Cloud ComputingConvergência Digital
Padronização da nuvem é 'arma' no combate à guerra cibernética

Convergência Digital - Hotsite Cloud Computing
:: Convergência Digital :: 16/01/2012

Especialistas de TI e provedores de serviços em nuvem estão esperançosos sobre a evolução do novo programa federal do governo dos Estados Unidos que estabelece padrões de segurança para cloud computing. Ao mesmo tempo, apontam potenciais problemas. Para um especialista em segurança, o programa representa a última chance para o fortalecimento da segurança cibernética.

Há um mês, o governo Obama lançou o FedRAMP (Federal Risk and Authorization Management Program), que estabelece padrões de segurança para a oferta de serviços e produtos em nuvem, além de uma base de controle. O objetivo é reduzir o custo e o tempo gasto com ações redundantes de segurança e autorizações.

“O padrão dará às agências governamentais e organizações um modo fácil de adquirir autorizações para nuvens públicas e provadas, o que significa que elas podem começar a usar a nuvem mais rapidamente do que pelos processos anteriores”, explica Dan Philpott, especialista em segurança da informação e membro do Cloud Security Alliance.

Com o FedRAMP, um provedor de serviços em nuvem poderá obter a autorização com apenas uma agência, e esta será aceita pelas outras. Se uma agência tiver requisitos adicionais, o provedor precisará demonstrar capacidade para atender apenas estes requisitos, o que representa um modelo mais ágil.

A abordagem “faça uma vez, use várias” prometida pelo FedRAMP deve economizar muito dinheiro, público e privado, pela redução do número de certificações exigidas. Esta é a expectativa de Jennifer Kerber, vice-presidente de políticas de segurança da TechAmerica, em Washington.

O problema, lembra ela, será se um grande número de agências federais exigir requisitos adicionais. “Se o certificado não for aceito por nenhuma delas, então as empresas terão que pagar extras para obter a certificação. Aí não tenho certeza se vale a pena”, diz.

Alan Paller, diretor de pesquisa do SANS Institute, é bastante crítico em relação ao FedRAMP, que ele vê como uma última oportunidade. “O padrão poderá ser o ponto de partida para permitir que o governo lidere pelo exemplo na área de segurança cibernética, mostrando como fazer as coisas do modo certo. O FedRAMP criaria esta oportunidade porque ele será exigido na contratação”, diz.

Mas Paller afirma que as autoridades perderam esta oportunidade, ao criar um guia que não exige as seis medidas básicas para oferecer segurança efetiva, incluindo o uso de configurações comuns de segurança e a implementação de monitoramento e mitigação diários. “Ao invés disso, o guia pede às pessoas para escrever relatórios que podem simplesmente ser ignorados”, diz.

Elementos
As autoridades da Casa Branca esperam que o padrão esteja operacional em junho, depois de completar uma série de passos, incluindo a publicação de controles de segurança e do conceito de operações. O esforço do governo segue em prática. Tanto que foi anunciado os requisitos de controles de segurança, que são baseados na publicação especial NIST 800-53 Revisão 3 e incluem controles que atendem riscos únicos associados à computação em nuvem, como o compartilhamento de máquinas e recursos.

Um dos componentes chave do FedRAMP são as organizações de avaliação de terceiros (3PAOs), que vão avaliar os requisitos de segurança nas implementações dos provedores de nuvem. O escritório de planejamento do programa planeja publicar uma lista inicial de 3PAOs certificados no segundo trimestre.

Em resposta aos críticos do programa, uma autoridade envolvida disse que o FedRAMP vai avaliar e autorizar soluções em nuvem com base na implementação de controles de segurança NIST SP 800-53 e na validação independente de um 3PAO certificado. “Uma vez que estas soluções estejam avaliadas e autorizadas, o FedRAMP vai coordenar o monitoramento contínuo com as agências federais com o objetivo de dar a elas a habilidade de enxergar posturas de risco em uma solução em nuvem, em tempo real”, disse.

Enviar por e-mail   ...   Imprimir texto
 

 Matérias relacionadas com o assunto Cloud Computing  

:: 07/07/2014 13:43
Endereço dos dados será irrelevante

:: 01/07/2014 16:42
Brasil ainda tem muito espaço para novos data centers

:: 01/07/2014 09:35
Guerra de 'titãs' baixa os preços de SaaS. Software brilha em compras de TI

:: 26/06/2014 12:33
Procuram-se arquitetos de dados no Brasil

:: 28/05/2014 10:13
Globalweb investe em centros de treinamento

:: 21/05/2014 10:30
Armazenamento é a aplicação mais procurada na nuvem brasileira

:: 12/05/2014 10:03
Big data dá fôlego ao IaaS

:: 28/04/2014 15:13
Justiça ordena que provedores repassem dados ao governo dos EUA

:: 09/04/2014 16:05
Brasil responderá por 3% do volume de dados mundial em 2014

:: 24/03/2014 12:10
Quando os dados em excesso viram um problema real

Soluções de TI Simples
Grupo Martins abre espaço para os tablets

Varejista, no entanto, se preocupou em desenhar uma política de segurança para minimizar os riscos e garantir a produtividade.

» CSO: pronto para assumir a culpa nas violações da segurança
» Fui invadido. Minha marca está arranhada. Como reagir?
» Não deixe a TI causar um estrago incalculável

Opinião
Big Data e indústria: é hora de entender e aprender a usar
:: Por Camilo Rubim*

VídeosMais vídeos



Destaques

Para EMC Brasil, teles e bancos puxam a adoção do big data

O presidente da empresa, Carlos Cunha, diz que o mercado nacional amadureceu para o uso de serviços de computação na nuvem, mas precisa de apoio para implementar essas soluções. O desafio, agora, é formar os cientistas de dados.


Na guerra da nuvem, Microsoft ativa data center brasileiro

Unidade é a primeira da empresa na América Latina e está localizada em São Paulo. O centro de dados servirá para consolidar os negócios de IaaS da empresa no país e servirá ainda para atender clientes dos países da região.


Banco do Brasil admite que big data desafia a área de TI

Vice-presidente de tecnologia do Banco do Brasil, Geraldo Afonso Dezena da Silva, diz que o banco está usando o big data para entender o comportamento do seu correntista. Já sobre computação em nuvem, o banco é conservador: a nuvem privada é a escolha.


Big data: qual é a linha entre ser ou não ser ético?

Como fazer quando as empresas começam a saber mais de nós do que nós mesmos?


Falta conhecimento para extrair valor do big data

Questão é o desafio número 1 para boa parte dos gestores de TI no país.


Copyright © 2014 Convergência Digital            Todos os direitos reservados.            É proibida a reprodução total ou parcial do conteúdo deste site.