Datacenters Pequenos, Grandes Riscos? Guia para Proteger Seus Dados com Segurança e Inteligência

Sabe aquele datacenter menor, pertinho de você, que parece uma solução prática e econômica? Pois é, ele pode ser uma faca de dois gumes. Se, por um lado, a proximidade e o custo atraem, por outro, a segurança da informação pode ser uma grande dor de cabeça.

Imagine que você está confiando seus dados mais importantes a um lugar que não investe o suficiente em proteção. É como deixar a porta da sua casa aberta em um bairro perigoso. E, acredite, o mundo digital está cheio de "bairros" assim.

Ou caso você seja um profissional de compliance, este artigo será um guia para ajudá-lo a avaliar os riscos em diligências, e implementar controles eficazes e garantir que seus clientes e parceiros estejam protegidos. Nele, vamos desmistificar a segurança dos pequenos datacenters.

É um guia simplificado, mas eficaz, com dicas práticas e informações técnicas essenciais, para que você possa proteger seus dados ou de seus clientes e dormir tranquilo.

O que olhar primeiro, antes de contratar?

1. Investigação Detalhada: Como um Detetive

1. Certificações e Auditorias: ISO 27001: Peça o certificado e verifique se ele cobre os serviços que você usa. SOC 2: Descubra se o datacenter tem um relatório SOC 2, que atesta a segurança, disponibilidade, integridade e privacidade dos dados. Testes de Penetração: Solicite relatórios de testes de penetração recentes para identificar vulnerabilidades exploráveis.
2. Políticas de Segurança: As Regras do Jogo Gerenciamento de Acesso: Avalie a política de gerenciamento de acesso, incluindo os controles de autenticação, autorização e auditoria. Resposta a Incidentes: Revise o plano de resposta a incidentes, para saber como o datacenter reage a um ataque. Proteção de Dados: Avalie as políticas de proteção de dados, incluindo os controles de criptografia, backup e recuperação.
3. Contrato Blindado: O Poder da Negociação Acordos de Nível de Serviço (SLAs): Disponibilidade: Defina metas claras de disponibilidade, como o tempo máximo de inatividade permitido por mês. Tempo de Resposta a Incidentes: Especifique o tempo máximo de resposta a incidentes de segurança. Backup e Recuperação: Defina os procedimentos de backup e recuperação de dados, incluindo a frequência, o tempo de retenção e o tempo de recuperação.

Entenda, não é o datacenter que diz o que pode fazer por você, é você quem dita as regras, TODAS.

1. Responsabilidades: Segurança dos Dados: Deixe claro quem é responsável pela segurança dos dados. Notificação de Incidentes: Especifique como e quando você será notificado em caso de incidente.
2. Cláusulas de Auditoria: Direito de Auditar: Garanta o direito de auditar as práticas de segurança do datacenter.

Obs: Se o DC se negar, enrolar, vir de papinho...CORRA!

1. Relatórios de Auditoria: Solicite acesso aos relatórios de auditoria internos e externos.
2. Olho Vivo: O Monitoramento Contínuo Logs de Acesso: Monitoramento de Logs: Implemente um sistema para coletar, analisar e correlacionar logs de acesso aos seus dados e sistemas. Alertas de Segurança: Configure alertas para atividades suspeitas ou não autorizadas. Alertas de Segurança: Integração com SIEM: Integre os alertas de segurança com um sistema SIEM para centralizar o monitoramento. Respostas Automatizadas: Configure respostas automatizadas para incidentes de segurança. Comunicação: Canais de Comunicação: Estabeleça canais de comunicação claros e eficazes com o datacenter. Reuniões Regulares: Realize reuniões regulares para discutir questões de segurança.

O que avaliar tecnicamente nos Provedores de Datacenter sob o ponto de vista de Segurança da Informação e Cibersegurança (Sim, são coisas diferentes): Detalhes que Fazem a Diferença

1. Segurança Física: A Fortaleza dos Dados Acesso Controlado: Biometria e Cartões de Acesso: Verifique se o datacenter utiliza sistemas de autenticação biométrica e cartões de acesso. Vigilância por Vídeo: Avalie a cobertura e a qualidade dos sistemas de vigilância por vídeo. Proteção Ambiental: Sistemas de Supressão de Incêndio: Certifique-se de que o datacenter possui sistemas de supressão de incêndio adequados. Gerenciamento de Inundações: Avalie os sistemas de gerenciamento de inundações.
2. Segurança Lógica: A Inteligência Artificial da Proteção Firewalls e IDS/IPS: Firewalls de Próxima Geração: Avalie a utilização de firewalls de próxima geração (NGFWs). Regras de Detecção: Revise as regras de detecção de intrusão. Criptografia: A Arte de Embaralhar os Dados Criptografia em Repouso: Verifique se os dados são criptografados em repouso. Criptografia em Trânsito: Avalie a utilização de protocolos de criptografia seguros. Gerenciamento de Vulnerabilidades: Varreduras de Vulnerabilidades: Pergunte sobre a frequência e o escopo das varreduras de vulnerabilidades. Patches de Segurança: Avalie os processos de aplicação de patches de segurança.
3. Conformidade e Governança: As Regras do Jogo ISO 27001/NIST: Escopo da Certificação: Verifique o escopo da certificação ISO 27001. Mapeamento para o NIST: Avalie como o datacenter mapeia seus controles de segurança para as diretrizes do NIST Cybersecurity Framework. Políticas de Privacidade: Conformidade com a LGPD: Avalie como as políticas de privacidade de dados se alinham com a Lei Geral de Proteção de Dados (LGPD). Transparência: Verifique se o datacenter é transparente sobre suas práticas de coleta, uso e compartilhamento de dados. Resposta a Incidentes: Testes e Simulações: Pergunte sobre a frequência e o escopo dos testes e simulações do plano de resposta a incidentes. Comunicação com Clientes: Avalie como o datacenter comunica incidentes de segurança aos clientes.

A Segurança é um Jogo de Equipe

A segurança dos pequenos datacenters é uma responsabilidade compartilhada. Ao realizar uma investigação cuidadosa, estabelecer contratos sólidos e monitorar continuamente a segurança, você pode proteger seus dados e mitigar os riscos.

Se você é um cliente procurando um provedor e não tem experiência, considere contratar um especialista em segurança cibernética para auxiliar na avaliação e no monitoramento dos datacenters. Acredite, vale cada real pago.

Se você já é um profissional especializado em compliance, com certeza já conhece o caminho das pedras e se precisar peça auxílio de um profissional de segurança da informação. Seu papel é fundamental na avaliação e melhoria da postura de segurança dos datacenters. Utilize as normas ISO e NIST como guias para implementar controles de segurança eficazes. Realize auditorias de segurança regulares e testes de penetração para identificar e corrigir vulnerabilidades.

Lembre-se, a segurança dos seus dados é um investimento contínuo, não um custo único. Com isso, você pode garantir que os pequenos datacenters sejam seguros e confiáveis, protegendo seus dados e garantindo a resiliência de suas operações.

Vinicius Moll - https://www.linkedin.com/in/vinicius-moll/

CEO Halkon Consultoria | Embaixador de Cibersegurança de SC pela ANACO | Expert em SI, TI e Telecom | DPO | CDPS e CISO pela G8.