OPINIÃO

Segurança em nuvem na era da LGPD

Por Raul Leite*
28/02/2020 ... Convergência Digital

Em agosto deste ano está prevista para entrar em vigor a Lei Geral de Proteção de Dados (LGPD) 13.709/18, que tem como objetivo colocar na mão de cada indivíduo o domínio sobre seus dados pessoais. A norma, inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR) europeu, prevê que as pessoas tenham mais ingerência sobre os seus dados armazenados e a opção de escolher manter ou não suas informações à disposição de uma determinada companhia. As sanções para quem infringir essas regras podem gerar advertências, multas de até 2% do faturamento (até R$ 50 milhões), publicização da infração, e exigência de bloqueio ou eliminação de dados pessoais.

Segundo o 9º Índice de Confiança Robert Half, divulgado no ano passado, 34% das empresas brasileiras não estão preparadas para a LGPD e 19% desconhecem o significado e o que representa a sigla, o que é bastante preocupante, já que a norma impacta diretamente todos os setores. A Lei 13.709/18 é aplicável a todos que realizam qualquer prática de operação com dados pessoais (coleta, armazenamento, processamento etc.), sejam eles de clientes, colaboradores, funcionários ou visitantes. As principais obrigações previstas na norma incluem a adoção de boas práticas de governança e segurança no tratamento de dados pessoais; comunicação de incidentes de segurança; atendimento a solicitações dos titulares de dados pessoais e demonstração e comprovação da observância.

Seu peso é ainda maior sobre os serviços financeiros. Organizações desse segmento armazenam um imenso volume de dados e precisam adequar anos de infraestrutura tradicional em novas formas de manutenção e troca de informações que permitam um alto nível de segurança. Principalmente em decorrência da adoção do Open Banking, que deve passar a funcionar em larga escala também este ano, já sob as regras da LGPD.

Garantir o armazenamento e a movimentação desses dados com o menor risco possível é um grande desafio para qualquer organização. Mas alguns caminhos e soluções conseguem responder bem às necessidades das companhias no que se refere à segurança, como a computação em nuvem. De acordo com um estudo realizado pelo SAS Brasil no último ano, 80% das empresas avaliadas tinham ou iriam ter um projeto baseado em nuvem híbrida nos próximos 12 meses. A pesquisa foi feita com 286 executivos C-level das áreas de tecnologia e análise de dados de grandes empresas da América Latina das áreas de varejo, telecom, setor público, serviços de utilidade pública, indústrias, serviços financeiros e bens de consumo.

Oferecendo benefícios como agilidade e flexibilidade, além da otimização de recursos de TI, a nuvem ainda traz importantes camadas de segurança para as aplicações. Claro que a solução não está imune a riscos, mas seguindo algumas regras simples a probabilidade de vazamento, fraude ou roubo de dados é muito menor. Ainda há dúvidas sobre como dados armazenados na nuvem estarão em compliance com as novas leis de proteção de dados, principalmente por conta das questões geográficas – servidores podem estar rodando a mesma aplicação em várias partes do mundo. Mas, certamente, sua adaptação será muito mais simples do que a de infraestruturas tradicionais.

Entre as opções disponíveis nesse mercado, a nuvem híbrida é a que mais tem ganhado espaço, já que mescla os modelos de gestão de nuvem pública, que são oferecidos por grandes empresas, e nuvem privada, que costuma ser desenvolvida sob demanda, em um único ambiente virtual. Segundo levantamento feito pela Red Hat, líder global em soluções open source, 31% das empresas ouvidas afirmaram apostar nesse caminho por questões de segurança, custo x benefício e facilidade na escalabilidade e integração de dados.

Segurança de ponta a ponta

O armazenamento em nuvem deu origem a uma série de outros conceitos de inovação, criados para facilitar os processos de desenvolvimento e funcionamento das aplicações. Nessa esteira aparecem os microsserviços, os containers e uma série de outras soluções integradas. A evolução das tecnologias também reforça a aplicabilidade da integração do conceito DevSecOps (Development, Security & Operation), que implementa o item segurança desde a concepção do desenvolvimento de software.

No framework colaborativo do DevOps, a segurança é uma responsabilidade compartilhada e integrada do início ao fim. Significa automatizar algumas barreiras para otimizar o fluxo de trabalho e selecionar as ferramentas corretas para integrar a segurança continuamente. Essa integração em toda a esteira requer que a organização adote uma nova mentalidade ágil, assim como novas ferramentas.

Quando o assunto é segurança, o conteúdo do container não pode ser ignorado. Atualmente, as aplicações e as infraestruturas são formadas por componentes com disponibilidade imediata. Muitos deles são pacotes de tecnologia open source. Portanto, não é necessário criá-las. Mas, como acontece com qualquer código vindo de uma fonte externa, é preciso conhecer a procedência dos pacotes, quem os criou e se há códigos maliciosos neles.

Adoção de nuvem com segurança

Quando falamos de proteção da nuvem, as organizações devem ter em mente uma série de estratégias. A começar pela escolha minuciosa do provedor de serviços, que precisa estar preparado para os novos compromissos de privacidade. Também é necessário certificar se o armazenamento dos dados é feito de modo criptografado quando necessário pelo nível de sigilo da categorização de um dado.

Para ampliar a segurança, a equipe de TI precisa implementar ainda soluções que proporcionem visibilidade da nuvem, assumindo o  controle dos serviços da “shadow IT” (SaaS). Monitorando todos os recursos, será possível conhecer a fundo a maneira como os usuários consomem os serviços e garantir uma gestão eficiente e otimizada. Além disso, a identificação de problemas e anormalidades será mais ágil, reduzindo o impacto nos negócios da companhia.

Os desafios que envolvem a proteção da nuvem híbrida podem ser solucionados com a ajuda da automação, que eleva consideravelmente a eficiência operacional (infraestrutura como código). Ferramentas de segurança automatizadas verificam continuamente os recursos do empreendimento em busca de problemas.  À parte disso, principalmente, quando falamos no modelo de microsserviços, as APIs que os gerenciam precisam ser bem controladas. Os usuários da API também devem estar sobre observância, com a utilização de padrões de mercado como OAuth 2.0 ou JSON Web Tokens, por exemplo.

Com um time atento, composto por colaboradores da própria empresa e especialistas em TI fica mais simples implementar a segurança na nuvem híbrida. Ainda mais em um momento tão delicado e específico, no qual acompanhamos uma importante transição no tocante ao armazenamento e transferência de dados. Para estar em conformidade com a LGPD, é hora das companhias – se já não fizeram – aumentarem a atenção e os investimentos em segurança, uma vez que todas as adaptações e mudanças nesse sentido devem ser feitas com celeridade. A hora é agora e, quem deixar a oportunidade passar, pode enfrentar graves problemas em um futuro próximo.

*Raul Leite é sênior Cloud Architect na Red Hat Brasil


Carreira
Coronavírus: Empresas de TI não assumem compromisso formal, mas se mobilizam para não demitir

Se em 2019 as empresas de TICs abriram 42 mil novos postos de trabalho, em 2020, por conta da pandemia de Covid-19, o trabalho é para manter os funcionários, revela estudo da Brasscom. Setor chegou a quase R$ 500 bilhões de receita no ano passado, representando 6,8% do PIB nacional.



  • Copyright © 2005-2020 Convergência Digital
  • Todos os direitos reservados
  • É proibida a reprodução total ou
    parcial do conteúdo deste site
    sem a autorização dos editores
  • Publique!
  • Convergência Digital
  • Cobertura em vídeo do Convergência Digital
  • Carreira
  • Cloud Computing
  • Internet Móvel 3G 4G