10 Dicas para gerenciamento de segurana na nuvem As empresas preocupadas com a segurana de dados na nuvem devem considerar estas recomendaes

e certifique-se que enfrent-los com seu fornecedor de nuvem. 1. Criptografar seus dados A fim de proteger a confidencialidade de todos os dados confidenciais, voc deve cifrarlo. H uma variedade de tecnologias de criptografia boas disponveis por isso no realmente um desafio para fazer criptografia. A verdadeira questo quem tem as chaves de criptografia. As empresas devem limitar o acesso a si prprios e terceiros de confiana. Considere dividir os deveres de manter os dados (para o provedor de nuvem) e segurando as chaves para os dados (para a sua organizao, bem como algum partido confivel outro terceiro.) 2. Garantir que todos os usurios sejam devidamente autenticados Pense em todas as pessoas que possam ter acesso aos seus dados dentro da sua empresa e com o provedor de nuvem e garantir que eles so as pessoas certas. As senhas so uma forma muito fraca de gerenciamento de autenticao. Em vez disso, as empresas devem usar uma abordagem de dois fatores para a sua segurana - comumente chamado de "2FA" (2 fatores de autenticao), geralmente algo que voc sabe, como uma senha, e algo que voc tem, como um token eletrnico ou FOB, ou um cdigo gerado em seu smartphone. 3. Definir nveis adequados de autorizao Se todos os que tinham acesso sua nuvem tinha o mesmo nvel de acesso aos dados que seriam extremamente imprudente e arriscada. Isto est relacionado com o que chamado de "princpio do menor privilgio", que diz que "dar s pessoas acesso somente o que eles precisam para fazer seu trabalho e no um pouco mais." Configurao e gerenciamento desses nveis devem ser oferecidas pelo fornecedor de nuvem. No simples, mas um provedor de nuvem bom uso de tecnologias modernas e as tecnologias corretas ser capaz de suportar isto. 4. Monitorar e acompanhar todas as atividades do usurio Os profissionais precisam entender o que est acontecendo, no apenas o que voc pensou que estava acontecendo. Em outras palavras, as polticas escritas e processos de descrever o que suposto acontecer. Mas, na verdade, olhando para uma trilha de auditoria de eventos como registrado a partir de sistemas da nuvem diz-lhe o que realmente est acontecendo. Voc precisa monitorar e registrar todas essas transaes. Rev-los regularmente para garantir que os controles que voc tem em lugar esto realmente funcionando. No estritamente necessrio que o cliente v-lo o tempo todo, mas o provedor de nuvem precisa. No caso de algo der errado ou uma violao ocorre, a acompanhar este tipo de atividade fundamental para a compreenso de onde e quando a infraco ocorreu eo que deve ser feito sobre isso. 5. Assegurar o cumprimento de leis, regulamentos e orientaes conforme exigido pelo seu especial de negcios, indstria e geografia

Compliance simples em sua inteno, mas complexa na sua execuo. Por um lado, a lei no tem realmente apanhados a nuvem ainda. Cumprimento da indstria e as leis de privacidade esto em constante mudana, e os clientes e provedores de nuvem precisa estar ciente disso. Contratar um consultor de terceiros para garantir que sua nuvem compatvel, em vez de confiar apenas no provedor de nuvem. Se o seu negcio comea a ter problemas legais, a culpa da sua organizao, e no o fornecedor de nuvem. Voc pode deslocar a responsabilidade para o provedor de nuvem, mas voc no pode mudar a sua responsabilidade legal. 6. Verifique se quando voc excluir dados na nuvem, realmente apagado A criptografia de dados a melhor forma de combater este problema. Ento, mesmo se os dados no necessariamente completamente desaparecido, pelo menos, ele no pode ser lido. J o provedor de nuvem lhe dar informaes tcnicas e operacionais detalhadas sobre como os dados so apagados e que acontece com backup de dados. Isso tambm pode ajudar a sua organizao com as questes de responsabilidade legal, j que ter especificaes no contrato do que acontece com os dados apagados ir mostrar a diligncia devida, se alguma vez questionada. 7. Confirme se voc possui os dados que residem na nuvem Voc precisa ter um entendimento jurdico claro de quem possui os dados que voc est colocando na nuvem, em termos de propriedade intelectual e de preocupaes com a privacidade de dados. Isto especialmente importante quando hospedagem de dados de terceiros, tais como informaes de sua organizao cliente. As leis podem diferir geograficamente. Leis de privacidade de dados pode restringir a mobilidade de dados, por exemplo, voc tem centros de dados em nuvem mltiplas, mas se eles esto em pases diferentes, voc pode no ser capaz de replicar dados de um para outro. 8. Estabelecer acordos de nvel de servio (SLAs) que especificam dados e disponibilidade do sistema A fora de qualquer acordo com um provedor de nuvem se resume ao que est no SLA. O acordo deve ser a mais ampla possvel no que o provedor vai cobrir, mas ele tambm precisa ser muito especfico sobre as definies e penalidades. Por exemplo, se um fornecedor oferece uma compensao de organizao de tempo de inatividade, o contrato dever especificar se se inclui o tempo de inatividade esperado, tais como manuteno programada. Ainda mais importante que a compensao se chega perto do dano real de uma organizao sofreria no pior cenrio. importante lembrar que no h flexibilidade nos referidos contratos. Quanto maior o negcio, o mais dispostos um provedor de nuvem geralmente negociar. 9. Verifique se o seu fornecedor de nuvem tem um plano de recuperao vivel de desastres no local Ter uma cpia de recuperao do provedor de desastres e plano de continuidade de negcios. E no apenas se certificar de que h um plano - ter certeza que um bom plano. As organizaes devem garantir que seus provedores de nuvem tm replicado centros de dados, por exemplo, e pode garantir a recuperao dentro de um prazo

razovel. Nenhum plano tem qualquer valor a menos que seja testado. Descubra como um provedor de nuvem testa seu plano de recuperao e com que freqncia. 10. J possui uma estratgia de sada Uma organizao da nuvem acordo de servios no deve ser como o "Hotel California". Uma vez que voc "check in" com um provedor, voc deve ser capaz de sair. O dia de comear a pensar que o dia de comear a falar com o seu provedor de nuvem atual potencial. quase como uma locao de apartamentos - as organizaes devem considerar o que fazer se eles esto insatisfeitos e querem mudar para outro provedor de nuvem. Isso precisa ser entendido na frente e disse claramente no contrato. Se voc tiver dvidas ou quiser mais informaes, por favor contacte-nos em info@secureworks.com.

Disponvel: http://en.community.dell.com/dell-groups/smallbusiness/b/smb/archive/2011/11/16/10-tips-for-managing-security-in-the-cloud.aspx