O excesso de cautela com a segurança em nuvem parece ter pendido demais para o lado oposto. Existe um caminho melhor.
Receios exagerados em relação à segurança na nuvem podem custar caro em gastos desnecessários e oportunidades perdidas, mas subestimar os riscos da nuvem também não é uma boa ideia. Neste artigo, explicamos por que adotar uma postura equilibrada em relação à segurança em nuvem é essencial e mostramos como as organizações podem reduzir riscos sem abrir mão das oportunidades de negócio.
Do excesso de cautela à beira da imprudência
Quando os principais provedores lançaram suas ofertas de nuvem pública na primeira década do século XXI, as empresas apenas tateavam o terreno – experimentavam, mas sem se comprometer de fato com a promessa da nuvem. Com o tempo, porém, a pressão por capacidades digitais tornou as infraestruturas em nuvem indispensáveis, e essa pressão só aumentou com a chegada da pandemia. As organizações revisaram suas estratégias de TI para migrar uma parcela cada vez maior de aplicações e dados para infraestruturas e plataformas de nuvem pública.
Usar a nuvem pública exige abandonar os modelos tradicionais de cibersegurança que muitas empresas construíram ao longo dos anos. Os mecanismos existentes não foram pensados para garantir uma configuração segura na nuvem, nem operam com a velocidade necessária para aproveitar a agilidade que a nuvem promete. Ou seja: empresas que querem extrair valor da nuvem precisam adotar arquiteturas e processos de segurança pouco familiares para proteger seus workloads na nuvem.
Com as estruturas de segurança certas em vigor, a migração para a nuvem pode acelerar a geração de valor para o negócio – desde que as práticas adotadas protejam os dados críticos sem abrir mão da velocidade e da agilidade que a nuvem oferece.
Nos primeiros estágios da adoção da nuvem, muitas empresas podem ter superestimado o risco envolvido. As violações de segurança na nuvem ganharam destaque na imprensa e levaram alguns CIOs a restringir o uso corporativo de serviços em nuvem. Mas o imperativo da transformação digital tornou impossível responder à dinâmica de mercado sem usar plataformas de nuvem, e a hesitação acabou cedendo à pressão comercial.
À medida que as organizações migram cada vez mais workloads para a nuvem, as violações de segurança seguem como um problema. O Data Breach Investigations Report (DBIR) 2021 da Verizon mostrou que a infraestrutura em nuvem está envolvida em 73% dos incidentes de cibersegurança. Mas, ao contrário do que esses números possam sugerir, a arquitetura on-premises não é mais segura do que a nuvem.
Identificando o problema
A maior parte das violações na nuvem decorre de erros de configuração, e não de ataques que comprometem a infraestrutura básica da nuvem. Isso reforça a importância do modelo de responsabilidade compartilhada entre o provedor de serviços em nuvem e seus clientes. Enquanto o provedor cuida da segurança dos componentes que sustentam os serviços oferecidos, o cliente é responsável pela forma como utiliza esses serviços. Entre as responsabilidades do cliente estão a configuração correta do gerenciamento de identidade e acesso (IAM), das opções de armazenamento e computação, da análise e defesa contra ameaças, além da proteção das aplicações e dos dados que processa e armazena na nuvem.
À medida que os provedores e as soluções de segurança em nuvem amadurecem e reforçam a segurança da infraestrutura, a responsabilidade pelas violações se desloca cada vez mais para o cliente e a forma como ele encara a segurança em nuvem. Organizações acostumadas a modelos de terceirização bem diferentes precisarão entender essa nova divisão de responsabilidades e ajustar seus processos internos.
Lacunas na segurança
A corrida acelerada para a nuvem, impulsionada pela pandemia global, expôs falhas na gestão de segurança. O imperativo de estar na nuvem o quanto antes acabou prevalecendo sobre a análise dos riscos da migração. Como resultado, muitos projetos de migração e desenvolvimento na nuvem não dedicaram atenção suficiente às dependências de segurança antes da implantação, obrigando as equipes a voltar atrás para corrigir problemas.
Houve também uma desconexão entre os times envolvidos no desenvolvimento e na migração, com pouca consistência nas soluções de segurança escolhidas por cada um. O resultado: cada grupo opta pelas soluções que prefere, sem consultar uma área central de governança ou se coordenar com os demais.
Os cibercriminosos estão se esforçando para explorar essas vulnerabilidades – e as consequências podem ser graves. A tendência é que os próximos anos tragam violações de dados ainda mais expressivas e prejudiciais. Segundo o Experian Data Breach Industry Forecast 2022, grandes instituições continuam altamente vulneráveis a ataques, e um volume considerável de dados sensíveis ainda está dentro das próprias empresas. As organizações precisam estar preparadas.
O ponto de equilíbrio entre aversão e tolerância ao risco
Uma violação de dados pode arrasar receita, eficiência e reputação. Mas a proteção contra esse cenário não pode engessar as iniciativas de nuvem da organização. O excesso de cautela leva a oportunidades perdidas e gastos desperdiçados. Em vez de se preocupar com ameaças de segurança sem fundamento na nuvem, as organizações precisam se concentrar em saber se estão usando a nuvem de forma segura – até porque muitas das práticas e arquiteturas de segurança que já existem podem não funcionar tão bem nesse novo contexto. Soluções on-premises que rastreiam endereços IP, por exemplo, e outras ferramentas tradicionais não fazem sentido para contêineres com vida útil de poucos minutos ou segundos.
Uma estratégia de nuvem bem planejada, com táticas proativas e sistêmicas de gestão de risco, ajuda as organizações a tomar decisões sólidas sobre o uso da nuvem e a gerenciar sua exposição ao risco sem abrir mão das oportunidades de crescimento.
Medidas para aproveitar oportunidades com segurança
Mensurar e gerenciar adequadamente o risco da nuvem deve continuar sendo um desafio para a maioria das organizações nos próximos anos. Adotar uma abordagem que reforce a segurança sem comprometer os benefícios da nuvem exige uma mudança de mentalidade — sair da preocupação com a segurança intrínseca da nuvem e ir para a garantia de que a organização está usando a nuvem de forma segura.
Garanta apoio organizacional de cima para baixo
Uma boa segurança em nuvem começa com o respaldo e o patrocínio da liderança. A estratégia deve ser conduzida no nível executivo e construída com contribuições de várias áreas, incluindo gestão organizacional, financeiro, arquitetura de dados, desenvolvimento de produtos, TI, segurança e QA. É fundamental que todos concordem sobre a importância da computação em nuvem para o negócio e se unam em torno de uma política e de um plano adequados para gerenciá-la.
Com a orientação executiva sobre a estratégia de nuvem, a organização consegue dar muito mais suporte ao negócio e à TI na análise de requisitos, no planejamento arquitetural e em processos flexíveis de aceitação de risco. Os CIOs passam a ter um caminho claro para direcionar o uso de nuvens públicas, definindo inclusive a natureza dos dados que serão colocados na nuvem e em quais circunstâncias serão usados.
Os silos precisam ser combatidos, com os desenvolvedores orientados a trabalhar lado a lado com os profissionais de segurança. Isso ajuda os desenvolvedores a entender como atuar com segurança na nuvem e permite que a equipe de segurança verifique se as medidas recomendadas estão sendo implementadas. Ao cultivar esse tipo de relacionamento próximo desde cedo, as organizações começam suas jornadas na nuvem em bases sólidas, criando o alicerce para uma entrega rápida e segura de produtos.
Defina práticas prudentes de gestão de risco
Risco é sempre um fator no uso de serviços de nuvem pública, e ignorá-lo seria temerário. As áreas de negócio e de TI precisam ter conversas francas para definir qual nível de risco a organização está disposta a aceitar. O foco dessas conversas deve ser o provável impacto de uma violação de dados, a probabilidade de ela acontecer e o custo da recuperação.
Também é preciso avaliar se o provedor de nuvem escolhido tem capacidade de sustentar esse nível de apetite a risco, considerando seu histórico de interrupções de serviço e violações de dados, suas políticas de gestão e proteção de dados e o quanto sua abordagem de segurança se alinha às obrigações regulatórias e legais da própria organização.
Mantenha o controle da nuvem
Até o fim de 2025, 90% das organizações que não controlam o uso de nuvem pública compartilharão dados sensíveis de forma indevida. O número é preocupante e mostra como é difícil acompanhar o ritmo do próprio uso da nuvem. A maioria das organizações está exposta a riscos desnecessários por causa do uso não autorizado de nuvem pública. Isso pode ser evitado com o DoiT Cloud Intelligence™, que oferece as ferramentas de governança necessárias para gerenciar seu ambiente de nuvem pública com sucesso.
Como a maior parte das falhas de segurança em nuvem é resultado de erro do cliente, as organizações precisam aplicar suas políticas de segurança com rigor, atualizá-las com as lições aprendidas e manter padrões de certificação e compliance sempre em dia. Não basta saber onde estão os ativos e serviços na nuvem; é preciso conhecer também o status de cada um deles. Vale a pena recorrer à automação para verificações de configuração e segurança, dando aos desenvolvedores acesso a serviços de segurança altamente automatizados via APIs, para ganhar o máximo de eficiência.
Onde fica o equilíbrio
É natural se preocupar com a segurança dos serviços de nuvem pública, mas exagerar nos riscos pode fazer com que oportunidades passem batidas. Por outro lado, ir longe demais na direção oposta e subestimar o risco pode ser ainda mais perigoso.
Uma estratégia de gestão de risco bem fundamentada é peça-chave de qualquer estratégia de nuvem, pois ajuda a identificar onde o uso da nuvem pública faz sentido e o que pode ser feito para mitigar os riscos envolvidos.
Se você está preocupado com a postura da sua organização em relação à segurança em nuvem, um parceiro de confiança como a DoiT pode conduzir uma análise de segurança em nuvem e oferecer recomendações que garantirão uma jornada na nuvem segura e rentável.