No último debate da TVDecision (é possível conferir os textos aqui e aqui) entre CSOs e especialistas, discutimos aspectos de segurança na nuvem, sendo os pontos chave da discussão visibilidade, classificação das informações e a conscientização dos usuários. Indiscutivelmente do ponto de vista gerencial, são preocupações oportunas e importantes, visto que a informação é o bem mais valioso da empresa.
Mas temos outros pontos importantes que julgo tão importantes como os mencionados acima. A contratação de empresas, documentação de processos e profissionais para operar a nuvem são tão (ou até mais) importantes, na qual discorro abaixo:
Contratação de empresas de Cloud
Percebe-se no mercado atual que grande parte das empresas contrata serviços num contexto, porém quando necessitam realmente utilizar em sua plenitude percebem que recebem menos recursos (entenda-se oferta de serviços e não escalabilidade) que a necessidade e por ventura frustram-se na matriz custo VS benefício.
Temos como um caso recente a empresa ServerLoft, na qual possuía entre sua base de clientes (cerca de 16 mil), inúmeras prefeituras e empresas de médio e pequeno porte que confiaram todos os seus sistemas e aplicações. O contrato de prestação de serviços garantia funcionamento semelhante aos das grandes empresas (acima de 99% de disponibilidade), possuía dashboard de status em seu site atualizado constantemente. No entanto, todos os serviços eram administrados por uma grande empresa de Datacenter (Equinix), que não aparecia no contrato de prestação de serviços da primeira.
Ocorreu o improvável. Enquanto a ServerLoft recebia dos milhares de clientes em dia, a mesma não honrava com os pagamentos a Equinix. Após 6 meses de inadimplência, houve o corte dos serviços (26 dias), resultando em caos em plena véspera de natal. Neste momento o proprietário da ServerLoft simplesmente sumiu do mapa, enquanto muitas empresas e prefeituras entravam em estado de desespero.
Documentação de Processos
Este é um tema complexo tanto em ambiente nuvem quanto em ambiente empresarial. Em grande parte dos casos visualizamos um investimento pesado em infraestrutura e soluções de TI (desde desenvolvimento a Segurança da Informação), mas uma omissão aos processos e ao profissional que opera as máquinas. Percebemos em boa parte da comunidade de SI que o processo de documentação de rotinas e atividades não são levadas tão a sério quanto deveriam.
Exemplo recente é o caso da Amazon S3 ocorrido no final de Fevereiro de 2017, na qual a rotina de desligamento de uma pequena parte dos servidores foi interpretada de forma equivocada e provocou um erro em cascata. Esta empresa detém algo em torno de 31% do mercado de Cloud e quase não percebemos por estarmos festejando o carnaval, mas fora de nosso território o incidente serviu de lição de como o impacto de um processo mal desenhado pode deixar muita empresa em situação desfavorável.
Profissionais
Uma premissa básica de Segurança da Informação é o constante monitoramento das correções que os fabricantes geram após a detecção de um Zero-Day, mas a partir do momento que as empresas não selecionam os recursos humanos corretamente (não há de se esperar um profissional especializado a uma vaga de R$ 1.500), não é factível que o ambiente estará tão seguro quanto deveria. Ocorre uma frustração de investimento, na qual normalmente culpam-se os fabricantes que se desdobram para preencher tal lacuna.
O tema Cloud Computing, assim como dito em sua certificação nunca estará madura, mas em constante evolução e seus desafios serão cada vez maiores. A exposição das informações deve ser efetuada de forma criteriosa, pois não necessariamente devemos ter hóspedes presos em seus quartos, usinas elétricas paradas entre outras atividades cruciais que deveriam ficar em âmbito interno.
O mercado chamado de Fog Computing (ambiente de IoT) deverá ser cada vez mais considerado tendo em vista os recentes ataques de DDOS (vide caso Mirai), por ocasião do Tsunami de equipamentos de baixo custo vindos do oriente, na qual prevalece a comodidade em detrimento da segurança.
Por fim encerro falando sobre o mercado de trabalho de Segurança da Informação voltado a Cybersecurity, que por vezes difere das demais profissões, pois o que se aprende hoje talvez daqui cinco dias seja obsoleto. O objetivo dessa atividade será tornar o muro mais alto possível a ponto de desestimular um possível ataque (vide a Olimpíada), pois na maioria dos casos é efetuado de forma aleatória, simplesmente pelo desafio de quebrar o cerco.
Ao efetuar um scan de uma relação de alvos, o hacker focará seu ataque naquele que oferecer menor resistência, porém também pode ocorrer daquele que teve uma indisposição com seu alvo, pois neste caso vira questão de honra derrubá-lo. Lembro que nesta comunidade o profissional vale pelo resultado gerado, pouco importando seus títulos e sua formação acadêmica. Os verdadeiros hackers (pouco ou quase) não aparecem na mídia, pois o rótulo hacker é qualificado pejorativamente quando na realidade são em sua maioria grandes programadores e profissionais de segurança altamente qualificados.
