda a configuração. A IaaS é interessante tanto para as pequenas como para as médias empresas. A operação simples de uma infraestrutura de nuvem que não é operada internamente é uma alternativa económica à compra de hardware próprio. Exemplos: DigitalOcean, AWS, Azure, Google Compute Engine. 2 Plataforma como um serviço (PaaS)Os fornecedores de PaaS alargam a pilha de aplicações mais do que a IaaS, adicionando sistemas operativos e middleware (por exemplo, bases de dados). Os utilizadores concentram-se mais no desenvolvimento de aplicações. A plataforma gere a infraestrutura subjacente. Exemplos: AWS Elastic Beanstalk, Google App Engine. 3. software como um serviço (SaaS)Os fornecedores de SaaS oferecem uma pilha de aplicações completa. Os utilizadores podem aceder à aplicação totalmente alojada através de um navegador Web. A gestão das cargas de trabalho e dos recursos de TI está totalmente sob o controlo do fornecedor de SaaS, enquanto os utilizadores têm um controlo explícito sobre os dados criados pela aplicação. Exemplos: aBusiness Suite, Salesforce, Dropbox, Google Workspace.[4] A nuvem no direito dos contratosOs contratos SaaS ainda não foram explicitamente tratados pelo legislador. Até à data, um contrato SaaS só pode ser legalmente classificado como um contrato misto, que inclui aspectos de contratos de serviços, de trabalho e de aluguer. A área de direito aplicável depende, portanto, da respectiva secção de serviços do contrato. A componente central de um contrato SaaS reside, em primeiro lugar, no direito do arrendamento, uma vez que o fornecimento de software é melhor comparado à transferência de propriedade ao abrigo do direito do arrendamento. Como o software não é considerado uma "coisa" no sentido da lei do arrendamento, a opinião atual é que os contratos SaaS representam uma transferência temporária para utilização. Isto está em conformidade com os regulamentos e o objetivo prosseguido pela lei do arrendamento.[5] Os contratos PaaS caracterizam-se em grande medida por acordos de nível de serviço (SLA), queOs contratos PaaS caracterizam-se em grande medida por acordos de nível de serviço (SLA), que estabelecem serviços mínimos e definem os direitos e obrigações de ambas as partes contratantes. A proteção e a segurança dos dados desempenham um papel crucial, uma vez que os serviços PaaS envolvem frequentemente o tratamento de dados sensíveis. O contrato deve conter disposições claras sobreproteção de dados pessoais. É igualmente essencial especificar no contrato a quem pertence a propriedade intelectual das aplicações criadas, ficando o utilizador normalmente com a propriedade das aplicações e o fornecedor com a propriedade da plataforma.[6] ConclusãoIndependentemente de se tratar de uma startup, de uma empresa de capital de risco, de uma PME ou de uma grande empresa, a segurança na nuvem é crucial para todas as organizações. Não só é importante considerar com que fornecedores de serviços de computação em nuvem pretende trabalhar como empresamas também quais são as condições de enquadramento estabelecidas. Em última análise, a segurança não é da exclusiva responsabilidade do fornecedor de serviços de tecnologia de nuvem em si, mas os funcionários de uma empresa desempenham um papel igualmente importante no aspeto da segurança de uma nuvem. É essencial investir regularmente na formação e na sensibilização dos funcionários para garantir que estes possuem os conhecimentos necessários para lidar com as políticas e os procedimentos de segurança. No entanto, para aproveitar todo o potencial de uma nuvem, as empresas devem investir tanto na manutenção dos seus próprios sistemas ou dos sistemas de parceiros externos, como no recrutamento de novos funcionários de TI. Desta forma, uma empresa pode garantir a segurança do sistema e, assim, aumentar a satisfação do cliente, melhorando a reputação da empresa a longo prazo. Um dos principais pontos de discórdia na seleção de um fornecedor externo de serviços de computação em nuvem foi sempre adependência da empresa de fornecedores estrangeiros e dos seus regulamentos de proteção de dados. As empresas enfrentam este desafio com medidas como a análise minuciosa das diretrizes de proteção de dados, abordagens de nuvem híbrida para minimizar o risco, avaliações de medidas de segurança e certificações de fornecedores, avaliações de impacto da proteção de dados, monitorização e auditorias regulares e preparação para possíveis violações da proteção de dados. As estratégias variam consoante a dimensão da empresa e o sector, mas todas servem o objetivo de garantir a conformidade da proteção de dados e minimizar os potenciais riscos quando se lida com serviços de nuvem externos. Lista de fontes
Compreender a nuvem - sabes o que é uma nuvem pública e o que é uma nuvem híbrida? (2023) O que é IaaS? Definição e factos interessantes Plataforma como um serviço (PaaS) (2022) O que deves ter em conta na elaboração de contratos SaaS (2022) Contratos de plataforma como serviço (contratos PaaS): Um guia (2023) [1] cf. [2] cf. https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist[3] cf. / (2023) [4] cf. (2014) https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/ e https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS (2022) [5] cf. (2022) https://www.top.legal/wissen/saas-vertraege (2022) [6] cf. (2023) https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html (2023) Protege o que é importante Protege os teus servidores. Protege os teus servidores.Artigos relevantes para o tópicoQue tipo de backup é a melhor opção para os meus dados?Porque é que é tão importante para a tua empresa fazer cópias de segurança dos teus dados? Tu sabes como o backup de dados é importante na vida real Publique um comentário aqui... Este artigo aborda os tópicos:Computação em nuvem |
|