4min de leitura

Governo do Canadá divulga relatório sobre segurança na migração de sistemas locais para ambiente ''Cloud''

O Governo do Canadá realizou um recente estudo baseado na auditoria de desempenho de vários departamentos governamentais federais para avaliar a Estratégia de Adoção de Serviços “Cloud”, baseando-se nas boas práticas de ESG (Environment, Social & Governance ou, em português, algo como Governança Ambiental, Social e Corporativa).

O relatório do Governo Canadense considera especificamente se há governança, orientação e recursos suficientes para lidar com os riscos de segurança cibernética no que se refere às informações pessoais do cidadão canadense armazenadas na "nuvem".

Se tomarmos como base as orientações Canadenses e os estudos apresentados, será possível implementar políticas de segurança públicas e privadas com mais efetividade nos serviços cloud a serem utilizados pelo governo Brasileiro, bem como pelas empresas nacionais.

São premissas de segurança da informação que cabem não só ao setor público, como também às empresas brasileiras, e de fácil implantação.

Neste sentido, o relatório apontou as seguintes observações:

(1) lacunas na implementação de barreiras para inspeções de segurança de provedores de serviços que poderiam ajudar na prevenção de incidentes de segurança cibernética. Essas barreiras seriam conjuntos mínimos de controles, governança, monitoramento e rastreabilidade que os departamentos federais deveriam implementar para aprimorar a capacidade de detectar e prevenir incidentes de segurança cibernética na nuvem.  O relatório constatou que, embora houvesse uma exigência de incluir essas proteções para os departamentos de aquisição, elas não estavam adequadas; 

(2) controles insuficientes em treinamentos para detectar e responder a incidentes. Em abril de 2020, foi implementado o Plano de Gerenciamento de Eventos de Segurança Cibernética (Cyber Security Event Management Plan), definindo funções e responsabilidades para departamentos e agências para coordenar as respostas a um incidente de segurança cibernética. Também exigiu treinamento e capacitação contínua, além de manutenção de matrizes de responsabilidade que identificassem pontos de vulnerabilidade relevantes, bem como implantação de políticas de testes, planos e procedimentos. Foi constatado ainda que, embora houvesse exercícios de planos de ação desenvolvidos após os incidentes, havia testes insuficientes preventivos e corretivos. Treinamento e capacitação são essenciais para um efetivo plano de prevenção a incidentes de infração de dados, uma vez que mais de 80% dos eventos de vulnerabilidade cibernética acontecem por erros humanos; 

(3) disposições inconsistentes e pouco claras relativas à segurança nos contratos de prestação de serviços. O relatório apontou que a maioria dos contratos não constavam cláusulas que saneavam questões essenciais, tais como planos de resposta a incidentes, formas de resolução de pendências, reportes às autoridades e tempo de resposta para resolução de problemas, os famosos SLAs (Service Level Agreements). Assim sendo, não havia qualquer tipo de apontamento de responsabilidade e compromissos das partes contratadas no que se refere a incidentes de segurança, que deixavam as entidades governamentais suscetíveis a lacunas contratuais sem respostas objetivas. Também não havia padronização nas cláusulas de segurança para garantir a conformidade das obrigações entre os diversos prestadores de serviços. Como resultado dessas descobertas, o governo Canadense está trabalhando para desenvolver termos e condições padronizados, para esclarecer os requisitos de segurança para o fornecimento de serviços em nuvem e para padronizar funções e responsabilidades; e, por fim,

(4) ausência de modelos de custeio e financiamento insuficiente de longo prazo para auxiliar os departamentos na transição para provedores cloud. Neste sentido, os departamentos governamentais não receberam instruções suficientes para entender os custos de entrar, operar e proteger ambientes de trabalho em nuvem. Migrar os dados  e os sistemas, de um ambiente local para cloud, requer uma estratégia segura, bem mapeada e devidamente organizada. Nesta transição, é possível até mesmo ter a perda ou a exposição de dados, o que certamente causa prejuízos não só para a autoridade governamental, mas principalmente para o cidadão.

Estes foram os principais pontos do relatório, que também servem como um excelente norteador de como podemos fazer uma boa transição das servidores locais para um ambiente cloud!

Clique aqui e leia outros artigos escritos por mim no Procurement Digital

0 comentários

Deixe seu comentário