Princípios de uma Migração para a Nuvem – Segurança, O W5H

Queméoquê?! – QUEM é responsável por isso, afinal?

Desde que os provedores de nuvem estão no mercado, discutimos o Modelo de Responsabilidade Compartilhada quando se trata de equipes de operação do cliente. Ele define os diferentes aspectos do controle e, com esse controle, vem a necessidade de proteger, gerenciar e manter.
Embora eu frequentemente assuma que todo mundo já esteja familiarizado com esse modelo, vamos destacar alguns dos requisitos e aprofundar um pouco mais o layout da sua organização em termos de responsabilidade.
Durante a migração para a nuvem, você sem dúvida encontrará uma variedade de serviços em nuvem que se encaixam em cada uma dessas configurações. Desde a execução de instâncias da nuvem (IaaS) até o armazenamento na nuvem (SaaS), há uma necessidade de aplicar a supervisão operacional (incluindo segurança) a cada uma delas com base no seu nível de controle do serviço. Por exemplo, em uma instância da nuvem, uma vez que você ainda é responsável pelo Sistema Operacional e pelas Aplicações, ainda precisará de um processo de gerenciamento de patches, enquanto no armazenamento de objetos de arquivo em nuvem, apenas a supervisão de permissões e gerenciamento de dados é necessário. Acho que Mark Nunnikhoven faz um ótimo trabalho ao entrar em maiores detalhes do modelo aqui.

Gostaria de focar em alguns dos outros “QUEM’s” que devem estar envolvidos na segurança da sua migração para a nuvem.

InfoSec – Eu acho que essa é a menção óbvia daqui. Responsável por toda a segurança da informação dentro de uma organização. Como sua migração para a nuvem está trabalhando com “informações”, a InfoSec precisa se envolver com a forma como eles obtêm acesso ao monitoramento da segurança e dos riscos associados a uma organização.

Cloud Architect – Outro que parece óbvio aos meus olhos, mas vale uma menção; se você não está construindo um framework seguro com uma visão além da migração inicial de “lift-and-shift”, estará condenado a princípios arcaicos que restaram da maneira antiga de fazer as coisas. Uma plataforma ágil criada para automatizar todas as operações, incluindo a segurança, deve ser o foco para alcançar o sucesso.

Operações de TI / nuvem – podem ser as mesmas ou diferentes equipes. À medida que mais e mais recursos passam para a nuvem, uma equipe de TI terá menos responsabilidades pela infraestrutura física, uma vez que agora é operada por um provedor de nuvem. Eles precisarão passar por uma “migração” para aprender novas habilidades para operar e proteger um ambiente híbrido. Essa adaptação de habilidades precisa ser liderada por…

Liderança – Sim, a liderança desempenha um papel importante nas operações e na segurança, mesmo que não façam parte do ramo CIO / CISO / COO. Enquanto me encolho digitando isto, a transformação dos negócios é uma etapa necessária à medida que você avança na sua jornada de migração para a nuvem. A aceleração fornecida pela nuvem não pode ser sufocada pelas ideologias de operação e segurança legadas. Cada parte do negócio precisa estar envolvida na aceleração do valor que você está fornecendo à sua base de clientes, implementando os processos ágeis, incluindo automação nas operações e segurança da sua nuvem.

Com todos os seus principais participantes focados em uma migração bem-sucedida para a nuvem, independentemente da etapa em que se encontra, você alcançará o estágio final: a reinvenção de seus negócios, onde a automação operacional e de segurança impulsiona a aceleração do valor entregue aos seus clientes.

Este artigo faz parte de uma série de várias partes que trata dos princípios de uma migração bem-sucedida para a nuvem. Para obter mais informações, comece no primeiro post (em inglês) aqui.