A palavra de ordem das empresas é: MOBILIDADE TOTAL
Os profissionais precisam ficar independente de local físico e de suporte. Conforme isso tem se tornado meta da área de TI, vem sempre a questão: e como ficam os riscos em um cenário em que pessoas e dados trafegam em tempo real?
Por Dra. Patricia Peck Pinheiro – Palestrante do CNASI – Congresso de Segurança da Informação, Auditoria e Governança de TIC
É interessante observarmos que os requisitos jurídicos para evitar riscos são os mesmos resquisitos de segurança da informação, quais sejam: autenticação forte, garantia de confidencialidade e integridade, disponibilidade da informação (conseguir ter acesso a mesma na hora que precisar) e sua legalidade (ter a guarda dos logs necessários para eventual investigação em caso de incidente).
E tudo isso começa na especificação técnica, ou seja, não há como fazer uma blindagem legal para proteção de ambientes que usem “cloud computing” sem definir bem o contrato, o SLA e o modelo técnico de autenticação e segurança.
Os contratos iniciam com um problema de escopo. Se o motivo de se escrever um contrato é não deixar dúvidas sobre o que ficou combinado entre as parte e já pré-estabelecer responsabilidades em situação de conflito ou descumprimento, como escrever o objeto que seja compreendido por um terceiro não familiarizado com linguagem técnica?
Afinal, qual a expectativa de entrega do serviço com qualidade do contratante quando se diz que a obrigação legal do contratado é fazer “computação em nuvem”?
O que um juiz vai entender desta conceituação. Logo, precisa explicar muito melhor. Precisa ficar mais claro inclusive se será feito em um ambiente ilimitado geograficamente (mundo) ou limitado. Tem que ter um excelente contrato e SLA, e não é o que temos visto por aí.
As questões mais relevantes envolvem
a) qual o modelo de autenticação forte de usuário (senha alfanumérica com caracteres especiais e no mínimo 10 caracteres, uso de token, uso de certificado digital, uso de biometria, outro);
b) como é feita a guarda da prova eletrônica de acesso (logs de acesso ao ambiente), quem faz (responsável) e por quanto tempo (tabela de temporalidade);
c) como é feita a criptografia dos dados (afinal podem estar em qualquer lugar criptografados, será usado modelo de chave simétrica, assimétrica, de 128 bits, ambiente com SSL);
d) como é feita a disponibilidade dos dados, qual o SLA em caso de apagão digital completo ou parcial (apenas no ambiente do usuário que precisa acessar); e) como fica a proteção perante terceiros (quando os dados possam ser alcançados por autoridades de outros países se estiverem em servidores compartilhados).
Além disso, precisa ser definido qual o nível de abrangência, pois quanto mais dados confidenciais precisarem ser acessados por um volume maior de pessoas, maior o investimento em segurança da informação. Aí deve-se analisar a estratégia de compatimentação por tipo de informação e tipo de usuário que acessa (amarrado com alçadas e poderes).
Quando falamos de virtualização total, se bem feita, ela em si já se torna uma medida de segurança e um apoio ao PCN (Plano de Contingência e Continuidade). Afinal é muito mais arriscado ficar transitando com os dados confidenciais da empresa em dispositivos físicos (notebook, pendrive, smartphone).
Por isso, ao final, deve-se criar uma Norma de Mobilidade, com recomendações de conduta dos usuários que vierem a ter este tipo de acesso, bem como definindo claramente os requisitos de uso de equipamentos corporativos (entregue pela empresa), pessoal (o próprio usuário usa o dele) ou de terceiros (caso de uso de equipamento de cybercafé, de hotel, de sala Vip de aeroporto).
Não tem como frear a necessidade da mobilidade, vivemos em um mundo plano, e as empresas que melhor prepararem seu ambiente para isso ganharão vantagem competitiva e farão mais negócios, além de atrair mais talentos.
* Dra. Patricia Peck Pinheiro, advogada especialista em Direito Digital, sócia fundadora da Patricia Peck Pinheiro Advogados é Palestrante do CNASI – Congresso de Segurança da Informação, Auditoria e Governança de TIC.
Fonte: http://www.cnasi.com.br/
O CryptoID, apoia o CNASI por que somos um portal de notícias sobre tecnologia da informação comprometido com a evangelização de profissionais que buscam a excelência em suas atividades e que percebem a importância da identificação digital com o objetivo de agilizar processos, reduzir custos, preservar recursos naturais e gerar serviços mais eficientes aos usuários, garantindo a privacidade e autoria dos atos praticados no mundo eletrônico para sua organizações.
Acompanharemos todas as novidades sobre o CNASI e compartilharemos entre nossos leitores!
[button link=”http://www.cnasi.com.br/sp/inscricao/” icon=”Select a Icon” side=”left” target=”” color=”b70900″ textcolor=”ffffff”]Inscreva-se agora para a edição de São Paulo![/button]