Confiança e confidencialidade na privacidade da “nuvem”

  • 0
ISO CLoud

Confiança e confidencialidade na privacidade da “nuvem”

O uso da “nuvem” está a aumentar, e de acordo com os dados da Gartner, Inc, até 2016 este crescimento vai tornar-se o maior gasto dos sistemas de IT. Mas enquanto mais e mais informação sobre indivíduos e empresas é colocada na “nuvem”, as preocupações surgem sobre a sua segurança.

É grande, se os números estiverem certos. De acordo com a firma analista Gartner (2013), o mercado para a utilização da “nuvem” vai crescer 18,5%, de 111 biliões em 2012 para 131 biliões de USD em 2017. Enquanto nos próximos anos, a tecnologia, se irá tornar mais sofisticada, 2016 será um ano definitivo para a “nuvem”.

Aumento de preocupações

Contudo, apesar do crescimento exponencial da utilização dos serviços da “nuvem”, muitos mantêm-se hesitantes. Pior, há alguns que se recusam a adotar muitas aplicações com base na “nuvem”, citando questões de segurança e privacidade, alterações operacionais ou a incapacidade de controlar informação a partir do momento que se sai do perímetro. De acordo com um estudo global de 2014 da BT, a segurança da informação e a confiança nos serviços baseados na “nuvem” são a principal causa de preocupação entre os decisores da área de IT de grandes empresas. De facto, o estudo mostra que, para 76% dos questionados, a segurança é a maior preocupação, relativamente a serviços baseados na “nuvem”. Quase metade dos inquiridos (49%) admitiram que se sentiriam “muito ou extremamente ansiosos” relativamente às implicações de segurança envolvendo a “nuvem”.

Apesar de 79% dos inquiridos nos EUA (70% globalmente) estarem a adotar o armazenamento na “nuvem” e aplicações web nas suas empresas, é claro que a confiança na segurança da “nuvem” está num mínimo histórico.

Não é preciso entrar em pânico!

Temer pela segurança dos bens mais preciosos armazenados na “nuvem”, como a informação pessoal, é perfeitamente compreensível mas também excessivo.

Uma especialista em legislação de computação na cloud, na empresa legal Covington & Burling, Maria-Martina Yalamova, diz que, frequentemente, os fornecedore,s de boa reputação, de serviços de “nuvem” oferecem muito mais segurança do que indivíduos ou empresas conseguem obter sozinhos. “Estes fornecedores investem muitos recursos a garantir que os seus sistemas utilizaram medidas de segurança de tecnologia de ponta, e frequentemente testam e melhoram essas medidas. Muitos cumprem com normas internacionais de segurança e estão sujeitos a obrigações contratuais, legais e regulatórias de manter a informação segura e privada. Oferecem aos clientes um leque de controlos de privacidade para proteger os seus dados, dependendo do tipo de informação envolvida”.

A história da “nuvem” evoluiu desde o seu início. Como com qualquer tecnologia ou modelo de fornecimento, o estágio embrionário traz receios, incerteza e dúvida. Lembre-se que, não há muito tempo, nos questionávamos se os PCs seriam capazes de suportar os problemas de segurança que enfrentavam.

O mesmo é verdade com a “nuvem”, de acordo com Knut Blind, Professor de normalização na Escola de Gestão e Inovação Económica de Roterdão, na Universidade Técnica de Berlim, apoiado por Fraunhofer Fokus. Ele acredita que os tempos de facto mudaram, quando se trata de receios relacionados com a segurança.

Migrar com confiança

O crescente Mercado da computação na cloud

De facto, nem todas as “nuvens” são criadas da mesma forma, e a qualidade do serviço e apoio pode ser dramaticamente diferente, dependendo do fornecedor.
O problema aqui é a confiança. Ao melhorar a confiança, as pessoas e negócios irão mais facilmente aceitar os benefícios da computação na “nuvem”, como por exemplo: menores custos e uma melhoria nos prazos e implementação e aumento de escala. A questão é, este nível de confiança só pode ser criado se o tipo de informação é tido em consideração quando se planeia uma adesão à “nuvem”.
O Prof. Edward Humphreys, coordenado do grupo de trabalho ISO responsável pelas normas de gestão de segurança da informação, incluindo ISO/IEC 27001, ISO/IEC 27002 e a norma de segurança na “nuvem”, ISO/IEC 27017, acredita que criar um clima de confiança é o pré-requisito mais importante quando se faz o outsourcing de IT. “As empresas precisam de ter segurança no fornecedor da “nuvem”.
“Muitos utilizadores não entendem que precisam de selecionar um fornecedor de serviços da “nuvem”, que tenha um bom controlo sobre o processamento de informação pessoal; e aqueles que não sabem podem ter dificuldade em saber como verificar se estão a ser utlizadas boas práticas de gestão. Esta situação pode levar a um aumento de riscos para a proteção de informação pessoal”.
Então o que pode ser feito? Certamente, os fornecedores de serviços da “nuvem”, podem tomar ações para melhorar a confiança dos seus clientes, diz Humphreys. Na prática isto significa: “Um fornecedor de serviços de “nuvem”, precisa de, como parte do seu processo de gestão, ter um sistema de controlo implementado que aborda especificamente a proteção de dados pessoas. Começando por um acordo de processamento de informação, que define o processo de gestão e as temáticas importantes que podem ser relevantes ao cumprimento de obrigações legais, irá ajudar a aumentar a confiança dos clientes, ao escolher o fornecedor certo. Demonstrar conformidade com a ISO/IEC 27001, com os controlos da proteção de dados pessoais da ISO/IEC 27018, pode aumentar o nível de confiança dos clientes”.
O Prof. Knut Blind concorda: “Com cada vez mais indivíduos a utilizar serviços da “nuvem”, os fornecedores destes serviços têm de oferecer sistemas de controlo de segurança bem idealizados e amigos do utilizador. As empresas devem implementar sistemas de gestão de segurança de informação adequados”.
Serviços da “nuvem”, seguros
Como podem então as empresas criar um modelo de nível de serviço para os serviços da “nuvem”, Como podem elas tomar decisões mais bem informadas quando consideram uma solução de computação na “nuvem”, e qual a melhor solução para corresponder às suas necessidades?
Publicada em 2014, a ISO/IEC 27018 é a primeira norma internacional que se foca na proteção de dados pessoais na “nuvem”. Apesar de só ter alguns meses, o novo referencial deve finalmente providenciar a confiança de que o seu fornecedor está bem equipado para manter a sua informação privada e segura.
Yalamova refere ainda, “a ISO/IEC 27018 especifica algumas medidas mínimas que os fornecedores de serviços da “nuvem”, deveriam adotar, se aplicáveis, incluindo encriptação e controlo de acessos. A norma da também requer que os fornecedores implementem políticas de consciencialização para a segurança e que alertem os colaboradores relevantes para as potenciais consequências (para os colaboradores, para o fornecedor e para o cliente) da quebra de regras de privacidade e segurança”.
Como a primeira norma que aborda questões de proteção de dados pessoais na “nuvem”,, a ISO/IEC 27018 tem os seguintes objetivos:

  • Ajudar fornecedores de serviços da “nuvem” que processam informação pessoal a abordar as obrigações legais, bem como as expetativas dos clientes;
  • Permitir a transparência para que os clientes possam escolher serviços de “nuvem” com boa gestão;
  • Facilitar a criação de contratos para serviços da “nuvem”;
  • Providenciar aos clientes um mecanismo para assegurar a conformidade com obrigações legais ou quaisquer outras.

Resumidamente, a ISO/IEC 27018 oferece uma base prática para introduzir confiança na indústria da “nuvem”. Ao mesmo tempo, a indústria da “nuvem” pública terá um guia claro de como cumprir alguns requisitos legais e regulatórios. O que há para não gostar?
Trazer ordem para o caos da “nuvem”
Quanto mais depressa os utilizadores confiarem no uso correto da “nuvem” (com as precauções de segurança a funcionar), melhor para o negócio a para a informação, e para a sua empresa também. Já houve uma grande melhoria graças à ISO/IEC 27018, já que os fornecedores da “nuvem” adotaram mais precauções de segurança para a informação dos seus clientes.
Claro que, enquanto indivíduos, também devemos ter acesso a estes benefícios, riscos e implicações para a privacidade, quando considerando um serviço na “nuvem”. É importante não esquecer de assumir a responsabilidade para com a segurança da nossa informação, escolhendo uma password adequada e verificando se o fornecedor do serviço que escolhemos cumpre com as medidas de segurança e é transparente quanto às suas práticas de processamento de informação.
Então, não deixe que a polémica e a confiança o impeçam de adotar a “nuvem”– as poupanças e as funcionalidades são demasiado importantes para ignorar.
Foi uma vítima?
Foi uma vítima de cibercrime na “nuvem”? Não desespere, não está sozinho.
De acordo com a Maria-Martina Yalamova, advogada especialista na privacidade de dados na firma Covington & Burling, há um algumas ações que pode tomar para remediar a situação:

1.O primeiro passo é investigar a intrusão, e depois monitorizar como e onde é que a informação está a ser usada, prevendo os próximos passos, quando possível.

2.A solução precisa irá variar de acordo com a lei local, mas frequentemente, o melhor é deixar a polícia lidar com o assunto, à qual a informação sobre indivíduos relevantes pode ser fornecida. Os criminosos podem não responder a medidas civis.

3.Assim que o criminoso é identificado, pode ser possível procurar compensação financeira junto dos mesmos. Se os benefícios de fazer isto irão compensar os custos irá depender de caso para caso.

4.Finalmente, o indivíduo e os seus advogados devem ter em conta que uma resposta exacerbada irá chamar a atenção do público para a intrusão, erodindo ainda mais a privacidade da vítima.

 

25.03.2015

Fonte: iso.org


Categorias

Pretende fazer a transição para a ISO 9001:2015?