“Cloud” soberana, finalmente um controlo total sobre os dados?

O conceito de cloud soberana está a ganhar força na Península Ibérica. A verdadeira descoberta depois deste modelo que promete conformidade regulamentar e custódia de dados em Portugal e Espanha é que as empresas terão finalmente a ferramenta mais valiosa: o controlo sobre os dados.

Anúncios de aberturas de regiões de cloud na Península Ibérica, com especial destaque para a nossa vizinha Espanha, têm acontecido nos últimos anos. A IBM, AWS, Microsoft, Oracle e Google Cloud anunciaram novas zonas nos últimos anos. Alguns já se concretizaram, como é o caso da Mountain View, que acaba de ser proclamada a primeira hiperescala a abrir uma região de cloud em Espanha.

Durante a sua apresentação oficial, Isaac Hernández, diretor-geral do Google Cloud para a região da Península Ibérica, ligou a adoção da cloud ao nível de modernização de um país. A 33ª região global de rede da empresa oferecerá baixa latência (apenas 1 ms), elevada disponibilidade e proteção de dados para as empresas. Estes são os maiores atrativos de qualquer região de cloud que se preze : a proximidade dos dados que garantem a conformidade regulatória e, acima de tudo, o seu controlo .

A garantia de confidencialidade, segurança e soberania de dados da primeira região de cloud operacional na Península Ibérica será reforçada através da SIA, uma subsidiária de cibersegurança da Minsait, parceiro estratégico da Google. A empresa espanhola contribuirá, tal como foi anunciado no momento do lançamento oficial da região de cloud de hiperescala, a sua experiência na gestão de chaves de encriptação externa, serviços de segurança, gestão de infraestruturas em cloud e suporte ao local, bem como a auditoria em curso do centro de dados. A encriptação dos dados em repouso e em trânsito será garantida.

Confiança e hibridização como conceitos-chave

A cloud soberana pode trazer muitos benefícios para as empresas. O conceito é “muito interessante” para María Jesús Castro, Diretora de Organização e Sistemas da DKV Seguros. “A dependência de países terceiros em questões muito diversas pode gerar tensões e insegurança, tanto na operação como no controlo de quem acede aos dados”, afirmou em declarações ao Computerworld.

Assim, o conceito de cloud soberana parece ser a proposta de valor final na segurança, embora não seja sem desafios. Para María Jesús Castro, são “as mesmas propostas às empresas que utilizam serviços na cloud”. Com isso quer dizer confiança. “A confiança na ética dos fornecedores e na honestidade é muito importante”, diz. “Temos de confiar que os regulamentos, normas e políticas de segurança que se aplicam são cumpridos”, explica, porque o controlo não está diretamente na empresa que acolhe os seus dados na cloud.

É necessário assegurar, por exemplo, que o acordo no contrato seja cumprido e que os controlos estabelecidos garantam que a informação não seja acedida sem a autorização do proprietário. Isto também deve ser alargado às empresas subcontratadas pelo prestador de serviços na cloud.

Enrique Cervantes, CISO da Fintonic, uma empresa fintech, acredita que o principal desafio continuará a ser a “hibridização” deste tipo de cloud com ambientes no local e outros serviços na cloud que continuarão a ser necessários. “Isto implica a necessidade de estratégias baseadas em arquiteturas de segurança global” que permitam “elementos comuns para prevenir, detetar e responder a incidentes em infraestruturas”. É um grande desafio, adverte, “especialmente se pensarmos em perímetros mal definidos ou na monitorização de ambientes tão heterogéneos”.

A cloud soberana garante o controlo dos dados?

Para Enrique Cervantes, falar de garantias ou 100% de cibersegurança é muito complexo.  No entanto, salienta que  uma zona de disponibilidade  em cloud “simplifica os procedimentos e, em geral, a gestão de todo o ciclo de vida dos dados e da sua localização” o que contribui, sem dúvida, para um melhor controlo.

Na mesma linha, María Jesús Castro fala. Uma garantia de 100% é “muito difícil”, diz, porque a empresa que contrata o serviço não tem a gestão. “Será possível avançar para ter provas de que o controlo de acesso é feito corretamente e que ninguém acede à sua informação sem a sua permissão”, explica. O que garante é que “nenhum país terceiro teria acesso à sua informação sem o seu conhecimento ou autorização, porque o fornecedor de cloud está sujeito a legislação que não a sua”.

Neste sentido, vale a pena mencionar a Cloud Act, a lei federal dos EUA aprovada em março de 2018 e que permite ao governo deste país aceder a dados armazenados por empresas americanas, independentemente do local onde estão localizados, sim, por ordem judicial justificada por razões de segurança. Como é que isto entra em conflito com o Regulamento Geral europeu de Proteção de Dados (RGPD)?  O artigo 48º do regulamento especifica a necessidade de um acordo para a transferência de dados para fora da UE e só o permite quando forem cumpridos determinados requisitos de proteção e garantias de conformidade.

Importa que as empresas Ibéricas usem fornecedores europeus para garantir um maior controlo sobre a localização dos dados, uma vez que estarão mais alinhados com o RGPD.

Segurança, um imperativo na era da cloud

A digitalização tem sido implacável com as empresas, que tiveram de recorrer à cloud para lidar com ela e ter serviços de ligação, processamento e armazenamento cuja segurança já não está nas suas mãos. Quando a regulação e o cibercrime ditam, a segurança na cloud é um dos maiores imperativos para fornecedores e organizações.

O paradigma da computação nativa em cloud é uma resposta às necessidades digitais das empresas, que devem responder rapidamente à mudança de gostos dos consumidores, a novas oportunidades de mercado e ao surgimento de tecnologias disruptivas. Devem também abordar preocupações crescentes sobre fiabilidade, segurança e gestão de dados de software.

A computação em cloud é um dos paradigmas tecnológicos que se infiltrou no nosso público e na nossa vida profissional pela necessidade de aumentar as capacidades de processamento e armazenamento de sistemas informáticos. Mas, enquanto a cloud melhora a segurança, porque as empresas e os fornecedores colocam uma centena de olhos nela, não é livre de riscos.

A cloud permite novos modelos de negócio baseados na oferta de uma grande variedade de serviços tecnológicos numa descentralizada, otimizada e contratada a pedido, utilizando a infraestrutura da Internet. O crescimento da capacidade de processamento e cálculo, a eficiência dos sistemas de armazenamento com maior capacidade e velocidade de transferência, a extensão e menor custo do acesso à Internet, que tem uma conectividade alargada, são os marcos tecnológicos que conduziram à sua implementação massiva. Os seus serviços incluem armazenamento, backup, aplicações de escritório, serviço de correio, hospedagem web, gestão de contacto.

A cloud; ser ou não ser mais seguro

Assim, a cloud é considerada a quinta revolução no mundo das TIC. Permite que as PME e os freelancers adquiram as mais recentes tecnologias a um custo reduzido e com um aumento da produtividade. Também oferece agilidade e mobilidade, uma vez que oferece acesso a serviços a partir de qualquer lugar, além de flexibilidade e escalabilidade; os serviços crescem de acordo com as necessidades. E isto pode acontecer permitindo a redução de investimentos em hardware e software, que são substituídos por despesas em serviços com esquema de “pay per use”. Além disto, oferece uma estrutura ideal de possibilidades para trabalho colaborativo, teletrabalho e trabalho híbrido. . Até agora tudo parece cor-de-rosa. Mas temos de pôr portas no campo para que não venham roubar-nos os sorrisos.

Neste sentido, Ignacio Cobisa, analista sénior da IDC Research é contundente, os serviços na cloud são agora tão ou mais seguros do que os modelos tradicionais. ” O paradigma de que a cloud é menos segura do que as arquiteturas no local  está a ficar antiquado na indústria.

O primeiro aspeto-chave para um navio seguro é o estabelecimento de acordos de nível de serviço entre o prestador e o cliente (Service Level Agreements, SLA). Definem os compromissos de ambas as partes e devem conter cláusulas que definem a responsabilidade do fornecedor por alguns atos relacionados com a segurança, bem como questões como manutenção, atualizações, incidentes, disponibilidade de dados e recuperação. Segundo Ignacio Cobisa, no SLA ” o mais importante é definir até que ponto a responsabilidade do cliente e do prestador de serviços se estende, porque se deixarmos os ‘campos’ pouco claros são geralmente fontes de problemas quando os incidentes ocorrem “.

Marco Lozano, responsável pela Cibersegurança para as Empresas da Incibe, considera o paradigma da cloud “muito interessante porque, além de democratizar os serviços da empresa que não estavam anteriormente disponíveis porque são mais caros, permite que estes serviços sejam lançados de forma súper ágeis, o que é muito positivo”. Também entende que a cibersegurança está a ser democratizada, graças aos serviços na cloud. “Isto comporta riscos, explica, mas também soluções com as quais não se pode contar a esse nível ou com essa possibilidade. É uma das partes mais positivas da cloud; é gerido por especialistas, para que, como empresários, possamos esquecer, até mesmo a administração dos próprios serviços.”

Da Incibe dão-nos um exemplo do porquê da cloud aumentar a segurança. “Quando contratamos serviços à chave na mão, por exemplo, o Office 365 Suite, e temos uma suite de escritório, serviços de armazenamento, podemos incorporar backups, todos integrados nesta cloud a baixo custo em comparação com o que significaria ter esses serviços nos nossos próprios servidores. Esta redução de custos foi o que permitiu que todo aquele serviço quase infinito estivesse disponível para empresas com níveis de segurança muito elevados.”

Ameaças, riscos e o fator humano

No entanto, as falhas de segurança na cloud continuam a ocorrer muito semelhantes às que ocorrem nas próprias arquiteturas das organizações. Embora haja uma maior consciencialização, acesso não autorizado, ameaças internas, interfaces inseguras, acesso através de tecnologias partilhadas, fugas de informação, implantação de identidade, ignorância do ambiente dos funcionários e ataques de hackers continuam a ocorrer porque, como garante Cobisa, “Infelizmente, os dados indicam que estas ameaças aumentaram e na maioria dos casos têm a ver com erros humanos.” 

Na verdade, a ingenuidade, a ignorância, o descuido, a falta de consciência e os recursos são fatores que comprometem a segurança da cloud. Lozano concorda com Cobisa: “É um pouco de tudo, mas acima de tudo o fator de utilizador. Quando contrata um serviço que acredita que é seguro, já se esquece de tudo, mas há questões sobre as quais uma empresa mantém a sua responsabilidade, como o uso de senhas, o estabelecimento de permissões para os recursos que compara e acesso seguro. A culpa é que ao delegarmos pensamos que a tecnologia tem respostas para tudo e estamos errados. O utilizador tem uma grande responsabilidade a este respeito. Em suma, a segurança é diminuída pelo fator humano, no qual todos os fatores de risco possíveis se misturam.”

Da Incibe salientam que o paradigma do Zero Trust pode ser uma segurança abrangente que facilita em muito a tarefa, mas resta saber se é capaz de abordar estas questões relacionadas com o fator humano. A segurança na cloud apresenta riscos como o acesso privilegiado do utilizador, o incumprimento regulamentar, a localização de dados desconhecida e a falta de isolamento ou capacidade de recuperação de dados. Segundo Ignacio Cobisa, “um dos riscos mais recorrentes tem a ver com a autenticação do utilizador. A cloud deve combinar a agilidade e flexibilidade que oferece (por exemplo, em novos ambientes híbridos) com a segurança necessária, mas sem que os trabalhadores sofram das suas experiências de utilização.”

A segurança na cloud envolve todos

A gestão do nosso alojamento em cloud implica uma perda de controlo ao sair nas mãos do fornecedor, ou seja, de terceiros, das instalações onde as nossas aplicações funcionam, os nossos dados, etc. Marcos Lozano entende que a segurança nunca é absoluta, não obstante de como o serviço é, porque “independentemente de termos um contrato ou acordo específico, pode sempre haver o risco de um fornecedor ter um problema, sofrendo um ataque que coloca em risco a nossa informação que está nas suas mãos. Neste sentido, as empresas, em geral, lembram-se de Santa Bárbara quando troveja.”

Cobisa acredita que os profissionais devem ser confiáveis porque “em geral, a confiança digital oferecida pelos fornecedores de mercado em termos de recuperação de desastres, confidencialidade e segurança de dados é igual ou superior ao que uma organização consegue no seu próprio CPD”. Lozano também nota que os fornecedores são mais seguros do que as empresas. “É necessário avaliar a dimensão da empresa e qual é a sua dependência tecnológica. No mais recente equilíbrio de vulnerabilidades que publicamos, encontramos uma que se repete há muitos anos, que é a falta de implementação de atualizações. As empresas ainda não atualizam os seus sistemas, as suas aplicações, e temos esta falha na terceira posição. E é algo em que insistimos desde 2006, além de ter cuidado com senhas e implementar políticas de segurança, backups para evitar os efeitos do ransomware.”

Dezasseis anos depois, continuam a descobrir que estas recomendações não estão a ser seguidas. Os incidentes para este tipo de causa são reduzidos, mas continuam a ocorrer e ainda há um longo caminho a percorrer. A Incibe identificou que há dois anos, mais ou menos o início da pandemia, as empresas têm investido mais em serviços na cloud e cibersegurança, talvez porque já era um problema com que tinham de lidar. Têm-se preocupado mais com o tipo de medidas, as consultas com as suas linhas específicas para tal aumentaram, perguntaram sobre os serviços de proteção dos seus ativos, sobre instrumentos que os pudessem proteger e sobre soluções concretas; “Coisas que parecem estar a chegar.”, avisa Lozano.

No entanto, segundo Lozano, o aspeto da segurança na cloud   que mais diz respeito às organizações é o cumprimento regulamentar, “porque todos os serviços na cloud devem cumprir o RGPD ou a Lei portuguesa de Proteção de Dados Orgânicos”. Em segundo lugar, a preocupação são os preços, isto é, o custo do serviço, e em terceiro lugar seriam questões de cibersegurança.

Mas isso não significa que haja uma tendência para relaxar a responsabilidade das organizações para que todo o trabalho recaia sobre o fornecedor devido à “forma como pago”. Segundo Cobisa “em geral, as organizações estão cada vez mais envolvidas na definição destas políticas de segurança em conjunto com o fornecedor”. Para o analista, a segurança na cloud nada tem a ver com os serviços contratados, nem com o nível de delegação de responsabilidade. “A arquitetura que oferece uma fronteira de ataque mais ampla e mais fraca é menos segura, mas isso não tem de estar ligada à escolha de Infraestruturas como Serviço (IaaS), Plataforma como Serviço (PaaS) ou Software As A Service (SaaS). Os critérios que as organizações usam para optar por um ou outro tipo de cloud não se baseiam apenas na segurança. Em muitos casos, têm mais a ver com a tecnologia que têm ou com aspetos regulatórios ou internos que querem cobrir”, diz.

Como alcançar a segurança dos sonhos

Para alcançar a segurança exigida pela cloud, você precisa implementar uma arquitetura específica que os profissionais com Certified Cloud Security Professional (CCSP) conhecem de cor. O especialista em cibersegurança e instrutor ccSP Juan Blázquez Martín, membro do ISACA MadridChapter, revela como chaves para estabelecer a segurança na cloud que os regulamentos e o bom senso indicam. “Para atingir pleno o nível de segurança que uma organização e os seus ativos exigem, é necessário selecionar duas orientações: o tipo de serviço que se adequa às suas necessidades e compreender as suas obrigações no âmbito do modelo de responsabilidade de serviço partilhado.”

Uma vez esclarecidos estes termos que definem o modelo de responsabilidade partilhada, devemos começar a trabalhar para estabelecer os diferentes níveis de segurança:

  1. Segurança Física: O fornecedor de cloud precisa de um centro de dados para prestar serviços aos seus clientes. A partir destas instalações, abordará a  segurança dos componentes de hardware e da gestão da configuração de hardware. Para isso, deve criar um modelo para a configuração segura de cada dispositivo e deve ser replicado sempre que um novo dispositivo é adicionado ao ambiente. A configuração básica do hardware deve ser armazenada e mantida atualizada de forma segura através do processo formal de mudança, reparação e gestão de upgrade. Tratará também de registos e eventos de auditoria (garantindo que são guardados dados terminais relacionados com a atividade em cada máquina para uma eventual utilização futura para determinar que aconteceu e a identidade dos utilitários), para proteger o acesso à gestão remota (controlos específicos para garantir que apenas os utilizadores autorizados podem aceder e operar), e se o cliente precisar, estabelecer o isolamento de clientes específicos.

Segurança lógica : refere-se à titularização do uso de software e processos executados nos anfitriões do provedor para minimizar os riscos de segurança associados às operações do cliente. O provedor deve estabelecer regras claras indicando o que os clientes podem e não podem fazer ao operar com os seus sistemas de computador. Além disso, deve garantir que o software, sistema operacional e programas não apresentem falhas que possam causar incidentes de segurança. A segurança lógica lida com a titularização de sistemas operacionais virtuais, todos os ativos virtualizados e a deteção de vulnerabilidades através de varreduras de rede periódicas e automatizadas. Apenas vulnerabilidades são detetadas e qualquer outra que não faça parte de um padrão reconhecido passará despercebida. Segundo Blázquez, “não podem impedir que invasores explorem vulnerabilidades desconhecidas em sistemas (ataques chamados de explorações de dia zero), mas ao detetar e corrigir vulnerabilidades conhecidas, os invasores são impedidos de usá-las”.

Segurança da rede: O fornecedor deve garantir que arquitetura da rede e os componentes de interconexão que a composição são seguros. Muitas das mesmas táticas e controlos utilizados no ambiente local aplicam-se à proteção das ligas de rede. Além de outros específicos do ambiente cloud. Incluindo todas as atividades destinadas a proteger o acesso à rede, o uso e a integridade, bem como os dados que circulam através dele: inclui hardware e software, visa várias ameaças e tem como objetivo impedir que se espalhem por rede. “Uma micro segmentação é cada vez mais comum”, explica Blázquez. É prática dividir o centro de dados em zonas seguras, para um controlo maior sobre a comunicação lateral que ocorre entre servidores.

Segurança das Comunicações: Como linhas de comunicação e de ligações entre os diferentes centros de dados geograficamente dispersos do fornecedor e entre eles e os clientes que os acedem devem ser protegidos. A segurança das comunicações deve centrar-se na prevenção da interceção de dados transmitidos e no acesso às linhas de comunicação. Encriptação, Redes Privadas Virtuais (VPN) e autenticação forte são usadas para isso.

Perante a teoria muito clara, da Incibe, Lozano insiste em lembrar que “como organizações devem ter em conta que os problemas de segurança na cloud, como acontece quando a arquitetura nas suas instalações próprias, requere um processo que tem de ser, com um ciclo de melhoria contínua. Não é algo que já foi implementado uma vez, e onde fica. Tecnologias, sistemas, ameaças, invasores… O Evoluir. Temos de estar a par da prevenção e ter essas soluções e tecnologias que nos inamem destes ataques, ou permitir-nos levant e funcionar o mais rapidamente possível se concretizarem.”

De acordo com o seu conselho, tudo o que contrata como serviços na cloud relacionados com a cibersegurança deve cobrir como nossas necessidades e ter opções de reclamação ou alguns tipos de compensação.