O que é Compliance em Nuvem?

Compliance em Nuvem é:

O compliance em nuvem é a arte e a ciência de cumprir os padrões regulatórios de uso da nuvem de acordo com as diretrizes do setor e as leis locais, nacionais e internacionais. Alguns requisitos regulatórios comuns incluem a Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) e a Gramm-Leach-Bliley Act (GLBA).

Compliance em Nuvem

Uma vez que uma empresa está na nuvem, há uma preocupação em como o provedor de nuvem irá ajudá-la a permanecer em compliance com as leis, como LGPD no Brasil, GDPR da Europa ou HIPAA nos EUA. Claro, esta discussão não deve começar depois que o serviço de nuvem foi estabelecido, mas sim, desde o início das discussões.

As empresas às vezes se encontram na nuvem muito antes do planejado, o que complica as coisas. Um dos princípios fundamentais da nuvem é que deve haver uma interface de autoatendimento para que seja fácil para o cliente configurar, alterar e sair dos serviços em nuvem. O que não está claro, no entanto, é quem fará isso na empresa do cliente. Acontece que pode ser qualquer um hoje. Tudo o que é necessário é aquele cartão de crédito corporativo e um departamento pode ir para as corridas e colocar seus dados na nuvem. O termo para isso não é novo; é shadow IT. Esse termo está sendo muito usado atualmente por causa da nuvem.

Governança em Nuvem

Governança é a supervisão fornecida a uma empresa pelos executivos seniores e pelo conselho de administração. A governança da nuvem é uma extensão dessa supervisão para a nuvem. A governança é crítica;  sem ela, há muitas perguntas sem resposta sobre as metas e objetivos de uma empresa que tornam o gerenciamento de uma nuvem e sua segurança muito difícil. Antes de uma empresa entrar em uma nuvem, ela deve considerar quais são essas metas e objetivos. Eles devem ser orientados pelas leis, regulamentos e contratos que devem cumprir. Além dos aspectos legais, a governança em nuvem direciona os funcionários no caminho correto para auxiliar a empresa a atingir suas metas e objetivos. Se a nuvem complicar isso ao impedir que os usuários façam seu trabalho ou se levar uma empresa ao tribunal, erros graves foram cometidos. Cuidado deve ser dado à nuvem por parte do conselho de administração e da diretoria executiva da empresa.

Leis e regulamentos

O primeiro tópico de qualquer discussão sobre compliance é a lei. As empresas e seus advogados precisam determinar quais leis devem ser seguidas e devem ser claros sobre as consequências do não cumprimento. Uma vez que as leis são identificadas, uma questão relevante é: Quais controles de segurança precisamos implementar para cumprir as leis e regulamentos aplicáveis?

Regulamentações como o GRPD da União Europeia exigem muita segurança em relação às informações pessoais. O GDPR da UE também tem restrições muito específicas sobre onde os dados abrangidos pelo regulamento podem ser processados e armazenados. Este é um problema potencial com a nuvem devido ao modo como a tecnologia funciona; no entanto, controles podem ser implementados com a maioria dos provedores de nuvem para atender aos requisitos regulamentares.

Contratos

Os contratos definem um acordo formal entre duas ou mais partes. Quando uma empresa celebra um contrato, ela é obrigada a cumprir seus termos. Não fazer isso pode resultar em graves penalidades financeiras. Uma organização que processa ou armazena informações de cartão de crédito provavelmente tem um contrato com empresas de cartão de crédito que exige que implementem elementos específicos do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS). Para processar cartões de crédito, uma empresa assina um acordo no qual se compromete a cumprir os 12 requisitos de segurança da norma. O nível em que os requisitos devem ser implementados depende do número de transações processadas por ano.

Uma empresa também deve verificar se algum de seus contratos com os clientes muda o que eles podem ou não fazer com a nuvem. Haverá algum impacto no compliance se eles utilizarem uma nuvem de qualquer tipo: pública, privada, comunitária, etc?

Normas

Muitas empresas utilizam padrões, como ISO 27001 ou NIST SP 800-53, como base para a implementação de controles de segurança. Se uma empresa decidiu usar a ISO 27001 como seu padrão (e isso é uma decisão), então ela precisa treinar seus funcionários para que os controles adequados sejam colocados em prática. Isso se estende à nuvem. Na verdade, a ISO isolou os controles específicos da nuvem e os tratou na ISO 27017.

Auditorias

Uma forma de avaliar o nível de compliance com leis, regulamentos e contratos é fazer uma auditoria. Existem auditorias internas e externas. Uma auditoria interna, concluída pelos próprios auditores da empresa, fornece uma autoavaliação para determinar seu nível de compliance; entretanto, uma auditoria interna pode ser vista como enviesada em seus resultados, uma vez que os auditores podem estar imparciais em suas conclusões. Para fornecer uma opinião mais objetiva, uma empresa pode ser auditada por uma auditoria terceira independente. As auditorias que queremos discutir em relação à nuvem são aquelas feitas pelo provedor de nuvem.

A maioria dos provedores de nuvem não acolheria seus clientes em seus centros de dados para fazer sua própria auditoria, portanto, contamos com auditorias de terceiros independentes.

Relatórios de auditoria

O resultado de uma auditoria seria encontrado no relatório de auditoria. Nos Estados Unidos, por exemplo, os relatórios são padronizados pelo American Institute of Certified Public Accountants (AICPA). Todas as empresas devem solicitar o relatório de auditoria SOC 2®. Um relatório SOC 2® é para organizações de serviço, como provedores de nuvem. Isto mostra seu compliance com os controles definidos na ISO 27001 ou NIST Cybersecurity Framework (CSF), por exemplo. Os controles são avaliados de acordo com os cinco critérios de serviços de confiança da AICPA, que são:

  • Segurança.
  • Disponibilidade
  • Confidencialidade
  • Integridade de processamento
  • Privacidade
     

Esses relatórios podem ser do tipo 1 ou do tipo 2. Um relatório do tipo 1 mostra o status dos controles em um determinado momento e que os controles são projetados e instalados em algum nível de adequação. Um relatório tipo 2 mostra a eficácia operacional dos controles ao longo de um período de tempo, digamos, seis meses.

Um cliente de nuvem deve solicitar esses relatórios, mas é possível que o provedor de nuvem não esteja inclinado a fornecê-los, porque eles podem conter informações confidenciais sobre seus negócios. Outra opção é um SOC 3® destinado a ser um relatório de uso geral. Ele contém muito poucas informações sobre os negócios do provedor de nuvem; em vez disso, ele efetivamente dá ao cliente o selo de aprovação (ou não) do auditor do provedor de nuvem.

Tópicos de Segurança em Nuvem