Pular para o conteúdo principal

CSO e Cloud Computing se combinam?

Por Rangel Rodrigues, CISSP
CSO e Cloud Computing se combinam?
Alguns dos aspectos que inibem o uso e expansão de Cloud Computing tem sido a preocupação com a segurança informação que deverá ser superada  quando o mercado compreender que a seriedade ao lidar com informações é a condição básica para sobrevivência de qualquer empresa. 
Ao longo destes anos temos percebido o desafio do Chief Security Officer (CSO) em lidar com a proteção das informações tornou-se maior. Uma vez que cada ciclo de anos temos migrado para novos modelos de serviços, visando para a redução de custo, melhoria em infraestrutura, redução de riscos operacionais e consequentemente os invasores cada vez mais criativos tem usado novos métodos de entrada nas redes, seja por Acesso Remoto ou SQL Injection como aponta o 2013 Global Security Report  da Trustwave, o mais importante é saber que o sucesso dos grandes executivos de segurança da informação são profissionais que não se moldam pelos problemas diários na esfera corporativa, pois o sucesso consiste em uma série de fracasso lembrando que o invasor never stop e portanto nunca estacionar e sempre que possível reportando os incidentes para o senior management, pois é o negócio que provê os investimentos em segurança.
O trabalho duro e árduo requer uma batalha interminável e se houver perseverança escreverá e terá uma história para contar tão perto que está para chegar. Evidente que se espera que o CSO seja talentoso para fazer a diferença, ter entusiasmo, foco nos negócios e estratégia, liderança e conhecer de tecnologia, leis e regulamentações, além das melhores práticas de segurança considerando que a posição deste profissional é relativamente ainda nova nas empresas. A função deste executivo exige uma quebra de paradigma principalmente no que tange em tecnologia, tais modelos como Infrastructure-as-a-Service (IaaS) e Software-as-a-Service (SaaS) denominado de Cloud Computing é a bola da vez e a pergunta que se faz é: Como assegurar a proteção das informações neste modelo de serviço?
Alguns provedores de tecnologia tem investido forte em serviços de Cloud Computing e consequentemente em processos de segurança da informação, implantação de controles de senha, controle de acesso, gestão de vulnerabilidades, risk management, backup, incidentes de segurança, certificação em PCI-DSS, SAS 70, SSAE 16, alta disponibilidade do Datacenter, best practices ISO 27001, Cloud Security Alliance, Governança de TI (ITIL e COBIT), investimentos em certificação  de seus profissionais e conscientização dos colaboradores, além de parcerias com fornecedores de segurança tem sido as estratégias destes provedores para garantir a proteção das informações de seus clientes.
Considerando que este mercado esta em amadurecimento e as ofertas dos provedores são diferentes é necessário premissas como segurança e disponibilidade na ponta do iceberg, portanto, a escolha do provedor de nuvem não pode ser feita de forma superficial e o CSO deve estar atento para este novo modelo de serviço.
Como vemos, existem vários requisitos e pontos que devem ser analisados e considerados pelo CSO. Entretanto é importante que seja realizado um Due Diligence nos provedores de serviços, SLA adequado e suporte 24x7, averiguar o grau de satisfação de outros clientes e nunca esquecer que a governança de TI e segurança da informação sempre inicia em casa e continua com você. Não seja uma vítima de segurança em sua própria montanha-russa, mas use de forma eficiente os recursos e oportunidades com apoio de sua equipe.

Segurança em Cloud Computing


O filme que retrata a história de um CSO de um grande banco com Harrison Ford




Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Criando resiliência na gestão de vulnerabilidades

Entre explorações tradicionais de brechas e novas falhas geradas pelas dificuldades em aplicar patches de atualização constantemente, a gestão de vulnerabilidade continua sendo um dos grandes desafios para as Lideranças de Segurança Cibernética protegerem ambientes em cloud e on premise. Nesse artigo, os Cibersecurity Advisors, Rangel Rodrigues e Marcilio Rodrigues, apontam estratégias e boas práticas necessárias para blindar os ambientes digitais das empresas e garantir a continuidade dos negócios Por Rangel Rodrigues e Marcilio Rodrigues* Nestes quase 2 anos atuando como BISO, tive uma experiência um pouco diferente das anteriores. Meu papel era estabelecer uma conexão com os executivos de negócios e interconectar as áreas de tecnologia e cibersegurança, mas o que eu não percebi foi que a abordagem muda dependendo da cultura da organização. Sendo um profissional com uma raiz pura em tecnologia, já trabalhei em diversas frentes de TI e cibersegurança, mais precisamente nos últimos ano...
Postar um comentário
Leia mais

Seis princípios para fortalecer sua estratégia de Cibersegurança

O Security Advisor, Rangel Rodrigues, destaca em seu artigo o papel fundamental na estrutura de CISO, os desafios de mercado para 2025 e como a história de Neemias pode servir de inspiração para os líderes de Cibersegurança ganharem mais resiliência cibernética Em linhas gerais, a posição de um líder em Cibersegurança não tem sido fácil, mas diria o mesmo para qualquer profissional que trabalhe na estrutura de CISO em uma organização. Na história da Segurança da Informação, Steve Katz foi o primeiro CISO, no Citigroup, em meados de 1994, depois que o grupo sofreu um ataque cibernético de um hacker russo chamado Vladimir Levin. O banco criou a primeira posição de executivo de segurança cibernética do mundo e, a partir disso, a estrutura do CISO tem se expandido, sendo até comparada com a função de um piloto, devido às regras no espaço aéreo e alta complexidade de atuação. Tenho ouvido de alguns profissionais no Brasil e nos EUA que ainda não são muito valorizados, apesar de o cenário t...
Postar um comentário
Leia mais

O inimigo pode estar onde menos esperamos

Quais lições podem ser aprendidas com o apagão cibernético? Assim como no ataque às Torres Gêmeas, esse incidente também incentivará mais mudanças nos processos de Continuidade e Recuperação de incidentes, especialmente num ambiente cibernético hiperconectado, em que uma pequena falha pode causar uma crise de proporções inesperadas. O advisor e arquiteto em Segurança da Informação, Rangel Rodrigues, aponta questionamentos visando incrementar as estratégias futuras *Por Rangel Rodrigues O recente incidente com o Falcon (EDR) da CrowdStrike, usado por muitas organizações ao redor do globo, ocorreu após liberação de uma correção com defeito, que corrompeu um arquivo nos sistemas operacionais Microsoft Windows, resultando na famosa tela azul (blue screen of death). Consequentemente se gerou uma paralisação ou apagão cibernético, impactando globalmente os serviços de hospitais, sistemas financeiros, atendimentos e aeroportos. As consequências da crise levaram até a Comissão do Senado norte-...
Postar um comentário
Leia mais