ENISA salienta valor da comunicação de incidentes na cloud

A ENISA sublinhou recentemente a importância da comunicação de incidentes nas plataformas de segurança, especialmente em setores críticos, como uma forma de compreender melhor a segurança da informação e promover a confiança nos serviços.

São apresentadas várias recomendações e um conjunto de questões, a partir de um estudo realizado pela Agência Europeia para a Segurança das Redes e da Informação.

As análises do estudo partem de quatro cenários diferentes de cloud computing e a forma como os sistemas de comunicação de incidentes podem ser criados. A entidade europeia recomenda que o setor público considere, na contratação de serviços, a obrigatoriedade de os fornecedores comunicarem incidentes de segurança.

“A notificação de incidentes é crucial para permitir uma melhor compreensão sobre a segurança e resiliência das infraestruturas críticas de informação da Europa. A cloud computing está a tornar-se na espinha dorsal da nossa sociedade digital, por isso é importante que os fornecedores melhorem a transparência e a confiança sobre os serviços adoptando sistemas eficientes de comunicação sobre incidentes”, explicou o diretor executivo da ENISA, Udo Helmbrecht.

De acordo com a ENISA, os aspetos mais importante do problema são que na maioria dos Estados-Membros da União Europeia não existe uma autoridade nacional para avaliar a criticidade dos serviços em cloud computing, estes serviços são muitas vezes baseadas noutros serviços em cloud, o que aumenta a complexidade e complica a comunicação de incidentes, e os clientes dos serviços muitas vezes não inscrevem as obrigações de comunicação de incidentes nos seus contratos de cloud computing.

O relatório contém várias recomendações, com base na opinião dos especialistas na indústria dos governos em cloud computing. Os sistemas de comunicação voluntários quase não existem e pode ser necessário haver legislação obrigando os operadores de sectores críticos o reporte sobre incidentes de segurança. As autoridades governamentais devem considerar as obrigações de reporte de incidentes nas suas necessidades de aquisição, os operadores dos setores críticos devem abordar a comunicação de incidentes nos seus contratos, os sistemas de comunicação de incidentes podem resultar numa iniciativa com vantagens mútuas para fornecedores e clientes e os fornecedores devem liderar o processo e estabelecer sistemas de comunicação, voluntários eficientes e eficazes.