«Os cavalheiros não leem as cartas uns dos outros.»
Henry L. Stimson (1948)
Quarta Plataforma
Os meus dados vão para as nuvens: e agora?
A adoção de cloud computing pelas empresas está em rápido crescimento, mas para os responsáveis de sistemas de informação, a decisão de mudança não tem sido fácil nem imediata. Uma das principais preocupações manifestadas nos estudos recentemente efetuados sobre adoção de cloud, tem que ver com a privacidade dos dados colocados na «nuvem».
A conformidade com as regras de proteção de dados permanece um desafio para os responsáveis de sistemas de informação e respetivas equipas – mais ainda se estiverem a operar a uma escala internacional e com a necessidade de respeitar diferentes exigências regulamentares em distintas regiões geográficas. As questões que se colocam podem ser, habitualmente, sistematizadas da seguinte forma:
1) Qual o formato de um acordo de nível de serviço que tenha em conta esta preocupação (legítima)?
2) Com que base podem os decisores agir quando avaliam se devem optar por soluções de cloud e quais as que melhor endereçam as suas necessidades?
A Organização Internacional de Normalização (ISO), ciente do problema, deu um passo importante para solucioná-lo com a publicação, há poucos meses, da norma ISO/IEC 27018, a primeira que se foca na proteção de dados pessoais na cloud.
A norma especifica um conjunto de medidas de segurança que os fornecedores de serviços deverão adotar, incluindo cifra de dados e controlo de acessos e deverá dar, finalmente, aos utilizadores, a confiança de que a os seus dados estão devidamente salvaguardados. A norma tem os seguintes objetivos:
1) Ajudar os fornecedores de serviços de cloud que processam informação identificável pessoalmente, a endereçar as obrigações legais aplicáveis, bem como expectativas dos clientes.
2) Proporcionar um nível padrão de transparência, para que os clientes possam escolher serviços de cloud adequadamente geridos e seguros.
3) Facilitar a criação de contratos para serviços de cloud. 4) Proporcionar aos clientes dos serviços um mecanismo para assegurar a conformidade com as respetivas obrigações regulamentares.
A norma obriga também os fornecedores a implementar políticas de sensibilização para as questões de segurança, de forma que os funcionários estejam cientes das consequências (para eles próprios, para os seus empregadores e respetivos clientes) das quebras de regras de privacidade e segurança de dados.
Para os clientes de serviços cloud, a ISO/IEC 27018 constitui uma base prática para induzir confiança nas plataformas desta indústria emergente.
Pelo outro lado, para a indústria da cloud, proporciona uma orientação clara, por forma a ir de encontro às necessidades legais e regulamentares dos seus clientes.
Quanto mais rapidamente os utilizadores puderem ter a confiança para usar a cloud corretamente (com proteção e segurança), tanto melhor para a sua satisfação e, em última análise, para os seus resultados. Os passos que agora estão a ser dados apontam, decisivamente, no caminho certo.
Henrique Carreiro | docente de Cloud Computing e Mobilidade Empresarial na Nova Information Management School
Contacto: quartaplataforma@outlook.com
_________________________________________________________ |