Um guia introdutório para conformidade na nuvem.

O que é conformidade na nuvem?

Conformidade na nuvem refere-se ao processo de adesão a padrões regulatórios, leis e mandatos internacionais e práticas recomendadas do setor (frameworks, benchmarks) no contexto da computação em nuvem. Ela garante que os serviços de nuvem e os dados que eles manipulam atendam a critérios específicos de segurança, privacidade e operação. As organizações devem navegar por vários requisitos de conformidade — como MITRE ATT&CK®, CIS, NIST e ISO — e regulamentações como GDPR, FedRAMP e HIPAA para construir e manter a confiança do cliente. Alcançar a conformidade na nuvem envolve implementar medidas de segurança robustas, auditorias regulares e monitoramento contínuo para se proteger contra ataques e garantir o alinhamento regulatório.

O cenário de conformidade está mudando rapidamente, com novas regulamentações, frameworks e referências sendo adotadas para abordar vários problemas associados ao crescimento exponencial de dados coletados pelas organizações. Essas regulamentações abrangem não apenas proteção de dados e privacidade, mas também áreas como cibersegurança, relatórios financeiros e padrões ambientais. A tecnologia da informação também está evoluindo à medida que as organizações migram de data centers locais para infraestrutura baseada em nuvem, apresentando novos desafios e oportunidades na manutenção da conformidade em diversos domínios operacionais. Consequentemente, muitas organizações enfrentam incertezas em relação às suas obrigações de conformidade e como definir a conformidade na nuvem. Na maioria dos casos, no entanto, os requisitos permanecem consistentes, independentemente de os dados estarem hospedados no local ou na nuvem pública. Nesta publicação, discutiremos a importância de manter a conformidade, os desafios da conformidade na nuvem e os mecanismos para garantir as práticas recomendadas.

Por que a conformidade na nuvem é importante?

No mundo digital de hoje, empresas e organizações têm acesso a enormes repositórios de dados, abrangendo não apenas informações de clientes, mas também dados comerciais proprietários, registros financeiros e propriedade intelectual. Esses dados geralmente incluem informações confidenciais, como detalhes de cartão de pagamento, endereços e números de previdência social. Os clientes e as partes interessadas confiam que essas empresas protegerão seus dados, sabendo que ataques podem ter consequências catastróficas.

Para proteger informações confidenciais de adversários e mitigar riscos de segurança, as organizações devem cumprir regulamentações e frameworks do setor, nacionais e internacionais. Essas regulamentações foram elaboradas não apenas para evitar ataques e uso indevido de dados, mas também para garantir que medidas de segurança robustas estejam em vigor. A não conformidade pode levar a repercussões severas, incluindo multas substanciais, perda de vantagem competitiva e danos significativos à reputação.

Um ataque pode minar a confiança do consumidor, resultando em diminuição da fidelidade do cliente e perdas de lucro que impactam negativamente todas as partes interessadas. As organizações devem priorizar a conformidade na nuvem para abordar questões de segurança, gerenciar riscos de reputação e manter a integridade operacional em um cenário cada vez mais digital.

Quais são os desafios da conformidade na nuvem?

A adoção da computação em nuvem apresenta desafios de conformidade exclusivos devido à natureza dos ambientes de nuvem. Abaixo estão os principais desafios que as organizações podem enfrentar ao garantir a conformidade na nuvem:

• Certificações e atestados: para atender aos requisitos de padrões e regulamentações aplicáveis, tanto sua organização quanto seu provedor de serviços de nuvem devem demonstrar conformidade. Isso significa garantir que sua plataforma de nuvem tenha as certificações e os atestados necessários. Além de obter essas certificações, o monitoramento contínuo é essencial — as leis de proteção de dados evoluem, novas regulamentações entram em vigor e os status de conformidade dos provedores de nuvem podem mudar.
• Residência de dados: a maioria das leis de proteção de dados exige a hospedagem de dados pessoais dentro de territórios permitidos. Isso exige uma seleção cuidadosa das regiões de nuvens para cumprir essas leis. O desafio se intensifica para organizações sujeitas a múltiplas regulamentações, potencialmente exigindo uma estratégia multinuvem para cobrir adequadamente todos os dados regulamentados.
• Complexidade da nuvem: a visibilidade e o controle sobre os dados são cruciais para a proteção, mas a natureza dinâmica e complexa dos ambientes de nuvem apresenta desafios significativos. Com inúmeras partes móveis, fica difícil rastrear todos os ativos de dados e avaliar seus riscos associados. As organizações devem implementar práticas e ferramentas robustas de gerenciamento de dados projetadas especificamente para a nuvem para manter a visibilidade e o controle.
• Abordagem diferente para segurança: as ferramentas de segurança tradicionais geralmente são inadequadas para a nuvem, onde os endereços IP mudam com frequência e os recursos são continuamente iniciados e encerrados. Os requisitos de conformidade geralmente exigem medidas técnicas e organizacionais apropriadas para proteção de dados, necessitando de soluções de segurança adaptadas à infraestrutura de nuvem. Essas soluções devem enfatizar o gerenciamento de configuração e a proteção individual da workload para se adaptar ao ambiente de nuvem.
• Modelo de responsabilidade compartilhada: na nuvem, as responsabilidades de segurança e conformidade são compartilhadas entre o provedor de nuvem e o cliente. Cada provedor líder de serviços de nuvem publica um modelo de responsabilidade compartilhada que esclarece essas funções. Por exemplo, os provedores de nuvem são responsáveis pela segurança de seus data centers físicos, hardware e hipervisores. Em contraste, os clientes são responsáveis pelos seus sistemas operacionais convidados, aplicações e configurações de rede. Da mesma forma, as responsabilidades de conformidade são divididas. O fornecedor de nuvem garante a conformidade da infraestrutura e dos serviços que oferece, e os clientes devem garantir que suas implementações na plataforma do fornecedor estejam em conformidade com as regulamentações relevantes.
• Monitoramento contínuo de conformidade: dada a natureza dinâmica dos ambientes de nuvem, a conformidade não é uma tarefa única — ela requer monitoramento e adaptação contínuos. As organizações devem implementar monitoramento contínuo de conformidade para detectar e resolver problemas de conformidade prontamente. Isso envolve auditorias regulares, ferramentas de monitoramento em tempo real e atualização de políticas e procedimentos conforme necessário para permanecer em conformidade com as regulamentações em evolução.
• Gerenciamento de fornecedores: garantir que os provedores de serviços em nuvem mantenham seus padrões de conformidade é fundamental. Isso requer práticas robustas de gerenciamento de fornecedores, incluindo revisões e auditorias regulares do status de conformidade do provedor, compreensão de seus processos de conformidade e garantia de que quaisquer alterações no status do provedor sejam prontamente abordadas. Ao compreender e abordar esses desafios, as organizações podem gerenciar efetivamente suas obrigações de conformidade na nuvem, garantindo proteção robusta de dados confidenciais e mantendo a confiança de clientes e partes interessadas.

Quais são os padrões e regulamentações comuns para a nuvem?

Alguns dos requisitos de conformidade mais comuns (regulamentos, frameworks, benchmarks, etc.) para a nuvem incluem:

Regulamento Geral de Proteção de Dados (GDPR)

O GDPR é uma legislação da UE projetada para unificar e fortalecer as leis de proteção de dados em todos os estados-membros da UE. Ele inclui requisitos abrangentes para salvaguardar os direitos de privacidade dos cidadãos do Espaço Econômico Europeu (EEE). As principais disposições incluem:

• Residência de dados: os dados pessoais devem ser processados e armazenados no EEE ou em outros países permitidos, a menos que o indivíduo consinta de outra forma.
• Minimização de dados: as organizações devem coletar e armazenar apenas os dados pessoais necessários para suas operações.
• Limitação de armazenamento: os dados pessoais não devem ser retidos por mais tempo do que o necessário.
• Direito de acesso: os indivíduos têm o direito de acessar os dados pessoais mantidos por uma organização.
• Direito de exclusão: os indivíduos podem solicitar a exclusão de seus dados pessoais.

O GDPR também exige medidas robustas de segurança de dados, embora esses requisitos sejam definidos de forma um tanto ampla. Apesar de ser uma legislação europeia, o GDPR tem alcance global, aplicando-se a qualquer organização que processe ou armazene dados pessoais sobre residentes do EEE, independentemente da localização da organização. As penalidades por não conformidade são significativas, com multas de até € 20 milhões ou 4% do faturamento global anual, o que for maior.

Após sua saída da UE, o Reino Unido implementou sua própria versão do GDPR, conhecida como GDPR do Reino Unido. O GDPR do Reino Unido é quase idêntico ao GDPR da UE, mas inclui ajustes para acomodar frameworks legais nacionais. Por exemplo, o GDPR do Reino Unido trabalha em conjunto com a Lei de Proteção de Dados de 2018, que fornece disposições adicionais específicas para o Reino Unido, como aquelas relacionadas à aplicação da lei e à segurança nacional. Organizações que operam ou processam dados no Reino Unido devem cumprir o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018, garantindo que os padrões de proteção de dados sejam mantidos no mais alto nível.

Programa Federal de Gerenciamento de Riscos e Autorização (FedRAMP) e NIST SP 800-53

O FedRAMP é um exemplo notável de regulamentação governamental que aborda especificamente dados processados e armazenados na nuvem. É uma adaptação simplificada da Lei Federal de Modernização da Segurança da Informação (FISMA), a lei dos EUA que rege o processamento e o armazenamento de dados por agências federais e seus contratados, adaptada para implementações baseadas na nuvem.

O FedRAMP faz parte de um framework mais amplo de regulamentações projetadas para garantir a segurança e a resiliência dos sistemas de TI. Essas regulamentações são descritas no NIST SP 800-53, uma biblioteca abrangente de requisitos categorizados de acordo com o risco aos dados. O NIST SP 800-53 fornece um conjunto padronizado de controles que as organizações devem implementar para manter a segurança e a resiliência.

Embora as diretrizes do FedRAMP e do NIST sejam voluntárias para empresas do setor privado, sua adoção ajuda as organizações a se alinharem a uma abordagem mais padronizada de privacidade e segurança, especialmente devido à natureza fragmentada das regulamentações federais nos EUA. Essa abordagem padronizada não apenas auxilia na conformidade com vários requisitos regulatórios, mas também melhora a segurança geral dos dados e a integridade operacional.

O framework rigoroso do FedRAMP garante que os provedores de serviços de nuvem atendam a severos padrões de segurança, o que é crucial para agências federais e benéfico para empresas do setor privado que buscam manter altos padrões de segurança e conformidade. Este programa inclui monitoramento contínuo e avaliações regulares para garantir conformidade e segurança o tempo todo.

Para organizações que buscam adotar serviços de nuvem, aderir às diretrizes do FedRAMP pode fornecer uma vantagem competitiva ao demonstrar um comprometimento com práticas de segurança robustas e conformidade com padrões federais. Isso pode ser particularmente importante para empresas que buscam fazer negócios com agências federais ou para aquelas que buscam tranquilizar clientes e partes interessadas sobre a segurança de suas operações baseadas em nuvem.

Família de normas ISO 27000

A família de normas internacionais ISO 27000 fornece recomendações abrangentes das práticas recomendadas para proteger sistemas de informação contra uma variedade de ameaças. Esta família de normas inclui:

• ISO 27001: esta é a principal norma da série, oferecendo um conjunto geral de controles para gerenciar a segurança da informação. Ela define os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI).
• ISO 27017: esta norma fornece controles de segurança adicionais especificamente para computação em nuvem, abordando desafios de segurança exclusivos associados a ambientes de nuvem.
• ISO 27018: focada na proteção de dados pessoais em ambientes baseados em nuvem, esta norma descreve controles de privacidade para garantir a conformidade com os regulamentos de proteção de dados.

Embora a conformidade com as normas ISO não seja obrigatória, obter a certificação pode oferecer inúmeros benefícios. A certificação demonstra um comprometimento com práticas robustas de segurança da informação, inspirando confiança em clientes e fornecedores. Também reduz o risco aos ativos de informação e facilita a conformidade com regulamentações obrigatórias de proteção de dados. A adesão a essas normas ajuda as organizações a estabelecer uma abordagem sistemática para gerenciar informações confidenciais, garantindo que elas permaneçam seguras e confidenciais.

Além dessas normas principais, a família ISO 27000 inclui outras diretrizes e frameworks adaptados a aspectos específicos da segurança da informação, como gerenciamento de riscos (ISO 27005) e cibersegurança (ISO 27032). Juntas, essas normas fornecem um kit de ferramentas abrangente para as organizações que buscam aprimorar sua postura de segurança da informação e se proteger contra uma ampla gama de ciberameaças.

Ao adotar e certificar as normas ISO 27000, as organizações podem não apenas melhorar suas medidas de segurança, mas também ganhar uma vantagem competitiva, já que a certificação é amplamente reconhecida e respeitada nos mercados nacional e internacional. Esse compromisso com as práticas recomendadas na segurança da informação pode levar ao aumento da confiança do cliente e às oportunidades de negócios.

Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)

O PCI DSS, administrado pelo Conselho de Padrões de Segurança da Indústria de Cartões de Pagamento (PCI SSC), é um padrão voltado para segurança aplicável a qualquer organização que aceite ou processe pagamentos com cartão. Esse padrão foi criado para proteger transações com cartão de pagamento e detalhes do titular do cartão, especificando 12 requisitos essenciais.

Esses requisitos são mais específicos do que aqueles descritos nas regulamentações gerais de proteção de dados, como o GDPR, oferecendo medidas concretas para aumentar a segurança dos pagamentos. No entanto, a implementação desses requisitos pode diferir significativamente em ambientes de nuvem. Os firewalls tradicionais baseados em perímetro não são projetados para a natureza dinâmica, distribuída e altamente escalável da nuvem. Para enfrentar esse desafio, as organizações precisam usar firewalls de nuvem, que são soluções baseadas em software projetadas especificamente para proteger a infraestrutura de nuvem. Os firewalls de nuvem podem se ajustar dinamicamente às mudanças no cenário dos ambientes de nuvem, oferecendo medidas de segurança mais robustas e flexíveis.

A conformidade com o PCI DSS não apenas ajuda a proteger informações confidenciais de pagamento, mas também demonstra um comprometimento com práticas de segurança rigorosas, aumentando a confiança do cliente e potencialmente reduzindo o risco de comprometimento de dados. À medida que as ciberameaças continuam a evoluir, manter a conformidade com o PCI DSS é essencial para organizações que lidam com transações com cartão de pagamento, garantindo que elas fiquem à frente de potenciais vulnerabilidades de segurança e protejam os dados de seus clientes de forma eficaz.

Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)

A HIPAA é uma legislação dos EUA promulgada para garantir a proteção dos dados confidenciais de pacientes. A HIPAA se aplica a qualquer organização que lida com dados pessoais de saúde (PHI, na sigla em inglês), incluindo provedores de saúde, seguradoras e seus parceiros comerciais. A conformidade com a HIPAA é crucial para proteger a privacidade do paciente e proteger as informações de saúde contra acesso não autorizado e ataques — especialmente em ambientes de nuvem, onde a dinâmica de armazenamento e processamento de dados difere significativamente das configurações locais tradicionais.

Para cumprir com a HIPAA na nuvem, as organizações devem:

• Realizar avaliações de risco regulares: identificar potenciais vulnerabilidades no manuseio de PHI em ambientes de nuvem e avaliar as medidas de segurança dos CSPs.
• Desenvolver e implementar políticas e procedimentos: garantir que essas políticas abordem os desafios exclusivos do armazenamento e processamento em nuvem, como residência de dados, criptografia e controles de acesso.
• Treinar funcionários: realizar o treinamento de funcionários sobre os requisitos da HIPAA e as práticas recomendadas para proteger PHI, com foco em considerações específicas para a nuvem.
• Ter medidas de segurança robustas: implementar criptografia, controles de acesso seguros e monitoramento regular de sistemas que lidam com PHI na nuvem. Garanta que os CSPs ofereçam funcionalidades de segurança compatíveis com a HIPAA e mantenham um Contrato de Associado Comercial (BAA) com eles.
• Ter um plano de resposta a incidentes (IR): estabelecer um plano de resposta a incidentes claro que inclua etapas para lidar com possíveis ataques à nuvem e garantir notificações oportunas.

A conformidade com a HIPAA não apenas protege os dados confidenciais de pacientes, mas também ajuda as organizações a evitar penalidades significativas por não conformidade, que podem incluir multas de até US$ 50.000 por violação, com uma penalidade anual máxima de US$ 1,5 milhão para disposições idênticas. Além disso, manter a conformidade com a HIPAA demonstra um compromisso com a privacidade e a confiança do paciente, o que é essencial para construir e manter uma organização de saúde respeitável.

Ao aderir aos regulamentos da HIPAA e abordar considerações específicas da nuvem, as organizações de saúde podem gerenciar e proteger PHI de forma eficaz, garantindo a privacidade e a segurança das informações dos pacientes em um ambiente de saúde cada vez mais digital.

Quais são as práticas recomendadas da conformidade na nuvem?

Há uma série de práticas recomendadas diferentes que você pode seguir para ajudar a atender aos requisitos regulatórios, mas as seguintes são particularmente benéficas para alcançar a conformidade na nuvem:

• Criptografia: você deve começar protegendo os dados que estão em risco, criptografando-os tanto em repouso quanto em trânsito. No entanto, seus dados são tão seguros quanto as chaves que você usa para criptografá-los, então você também precisará manter boas práticas de gerenciamento de chaves.
• Privacidade por padrão: a privacidade deve ser automaticamente incorporada ao design do sistema e às atividades de processamento. Isso tornará a tarefa de cumprir qualquer regulamento ou padrão de proteção de dados significativamente mais fácil.
• Princípio do privilégio mínimo: você deve conceder aos usuários acesso apenas aos dados e recursos dos quais eles realmente precisam para executar suas tarefas. Isso reduz significativamente o risco de comprometimento por atores de ameaças internas e externas e ajuda a demonstrar que você toma as medidas adequadas para atender aos requisitos de conformidade.
• Zero Trust: você deve impor a autenticação, a autorização e o monitoramento rigorosos de todos os usuários, endpoints e aplicações que acessam sua rede com base no princípio "nunca confie e sempre verifique".
• Frameworks bem arquitetados: você pode aproveitar frameworks modulares — publicados pelos principais fornecedores de nuvem, como AWS, Microsoft Azure e Google Cloud — que guiam os clientes através de um conjunto de princípios orientadores sobre como criar workloads resilientes, seguras e altamente otimizadas em suas plataformas.
• Monitoramento e auditoria contínuos: implemente monitoramento e auditoria contínuos para garantir a conformidade contínua. Use ferramentas automatizadas para monitorar o status de conformidade em tempo real e realize auditorias regulares para identificar e resolver prontamente quaisquer lacunas ou problemas.
• Gerenciamento de fornecedores: estabeleça práticas sólidas de gerenciamento de fornecedores para garantir que seus provedores de serviços de nuvem mantenham seus padrões de conformidade. Revise e audite regularmente o status e os processos de conformidade para garantir que eles atendam aos seus requisitos regulatórios.
• Planejamento de resposta a incidentes (IR): desenvolva e mantenha um plano de resposta a incidentes robusto e adaptado aos ambientes de nuvem. Certifique-se de que seu plano inclua procedimentos para detectar, responder e se recuperar de incidentes de segurança e comprometimento de dados.
• Conscientização sobre residência de dados: esteja atento aos requisitos de residência de dados e escolha regiões de nuvem que estejam em conformidade com as leis de proteção de dados aplicáveis. Se a sua organização estiver sujeita a várias regulamentações, considere uma estratégia multinuvem para atender a todos os requisitos de residência de dados.
• Documentação e relatórios: mantenha uma documentação abrangente de suas ações de conformidade, incluindo políticas, procedimentos e relatórios de auditoria. Documentação e relatórios eficazes demonstram seu comprometimento com a conformidade e podem ser essenciais durante revisões ou auditorias regulatórias.

Ao seguir essas práticas recomendadas, as organizações podem aprimorar sua postura de conformidade na nuvem, garantindo que estão atendendo aos requisitos regulatórios e protegendo dados confidenciais.

Como a CrowdStrike ajuda você a manter a conformidade na nuvem

O CrowdStrike Falcon® Cloud Security, a solução mais abrangente de plataforma de proteção de aplicações nativas em nuvem (CNAPP), oferece um conjunto de recursos para ajudar as organizações a manter a conformidade na nuvem e proteger seus ambientes de nuvem. Os principais recursos incluem monitoramento contínuo e visibilidade em tempo real por meio do gerenciamento da postura de segurança em nuvem (CSPM), que avalia ambientes de nuvem em relação às práticas recomendadas e frameworks de conformidade. Os recursos de gerenciamento da postura de segurança de aplicações (ASPM) da solução garantem que as aplicações sigam os padrões de segurança, e seus recursos de gerenciamento de direitos de infraestrutura de nuvem (CIEM) reforçam o princípio do privilégio mínimo com controles de acesso robustos. A segurança pré-tempo de execução do Falcon® Cloud Security, ou segurança shift-left, integra-se ao processo de desenvolvimento, executando uma varredura em códigos e modelos de infraestrutura em busca de vulnerabilidades antes da implementação. Por meio da proteção de workload em nuvem (CWP), o Falcon® Cloud Security oferece detecção de ameaças em tempo real e resposta automatizada para máquinas virtuais, containers e funções sem servidor.

A detecção avançada de ameaças da plataforma CrowdStrike Falcon® usa o machine learning para mitigar ameaças, e suas capacidades de proteção de identidade protegem as organizações contra roubo de credenciais. O Falcon® Cloud Security simplifica os relatórios de conformidade por meio de relatórios e auditorias automatizados e garante a proteção e a criptografia de dados por meio de CWP e CIEM. A integração perfeita com os principais provedores de nuvem, como AWS, Microsoft Azure e Google Cloud, garante a aplicação consistente de controles de segurança. Aproveitando a inteligência de ameaças da CrowdStrike, o Falcon® Cloud Security mantém as organizações à frente das ameaças emergentes, permitindo que elas atendam aos padrões regulatórios, protejam dados confidenciais e mitiguem os riscos de segurança.