Não é exagero dizer que atualmente todas as empresas estão na nuvem, mesmo que não saibam. Pode ser porque o fornecedor de um sistema usado em alguma área, como de RH ou CRM, decidiu migrar para a nuvem e agora funciona como SaaS, ou devido ao serviço de e-mail, cujas mensagens podem ser acessadas de qualquer dispositivo, ou então pelos populares aplicativos de mensagens instantâneas e de compartilhamento de arquivos usados pelos funcionários, mesmo sem a autorização da companhia. O fato é que, de um jeito ou de outro, os dados da empresa estão trafegando e sendo hospedados na nuvem.
As vantagens da nuvem são muitas: agilidade, escalabilidade, disponibilidade e custo pesam bastante na decisão das empresas ao migrarem seus dados. Uma recente pesquisa feita pela McAfee com cem executivos brasileiros da área de segurança mostrou que 81% das empresas já têm uma estratégia formal ‘Cloud First’, ou seja, ao comprar e implementar aplicativos, as opções em cloud devem ser priorizadas.
Porém, os serviços em nuvem também trazem alguns problemas na área de segurança e o maior deles é a falta de visibilidade. Ninguém precisa ser especialista em TI para contratar serviços em nuvem, seja IaaS (Infraestrutura como Serviço) ou SaaS (Software como Serviço) e essa facilidade acaba dificultando o trabalho das equipes de TI em conseguir visualizar todas as aplicações usadas no ambiente corporativo e controlar os riscos trazidos por elas.
A utilização de soluções pelos usuários sem o conhecimento da equipe de TI, técnica conhecida como Shadow IT, passa a ser um grande desafio para a segurança. Sem ter a visibilidade de todas as aplicações usadas na rede da empresa, fica mais difícil obter o controle de onde os dados estão trafegando, saber quem os está acessando e se as informações estão realmente seguras.
Na pesquisa da McAfee, a maioria dos entrevistados (58%) disse que a Shadow IT realmente prejudica a capacidade da sua organização de manter os serviços na nuvem seguros e protegidos. Um terço dos entrevistados afirma já ter tido problemas com cargas de trabalho na nuvem e contas sendo criadas fora da visibilidade de TI e, também cerca de um terço dos entrevistados (35%), disse que entre 20 e 40% do número total de serviços de nuvem pública da empresa é contratado sem o envolvimento direto do departamento de TI.
Esses números são bastante preocupantes. Se o dado da empresa foi para a nuvem, a estratégia de segurança corporativa precisa acompanhá-lo. Desenvolver uma estratégia de segurança que também funcione para a nuvem e aumente a visibilidade deste ambiente é fundamental. O mercado está desenvolvendo soluções de segurança que já nascem na nuvem, como o CASB (Cloud Access Security Broker), e que ajudam a solucionar o problema da visibilidade, mas algumas soluções tradicionais também podem ajudar a dar visibilidade a nuvens adotadas de forma oficial pela empresa.
Além das ferramentas adequadas, obviamente as empresas também precisam investir em educação e treinamento. Os colaboradores precisam entender os riscos da Shadow IT e também saber como tratar os dados corporativos com mais responsabilidade e segurança.
Algumas empresas ainda se perguntam se realmente precisam ir para a nuvem, já que têm investimentos em infraestrutura e segurança local, mas o fato é que atualmente é bastante difícil, senão impossível, evitar esta migração. O mercado está mudando rapidamente, a nuvem passará a ser uma exigência e as empresas não vão conseguir evitar esse fenômeno. É preciso estar preparado. Desenvolver em uma estratégia para levar a política de segurança corporativa para a nuvem é fundamental para controlar os riscos e evitar maiores problemas no futuro.
* Bruno Zani é líder de vendas para segurança na nuvem da McAfee no Brasil
