Segurança e Privacidade de Serviços em Nuvem

 As normas ABNT NBR ISO/IEC 27017 e 27018.

A utilização de serviços em nuvem já é uma realidade na maioria das organizações. A facilidade na contratação dos serviços e a eliminação dos custos com a manutenção dos servidores internos para executá-los são grandes motivadores para que as demandas das áreas de negócios sejam atendidas dessa forma.

A contrapartida da facilidade e praticidade dos serviços em nuvem pública é que os requisitos de segurança da informação e privacidade são diferentes daqueles aos quais as organizações já estavam habituadas. A infraestrutura de TI utilizada não está mais sob o controle direto da equipe de segurança da informação do cliente dos serviços e nem isolada dentro do perímetro de proteção de sua rede interna. Utilizar ou prover serviços pela Internet demanda que as organizações estejam preparadas para se proteger de outros tipos de ameaças.

Desta forma, clientes e provedores de serviços em nuvem, precisam ter mapeados estes requisitos e implementadas as medidas que permitem atendê-los. Sem isto, a confidencialidade, a integridade e a disponibilidade das informações correm riscos, que podem impactar seriamente os negócios e as pessoas que delas dependem.

Na mesma linha, os requisitos de privacidade da informação precisam ser levantados e atendidos, pois é preciso proteger os dados pessoais em uma arquitetura de tratamento de dados com partes virtualizadas, implementadas sobre a Internet, com recursos distribuídos em diferentes níveis de prestadores de serviços, compartilhados por múltiplos clientes e espalhados geograficamente, até mesmo em outros países.

No caso de clientes ou provedores brasileiros, a legislação aplicável aos processos de tratamento de dados pessoais é a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018). No Brasil, a proteção do dados pessoais é também um direito e garantia fundamental, que consta do artigo 5º da Constituição Federal (LXXIX – é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais).

Para auxiliar as organizações a definirem estes requisitos de segurança da informação e privacidade e os aplicarem, existem normas técnicas internacionais. Estas normas são adotadas pelo Brasil e correspondem às normas ABNT NBR ISO/IEC 27017 (código de práticas de segurança da informação em serviços em nuvem) e ABNT NBR ISO/IEC 27018 (código de práticas de proteção de dados pessoais em serviços em nuvem).

Elas atendem a organizações de qualquer porte, públicas ou privadas, orgãos governamentais e mesmo entidades sem fins lucrativos, que sejam clientes ou prestadores de serviços em nuvem.

Principalmente, quem está passando ou pensando em passar pela transformação digital, se beneficiará enormemente das práticas propostas. Muitos sustos e dores de cabeça serão poupados se a adoção inicial dos serviços em nuvem já for feita considerando os requisitos apresentados nelas.

As normas estão disponíveis no Catálogo da ABNT e, para facilitar o seu entendimento e aplicação, a ABNT  lançou o curso online “Requisitos de Segurança da Informação e de Proteção de Dados Pessoais para a Nuvem”, com a primeira turma prevista para 4 de julho de 2022 e carga horária de 20 horas. As aulas serão no período da manhã.

Informações complementares estão disponíveis no Catálogo ABNT.

Autor: Carlos Alberto Iglesia Bernardo


Sobre o Autor:

Graduado em Engenharia Elétrica pelo Instituto Mauá de Tecnologia (IMT). Consultor em segurança da informação, proteção de dados e gestão de riscos na IT Secure. Atua há 38 anos na área de Tecnologia da Informação, com vivência na estruturação, gestão de áreas técnicas e condução de projetos de infraestrutura e segurança da informação. Membro da comissão de estudo de segurança da informação, segurança cibernética e privacidade da ABNT (CE-021 000.027). Relator do projeto de tradução da norma ABNT NBR ISO/IEC 29100 – Estrutura de Privacidade. Coordenador do curso de pós-graduação em Boas Práticas, Normas e Compliance em Segurança Cibernética do IMT. Professor em cursos de aperfeiçoamento profissional em segurança da informação, proteção de dados pessoais e gestão de riscos pela ABNT, Fundação Vanzolini, TI Exames e IT Secure.


Fonte da imagem: Banco de Imagens Pixabay

Segurança e Privacidade de Serviços em Nuvem