Conformidade e adoção para empresas que utilizam a Cloud
A adoção e utilização de clouds em ambientes corporativos está a aumentar e o seu futuro parece promissor. Os gastos das empresas em serviços de Cloud indicam esta tendência ascendente, uma vez que aumentou 29% no segundo trimestre do ano passado, em comparação com o mesmo período do ano anterior. A migração para a Cloud provocou alterações aos regulamentos para consolidar a segurança de dados de acordo com a natureza do negócio.
Assim, a conformidade na Cloud baseia-se numa série de procedimentos e práticas que garantem que um ambiente de Cloud adere a uma ou mais normas específicas de segurança e privacidade. Os enquadramentos que têm impacto numa dada empresa são delineados por fatores como a jurisdição em que opera, a indústria ou sector a que pertence e o número de utilizadores que possui.
Principais regulamentos e como eles afetam a infraestrutura da Cloud
-
PCI DSS
O Payment Card Industry Data Security Standard é um conjunto de condições de segurança para comerciantes que armazenam ou processam dados de titulares de cartões de pagamento na Cloud.
Entre as suas condições, requer a instalação e manutenção de uma configuração de firewall para proteger os dados na Cloud e fornecer maior segurança de acesso, assegurando que os padrões fornecidos pelo fornecedor para as senhas do sistema e outras configurações de segurança sejam modificados. Da mesma forma, solicita a proteção dos dados armazenados dos titulares dos cartões e a encriptação da transmissão de dados dos titulares dos cartões através de redes públicas abertas. Além disso, exige o rastreio e monitorização de todo o acesso aos recursos da rede e aos dados do titular do cartão.
A não adesão a estas diretrizes de computação PCI DSS Cloud resultará provavelmente na perda da capacidade da empresa para processar transações de cartões de pagamento.
-
HIPAA
Este regulamento dirige-se a organizações que lidam com informação de saúde pessoal e identificável. A Regra de Segurança HIPAA do Departamento de Saúde e Serviços Humanos (HHS) dos EUA exige que as organizações protejam eletronicamente a informação de saúde protegida (e-PHI), adotando medidas administrativas, técnicas e físicas razoáveis e apropriadas.
Para cumprir o regulamento, o HHS estabelece quatro requisitos específicos de armazenamento HIPAA. Em primeiro lugar, assegura a confidencialidade, integridade e disponibilidade da e-PHI através da codificação, proteção por palavra-passe e outras medidas de proteção. Segundo, a identificação e proteção contra ameaças razoavelmente previsíveis através de monitorização regular e análise de risco. Terceiro, proteção contra utilizações não autorizadas ou divulgações que possam ser protegidas por protocolos de segurança informática, IAM, restrição de acesso físico e auditorias periódicas dos processos internos. E, finalmente, assegurar a conformidade dos elementos da equipa através de formação regular e adesão às normas estabelecidas pela HIPAA.
-
RGPD
O Regulamento Geral de Proteção de Dados (GDPR) é uma das leis mundiais mais rigorosas e mais amplamente aplicadas em matéria de privacidade de dados. O seu objetivo central é salvaguardar a informação pessoal de empresas e indivíduos na União Europeia (UE).
O RGPD requer proteção de dados por conceção e por defeito, registo de atividades de processamento e encriptação de informação pessoal para dados que são armazenados e em trânsito.
Quais as soluções de que as empresas necessitam para cumprir os regulamentos?
A maioria dos quadros de conformidade descreve as suas regras em termos relativamente genéricos. Então como podem as empresas ter a certeza de que os seus dados estão protegidos na Cloud e, assim, cumprir os vários regulamentos aos quais subscrevem? Devem integrar soluções de cibersegurança que protejam o mais possível os seus ambientes na Cloud os dados dos seus clientes:
- MFA: esta solução aplica-se aos três quadros de conformidade acima detalhados. A autenticação multifactorial é uma obrigação para qualquer organização, a fim de cumprir os regulamentos. Num recente inquérito da Pulse, os dados revelaram que 76% dos inquiridos consideram que esta é a principal solução a incorporar na Cloud para reforçar a conformidade.
- Visibilidade: outro requisito comum a todos os regulamentos é a necessidade de visibilidade e monitorização do ambiente de Cloud, o que significa que é necessário utilizar uma solução que forneça relatórios em tempo real. Isto permite que as empresas tenham um controlo genuíno sobre os dados armazenados dos seus clientes.
- Cloud firewall: esta tecnologia deve ser utilizada para satisfazer os requisitos dos quadros de conformidade HIPAA e RGPD. As suas funções incluem a necessidade de as empresas encriptarem tanto os dados armazenados como os que se encontram em trânsito e eliminarem a possibilidade de um potencial ataque de malware.
- Wi-Fi: no caso de HIPAA e PCI DSS, é essencial utilizar uma solução que proteja as ligações Wi-Fi, por exemplo, em lojas ou hospitais, uma vez que, se não o fizerem, os hackers terão acesso à rede. Uma vez dentro da rede corporativa, é-lhes mais fácil fazer movimentos laterais que lhes permitam aceder a ambientes de Cloud onde se encontram os dados que devem ser protegidos.
A conformidade regulamentar é fundamental para que as empresas continuem a gerir os seus negócios sem atritos. Ao implementar estas soluções, as empresas podem manter-se a par dos regulamentos enquanto desfrutam de todos os benefícios da Cloud, sem se preocuparem com o comprometimento da segurança, o que poderia resultar em perdas financeiras e de reputação.