​​​Quando se trabalha com soluções em nuvem as questões de segurança sempre aparecem, é natural. Já vi respostas raivosas do tipo "então você acha que seus dados estão mais seguros em sua casa do que em nosso datacenter?", mas não gosto dessa abordagem.

Não há porque ficar na defensiva, 
os dados são do cliente e ele merece 
a segurança que deseja.


Interessante lembrar que em um passado não muito distante, muitos também se perguntaram se as compras com cartão de crédito pela internet eram seguras.  

Curiosamente, muitos se sentiam mais seguros em ditar seu número de cartão para um estranho numa compra por telefone, ou ter uma cópia literal de seu cartão em um papel carbono feito pela maquininha manual de cartão (lembra?), que acabaria no lixão do shopping-center. 

Assim, a questão da segurança tem dois aspectos importantes. Não basta que a coisa seja segura, é necessário que o cliente também se sinta seguro. É por isso que, muitas vezes, lhe pareça mais seguro um drive externo do que um backup em nuvem. O drive ele sabe onde está, ele pega, leva para onde quiser, até o dia que ele o perde...

De forma direta, para caber em um texto, a segurança está baseada em três princípios fundamentais:
  • O armazenamento: Onde a informação está guardada, é seguro?
  • A transmissão: Onde os dados trafegam, é seguro?
  • O acesso: O controle do acesso aos dados, é seguro?
​Muitos serviços em nuvem oferecem uma lista de selos e ISOs que, em muitos casos, resolvem a primeira parte dessa tríade. No caso do drive externo, apesar do armazenamento não lá muito seguro (está sujeito a perdas e os dados não estão protegidos em caso de roubo), a transmissão e o acesso são razoavelmente seguros, pois são controlados pelo dono da informação.

Então, se o controle de acesso da informação for dado ao seu dono, ele vai se sentir mais seguro?

​Pode parecer que sim, mas é aí que está a maior parte dos problemas de segurança. Não é incomum ir a clientes que, por exemplo, possuam a plataforma Office 365 e notar a forma precária que a empresa controla seus acessos. E é aí que está um dos maiores riscos. 

Algumas coisas que nunca devem ser feitas com soluções em nuvem, Office 365 por exemplo:
  • Não dê acesso de administrador global a mais pessoas do que o mínimo necessário;
  • Se o usuário precisa administrar uma porção do todo, não dê permissão de administrar tudo, só por que é mais fácil;
  • Antes de tudo, procure fazer a integração do controle de usuários da rede local (Microsoft Active Directory, por exemplo) com o controle de acesso da nuvem;
  • Nunca dê acesso a usuários externos do tipo @gmail ou @hotmail;
  • Em caso de necessidade de dar acesso a usuários externos de outras origens, nunca dê um acesso por tempo indeterminado;
Existem também formas de proteger ainda mais o acesso de pessoas não autorizadas à informação. Para citar uma, no ambiente Office 365, você pode ampliar o controle de acesso utilizando o "MultiFactor Authentication". Mas o que é isso?

Aqui em nosso escritório, a senha da rede local já serve para o acesso das coisas que temos em nuvem, mas isso só vale quando estamos fisicamente aqui. Quando estamos em outros locais, a autenticação exige um dado adicional para liberar o acesso: um token.



tela_celular.png


Esse token é gerado especificamente para o usuário e vale por cerca de 20 segundos. Pode ser enviado ao usuário via SMS ou obtido em um APP no celular cujo número de telefone do usuário previamente cadastrado.

Desta forma, temos uma garantia adicional de que o usuário é ele mesmo ou, pelo menos, que o acesso foi obtido com os dados que chegaram em seu celular.

​Assim, podemos então repousar nossas cabeças em paz em nossos travesseiros com a certeza de que não acabamos sendo nós aqueles que comprometeram a segurança do​s nossos dados.








Luiz Vianna - CEO da Mult-Connect​