A história da computação em nuvem é, pelo menos em termos conceituais, quase tão antiga quanto a história da própria Internet – a ideia de pessoas acessando dados e programas em qualquer lugar do planeta foi introduzida no final dos anos 1960, por JCR Licklider, um dos criadores da ARPANET.
Um longo caminho foi percorrido desde essa primeira visão até o primeiro serviço de hosting de computação em nuvem oferecido por uma grande empresa (a Amazon em 2006), tornando real a possibilidade de qualquer companhia hospedar e acessar dados e softwares e entregar serviços completos via Internet. Desde então, o que era ideia, se tornou uma parte indissociável de praticamente todos os negócios.
Um artigo publicado pelo Gartner em abril deste ano projeta um aumento de 23,1% nos investimentos globais em serviços de nuvem pública em 2021 em relação a 2020, passando de US$ 270 bi para mais de US$ 330 bi.
Boa parte desse aumento vem na esteira das mudanças causadas pela crise da COVID que, entre outras consequências, “permitiram que os CIOs superassem qualquer relutância em mover cargas de trabalho de missão crítica do local para a nuvem” segundo o vice-presidente de pesquisa do Gartner, Sid Nag; no entanto, ele afirma que mesmo sem a pandemia, o apetite por data centers sofreria uma grande redução ainda este ano.
Mas se é verdade que estamos testemunhando uma espécie de “corrida para a nuvem”, também é verdade que muitas organizações estão confundindo este processo com uma corrida de 100 metros rasos, quando na verdade ele deveria ser encarado como uma maratona.
Afinal, as consequências da falta de planejamento, especialmente no que se refere à segurança, podem ser sérias.
Uma pesquisa recente que entrevistou 300 profissionais de computação em nuvem descobriu que 36% das organizações sofreu algum vazamento de dados nos últimos 12 meses, e que 8 em cada 10 profissionais teme estar vulnerável a um incidente relacionado com problemas de configuração nos sistemas em nuvem.
É fato que migrar sistemas e processos para a nuvem traz uma série de vantagens como redução de custos, maior escalabilidade e maior mobilidade, com a possibilidade de acessar dados e sistemas de qualquer lugar – características que foram particularmente úteis desde o início da pandemia, com não só os clientes, mas também parceiros, fornecedores e colaboradores passando a consumir e trabalhar de casa.
No entanto, do ponto de vista da segurança da informação, isso também significa maior exposição, e uma expansão considerável do perímetro a ser protegido. Nesse cenário, é preciso compreender que a nuvem não é, em si, uma solução de segurança.
Segundo o Gartner, até 2025, 99% das falhas de segurança na nuvem serão de responsabilidade dos contratantes.
Este artigo sobre segurança da nuvem define a proteção deste ambiente como uma responsabilidade compartilhada entre quem provê o serviço e quem o contrata. Essas responsabilidades são divididas em 3 categorias: as que são sempre do cliente, as que são sempre do fornecedor e as que dependem do serviço contratado (PaaS ou SaaS, por exemplo).
Sem nos estendermos muito, as responsabilidades podem ser resumidas a:
Do lado do fornecedor: “aquelas relacionadas à manutenção e proteção da infraestrutura que mantém a nuvem, bem como acesso, atualização e configuração dos hosts físicos e da rede física nas quais as instâncias estão rodando e nas quais o armazenamento e os recursos residem.”
Do lado do cliente: “incluem gerenciamento de usuários e seus privilégios de acesso, a proteção das contas e credenciais de acesso contra acesso não autorizado, a criptografia e proteção dos assets armazenados na nuvem e manter o compliance de segurança.”
Falhas na proteção de dados e aplicações na nuvem podem incorrer em grandes prejuízos. Entre 2018 e 2019 os custos causados por falhas na proteção destes ambientes chegaram a quase US$ 5 trilhões.
A seguir listaremos algumas práticas e ferramentas indicadas para que as empresas protejam seus ambientes em nuvem.
1 – Pentest
Testes de penetração permitem simular ataques contra ambientes. No caso da nuvem é indicado como uma medida para verificar possíveis pontos de acesso descobertos, vulnerabilidades presentes em repositórios, e outras brechas de segurança, além de apontar como elas podem ser exploradas e, principalmente, como podem ser mitigadas.
2 – Revisão de Arquitetura
Possibilita identificar periodicamente pontos que causam desequilíbrio ou riscos para a segurança do ambiente, analisando os controles das tecnologias em uso.
3 – Gestão de Vulnerabilidades e Gestão de Compliance (GV/GC)
Com o uso de aplicações baseadas em práticas de DevSecOps aderentes às recomendações do provedor de nuvem, estas práticas permitem avaliar se o ambiente utilizado pela empresa está em conformidade com as melhores práticas do mercado.
4 – CASB
Abreviação de Cloud Access Security Broker, a tecnologia é composta por um software que realiza um controle de segurança para plataformas e serviços que são fornecidos para clientes por meio da nuvem. Trata-se de um firewall entre os usuários e os sistemas em nuvem, com recursos que permitem identificar aplicativos não-autorizados, além de criptografar o tráfego de dados confidenciais.
5 – SIEM
SIEM é sigla para Security information and event management. Softwares deste tipo coletam e agregam dados de log gerados em toda a infraestrutura de tecnologia da organização, de sistemas host e aplicativos a dispositivos de rede e segurança, como firewalls e filtros antivírus O software então identifica e categoriza incidentes e eventos, dando aos profissionais de segurança corporativa uma visão e um histórico das atividades em seu ambiente de TI.
6 – DLP
Data Loss Prevention (DLP) é um conjunto de ferramentas e processos usados para evitar a perda, acesso não autorizado e o uso indevido de dados confidenciais. A solução classifica dados regulamentados, confidenciais e críticos para os negócios e identifica violações com base em políticas definidas pela organização.
Estas e outras soluções de segurança são parte do portfolio da Tempest. Clique aqui e fale conosco!
É fundamental contar com parceiros com expertise técnica que ofereçam produtos, serviços e conhecimento para identificar possíveis brechas de segurança na organização.
A Tempest Security Intelligence é a maior empresa brasileira especializada em cibersegurança e prevenção a fraudes digitais. Hoje contamos com um time de mais de 390 profissionais e escritórios em Recife, São Paulo e Londres; nos últimos anos a Tempest ajudou a proteger mais de 500 empresas de todos os portes de setores como serviços financeiros, varejo e e-commerce.
Pesquisando e criando novas soluções de proteção digital, a Tempest alia expertise técnica, sólida metodologia e alta tecnologia para entregar um portfólio com mais de 70 soluções, envolvendo Consultorias, Digital Identity, Managed Security Services e Integração.
4G e Inteligência Artificial são as fronteiras de mudança tecnológica nos próximos três anos, aponta estudo da Tempest
A importância da aplicação do Gerenciamento de Vulnerabilidades e Conformidades na proteção dos negócios
Ameaças cibernéticas de 2021 e tendências para 2022 foram tema da primeira edição do Tempest Live Sessions deste ano. Assista!