Baker Tilly nos Media | Cloud: Está preparado para os riscos?

14 October 2016

Cloud:Está preparado para os riscos?
Por Paulo André, Managing Partner
In O Jornal Económico

Consulte o artigo original aqui.

Cloud: está preparado para os riscos?

A Cloud envolve riscos que as empresas ainda desconhecem ou que não compreendem na sua plenitude. Faça o seu trabalho de casa e aconselhe-se bem.

O fornecedor de serviços Cloud disponibiliza servidores virtuais, que podem sofrer ataques tradicionais, bem como outras ameaças resultantes de falhas do servidor virtual/partilhado. Note que e virtualização do negócio envolve riscos ainda não bem identificados

A Cloud envolve a partilha de uma arquitetura por inúmeras entidades otimizando recursos (CPU, espaço, memória, etc). Esta separação é de facto logica e estanque? A confidencialidade é assegurada? Os dados estão seguros e/ou são recuperáveis?

A Cloud é um espaço físico. Existe segurança física? Já esta a ser cumprido o Novo Regulamento Geral de Protecção de Dados Pessoais? Sabe se existe controlo na autenticação, autorização e acessos à informação? Que autenticação é exigida? O espaço está compartimentado ou é partilhado? Espaços compartilhados geram produtividade, mas também riscos. Os dados estão protegidos? As chaves de encriptação são partilhadas? Com quem? Quem tem acesso à informação armazenada?

Qual a política de backups? Há evidencia do seu cumprimento? Não valera a pena, fazer também o seu próprio back-up? Há salvaguardas contratuais? Existe controlo sobre disponibilidades, redundâncias e tolerância a falhas? É efetivo? Os dados históricos do fornecedor que performance evidenciam? Já se perderam dados na Cloud que se pretende utilizar?

Quem é o proprietário dos dados? O contrato de prestação de serviços que diz? Leia-o com atenção para não ter surpresas de ultima hora. Se descontinuar o serviço de Cloud, quem fica com a posse dos dados?

Implemente controlos de segurança

Implemente controlos de segurança que evitem, detetem e respondam de forma efetiva, aos riscos que lhe estão associados. Na sua implementação tenha em consideração os seguintes passos:

- Escolha um padrão de controlo

- Alinhe os controlos com a classificação de dados e avaliação de riscos

- Calendarize os passos a implementar

- Desenhe um processo logico, eficiente e implementável

- Implemente (não fique pela teoria)

- Implemente procedimentos de monitorização

Inventarie os seus riscos. Seja preventivo. Não remedeie o que pode ser evitado. Envolva especialistas que o aconselhem nas tomadas de decisão relevantes.