Garantias da segurança do armazenamento em nuvem

A contratação da Microsoft para a prestação de serviços da Plataforma de Justiça Digital do Tribunal de Justiça de São Paulo trouxe a discussão sobre a segurança das informações em serviços de computação em nuvem e o mito da necessidade de armazenamento local (em um servidor físico no Brasil) para supostamente garantir maior segurança e cumprimento das obrigações de privacidade e de proteção de dados pessoais dos brasileiros, ou de que se trata de um modelo tecnológico menos seguro.

Não é a primeira vez que esse tipo de argumentação é colocada em evidência na tentativa de desqualificar o uso do modelo de computação em nuvem. A mesma discussão já foi enfrentada no Brasil por ocasião do projeto de lei que originou o Marco Civil da Internet (Lei 12.965⁄2014) e também a Consulta Pública 57⁄2017, do Banco Central, sobre a regulamentação de cibersegurança e computação em nuvem no sistema financeiro. Em ambos os casos, tanto o Congresso Nacional quanto o Banco Central, levando em consideração os princípios de segurança, inovação e desenvolvimento tecnológico, entenderam que tanto a obrigação de armazenamento local quanto a proibição de contratação de computação em nuvem representariam um retrocesso no país.

Nem o Marco Civil da Internet tampouco a Resolução CMN 4.658⁄2018 obrigaram que as entidades, públicas ou privadas, armazenassem seus dados no Brasil, mas, ao contrário, ambos permitiram que essas entidades se utilizassem de sistemas de computação em nuvem disponíveis globalmente, os quais garantem segurança, resiliência e integridade dos dados. Ademais, está claro no Marco Civil da Internet que a legislação brasileira se aplica às empresas, brasileiras ou estrangeiras, que coletem, armazenem e tratem dados pessoais no território brasileiro; no caso de estrangeiras desde que ofertem serviços ao público brasileiro, ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

No que tange aos aspectos de segurança cibernética trazidos pela Resolução CMN 4.658⁄2018, fica, ainda, fácil de observar que funcionalidades presentes no modelo de computação em nuvem na verdade auxiliam as instituições contratantes a estar em conformidade com a regulação e melhor preparadas para garantir segurança para suas operações.

Cada vez mais as empresas e governos têm adotado a computação em nuvem no âmbito global, por apresentar benefícios aos sistemas de operação e gestão de dados e informações, tais como como recursos de segurança e proteção de dados; escalabilidade; acesso por qualquer dispositivo, a qualquer tempo; aumento da capacidade computacional de forma quase imediata, entre outros. Vejamos as principais características de computação em nuvem:

Segurança. Ao contrário das empresas que possuem o departamento de TI como acessório ao negócio, para os provedores de computação em nuvem a segurança cibernética é o aspecto primário de seu negócio. Os investimentos em pesquisas e desenvolvimento de segurança, implementação de testes e de dispositivos de proteção de dados são vultosos, chegando, no caso da Microsoft, por exemplo, a aproximadamente 1 bilhão de dólares anuais, com uma equipe de mais de 3,5 mil profissionais dedicados integralmente à segurança e privacidade. Esses dados demonstram que, ao TJ-SP ou a qualquer outro tomador de serviço, a migração para a nuvem possibilita ter acesso ao sistema de segurança de ponta, desenvolvido por equipe internacional altamente treinada e especializada em segurança cibernética e privacidade.

Como resultado, a Microsoft, assim como outras provedoras de serviços cloud, apresenta extensiva cobertura de certificados de compliance internacionais de segurança, tais como ISO/IEC 27001, o ISO/IEC 27017, o ISO/IEC 27018 e relatórios 1, 2 e 3 do Serviço de Organizações de Controles – SOC. Além disso, a Microsoft á auditada, periodicamente.

Redundância e Criptografia. A principal característica do serviço de nuvem é a redundância do armazenamento de dados, ou seja, a possibilidade de armazenamento backups em diversas localidades, sobretudo em locais em que os data centers estejam seguros de desastres naturais, incêndios, ataques de hackers etc., e, portanto, melhor gerenciamento de risco e segurança. Essa particularidade permite, ainda, que os serviços em nuvem fiquem menos vulneráveis a incidentes diversos.

Dessa forma, uma grande vantagem da computação em nuvem é justamente o que é visto, pelos menos informados, como um problema: a possibilidade de armazenamento de dados em diversas localidades para a garantia da segurança do armazenamento e disponibilização do serviço, além do alto poder computacional que este modelo possibilita.

Além disso, a computação em nuvem, como aquela fornecida pela Microsoft, garante a criptografia de dados, prevenindo acesso não autorizado.

Tal cobertura de gestão de segurança de dados auxilia os próprios contratantes dos serviços de nuvem no cumprimento das obrigações impostas pela Lei Geral de Proteção de Dados, ao garantir um sistema robusto de segurança e privacidade e em conformidade com a legislação, além de funcionalidades de gestão de dados e acesso que se adiantam às exigências estabelecidas pela lei. Nesse sentido, vale lembrar que a própria Microsoft é uma entidade com presença global e que se preocupa com a conformidade do GDPR, fazendo valer o nível de proteção exigido pela regulação europeia em seus serviços e plataformas, mesmo fora do continente — o GDPR foi inspiração também para a edição da LGPD.

Avanço tecnológico e inovação. Os serviços em nuvem pública — em especial aqueles no modelo de Plataforma como serviço (PaaS) e Software como Serviço (SaaS) — permitem uma rápida atualização de novas tecnologias e de segurança, inclusive em relação a sistemas de segurança e privacidade, bem como oferecem, com frequência, novas funcionalidades aos contratantes, para que fiquem alinhados com as tendências de mercado em termos de infraestrutura tecnológica, benefícios aos usuários e segurança.

Escalabilidade. A computação em nuvem traz como uma relevante vantagem a possibilidade de flexibilidade quase que imediata para o aumento ou redução do volume de dados armazenados, de acordo com as necessidades dos contratantes. Eliminam-se os riscos envolvidos na definição prévia da capacidade do serviço (ociosidade de recursos ou insuficiência da capacidade).

Para a Plataforma do TJ-SP, a facilidade de aumento ou redução, quase que imediatos, da capacidade do volume de processamento e armazenamento de dados parece ser um dos grandes benefícios trazidos pela computação em nuvem. Isso porque o aumento do número de processos ou de acessos ao sistema em um determinado dia ou horário passa a ser facilmente manejável na computação em nuvem.

Eficiência e Redução de Custos. A contratação de serviço de nuvem pública permite, ainda, que as entidades contratantes não precisem mais alocar parte do seu orçamento e do seu time para a compra de hardwares e softwares a cada nova necessidade tecnológica e de segurança, bem como para os processos de instalação e implementação de infraestrutura, que abrangem arquitetura de sistema, aumento de capacidade física, compra de energia para resfriamento dos data centers etc. O serviço de nuvem dispensa esse gerenciamento de TI pelos contratantes, trazendo considerável redução de custos operacionais aos contratantes e a possibilidade de maior foco na busca por inovação em favor da operação da entidade.

Essas características demonstram que não é à toa que a computação em nuvem vem ganhando cada vez mais adeptos, seja dos setores público ou privado, em vista das garantias de segurança e privacidade, eficiência na gestão de inovação e incorporação tecnológica, redução de custos e escalabilidade.

Por fim, é importante desmistificar o CLOUD Act norte-americano citado em tantas publicações sobre o tema. O CLOUD Act não regulamenta serviços de computação em nuvem em si, mas é uma sigla para Clarifying Lawful Overseas Use of Data. Por meio desse ato, regulamenta-se medidas de acesso a dados em servidores nos EUA e fora dos EUA para fins de investigação e law enforcement. Evidentemente, o CLOUD Act não se sobrepõe nem revoga a legislação brasileira de proteção de dados e privacidade.

Espera-se que a contratação da Microsoft e o deslinde desse caso não sejam motivos para que o Brasil tenha retrocessos na adoção da computação em nuvem, uma vez que isso já foi discutido e debatido pelo órgão supremo de representação social, o Congresso Nacional, que entendeu, por ocasião do Marco Civil da Internet, que não haveria interesse nacional (nem mesmo de segurança) de obrigar os provedores de nuvem a manterem os dados de brasileiros apenas no Brasil.