Você já ouviu falar no modelo de responsabilidade compartilhada? Como cliente, você conhece suas obrigações no que diz respeito à segurança na nuvem? É isso mesmo: embora grande parte dos usuários não se atente a esse ponto, contratar algum serviço na cloud (em especial o SaaS, software as a service) não significa dispor de backup e proteção de dados “inclusos” no pacote.
De fato, é muito usual que as empresas ou usuários finais que investem em serviços cloud acreditem que toda a responsabilidade do gerenciamento dos recursos – o que abrange a segurança, a conformidade e os próprios custos – pertence ao provedor da nuvem.
Por esse motivo, para evitar enganos, frustração e – o pior – uma amarga perda de dados estratégicos e sensíveis, é necessário estar ciente de todos os termos do contrato, com destaque para a referida responsabilidade compartilhada.
A seguir, saiba mais sobre esse tema de suma importância para negócios e usuários, além de conferir dicas para não negligenciar sua proteção por falta de alerta. Acompanhe!
O que é o modelo de responsabilidade compartilhada?
Em linhas simples, a responsabilidade compartilhada é um modelo utilizado pelos provedores cloud para definir de quem é a responsabilidade nos diferentes níveis de serviço (SLAs). Trata-se de um modelo utilizado por quase todas as nuvens públicas.
Nos contratos fechados com os provedores, a responsabilidade compartilhada é um dos tópicos ou cláusulas, exigindo análise detalhada.
Basicamente, isso significa que o encargo da gestão da segurança não fica restrito ao provedor, mas é compartilhado com os clientes. Ao contrário do que muitas pessoas pensam, contratar o serviço não é sinônimo de “estar tudo resolvido” – o cliente deve fazer a sua parte pela proteção.
Para citar um exemplo, podemos falar da renomada AWS, que divide as responsabilidades usando os termos “segurança da nuvem” (domínio da AWS) e “segurança na nuvem” (domínio do usuário).
A essa altura, vale ressaltar que os serviços na nuvem – principalmente no modelo SaaS – são mais comuns do que se pensa e utilizados não apenas pelas companhias, mas também por pessoas físicas no dia a dia. O próprio Gmail e o Office 365 são exemplos clássicos e corriqueiros de aplicações na modalidade.
Nessa perspectiva, muitos dos serviços SaaS de backup – como o mencionado AWS (Amazon Web Services), Google Drive, Microsoft Azure, Google Cloud e Microsoft Exchange – aplicam a responsabilidade compartilhada.
Embora essas responsabilidades variem conforme o tipo do contrato e o provedor, é imprescindível que o cliente esteja ciente dessas condições, compreendendo que sempre serão encarregados de determinadas funções e gerenciamentos.
Quais são as responsabilidades do provedor?
Em primeiro lugar – e para aumentar a compreensão do modelo de responsabilidade compartilhada -, é importante ressaltar que há diversas camadas de serviço em um ambiente de cloud computing. A mais baixa consiste na infraestrutura física, que envolve os data centers (centros que processam os dados), conexão à internet, manutenção de equipamentos e alimentação de energia.
Logo acima, existe outra camada, que abrange os serviços que são acessados pelo painel do usuário, a exemplo do armazenamento, da rede, dos bancos de dados e dos serviços de computação.
Nesse sentido, tais partes de infraestrutura e serviços são de responsabilidade do provedor da nuvem. Portanto, ele está encarregado de garantir a segurança da nuvem e fornecer a infraestrutura adequada para a realização de backups (o que inclui assegurar a energia dos servidores, a tolerância a falhas, a manutenção contínua dos equipamentos, a capacidade e a boa conexão à internet, como mencionamos).
Entretanto, não é atribuição do provedor disponibilizar as informações críticas dos negócios no nível das contas armazenadas nos aplicativos.
Confira também 👉 Segurança em SaaS: por que é tão importante?
Quais são as responsabilidades do cliente?
Por sua vez, de forma sucinta, é responsabilidade do cliente gerenciar tudo aquilo que está inserido na nuvem ou acima da camada de infraestrutura física que mencionamos no último tópico.
Portanto, se sua empresa contratou um serviço cloud, ficará a seu encargo:
- os softwares envolvidos (PHP, Mysql, Apache, entre outros);
- o sistema operacional;
- os controles de acesso e as regras do firewall;
- os patches e as atualizações para a segurança.
Nesse cenário, a parte da responsabilidade compartilhada que cabe à empresa contratante inclui delimitar os acessos dos usuários, realizar a criptografia dos dados, assegurar a proteção ao tráfego das redes e manter a autenticidade dos usuários. Além disso, em determinadas situações, é o cliente quem precisará estabelecer a periodicidade do backup, assim como selecionar e configurar os arquivos que devem receber maior nível de proteção.
Como podemos perceber, cabe a você, cliente de um serviço em nuvem, uma esfera significativa da segurança tão necessária, certo? Vale lembrar, por exemplo, que se um profissional do seu negócio liberou uma porta de acesso por engano e o servidor for invadido por hackers, essa séria violação será responsabilidade da empresa.
Considerando que muitos clientes desconhecem essa informação tão importante, reforçar o alerta é extremamente necessário: a incumbência também é sua!
Quais são as responsabilidades do usuário?
Sim, uma parcela da responsabilidade compartilhada relativa à segurança na nuvem cabe ao usuário. Ao utilizar a aplicação, é sua obrigação fazer o acesso de uma rede segura, usar redes privadas virtuais (VPNs) e se manter atento para detectar os frequentes ataques de engenharia social.
Vale acrescentar, ainda, que a criação de senhas fortes é outra etapa relevante para aumentar a proteção.
Responsabilidade compartilhada: o que fazer?
Neste ponto, vale a pena recuperar uma pesquisa realizada pela Rewind: de acordo com o estudo, 40% dos usuários de SaaS em diversos segmentos já perderam dados armazenados nas suas ferramentas online.
A análise também revelou que, embora 53% dos entrevistados citem o uso de ferramentas SaaS no trabalho e 43% até usem 4 ou mais desses recursos, quase metade dos usuários (45%) ainda não conheciam o Modelo de Responsabilidade Compartilhada.
Esse desconhecimento, vale destacar, faz com que os usuários não imaginem que suas aplicações estão vulneráveis, mesmo que os provedores façam o backup ativo somente da infraestrutura em nuvem, ou seja, da parte que lhes cabe.
Na prática, de fato, os provedores oferecem um SLA (nível de acordo de serviço) que pode ser bastante alto, mas que garante apenas uma disponibilidade e segurança redundantes, ou seja, que se referem à sua própria infraestrutura cloud. O backup por eles realizado, assim, é voltado para eles mesmos. Existem provedores que oferecem essa segurança como serviço adicional ao cliente, mas não é a regra.
Diante de todo esse contexto, a Rewind recomenda veementemente que as empresas de todos os portes revejam suas iniciativas atuais de proteção de dados na nuvem, além de manter backups abrangentes para os principais aplicativos de negócios.
Verifique seu contrato!
Assim, antes de tudo, você, como cliente cloud, deve resgatar o contrato firmado (ou a ser firmado) com seu provedor e buscar o tópico sobre responsabilidade compartilhada. Ali, estarão explicitadas as fronteiras das atribuições que cabem ao provedor contratado e aquelas que são da alçada do seu negócio. O que é “acordado” não sai caro!
Invista em backups confiáveis
Tal como recomendado pela Rewind, a prática de backup confiável (que garante a recuperação e a disponibilidade dos dados mesmo que haja incidentes de segurança) é outra medida essencial. Como vimos, muitas empresas perdem dados críticos mesmo com serviços de backup SaaS, porque desconhecem os termos do contrato e negligenciam a responsabilidade que lhes cabe.
Merece atenção, ainda, o fato de que muitos negócios lamentam profundamente não terem apostado na prática desde o começo. A perda de informações vitais, afinal, pode paralisar as operações, além de causar gravíssimos prejuízos financeiros e de imagem.
Nessa perspectiva, realizar backups adicionais e gerenciar os dados críticos é crucial, evitando imprevistos. As cópias dos dados, como não poderia deixar de ser, devem ser completas e abrangentes.
Confira também 👉 Backup para SaaS: desfaça os mitos e aposte na melhor solução
Conte com um parceiro de backup em nuvem!
Cumprir adequadamente o modelo de responsabilidade compartilhada, garantindo o nível de segurança desejado, exige conhecimento técnico e expertise na realização do gerenciamento dos dados.
Diante da falta dessas habilidades e de uma equipe de TI enxuta, o caminho cada vez mais tomado pelos negócios é contar com um parceiro especializado em backup em nuvem, que assegura o monitoramento do processo, armazena as cópias dos dados em outra localidade e potencializa a proteção, minimizando grandemente os riscos.
Esperamos que tenha tirado suas dúvidas sobre o importante tema do modelo de responsabilidade compartilhada.
Créditos da imagem de destaque: rawpixel.com
