Foco na segurança na nuvem: estratégias, arquitecturas e modelos de contrato para proteger os dados sensíveis das empresas num mundo digitalizado

Os dados são uma ferramenta da economia digital moderna, ou ainda o novo ouro das empresas (setor privado), mas também para o Estado (setor público). No mundo digital de hoje, há uma quantidade incontrolável de novos conjuntos de dados, muitos dos quais acabam na Internet. Alguns desses conjuntos de dados dizem respeito a dados pessoais, que representam uma identidade digital. A verdadeira arte numa empresa é filtrar cuidadosamente esses dados e, acima de tudo, armazená-los. Este pequeno trabalho tem como objetivo apresentar os dados numa nuvem, bem como o seu processamento, numa perspetiva empresarial. Além disso, este pequeno trabalho mostra que tipos de contratos, arquiteturas e medidas de segurança adequadas contra ciberataques a indústria adota para dispor de uma base sólida para o seu próprio processamento de dados.

Antes de entrarmos no tema da segurança na nuvem, é importante conhecer primeiro alguns dados essenciais sobre o chamado «cloud computing», o seu funcionamento e a estrutura de uma nuvem: «A computação em nuvem é um modelo de processamento de dados que permite aceder, sempre que necessário, a qualquer hora e em qualquer lugar, de forma conveniente através de uma rede, a um conjunto partilhado de recursos informáticos configuráveis (por exemplo, redes, servidores, sistemas de armazenamento, aplicações e serviços). Estes podem ser disponibilizados rapidamente e com um esforço administrativo mínimo ou pouca interação com o prestador de serviços. A nuvem pode ser utilizada em três variantes (Infraestrutura como Serviço (IaaS), Plataforma como Serviço (PaaS), Software como Serviço (SaaS)). O tipo de nuvem varia consoante o tipo de disponibilização (nuvem privada, nuvem comunitária, nuvem pública, nuvem híbrida).» [1]

Na área do Cloud Computing, existem vários tipos de disponibilização, ou seja, formas como os fornecedores de cloud disponibilizam os seus serviços aos utilizadores. Existem quatro modelos principais associados ao Cloud Computing:

1. Nuvem pública

A nuvem pública permite que todos os utilizadores tenham acesso a recursos informáticos, como hardware (sistema operativo, CPU, memória) ou software (servidor de aplicações, base de dados), numa base de subscrição ou de pagamento conforme a utilização. Os casos de uso práticos incluem o desenvolvimento e o teste de aplicações para tarefas críticas e não críticas, como, por exemplo, a partilha de ficheiros e serviços de e-mail.

2. Nuvem privada

A nuvem privada é normalmente utilizada explicitamente por uma única organização e pode ser gerida internamente ou por um prestador de serviços de TI externo. Embora as nuvens privadas sejam frequentemente mais caras do que as nuvens públicas devido aos investimentos em aquisição e manutenção, elas respondem de forma mais eficaz às preocupações das organizações em matéria de segurança e proteção de dados.

3. Nuvem híbrida (combinação de um centro de dados físico ou de uma nuvem privada externa e/ou de uma nuvem pública)

A nuvem híbrida utiliza tanto infraestruturas de nuvem privada como pública. As empresas optam por este modelo para expandir rapidamente a sua infraestrutura de TI quando necessário. Assim, por exemplo, um retalhista online pode utilizar recursos de nuvem pública durante a época festiva para complementar ou aliviar a carga da sua nuvem privada.

4. Nuvem comunitária

A nuvem comunitária apoia em conjunto várias organizações que utilizam recursos informáticos. Entre elas contam-se, por exemplo , universidades que colaboram em áreas específicas de investigação ou entidades públicas, como esquadras de polícia dentro de um município, que partilham recursos. O acesso a uma nuvem comunitária está limitado aos membros da comunidade.

Os custos para o utilizador final são tradicionalmente baixos nas nuvens públicas, sem que sejam necessários investimentos avultados. As nuvens privadas, por outro lado, embora exijam investimentos, oferecem, em princípio , poupanças em comparação com os custos operacionais da infraestrutura própria . As nuvens privadas também garantem mais suporteem termos de segurança e conformidade do que as nuvens públicas. Por isso, algumas organizações utilizam nuvens privadas para dados e aplicações críticos para o negócio ou mais sensíveis, e nuvens públicas para tarefas básicas como desenvolvimento de aplicações, ambientes de teste e serviços de e-mail. [2]

Uma solução de nuvem híbrida é ideal para reduzir ou diversificar os riscos de um ciberataque. Esta oferece um maior controlo sobre a tua própria segurança em comparação com a utilização exclusiva de uma nuvem pública. Além disso, uma infraestrutura de nuvem híbrida permite definir padrões de segurança personalizados e configurarsoftware à medidaem servidores privados. Esta distribuição resulta numa maior fiabilidade dos sistemas e numa melhor avaliação da situação para classificar problemas de sistema.

Além disso, a relação custo-benefício é superior à da compra e manutenção de servidores no local. [3]

Modelos de arquitetura de serviços na nuvem

Tendo em conta estas vantagens de uma solução de nuvem híbrida, que vão desde um maior controlo de segurança até uma fiabilidade melhorada, é importante compreender as diferentes arquiteturas de serviços na nuvem. Essas arquiteturas, nomeadamente Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS), oferecem diferentes níveis de prestação de serviços e definem diferentes responsabilidades em matéria de conformidade.

1. Infraestrutura como Serviço (IaaS)

Os fornecedores de IaaS disponibilizaminfraestrutura básica de computação, armazenamento e rede, bem como o hipervisor para a virtualização. Os utilizadores são responsáveis pela criação e gestão de instâncias virtuais, instalação de sistemas operativos, disponibilização de aplicações e dados, bem como por toda a configuração. A IaaS é interessante tanto para pequenas empresas como para PME. A facilidade de utilização de uma infraestrutura de nuvem que não é gerida internamente representa uma alternativa económica à compra de hardware próprio.

Exemplos: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Platform as a Service (PaaS)

Os fornecedores de PaaS ampliam a pilha de aplicações mais do que a IaaS, ao complementarem sistemas operativos e middleware (por exemplo, bases de dados). Os utilizadores concentram-se mais no desenvolvimento de aplicações. A plataforma gere a infraestrutura subjacente.

Exemplos: AWS Elastic Beanstalk, Google App Engine.

3. Software as a Service (SaaS)

Os fornecedores de SaaS oferecem uma pilha de aplicações completa. Os utilizadores podem aceder à aplicação totalmente alojada através de um navegador web. A gestão das cargas de trabalho e dos recursos de TI fica totalmente sob o controlo do fornecedor de SaaS, enquanto os utilizadores têm controlo explícito sobre os dados criados pela aplicação.

Exemplos: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

A nuvem no direito contratual

Os contratos SaaS ainda não foram explicitamente abordados pelo legislador. Até à data, um contrato SaaS só pode ser classificado juridicamente como um contrato misto, que inclui aspetos de contratos de prestação de serviços, de obra e de locação. O domínio jurídico aplicável depende, portanto, da respetiva secção do contrato relativa à prestação de serviços. A parte central de um contrato SaaS reside principalmente no direito de locação, porque o fornecimento de software é mais comparável à cessão de bens no âmbito do direito de locação. Uma vez que o software não é considerado uma «coisa» no sentido do direito de arrendamento, prevalece atualmente a opinião de que os contratos SaaS constituem uma cessão de uso por um período limitado. Isto está em consonância com as disposições e o objetivo prosseguido pelo direito de arrendamento. [5]

Os contratos PaaS são marcados principalmente pelos Acordos de Nível de Serviço (SLAs), que estabelecem os serviços mínimos e definem os direitos e obrigações de ambas as partes.

A proteção de dados e a segurança dos dados desempenham um papel crucial, uma vez que os serviços PaaS envolvem frequentemente o tratamento de dados sensíveis. O contrato deve conterdisposições claras sobre a proteção de dados pessoais. Além disso, é inevitável estabelecer no contrato quem detém a propriedade intelectual das aplicações criadas, sendo que, normalmente, o utilizador mantém a propriedade das aplicações e o fornecedor mantém a propriedade da plataforma. [6]

Conclusão

Seja uma startup, uma empresa de capital de risco, uma PME ou uma grande empresa, a segurança na nuvem é de importância crucial para qualquer empresa.

Nesse contexto, não basta apenas ter em conta com que fornecedores de nuvem a empresa pretende colaborar, mas também quais as condições-quadro que são estabelecidas.

Em última análise, a segurança não é da exclusiva responsabilidade do prestador de serviços de tecnologia na nuvem, mas os colaboradores de uma empresa desempenham um papel igualmente importante no aspeto da segurança da nuvem.

É essencial investir regularmente na formação e sensibilização dos colaboradores, para garantir que estes dispõem do know-how necessário para lidar com as diretrizes e procedimentos de segurança. No entanto, para explorar todo o potencial de uma nuvem, as empresas devem investir tanto na manutenção dos seus próprios sistemas ou dos sistemas de parceiros externos, como no recrutamento de novos colaboradores de TI. Assim, uma empresa pode garantir a segurança do sistema e, consequentemente, aumentar a satisfação do cliente, o que melhora a reputação da empresa a longo prazo.

Um grande ponto de discórdia na escolha de um fornecedor de nuvem externo tem sido, desde sempre, a dependência de fornecedores estrangeiros e das suas regulamentações de proteção de dados. As empresas enfrentam este desafio através de medidas como a análise minuciosa das diretrizes de proteção de dados, abordagens de nuvem híbrida para minimizar riscos, avaliações das medidas de segurança e certificações dos fornecedores, avaliações de impacto na proteção de dados, monitorização e auditorias regulares, bem como a preparação para possíveis violações de proteção de dados. As estratégias variam consoante a dimensão e o setor da empresa, mas todas visam garantir a conformidade com a proteção de dados e minimizar os riscos potenciais na utilização de serviços de nuvem externos.

Bibliografia

Computação em nuvem
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Modelo de Implementação na Nuvem (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Entender a nuvem - sabes o que é uma nuvem pública e o que é uma nuvem híbrida? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

O que é IaaS? Definição e informações úteis
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Plataforma como Serviço (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

O que deves ter em conta ao elaborar contratos SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Contratos de Plataforma como Serviço (PaaS): Um guia (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html