Segurança em tempos de nuvem: como proteger informações críticas da sua empresa

Por Colaborador externo | 16.01.2014 às 09:25

*Por Rogério Tessari

Cada vez mais a maneira como as empresas lidam com a Tecnologia da Informação (TI) é transformada pela computação em nuvem, que proporciona agilidade, eficiência e abre mais espaço para a gestão estratégica. Conforme uma pesquisa do Boston Consulting Group, entre 2010 e 2012, empresas líderes de tecnologia no Brasil, na China e na Índia cresceram até 28%, mais que o dobro em comparação às que não investiram em inovação.

Entre tantas vantagens que a nuvem traz, podemos destacar a mobilidade, que permite o acesso e compartilhamento de dados mesmo por um smartphone, o baixo custo (ou muitas vezes inexistente), uma vez que não é necessário manter um servidor de dados ligado na própria empresa, a independência e facilidade de uso – sendo dispensável contratar um técnico de informática, além de permitir oferta de novos serviços aos seus clientes.

Ao falar sobre ERP não poderia ser diferente. Com o foco deslocado do operacional para o estratégico, as preocupações com custos, segurança, administração e infraestrutura dão lugar ao que realmente importa – o desenvolvimento do negócio.

O cenário é estimulante, principalmente para micro, pequenas e médias empresas (MPME), às quais o mercado já disponibiliza diversos sistemas sob medida com base na nuvem. No entanto, olhando sob o prisma da segurança, o sistema de gestão na nuvem tem trazido um grande dilema não só às MPMEs: como aproveitar os benefícios da nuvem e manter o controle de segurança sobre os dados sensíveis da empresa?

Tríade da Segurança da informação

Segundo os padrões internacionais (ISO/IEC 17799:2005) que orientam a segurança para um determinado grupo de informações que se deseja proteger, existem três atributos básicos da segurança da informação:

  • Confidencialidade - garantia de que o acesso à informação se dá tão somente às pessoas autorizadas pelo proprietário da informação.
  • Integridade - garantia de que a informação manipulada mantenha todas as características.
  • Disponibilidade - garantia de que a informação esteja sempre disponível para o uso legítimo, ou seja, apenas por usuários autorizados.

Muitas das informações que uma empresa coloca no ERP são extremamente importantes e sigilosas, como as informações financeiras, dados de clientes e notas fiscais eletrônicas que devem ser mantidas por no mínimo cinco anos. A prestadora de serviço não deve ter permissão para acessar nenhum dado privado de sua empresa, a não ser que seja necessário para resolução de eventuais problemas e devidamente autorizado, tornando imprescindível que o acesso aos dados seja restrito, bem como senhas. Ao escolher um ERP é fundamental checar a política de segurança da empresa que fornece o serviço para garantir que seus dados estarão realmente seguros.

O mesmo vale para a disponibilidade. Um serviço estável evita que os dados fiquem indisponíveis – o que poderia ocasionar prejuízos, como contas não pagas no prazo e caminhões retidos no pátio da empresa à espera de notas fiscais eletrônicas, provocando atrasos na entrega de produtos.

Mecanismos de Segurança

Boa parte das empresas acredita que basta um controle de acesso simples e programas de antivírus para proteger seus dados. A verdade é que de nada adianta ficar com os dados “debaixo do nariz” se não existirem políticas e mecanismos para a garantia da segurança. Arquivar os dados na própria empresa é como guardar dinheiro embaixo do colchão – dificilmente você terá em casa a mesma infraestrutura de segurança de um banco.

Com os dados armazenados em datacenters, a segurança física e lógica é extremamente reforçada. Os computadores que armazenam seus dados são vigiados 24 horas por dia por câmeras de segurança, sistemas anti-incêndio, esquemas redundantes de energia elétrica, entre outros. Ainda sobre a segurança lógica, existem firewalls (filtros para permitir apenas acessos autorizados), protocolos de criptografia, entre outras técnicas.

Mesmo que sua empresa esteja em dia com todas essas práticas é preciso ir além da tríade da segurança da informação para garantir que tudo estará a salvo. Imagina se um hacker consegue intermediar a comunicação entre o computador da sua empresa e os servidores da prestadora do serviço? Para que a integridade na comunicação seja efetiva, o ideal é que a empresa contratada use algoritmos de criptografia (SSL), iguais aos usados pelos bancos, que garantem essa propriedade.

Manter os dados na nuvem é uma ótima alternativa, e com a devida atenção às características essenciais da segurança da informação, pode ser muito mais seguro do que manter dados em nossos próprios computadores.

*Rogério Tessari é fundador, mentor e sócio-investidor na Tiny, especializada em sistemas de gestão empresarial online.