A nuvem é um ambiente seguro?

Se de um lado os cibercriminosos já utilizam a nuvem como elemento para programar grandes ataques, assim como Ransomware as a Service, Inteligência Artificial e Machine Learning, por outro as empresas migram para a cloud com mais cautela, adotando camadas de Segurança da Informação, mas ainda estão longe de automatizar a SI e adotar IA para a defesa.

Compartilhar:

Brechas e vulnerabilidades. Assim o cibercriminoso aproveita as fraquezas das organizações que nos últimos anos começou a olhar a Segurança da Informação como proteção de ativos, reputação e continuidade do negócio. Empurradas pela transformação digital e diante do momento regulatório com a LGPD, todo o ecossistema das economias do mundo todo buscam as novas tecnologias para aumentar o campo de defesa, embora muitas empresas acompanharam algumas ondas sem a preocupação com a segurança dos dados, como foi a migração em massa para cloud. A consequência tem sido assistida diariamente com grandes ataques e multas aplicadas pelo Ministério Público ou órgãos de proteção ao consumidor.

 

Durante a 4ª edição do Security Leaders Recife, realizado na semana passada, cloud security, uso da Inteligência Artificial e machine learning foram temas discutidos para minimizar os riscos e as vulnerabilidades contra ataques em massa.

 

Estudos revelam que a maioria das empresas migrou para a nuvem. No entanto, hoje  quem ainda está no ambiente on premise  pensa no assunto com um pouco mais de cautela porque já colocou na ponta do lápis o custo operacional para fazer a migração com a segurança. O desafio é provar aos gestores e board que o “barato” pode sair caro sem uma composição entre uma análise de viabilidade dos processos, arquitetos treinados e especializados na nuvem e soluções de segurança para cloud.

 

No final do dia, o tripé processos, pessoas e tecnologia é a máxima para obter êxito nos projetos, sob o guarda chuva da segurança da informação cobrindo toda e qualquer mudança ou desenho de uma nova aplicação.

 

Você precisa mesmo estar na nuvem?

 

Estar ou não na nuvem. Esse dilema deixou de existir desde quando as empresas passaram a entender que para cada necessidade, uma solução. Essa maturidade começa a acenar, dada a cultura de proteção de dados imposta também pela GDPR, LGPD e outras regulamentações que exigem um controle maior, compliance e gestão de risco.

 

Luiz Carlos Pádua, da assessoria da superintendência de telecomunicações da CHESF, comenta que hoje 30% da infraestrutura da TI estão na nuvem. No entanto, ainda há um grande receio para migrar as aplicações e dados críticos da área core da companhia de energia.

 

De fato, foi o tempo da migração excessiva para a cloud com a perrogativa de que a nuvem oferece mais agilidade nos negócios sem a preocupação de requisitos de segurança. Assim, a lição aprendida é fazer uma análise entre processos, pessoas, tecnologia. Esse é o momento da FUNDAJ: avaliar os custos operacionais. “Não migramos porque o nosso negócio contém um acervo muito grande de imagens e contamos com três campos (administrativo, acervo e pesquisa), distribuídos em dois data centers. Outro fator que retarda a migração é a velocidade de processamento, não só porque vamos precisar replicar o link, como também há a necessidade da continuidade do serviço, que é crítico, numa operação 24 X 7”, explica Alexsandro Diniz, CSO da FUNDAJ.

 

Ao contrário da FUNDAJ, 50% das operações das Faculdades Integradas da Vitória de Santo Antão está em cloud. Auximar Lemos, gestor de TI da instituição de ensino, explica que a migração para a AWS permitiu a agilidade na digitalização de muitos serviços. Por isso, fez muito sentido: “chegou um momento em que eu precisaria realizar uma operação de três horas e se estivesse na infraestrutura antiga, o custo seria em torno de R$ 8 mil. Com o AWS, em três horas, o gasto seria de US$ 5”, destaca. André Carneiro, country manager da Sophos no Brasil, concorda com Lemos. “A grande vantagem da nuvem é transformar um negócio em algo mais dinâmico”.


Segurança mais (processos, pessoas e tecnologia)

 

O trinômio é a máxima da área de TI, mas a maturidade das organizações e o volume excessivo de ataques exigiu uma camada acima: a segurança da informação. Diante disso, especialistas recomendam:

  1. Tenha em seus times profissionais qualificados e que entendam sobre cloud security – sejam treinados ou por meio da contratação de uma empresa. “Não adianta migrar para a nuvem sem segurança e desprovido de um profissional que entenda dos procedimentos que ela requer, uma vez que a empresa deve garantir a segurança e proteção de seus dados na nuvem”, adverte Lemos.
  2. Processos também devem ser avaliados antes de ir para a nuvem: o que é crítico e o que não é. Analise os seus processo internos, qual o risco do dado que você vai colocar na nuvem.
  3. Tecnologia também é um elo importante, uma vez que o mercado ainda engatinha na oferta do mercado. Carneiro comenta que apresentou uma solução de CSP e poucas empresas conheciam. “A pressa de ir para a nuvem, bem comum no mercado financeiro, impacta no resultado e abre brechas para os cibercriminosos. Portanto, desenvolva um processo de governança de dados”, recomenda Carneiro.
  4. Segurança na nuvem tende a transformar a Segurança como Serviço. Prioritariamente, pense na nuvem antes de migrar para esse novo ambiente e desenhe uma mudança prevendo a segurança desde a concepção do projeto. “A segurança é um elemento invisível porque o gestor não olha ou tende a olhar de forma não muito clara, embora agora consigamos referenciar quanto custa o vazamento de dado, em função da LGPD”, destaca Diniz.
  5. E para blindar esse arcabouço: desenvolva o projeto com uma equipe multidisciplinar. As áreas de negócios devem estar envolvidas, até para evitar o shadow IT.

 

Carneiro conclui que a indústria de segurança está numa fase de adaptação. “Embora os custos para a cloud security sejam altos, os vendors estão mensalizando as soluções como serviços para a nuvem. A tendência nos próximos cinco anos na América Latina é acontecer uma grande migração para cloud e isso impulsionará a adoção de soluções de segurança como serviço”.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

CNCiber convoca representantes para primeira reunião de trabalho sobre a Política Nacional de Cibersegurança

Comitê se reunirá nesta quarta-feira (20), em Brasília, para discussão de vários pontos da pauta da Política Nacional de Cibersegurança....
Security Report | Destaques

Nissan confirma incidente de ransomware com comprometimento de dados

Desde o início de dezembro, a montadora japonesa de veículos vinha investigando o comprometimento de dados privados de clientes e...
Security Report | Destaques

Brasileiros estão mais atentos à proteção de dados, aponta análise do GSI

Estudo encomendado pelo Gabinete de Segurança Institucional indica que a percepção geral dos brasileiros sobre a segurança de seus dados...
Security Report | Destaques

Banco do Brasil é destaque na abertura do Security Leaders Brasília

Executivos de Cibersegurança do BB sobem no palco do Congresso para apresentar o Estudo de Caso da instituição sobre simulações...