Índice:
O uso de serviços em nuvem em muitas circunstâncias está ganhando suporte de gerenciamento. No entanto, essa atitude otimista está ausente nos departamentos de TI. O relatório Ponemon, patrocinado pela Lumension, 2014, State of Endpoint Risk, sugere que o uso da computação em nuvem, seja apoiado pela empresa ou orientado por funcionários, aumentou a angústia entre os entrevistados da pesquisa - 19.001 profissionais de TI nos Estados Unidos. O slide abaixo mostra que 44% dos entrevistados (aumento de 16% entre 2012 e 2013) identificaram o uso de recursos de computação em nuvem como uma das principais preocupações. A equipe de TI citou inúmeras preocupações em torno da computação em nuvem.
Fonte: Relatório de Risco do Estado de Terminal de 2014
Quem é responsável pelos dados na nuvem?
O relatório do Ponemon espelhava muito do que especialistas em segurança têm dito nos últimos anos. O que me deixa curioso é quem é responsável? Quem é o culpado se algo acontecer com os dados da empresa quando estiverem na nuvem? Pode-se esperar todos os tipos de menção sobre isso, mas não há. Pequenas discussões sobre responsabilidade começaram a surgir dois ou três anos atrás. No entanto, "cuidado com o comprador" foi a única conclusão real a ser tirada.
Com o aumento da preocupação da equipe de TI, pode ser uma boa ideia verificar se alguma coisa mudou no departamento de responsabilidade. Em 2012, entrevistei vários executivos de nível C. Durante as entrevistas, perguntei quem eles pensavam ser responsável por proteger os dados da empresa residente na nuvem. Todo executivo acreditava que a segurança dos dados não era mais a preocupação deles quando os dados estavam nos servidores de outras pessoas.
O artigo da Businessweek de 2012 Quem é responsável pela proteção de dados na nuvem? Sarah Frier afirmou minha pesquisa não científica. No artigo, Frier citou Mario Santana, da Verizon Communication, que disse: "Algumas empresas assumem erroneamente que, uma vez que optam por armazenar dados em servidores externos, não precisam mais se preocupar em proteger essas informações".
Com base nas descobertas da Ponemon e da Businessweek, a desconexão entre executivos de nível C e departamentos de TI em 2012 tornou-se aparente. Avanço rápido de dois anos e o que líderes de negócios e profissionais de TI estão dizendo sobre segurança e quem é responsável pelos dados da empresa confiados a um provedor de serviços em nuvem mudou.
O que há de diferente em 2014?
Em abril de 2014, o Ponemon Institute lançou seu terceiro estudo anual Trends in Cloud Encryption, patrocinado pela Thales e-Security. A pesquisa da Ponemon consultou 4.275 gerentes de negócios e TI nos Estados Unidos, Reino Unido, Alemanha, França, Austrália, Japão, Brasil e Rússia. O principal objetivo da pesquisa foi examinar como as organizações protegem seus dados quando eles são fornecidos aos provedores de serviços em nuvem.
Os pesquisadores do Ponemon fizeram aos participantes duas perguntas importantes para esta discussão:
- Qual a porcentagem de organizações que transferem dados sensíveis ou confidenciais para serviços externos baseados em nuvem?
- Quem é o principal responsável pela proteção de dados sensíveis ou confidenciais transferidos para um provedor de serviços baseado em nuvem?
Fonte: Tendências na criptografia em nuvem
Em seguida, para o ano da pesquisa de 2013, quem foi o principal responsável pela proteção de dados sensíveis ou confidenciais transferidos para um provedor de serviços baseado em nuvem? Depende. Os participantes da pesquisa disseram que a responsabilidade depende do tipo de serviço em nuvem que está sendo fornecido - SaaS ou IaaS / PaaS. O slide abaixo mostra as opiniões dos entrevistados sobre quem foi o responsável quando uma empresa usou um ambiente SaaS. Em 2013, 54% consideraram o provedor de nuvem responsável pela segurança e 24% consideraram os usuários de serviços de nuvem responsáveis, enquanto 19% consideraram que a responsabilidade deveria ser compartilhada. (Saiba mais em Escolhendo entre IaaS e PaaS: o que você precisa saber.)
Fonte: Tendências na criptografia em nuvem
O próximo slide mostra a opinião do respondente sobre quem foi o responsável quando uma empresa usa um ambiente IaaS / PaaS. Em 2013, 47% consideraram a segurança uma responsabilidade compartilhada, 26% consideraram os usuários de serviços em nuvem como responsáveis e 22% consideraram que essa era uma responsabilidade do provedor de serviços em nuvem.
Fonte: Tendências na criptografia em nuvem
A linha inferior? As coisas mudaram. Parece que a atitude de "cuidado com o comprador" amadureceu junto com os produtos de serviço em nuvem. Mas, como me disse um advogado experiente na Internet, as responsabilidades são determinadas pelos contratos, nada mais ou nada menos. Isso é algo para todos os envolvidos nos serviços em nuvem.
