196 views 7 mins

Como manter o compliance em ambientes de complexidade cada vez maior

em Manchete Principal
quinta-feira, 04 de agosto de 2022

Luciano Rocha (*)

Podemos dizer que, hoje, é impossível para qualquer empresa, independentemente do segmento de atuação, pensar em fazer negócios sem levar em conta a computação em nuvem. Isso porque não dá para cogitar realizar operações críticas e em larga escala, sem a flexibilidade, a disponibilidade e a comodidade que a nuvem proporciona.

Prova disso é que organizações com operações extremamente críticas e complexas têm adotado esse modelo. É o caso da B3, Bolsa de Valores Brasileira, que recentemente começou a migrar seus serviços para a nuvem buscando desenvolver novos produtos e tecnologias, de forma mais ágil e com menor custo, em um projeto que deve levar ao todo cerca de 10 anos.

A transformação tecnológica pela qual o mundo está passando faz com que a nuvem se torne um elemento chave nas infraestruturas de Tecnologia da Informação (TI) de todos os setores do mercado, na qual as áreas de TI precisam suportar inúmeras aplicações simultaneamente, incluindo ferramentas de CRM, ERP, Omnichannel, entre outras tantas específicas para cada modelo de negócio que, somadas ao volume e variedade cada vez maiores de dados, dão contexto às tecnologias de agregação e tratamento de dados que chamamos de Big Data.

cnythzl_CANVA

Uma vez definido o movimento da empresa para a nuvem, é necessário desenvolver um plano estratégico de adoção de nuvem capaz de conciliar as diferentes perspectivas envolvidas no processo de migração, que inclui negócios, pessoas, plataforma e sobretudo o tema que pretendo me aprofundar neste artigo: compliance e segurança.

Um erro comum cometido em projetos de adoção de nuvem, e que envolve principalmente a perspectiva de segurança, é pensar que ambientes cloud são parecidos com datacenters on premise, e que, por isso, precisam ser protegidos usando a mesma lógica.

Apesar das nuvens públicas serem hospedadas em datacenters físicos tradicionais, as soluções utilizadas em um serviço de nuvem pública funcionam de maneira bem diferente, possuindo recursos de segurança próprios e que podem ser otimizados para serem mais eficientes que uma infraestrutura de segurança convencional.
Desta forma, por exemplo, recursos tais como proteção anti-DDOS e microsegmentation, que precisariam de solução específica nos datacenters físicos, são implementados nativamente pela infraestrutura de computação em nuvem.
Ainda no contexto de segurança da informação, a elaboração de um Planejamento Estratégico de Adoção é de suma importância para mapear e identificar quais ativos e dados deverão ser migrados para a nuvem.

Ao considerar fatores tais como a criticidade das informações, bem como quem deverá ter acesso a cada tipo de dado, é possível começar a definir as medidas de segurança que deverão ser implementadas a fim de garantir que os negócios estejam bem protegidos contra hackers e vazamentos internos.

Um componente que ajuda muito na definição dos requisitos de segurança e compliance é o processo de definição da chamada Landing Zone ou infraestrutura base, termo utilizado para determinar locais específicos, onde os workloads, tais como máquinas virtuais, dados e outros recursos, ficarão hospedados.

A criação das landing zones é um ótimo momento para criar regras e políticas de acesso ao ambiente de computação em nuvem, permitindo a migração dos dados e aplicações de forma segura e em linha com as estratégicas de negócio e compliance da empresa.

As soluções de computação em nuvem permitem às companhias manter o compliance da infraestrutura de TI em um ambiente de negócios cada vez mais complexo, e isso passa por operacionalizar uma jornada de adoção de nuvem fazendo uso de ferramentas e tecnologias modernas, que muitas vezes estão disponíveis nativamente nos principais provedores de nuvem pública.

Porém, tão ou mais importante que ferramentas e tecnologias, é imprescindível utilizar uma metodologia que permita analisar as necessidades de computação em nuvem de forma holística e objetiva, também conhecido como Cloud Adoption Framework (CAF, na sigla em inglês).

Melpomenem_CANVA

A condução do processo de adoção fazendo uso de um framework pode ser realizada internamente com equipe própria, eventualmente aproveitando o CAF de um dos provedores de nuvem escolhidos no plano de adoção, ou através de um parceiro especializado em migração de workloads avançados.

Após (e até mesmo durante) a migração ou modernização das aplicações para a nuvem, é importante contar com parceiros especialistas capazes de apoiar no suporte e gerenciamento da nova infraestrutura, pois, a partir deste momento, a computação em nuvem vai fazer parte do caminho da empresa rumo ao sucesso, de forma que a capacidade do ambiente em se manter estável, bem com suportar a implementação de novas aplicações e funcionalidades, tem impacto direto na capacidade da TI suportar o crescimento e as necessidades do negócio.

É importante também levar em consideração o modelo de negócio desses parceiros e entender qual seu nível de expertise e preocupação com certificados que atestem o comprometimento com os compliances de segurança da informação, a fim de garantir a confiança nos dados que os colaboradores e os clientes precisam.

E lembre-se de avaliar também os valores e cultura dos parceiro, afinal, quem pensa como você, sempre estará ao seu lado e se comprometerá com seus objetivos do presente e do futuro.

(*) – É gerente de arquitetura e soluções da Teltec Solutions (https://teltecsolutions.com.br/).