Servi\u00e7os em nuvem s\u00e3o frequentemente vendidos como solu\u00e7\u00f5es que podem estar em qualquer lugar e todo lugar. Tudo que \u00e9 necess\u00e1rio \u00e9 um computador e uma conex\u00e3o de rede para trabalhar com dados, aplica\u00e7\u00f5es e recursos. Enquanto que no ponto de vista do usu\u00e1rio isto \u00e9 verdade, servi\u00e7os em nuvem em \u00faltima inst\u00e2ncia se apoiam em uma infraestrutura f\u00edsica, que tem que estar em algum lugar, e as decis\u00f5es de provedores sobre onde implantar esta infraestrutura pode trazer riscos que deveriam ser tratados.<\/p>\n
Este artigo apresentar\u00e1 alguns aspectos legais geogr\u00e1ficos que usu\u00e1rios de servi\u00e7os em nuvem deveriam considerar quando da avalia\u00e7\u00e3o dos riscos de um provedor de servi\u00e7o em nuvem de entregar os resultados esperados e como a ISO 27001<\/a> e ISO 27017<\/a>, um c\u00f3digo de pr\u00e1tica para seguran\u00e7a da informa\u00e7\u00e3o para servi\u00e7os em nuvem, pode ajudar a abordar e definir adequadamente controles de seguran\u00e7a.<\/p>\n Porque todos os lugares possuem algum grau de leis, regula\u00e7\u00f5es e outros assuntos legais que definem como servi\u00e7os podem ser executados ou entregues, e se o seu provedor de servi\u00e7o em nuvem opera em um lugar (ex.: cidade, estado ou pa\u00eds) diferente do seu, as vis\u00f5es legais diferentes do servi\u00e7o podem levar a riscos inaceit\u00e1veis para o seu neg\u00f3cio, requerendo uma revis\u00e3o das condi\u00e7\u00f5es do servi\u00e7o ou ao menos ajustes no plano de tratamento de riscos<\/a>.<\/p>\n Antes de falar sobre como quest\u00f5es legais podem afetar os riscos de servi\u00e7os em nuvem, \u00e9 necess\u00e1rio entender como eles se relacionam a localiza\u00e7\u00e3o geogr\u00e1fica, e a primeira coisa que precisamos saber \u00e9 que a implanta\u00e7\u00e3o da infraestrutura f\u00edsica de servi\u00e7os em nuvem deve ser abordada a partir de dois pontos de vista: como recursos centralizados e descentralizados.<\/p>\n No ponto de vista dos recursos centralizados, a infraestrutura f\u00edsica de servi\u00e7os em nuvem \u00e9 concentrada para tirar vantagem da economia de escala (o custo por unidade diminui na medida que o tamanho da opera\u00e7\u00e3o aumenta), resultando em instala\u00e7\u00f5es de tamanho consider\u00e1vel em um \u00fanico lugar, com uma igual necessidade consider\u00e1vel de recursos.<\/p>\n No ponto de vista dos recursos descentralizados, a infraestrutura f\u00edsica \u00e9 espalhada para aumentar a disponibilidade (nenhum evento localizado pode derrubar o servi\u00e7o) e penetra\u00e7\u00e3o de mercado (disponibilidade para tantos usu\u00e1rios quanto poss\u00edvel), resultando em instala\u00e7\u00f5es em muitos locais diferentes (ex.: cidades, estados e pa\u00edses).<\/p>\n Finalmente, ap\u00f3s selecionar os locais de implanta\u00e7\u00e3o mais promissores, a decis\u00e3o final considera como leis, regulamenta\u00e7\u00f5es, e outras quest\u00f5es legais aplic\u00e1veis a sites em potencial podem impactar nos custos e lucratividade operacional do provedor, e este \u00e9 o ponto onde os usu\u00e1rios de servi\u00e7os de nuvem deveriam prestar aten\u00e7\u00e3o, porque a melhor solu\u00e7\u00e3o para provedores n\u00e3o necessariamente significa a melhor para os clientes, e em alguns casos \u00e9 justamente o contr\u00e1rio.<\/p>\n Considerando a infraestrutura de servi\u00e7o de nuvem implantada em um local, ou locais, outro que n\u00e3o aquele da sede do provedor, ou de onde seus clientes operam, isto pode dar surgimento a riscos tais como:<\/p>\n De acordo com a ISO 27001, uma organiza\u00e7\u00e3o deveria primeiro identificar requisitos legais<\/a> (cl\u00e1usula 4.2) aplic\u00e1veis aos seus servi\u00e7os de nuvem e realizar uma avalia\u00e7\u00e3o de riscos<\/a> (cl\u00e1usula 6.1.2) para identificar, analisar e avaliar riscos legais relacionados a localiza\u00e7\u00e3o da infraestrutura de provedores de servi\u00e7o de nuvem. Informa\u00e7\u00f5es \u00fateis podem ser encontradas nos sites dos provedores (ex.: \u201cSobre n\u00f3s\u201d, \u201cNossos servi\u00e7os\u201d, etc.) e buscas na Internet. Da mesma forma, tente perguntar diretamente a eles. As informa\u00e7\u00f5es que voc\u00ea encontrar\u00e1 por conta pr\u00f3pria, e a presteza com que provedores dar\u00e3o a informa\u00e7\u00e3o, ou justificar\u00e3o n\u00e3o as fornecer, dir\u00e1 muito sobre eles.<\/p>\n Situa\u00e7\u00f5es como aceso limitado a recursos, localiza\u00e7\u00f5es em \u00e1reas inseguras, e brechas e requisitos legais deveria acionar um alerta.<\/p>\n Situa\u00e7\u00f5es como instala\u00e7\u00f5es grandes em \u00e1reas seguras, pr\u00f3ximas a recursos cr\u00edticos, e termos de servi\u00e7o claros e justos deveriam melhorar a avalia\u00e7\u00e3o.<\/p>\n A segunda coisa \u00e9 assegurar que os provedores selecionados atender\u00e3o aos controles de seguran\u00e7a para os riscos que voc\u00ea considera relevantes. A ISO 27001 recomenda, atrav\u00e9s do controle A.15.1.2 \u2013 Abordando seguran\u00e7a dentro de acordos com fornecedores, que acordos assinados (ex.: SLAs, Termos de Servi\u00e7o, etc.) incluem todos os requisitos de seguran\u00e7a da informa\u00e7\u00e3o relevantes. Exemplos a serem inclu\u00eddos, baseados nos controles do Anexo A da ISO 27001, s\u00e3o a implementa\u00e7\u00e3o de:<\/p>\n Estes exemplos s\u00e3o recomenda\u00e7\u00f5es da ISO 27017 complementadas pelos controles do Anexo A da ISO 27001:<\/p>\n Saiba mais sobre seguran\u00e7a com fornecedores e responsabilidades compartilhadas lendo estes artigos: Processo em 6 etapas para tratar a seguran\u00e7a em fornecedores de acordo com a ISO 27001<\/a> e\u00a0Resolvendo preocupa\u00e7\u00f5es de seguran\u00e7a em nuvem pela defini\u00e7\u00e3o clara de responsabilidades de acordo com a ISO 27017<\/a>.<\/p>\n Um dos maiores benef\u00edcios operacionais da computa\u00e7\u00e3o em nuvem, liberar voc\u00ea da carga operacional, tamb\u00e9m esconde alguns perigos ao reduzir a percep\u00e7\u00e3o do usu\u00e1rio de riscos comuns a infraestrutura e ao adicionar novos riscos associados ao espalhamento desta mesma infraestrutura em regi\u00f5es com diferentes requisitos legais.<\/p>\n Ao usar os controles da ISO 27001 e as recomenda\u00e7\u00f5es da ISO 27017, voc\u00ea pode retomar o controle de tais riscos e assegurar que provedores de servi\u00e7os em nuvem tenha a habilidade de oferecer o desempenho de servi\u00e7o esperado com prote\u00e7\u00e3o apropriada das informa\u00e7\u00f5es.<\/p>\nPor que eu deveria estar preocupado sobre onde meu provedor de servi\u00e7os em nuvem implanta sua infraestrutura?<\/h3>\n
Como servi\u00e7os em nuvem, localiza\u00e7\u00e3o geogr\u00e1fica e quest\u00f5es legais se relacionam entre si?<\/h2>\n
Riscos legais em servi\u00e7os de nuvem derivados de localiza\u00e7\u00e3o geogr\u00e1fica<\/h2>\n
\n
Como a ISO 27001 e a ISO 27017 ajudam a lidar com quest\u00f5es geogr\u00e1ficas de servi\u00e7os em nuvem?<\/h2>\n
\n
\n
A localiza\u00e7\u00e3o da infraestrutura de nuvem n\u00e3o \u00e9 irrelevante<\/h2>\n