Contratei Office 365… Por que devo proteger estes dados na nuvem?
Nunca se falou tanto de Proteção de Dados como se tem falado nos dias de hoje, onde cada vez mais se noticia empresas que perderam informações importantes, ou que tiveram seus dados sequestrados por criminosos e evidentemente todas as empresas demonstram uma grande preocupação com a segurança de seus dados.
Uma solução que tem sido adotada com frequência é a utilização do Pacote Office 365 da Microsoft, que possibilita o acesso por qualquer dispositivo e de qualquer local em que o usuário se encontre, sendo que toda a responsabilidade pela infraestrutura é da Microsoft.
Este é um exemplo de aplicação que é executada na Nuvem, mas existem outras que também são muito utilizadas e que trabalham de forma muito similar ao Office 365, permitindo a mobilidade do usuário e compartilhamento dos dados através de diferentes dispositivos, como o Salesforce.
Como colocado acima, a responsabilidade pela infraestrutura do Office 365 é da Microsoft, que cuida de toda a estrutura física, desde a parte da segurança de acesso ao ambiente do Data Center, até a alta disponibilidade desta infraestrutura para que não ocasione nenhum transtorno na operação de seus usuários.
Neste ponto poder-se-ia considerar que a questão de Proteção de Dados neste ambiente está solucionada, já que o nível de disponibilidade que provedor proporciona é altíssimo e considerar que possa ocorrer algum problema em que os dados sejam perdidos dentro do Data Center da Microsoft é muito distante do que realmente acontece no mundo real.
Porém, precisamos entender um pouco melhor quais são as responsabilidades da Microsoft e quais são as responsabilidades do Usuário dentro deste contexto. A Microsoft deixa bem claro abaixo por tudo que ela é responsável, o que é responsabilidade do Usuário e o que é responsabilidade de ambos:
- Responsabilidades da Microsoft:
- A Microsoft controla o acesso físico às suas instalações, evitando que pessoas não autorizadas possam ter possibilidade de entrar e executar ações criminosas;
- A infraestrutura do Data Center é projetada de forma que não exista um ponto único de falha, garantindo, assim, uma alta disponibilidade aos serviços que rodam neste ambiente;
- Controle dos acessos através da rede, impedindo que haja invasão deste ambiente do Data Center por criminosos com a possibilidade de acessar seus equipamentos;
- Controle a nível das aplicações com o objetivo de manter um ambiente estável e de alta disponibilidade para a utilização de seus Clientes.
- Responsabilidades do Usuário:
- Classificação e gerenciamento de seus dados de forma que todo o conteúdo dos dados enviados pelo Usuário deve ser armazenado e controlado da maneira estabelecida pelo próprio Usuário, já que a própria Microsoft não tem acesso a estes dados.
- Responsabilidades compartilhadas entre a Microsoft e o Usuário:
- Gerenciamento da identidade de quem pode acessar os dados, já que é o próprio Usuário que define que tem direito e a Microsoft se responsabiliza em não permitir que outras identidades acessem o sistema;
- Proteção de Dados do Cliente final, sendo que o Usuário final se responsabiliza por tudo o que é alterado ou removido do seu próprio ambiente e a Microsoft assegura que sua infraestrutura não irá permitir perdas de dados devidas ao seu ambiente.
O nosso foco está justamente no ponto em que existe uma responsabilidade compartilhada entre a Microsoft e o Usuário, relacionada à Proteção de Dados do Cliente final. Vamos considerar o caso mais simples, que é a proteção dos e-mails. A Microsoft disponibiliza os seguintes níveis de proteção:
- E-mails deletados pelo Usuário – Serão enviados para a Lixeira e mantidos lá até a expiração do período de retenção. Após este período, ficará disponível na Lixeira por mais 14 dias e será deletado de forma permanente;
- E-mails não deletados pelo Usuário – Serão mantidos normalmente até a expiração do período de retenção. Após este período, ficará disponível por mais 14 dias e será deletado de forma permanente.
No caso do Usuário, podem ocorrer alguns problemas que necessitam de sua ação com um Plano de Proteção de Dados, como se verifica em alguns exemplos abaixo:
- Usuários finais controlando a retenção – Dependendo do período que o Usuário especificar como período, os dados podem ser deletados antes do que seria desejável;
- E-mails deletados de forma intencional ou não – O próprio Usuário pode deletar algum material de forma intencional ou não e, desta forma, perder de forma permanente esta informação, que pode ser importante;
Assim, é muito importante que um Plano de Proteção de Dados seja colocado em prática para proteger os dados das aplicações que estão em Nuvem, mesmo que sob responsabilidade de um Provedor que seja do mais alto grau de confiabilidade, por uma razão muito simples; O Provedor não consegue assegurar que todas as ações tomadas pelo Cliente final são aderentes aos procedimentos da empresa e, nos casos em que ocorra alguma perda de dados, se esta perda estiver fora do escopo de proteção acordado entre o Provedor e o Usuário, não será possível recuperar estes dados.
Nunca deixe de considerar a inclusão de um Plano de Proteção de Dados em projeto de aplicações que já se encontram na Nuvem para que o seu Plano de Recuperação em caso de perda esteja completo.
Conte com a Unitech para auxiliar na proteção dos bens mais valiosos do mercado nos dias de hoje, que são seus dados.