Opinião

Segurança em nuvem na era da LGPD

Em agosto deste ano está prevista para entrar em vigor a Lei Geral de Proteção de Dados (LGPD) 13.709/18, que tem como objetivo colocar na mão de cada indivíduo o domínio sobre seus dados pessoais. A norma, inspirada no Regulamento Geral sobre a Proteção de Dados (GDPR) europeu, prevê que as pessoas tenham mais ingerência sobre os seus dados armazenados e a opção de escolher manter ou não suas informações à disposição de uma determinada companhia. As sanções para quem infringir essas regras podem gerar advertências, multas de até 2% do faturamento (até R$ 50 milhões), publicização da infração, e exigência de bloqueio ou eliminação de dados pessoais.

Segundo o 9º Índice de Confiança Robert Half, divulgado no ano passado, 34% das empresas brasileiras não estão preparadas para a LGPD e 19% desconhecem o significado e o que representa a sigla, o que é bastante preocupante, já que a norma impacta diretamente todos os setores. A Lei 13.709/18 é aplicável a todos que realizam qualquer prática de operação com dados pessoais (coleta, armazenamento, processamento etc.), sejam eles de clientes, colaboradores, funcionários ou visitantes. As principais obrigações previstas na norma incluem a adoção de boas práticas de governança e segurança no tratamento de dados pessoais; comunicação de incidentes de segurança; atendimento a solicitações dos titulares de dados pessoais e demonstração e comprovação da observância.

Seu peso é ainda maior sobre os serviços financeiros. Organizações desse segmento armazenam um imenso volume de dados e precisam adequar anos de infraestrutura tradicional em novas formas de manutenção e troca de informações que permitam um alto nível de segurança. Principalmente em decorrência da adoção do Open Banking, que deve passar a funcionar em larga escala também este ano, já sob as regras da LGPD.

Garantir o armazenamento e a movimentação desses dados com o menor risco possível é um grande desafio para qualquer organização. Mas alguns caminhos e soluções conseguem responder bem às necessidades das companhias no que se refere à segurança, como a computação em nuvem. De acordo com um estudo realizado pelo SAS Brasil no último ano, 80% das empresas avaliadas tinham ou iriam ter um projeto baseado em nuvem híbrida nos próximos 12 meses. A pesquisa foi feita com 286 executivos C-level das áreas de tecnologia e análise de dados de grandes empresas da América Latina das áreas de varejo, telecom, setor público, serviços de utilidade pública, indústrias, serviços financeiros e bens de consumo.

Oferecendo benefícios como agilidade e flexibilidade, além da otimização de recursos de TI, a nuvem ainda traz importantes camadas de segurança para as aplicações. Claro que a solução não está imune a riscos, mas seguindo algumas regras simples a probabilidade de vazamento, fraude ou roubo de dados é muito menor. Ainda há dúvidas sobre como dados armazenados na nuvem estarão em compliance com as novas leis de proteção de dados, principalmente por conta das questões geográficas – servidores podem estar rodando a mesma aplicação em várias partes do mundo. Mas, certamente, sua adaptação será muito mais simples do que a de infraestruturas tradicionais.


Entre as opções disponíveis nesse mercado, a nuvem híbrida é a que mais tem ganhado espaço, já que mescla os modelos de gestão de nuvem pública, que são oferecidos por grandes empresas, e nuvem privada, que costuma ser desenvolvida sob demanda, em um único ambiente virtual. Segundo levantamento feito pela Red Hat, líder global em soluções open source, 31% das empresas ouvidas afirmaram apostar nesse caminho por questões de segurança, custo x benefício e facilidade na escalabilidade e integração de dados.

Segurança de ponta a ponta

O armazenamento em nuvem deu origem a uma série de outros conceitos de inovação, criados para facilitar os processos de desenvolvimento e funcionamento das aplicações. Nessa esteira aparecem os microsserviços, os containers e uma série de outras soluções integradas. A evolução das tecnologias também reforça a aplicabilidade da integração do conceito DevSecOps (Development, Security & Operation), que implementa o item segurança desde a concepção do desenvolvimento de software.

No framework colaborativo do DevOps, a segurança é uma responsabilidade compartilhada e integrada do início ao fim. Significa automatizar algumas barreiras para otimizar o fluxo de trabalho e selecionar as ferramentas corretas para integrar a segurança continuamente. Essa integração em toda a esteira requer que a organização adote uma nova mentalidade ágil, assim como novas ferramentas.

Quando o assunto é segurança, o conteúdo do container não pode ser ignorado. Atualmente, as aplicações e as infraestruturas são formadas por componentes com disponibilidade imediata. Muitos deles são pacotes de tecnologia open source. Portanto, não é necessário criá-las. Mas, como acontece com qualquer código vindo de uma fonte externa, é preciso conhecer a procedência dos pacotes, quem os criou e se há códigos maliciosos neles.

Adoção de nuvem com segurança

Quando falamos de proteção da nuvem, as organizações devem ter em mente uma série de estratégias. A começar pela escolha minuciosa do provedor de serviços, que precisa estar preparado para os novos compromissos de privacidade. Também é necessário certificar se o armazenamento dos dados é feito de modo criptografado quando necessário pelo nível de sigilo da categorização de um dado.

Para ampliar a segurança, a equipe de TI precisa implementar ainda soluções que proporcionem visibilidade da nuvem, assumindo o  controle dos serviços da “shadow IT” (SaaS). Monitorando todos os recursos, será possível conhecer a fundo a maneira como os usuários consomem os serviços e garantir uma gestão eficiente e otimizada. Além disso, a identificação de problemas e anormalidades será mais ágil, reduzindo o impacto nos negócios da companhia.

Os desafios que envolvem a proteção da nuvem híbrida podem ser solucionados com a ajuda da automação, que eleva consideravelmente a eficiência operacional (infraestrutura como código). Ferramentas de segurança automatizadas verificam continuamente os recursos do empreendimento em busca de problemas.  À parte disso, principalmente, quando falamos no modelo de microsserviços, as APIs que os gerenciam precisam ser bem controladas. Os usuários da API também devem estar sobre observância, com a utilização de padrões de mercado como OAuth 2.0 ou JSON Web Tokens, por exemplo.

Com um time atento, composto por colaboradores da própria empresa e especialistas em TI fica mais simples implementar a segurança na nuvem híbrida. Ainda mais em um momento tão delicado e específico, no qual acompanhamos uma importante transição no tocante ao armazenamento e transferência de dados. Para estar em conformidade com a LGPD, é hora das companhias – se já não fizeram – aumentarem a atenção e os investimentos em segurança, uma vez que todas as adaptações e mudanças nesse sentido devem ser feitas com celeridade. A hora é agora e, quem deixar a oportunidade passar, pode enfrentar graves problemas em um futuro próximo.

*Raul Leite é sênior Cloud Architect na Red Hat Brasil

Botão Voltar ao topo