O fim do perímetro tradicional e a expansão da computação em nuvem estão fazendo com que diversas fronteiras desapareçam. Toda organização usuária de nuvens híbridas ou públicas depende, em graus variados, da maturidade digital de seu provedor externo de nuvem.
Esse quadro ganha ainda mais complexidade diante do fato de que as áreas de negócios e os colaboradores da organização não vivem sem dados. Num mundo hiperdistribuído, é essencial que o usuário esteja comprometido com a integridade dos dados, e adote as atitudes corretas para proteger o coração da empresa onde trabalha.
Essa transformação cultural é um grande desafio.
O estudo divulgado pela Verison em maio de 2022 revela que o fator humano continua sendo fonte de vulnerabilidades. Esse relatório analítico mostrou que 82% das violações envolviam falhas humanas – isso inclui abertura de e-mails com phishing, ataques via redes sociais e uso indevido de informações. Para a IBM, o quadro é ainda mais grave: relatório de fevereiro de 2021 aponta que mais de 95% das violações envolvem erros cometidos por usuários.
A falta de cultura de segurança digital por parte dos usuários finais facilita as ações criminosas. Segundo o mais recente relatório de ameaças cibernéticas da SonicWall, mais de 33 milhões de tentativas de invasões ocorreram no mundo em 2021 – o Brasil é o quarto maior alvo de ransomware. Onde houver usuários sem cuidado com os dados, esses ataques têm mais chances de serem bem-sucedidos.
A responsabilidade sobre a segurança também é partilhada com os provedores de nuvem.
Não é possível adotar a nuvem pública ou híbrida sem, primeiramente, compreender claramente onde termina a responsabilidade do provedor de nuvem e começa a do CIO ou CISO da empresa usuária. Em outras palavras, o provedor de nuvem é o dono de seu próprio ambiente digital (networking e software). A meta é efetivamente segmentar sua infraestrutura virtual de modo a evitar que o ataque sofrido por uma organização cliente transborde para todo o ecossistema. A corporação usuária, por outro lado, é responsável por proteger seus próprios dados, aplicações e nuvem privada.
Ainda há muito o que se aprender sobre esse contexto. Estudo do Gartner publicado em dezembro de 2020 revela que, até 2025, 90% das organizações usuárias de nuvens públicas ou híbridas vão sofrer vazamentos de dados. Os analistas do Gartner afirmam, também, que até 2025, 99% dos incidentes de segurança sofridos pelas organizações usuárias de nuvem serão causados pelo cliente e não pelo provedor de serviços.
Os líderes dos times de ICT Security estão lutando para reverter esse quadro.
A meta é reduzir a eficácia das ameaças sofisticadas sobre a computação moderna. Cresce a cada dia a incidência de ameaças criptografadas que, quando violam um sistema, movimentam-se lateralmente no universo da empresa usuária, espalhando-se pelo ambiente. Malware cada vez mais inovadores estão por trás de ameaças persistentes avançadas que exigem soluções de Sandbox muito precisas para serem identificadas e bloqueadas. Outra frente de batalha diz respeito às violações de dados, que podem resultar em adulteração e divulgação não autorizada de informações.
Há estratégias eficazes para lidar com essa realidade:
1. Usar aplicações confiáveis
Os dados que a nuvem armazena são importantes. Como acontece com qualquer código vindo de uma fonte externa, é necessário verificar a procedência dos pacotes, quem os criou e se há códigos maliciosos neles. Isso inclui questionar os grandes fornecedores de aplicações em formato SaaS sobre os processos de segurança utilizados no desenvolvimento dessas plataformas.
2. Conformidade
Ao contratar os serviços de um provedor de nuvem, é importante examinar onde, no mundo, os dados da corporação estão sendo hospedados. Dados confidenciais, financeiros e pessoais estão sujeitos a rígidos regulamentos de conformidade. As leis variam de acordo com o local de operação e com quem a organização usuária da nuvem faz negócios. Cabe ao CIO verificar os requisitos de conformidade antes de decidir em que geografia está a nuvem.
3. Gerenciar o ciclo de vida dos dados em nuvem
Os ambientes nativos da cloud facilitam a inicialização de novas instâncias, assim como o esquecimento das mais antigas. As instâncias abandonadas continuam ativas, mas não são monitoradas. Elas se tornam desatualizadas com rapidez e novos patches de segurança não são aplicados. O gerenciamento do ciclo de vida e as políticas de governança podem ajudar a reverter esse quadro. Vale a pena, também, checar se, no caso de uma migração do Microsoft Azure para o AWS, por exemplo, os dados da empresa usuária são totalmente intercambiáveis. Outro ponto é verificar se o dado que está na plataforma antiga será efetivamente eliminado.
4. Considerar a portabilidade
O CIO consegue transferir suas cargas de trabalho para outra cloud com facilidade? Para isso, os contratos de nível de serviço (SLA) precisam definir com clareza quando e como o fornecedor da cloud retornará os dados ou aplicações do cliente. Mesmo que não haja a intenção de transferir cargas em breve, é provável que isso aconteça no futuro. Daí a importância de considerar a portabilidade agora e, assim, evitar as preocupações causadas pela dependência a um único fornecedor.
5. Monitoramento contínuo
Monitorar o que acontece nos ambientes de trabalho ajuda a evitar violações de segurança ou, pelo menos, inibir os efeitos delas. Recursos como CAS (Cloud Application Security) ou mesmo o conceito de SASE (Secure Access Service Edge) fazem a diferença nesse contexto. O SASE é uma estrutura de segurança que permite que usuários e dispositivos tenham acesso seguro à nuvem e seus aplicativos, dados e serviços, de qualquer lugar e a qualquer momento.
6. Escolher a equipe certa
Contrate e faça parcerias com pessoas confiáveis, qualificadas e que entendem as complexidades da segurança da cloud. Às vezes, a infraestrutura da nuvem pública pode ser mais segura do que uma nuvem privada específica de uma organização. Isso ocorre quando o fornecedor da nuvem pública tem uma equipe de segurança bem-informada e preparada.
Nessa jornada, o CIO conta com o apoio de entidades como a Cloud Security Alliance, que propõe padrões de segurança, regulamentos e frameworks de controle a todos os stakeholders envolvidos no mundo da computação em nuvem. Quem participa de fóruns como este antecipa estratégias de vitória na nova era do compartilhamento da responsabilidade de segurança.