Confiança na Nuvem: do que se trata?

Por Jeff Jones Estrategista Principal de cibersegurança

Hoje me dei uma palestra sobre a confiança na nuvem no evento de Cybersecurity Expo 2014  em Londres. Eu estive pensando sobre como lidar com um tema como "confiança" e como ele se aplica à computação em nuvem. Eu não sei  sobre você, mas quando alguém que você não conhece muito bem diz que "você pode confiar em mim,” eu de alguma maneira sinto o  oposto. Penso que as ações falam mais alto do que as palavras.

Com isso em mente, tenho  abordado o assunto por falar em quatro áreas-chave em que a Microsoft acredita que são importantes para os provedores de serviços em nuvem para demonstrar confiabilidade; áreas que a Microsoft oferece a mais de 200 clientes que hoje utilizam os serviços de computação em nuvem. Convido os leitores a considerar um provedor de serviços de computação em nuvem que se esforce nestas quatro categorias principais: cibersegurança, privacidade de dados, conformidade e transparência.

Na cibersegurança, a Microsoft trabalha para proteger, detectar e responder às ameaças contra os clientes. Temos investido para desenvolver produtos mais seguros e serviços de mais de uma década por meio do Security Development Lifecycle (SDL) – uma visão holística e abrangente do processo de desenvolvimento de software que foi criado para ajudar mais a segurança e privacidade e permitir mais produtos e serviços confiáveis. Hoje, a SDL é considerado como o padrão da indústria para escrever software mais seguro e é incluído como um estudo de caso no ISO standard 27034-1.

Nossos serviços online aderem a um conjunto rigoroso de segurança e controles de privacidade que regem as operações e suporte através de um processo chamado Operational Security Assurance (OSA).  Temos fortes políticas de encriptação de dados que ajudam a proteger os nossos clientes, parceiros e os dados internos dentro das nossas redes. Em apoio a isso, temos exemplos em Julho  de como estamos expandindo a criptografia em todos os nossos serviços para ajudar a proteger os dados do cliente:

    • Office 365 – fornece criptografia de mensagens, um serviço de e-mail que permite enviar email criptografado para outras pessoas
    • O Microsoft Azure – ExpressRoute, permite aos clientes acessar aos serviços  Azure nas suas instalações sem ter que atravessar a Internet.
    • Outlook.com – proteção é fornecida  pela segurança da camada de transporte (TLS) de criptografia para e-mail ativas e receptivas. Outlook.com permite também Perfect Forward Secrecy – PFS – suporte a criptografia para enviar e receber emails.
    • OneDrive permite também a criptografia através do Perfect Forward Secrecy –  PFS.

A Microsoft tem uma equipe global  de resposta a incidentes que trabalha 24 x 7  para atenuar os efeitos da cyberattacks e atividades mal intencionadas. A equipe de resposta a incidentes segue procedimentos estabelecidos para o gerenciamento de incidentes, a comunicação, e a recuperação, e utiliza interfaces detectáveis e previsíveis internamente para os clientes. Temos também parceiros que  proativamente  trabalham conosco, como as autoridades policiais para combater o cibercrime através do nosso Digital Crimes Unit.

Nosso compromisso com a privacidade de dados começa na fase de desenvolvimento e é parte do SDL, bem como um conjunto de orientações internas, chamado Microsoft Privacy Standard. Como resultado, os nossos  serviços em nuvem incluem recursos mais avançados de privacidade como Prevenção contra Perda de Dados (DLP), Rights Management Services (RMS), e vários comandos que ajudam os clientes a gerenciar os riscos de  seus dados. Como resultado, somos atualmente o único vendedor de serviços de nuvem cujos contratos comerciais atendem à União Europeia e às autoridades de proteção de dados, e padrões rigorosos para as transferências internacionais de dados, através do "artigo 29º do Working Party".

Certificações de terceiros ajudam a demonstrar o cumprimento e  disponibilidade para os clientes, auditores e reguladores. Empresas de terceiros, tais como a Deloitte e a British Standards Institution (BSI), avaliam regularmente e verificam os nossos recursos e aderência à um conjunto abrangente de exigências. Nossa abordagem estruturada de conformidade é construída sobre o compromisso de cumprir com uma ampla gama de certificações, em muitos casos definindo o ritmo para os outros seguirem.

Em Março de 2013, como parte de nosso compromisso com a transparência, começamos a publicar detalhes sobre o número de demandas que recebemos todos os anos no nosso “Law Enforcement Requests Report” (Departamento de solicitações de reforços da lei)  que fornece documentação clara das nossas práticas estabelecidas na resposta às exigências legais governamentais para com os dados do cliente.

É importante reconhecer que o cenário de ameaças continuará a evoluir para acompanhar o ritmo com os avanços em matéria de segurança e proteção de dados – que é um dado adquirido. A Microsoft continua comprometida com a proteção dos dados dos clientes através da inovação e da colaboração para ajudar a gerenciar riscos de cibercriminosos.

Para obter mais informações sobre os nossos serviços em nuvem, verificar para fora www.microsoft.com/cloud.

Original: http://blogs.microsoft.com/cybertrust/2014/10/09/trust-whats-it-all-about/