Se você foi contratado em algum tipo de engajamento formal, é provável que você esteja familiarizado com a ideia de conformidade regulatória. Lembra quando você estava assinando o que pareciam ser mil documentos no dia em que aceitou o emprego? Dentro de algumas dessas páginas, encontram-se instruções específicas sobre como proteger informações confidenciais e proteger a privacidade dessas pessoas no processo. Isso inclui orientações sobre a maneira correta de armazenar essas informações, acessá-las e compartilhá-las, bem como o procedimento para relatar uma violação de dados que possa ocorrer.
Por exemplo, a Lei de Portabilidade e Responsabilidade de Seguro de Saúde, ou HIPAA, é uma legislação reguladora para o setor de saúde que foi assinada nos anos 90 para proteger a privacidade dos pacientes. A lei é de natureza holística, o que significa que protege as informações do paciente, independentemente de serem armazenadas em cópia impressa ou digital e compartilhadas ou não. Para direcionar a responsabilidade na proteção dos registros médicos do paciente e outros dados confidenciais, os provedores de assistência médica e seus parceiros serão multados pela não conformidade. Em determinadas circunstâncias, também foram apresentadas acusações criminais contra partes negligentes.
As regras de conformidade podem ser diferentes se você trabalha no governo (FedRAMP), na fabricação (GMP) ou no setor imobiliário (CFPB) e também pode ser afetado pelo recebimento de pagamentos dos portadores de cartões (PCI-DSS). Com isso dito, você também pode se deparar com muitos regulamentos de conformidade se a sua organização usa vários chapéus. E como se o cenário de conformidade já não fosse um campo minado, as inovações tecnológicas acrescentaram mais uma camada para os profissionais: a nuvem. Isso significa que você agora tem que reduzir os riscos em dispositivos que possui internamente, ao mesmo tempo em que aborda os riscos de dados armazenados em ambientes de terceiros. Impossível? Não. Mas a tarefa à frente não será fácil. Você precisará de muita disciplina e da ajuda de alguns parceiros estratégicos. Com isso dito, descrevemos 5 dicas para garantir a conformidade de dados na nuvem:
Tipo de nuvem
Apesar de ser óbvio para alguns, a primeira dica é ter uma compreensão firme de que tipo de nuvem sua organização está usando, as nuances sutis e se as regulamentações exclusivas se aplicam ou não. Por exemplo, armazenar dados em uma nuvem privada que usa seus recursos internos do data center é provavelmente a opção menos arriscada ao discutir o armazenamento em nuvem. Isso é devido à natureza de inquilino único da implantação. Nesse cenário, somente os dados da sua organização utilizam a infraestrutura. Uma alternativa para isso seria usar uma solução de nuvem pública fornecida pela AWS, Microsoft ou Google. Essas arquiteturas multilocatárias provavelmente custarão menos porque você está compartilhando capacidade de infraestrutura e recursos com outras organizações. Embora amplamente adotado no mercado, esse método de consumo é menos seguro em teoria.
Acesso de Funcionário
O gerenciamento de acesso para sua equipe é uma função vital para uma proteção de dados bem-sucedida. Dada a sensibilidade dos dados do usuário, você não quer que ninguém tenha acesso a nada. Crie políticas para garantir que sua equipe tenha o acesso menos privilegiado para o que precisam acessar. Decretar políticas de acesso baseadas em necessidades para que os funcionários tenham acesso a recursos específicos apenas por um tempo limitado. O acesso que expira após uma determinada duração minimiza a janela para a execução de ataques. Faça auditorias regularmente de acordo com os requisitos do seu negócio para garantir que apenas usuários válidos existam no sistema. Por último, você também deve ser capaz de demonstrar que o acesso baseado em permissão foi implementado. Essa validação é fundamental em alguns setores.
SLAs do provedor de serviços
Além de sua própria equipe, você precisa garantir que seu provedor de nuvem esteja ciente e tenha a capacidade de atender às suas necessidades conforme elas se relacionam com a obtenção de conformidade regulatória. Este item de ação não é algo que você pode deixar ao acaso ou fazer suposições por causa da reputação do seu provedor. O contrato de nível de serviço com o (s) seu (s) provedor (es) de nuvem deve (m) ser bem claro sobre funções e responsabilidades, execução de respostas de incidência e remediação de violação de dados. Tudo combinado com o seu provedor deve estar de acordo com os regulamentos que regem sua organização. Você também deve ter a opção de modificar seu SLA para acomodar mudanças nas necessidades de conformidade.
Criptografia de dados
Para qualquer negócio na era digital, os dados são o ativo mais valioso. Você quer garantir que as medidas corretas sejam tomadas para proteger seus dados. Certifique-se de ter a criptografia ativada em repouso. Essa tática garante que os dados não possam ser adulterados se as credenciais de acesso chegarem às mãos erradas. Aproveite um serviço de gerenciamento de chaves ou o HSM para criptografar os dados no disco ou no banco de dados. Quando os dados estão em trânsito, certifique-se de que os dados sejam movidos por SSL de ponta a ponta. Isso pode ajudar a evitar qualquer roubo de dados no meio. Como parte da operação e suporte, pense em um mecanismo de hashing para que as identidades dos clientes não sejam divulgadas. Se a criptografia for fornecida pelo seu fornecedor de nuvem, familiarize-se com o processo. Entenda exatamente o tipo de criptografia que eles oferecem e os detalhes granulares que envolvem a implementação.
Regiões e zonas de disponibilidade (AZs)
Dependendo do seu setor, talvez você também precise seguir as diretrizes de geografia de dados. Isso se refere ao local em que os provedores da infraestrutura nacional ou global os dados estão armazenados. Mais frequentemente, os dados confidenciais precisam ser armazenados dentro do país de origem. Se você já foi auditado por um órgão regulador de conformidade, você também precisará demonstrar que os dados estão de fato armazenados onde precisam estar.
Lista bastante abrangente, hein? Nós também pensamos assim. Mas infelizmente, você ainda não está claro ainda. O último item pendente que não abordamos envolve ambientes com várias nuvens. Na economia digital de hoje, a realidade é que as organizações utilizam mais de um provedor de nuvem para atingir seus objetivos de negócios. Um grande fabricante, por exemplo, poderia aproveitar a AWS para determinadas cargas de trabalho e o Microsoft Azure para outras. Não é grande coisa na superfície. No entanto, embora os provedores de serviços em nuvem geralmente ofereçam ferramentas para atender às suas necessidades de conformidade, eles só podem fazer isso por sua solução. O que significa que sua cobertura de conformidade está incompleta, já que você isolou instantâneos em vez de visibilidade holística.
Então, como você obtém suporte holístico para conformidade regulatória na nuvem? A Nutanix Xi Beam mantém a conformidade com a segurança na nuvem para padrões regulatórios, como PCI-DSS, HIPAA, CIS e muito mais, para nuvens AWS e Azure. Você pode usar políticas de conformidade personalizáveis e verificações de auditoria para atender às necessidades específicas de conformidade. Além disso, monitore seu desempenho com análises e relatórios detalhados. Hoje, a Xi Beam realiza auditorias a cada 24 horas e também permite que você defina auditorias em intervalos programados. Com mais de 200 verificações de auditoria automatizadas e políticas de conformidade de segurança integradas, o Xi Beam oferece uma visão incomparável de seu ambiente com várias nuvens.
Se estiver interessado, você pode obter uma avaliação gratuita de 14 dias da plataforma para testá-la por conta própria entre em contato conosco!
ASG
https://www.asgit.com.br/
contato@asg.com.br
(51) 3376.1210