Requisitos para análise de segurança da informação em provedores de serviços em nuvem

Resumo

Com a ocorrência do fenômeno big data, surge a necessidade de tecnologia e infraestrutura adequada para suportar esse novo cenário. Neste contexto, os serviços em nuvem atendem essa demanda, porém requerem controles de segurança específicos devido a forma em que os recursos computacionais são concebidos, utilizados e gerenciados. O presente artigo apresenta um estudo da norma ISO/IEC 27017:2016 com o objetivo de avaliar os requisitos de segurança destinados aos provedores dos serviços em nuvem, classificados conforme sua aplicação aos aspectos organizacional, físico e técnico. Com este estudo foi possível observar que tanto para o aspecto organizacional quanto para o técnico, a norma apresenta diversos controles específicos para os serviços em nuvem. Já quanto ao aspecto físico, as recomendações são muito similares aos de um ambiente tradicional. O tema que trata sobre as responsabilidades e papéis de segurança permeiam os demais controles e precisam ser definidos detalhadamente entre as partes envolvidas. O trabalho apresenta um quadro com os controles abordados pela norma para agilizar o entendimento e sua aplicação, porém requer avaliações técnicas adicionais para operacionalizá-las. Observa-se também que para obter uma solução completa de segurança, os controles da norma ISO/IEC 27002:2013 devem ser adotados. Além disso, o propósito dos cenários de uso dos serviços em nuvem, o modelo de serviço adquirido e os riscos de segurança associados a cada um deles são determinantes para implementar os requisitos de forma adequada.
Publicado
2018-10-15