O que é Cloud Compliance?

O Cloud Compliance é a arte e a ciência de cumprir os padrões regulatórios de uso da nuvem de acordo com as diretrizes do setor e as leis locais, nacionais e internacionais. Alguns requisitos regulatórios comuns incluem a Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) e a Gramm-Leach-Bliley Act (GLBA).

Cloud Compliance

Uma vez que uma empresa está na nuvem, ela deve se preocupar em como o provedor de nuvem ajudará a empresa a permanecer em conformidade com as leis, como o Regulamento Geral de Proteção de Dados da Europa (GDPR) ou HIPAA nos EUA. Essa discussão deve começar desde o início começando em vez de depois que o serviço de nuvem é estabelecido.

As empresas às vezes se encontram na nuvem muito antes do planejado, e isso complica as coisas. Um dos princípios básicos da nuvem é que deve haver uma interface de autoatendimento para que seja fácil para o cliente configurar, alterar e sair dos serviços em nuvem.

O que não está claro, no entanto, é quem fará isso na empresa do cliente. Acontece que pode ser qualquer um hoje. Tudo o que é necessário é um cartão de crédito corporativo, e um departamento pode sair para as corridas colocando dados na nuvem. O termo para isso não é novo; é shadow IT. Este termo está sendo muito utilizado atualmente devido às características da nuvem.

Cloud governance

Governança é a supervisão fornecida a uma empresa por executivos seniores e pelo conselho de administração. A governança da nuvem é uma extensão dessa supervisão para a nuvem. A governança é crítica; sem ela, há muitas perguntas sem resposta sobre as metas e objetivos de negócios que tornam o gerenciamento de uma nuvem e sua segurança muito difícil.

Antes de uma empresa entrar em uma nuvem, ela deve considerar quais são suas metas e objetivos. As metas e objetivos devem ser orientados por leis, regulamentos e contratos aplicáveis. Além dos aspectos legais, a governança em nuvem direciona os funcionários para o caminho correto para auxiliar a empresa a atingir suas metas e objetivos.

Erros graves podem fazer com que a nuvem complique as coisas, impedindo que os usuários façam seu trabalho. Erros podem até levar uma empresa ao tribunal. O conselho de administração e a gerência executiva devem dar atenção e cuidado à nuvem.

Leis e regulamentos

O primeiro tópico em qualquer discussão de conformidade é a lei. As empresas e seus advogados precisam abordar quais leis devem ser seguidas. Eles também devem ser claros sobre as consequências do não cumprimento. Uma vez que as leis são identificadas, é importante perguntar quais controles de segurança precisam ser implementados para cumprir as leis e regulamentos aplicáveis.

Regulamentações como o GRPD da União Europeia exigem muita segurança em relação às informações pessoais. O GDPR da UE também tem restrições muito específicas sobre onde os dados abrangidos pelo regulamento podem ser processados e armazenados. Esse é um problema potencial com a nuvem por causa de como ela funciona; no entanto, os controles podem ser implementados com a maioria dos provedores de nuvem para atender aos requisitos do GDPR da UE.

Contratos

Os contratos definem um acordo formal entre duas ou mais partes. Quando uma empresa celebra um contrato, é obrigada a cumprir os termos. Não fazer isso pode resultar em graves penalidades financeiras.

Uma organização que processa ou armazena informações de cartão de crédito provavelmente tem um contrato com empresas de cartão de crédito que exige a implementação de elementos específicos do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS).

Para processar cartões de crédito, uma empresa assina um acordo com a promessa de cumprir os 12 requisitos de segurança da norma. O nível em que os requisitos devem ser implementados depende do número de transações processadas em um ano.

Uma empresa também deve verificar se algum contrato com os clientes define o que a empresa pode ou não fazer com a nuvem. Haverá algum impacto na conformidade se ela usar uma nuvem de qualquer tipo – pública, privada, comunidade, etc.?

Standard

Muitas empresas usam padrões como ISO 27001 ou NIST SP 800-53 como base para a implementação de controles de segurança. Se uma empresa decidir usar a ISO 27001 como seu padrão, a empresa precisa treinar os funcionários para que os controles adequados sejam implementados. Isso se estende à nuvem. Na verdade, a ISO isolou os controles específicos da nuvem e os tratou na ISO 27017.

Auditorias

Uma forma de avaliar o nível de compliance com leis, regulamentos e contratos é fazer uma auditoria. As auditorias podem ser internas ou externas. Uma auditoria interna, realizada pelos próprios auditores da empresa, fornece uma autoavaliação para determinar seu nível de conformidade. Os resultados de uma auditoria interna podem ser vistos como enviesados, uma vez que os auditores podem ser enviesados em suas conclusões.

Para fornecer uma opinião mais objetiva, uma empresa pode optar por ser auditada por uma empresa de auditoria independente. As auditorias que discutimos aqui com relação à nuvem são aquelas feitas pelo provedor de nuvem.

A maioria dos provedores de nuvem não aceitaria clientes em seus data centers para fazer sua própria auditoria, portanto, contamos com auditorias de terceiros independentes.

Relatórios de auditoria

O resultado de uma auditoria é encontrado no relatório de auditoria. Nos Estados Unidos, por exemplo, os relatórios são padronizados pelo American Institute of Certified Public Accountants (AICPA). Todas as empresas devem solicitar o relatório de auditoria SOC 2®. Um relatório SOC 2® é para organizações de serviço, como provedores de nuvem. Mostra sua conformidade com os controles definidos na ISO 27001 ou NIST Cybersecurity Framework (CSF), por exemplo. Os controles são avaliados de acordo com os cinco critérios de serviços de confiança da AICPA, que são:

  • Segurança
  • Disponibilidade
  • Confidencialidade
  • Integridade do processamento
  • Privacidade
     

Esses relatórios podem ser do tipo 1 ou do tipo 2. Um relatório do tipo 1 mostra o status dos controles em um determinado momento e que os controles são projetados e instalados em algum nível de adequação. Um relatório tipo 2 mostra a eficácia operacional dos controles ao longo de um período de tempo, por exemplo, de seis meses.

Um cliente de nuvem deve solicitar esses relatórios, mas é possível que o provedor de nuvem não esteja inclinado a fornecê-los porque podem conter informações confidenciais sobre seus negócios. Outra opção é um SOC 3®, destinado a ser um relatório de uso geral. Ele contém muito poucas informações sobre os negócios do provedor de nuvem. Ele efetivamente dá ou não dá ao cliente o selo de aprovação do auditor para o provedor de nuvem.

Artigos Relacionados

Pesquisas relacionadas