Menu
Nuvem deve espelhar estratégia de segurança
26/07/2017
Considerada essencial para habilitar negócios no mundo digital, a nuvem é um poderoso vetor de ataques cibernéticos porque oferece apenas o básico em termos de proteção dos dados. Por isso, para mitigar os riscos de incidentes, as empresas precisam espelhar nesse ambiente a estratégia de segurança das informações que adotam na rede interna.
A recomendação é feita pelos provedores de soluções de segurança na nuvem para os clientes dos setores que processam informações com alto nível de criticidade, como os bancos e as empresas de saúde, por exemplo. Os primeiros trabalham com informações financeiras dos clientes, enquanto as segundas guardam dados pessoais dos pacientes.
Além de processar informações sensíveis, os dois setores têm em comum o fato de investirem bastante em modernização de sua estrutura tecnológica e de atuarem em ramos de negócio que são altamente regulamentados. Não por acaso, costumam ser o alvo preferencial dos ataques realizados pelos hackers, entre os quais se destaca a prática de sequestro de dados para pagamento de resgate (ransomware).
As empresas tendem a confiar na infraestrutura oferecida pelos provedores de serviços na nuvem. Entretanto, muitas vezes a segurança não está embarcada nessa modalidade de prestação do serviço – seja porque os mecanismos de proteção não existem ou estão presentes, mas são considerados inadequados para mitigação de risco –, observa William Rodrigues, engenheiro de vendas da Forcepoint.
Em geral os contratos versam sobre a garantia de disponibilidade do serviço, mas cabe a quem o contrata traçar uma estratégia de segurança das informações que rodam no ambiente. O problema é que as empresas não fazem uma classificação sobre quais dados podem ir para a nuvem e os que devem ser processadas no ambiente interno. “Falta esse tipo de controle”, afirma Rodrigues.
O espelhamento da estratégia de segurança requer a integração dos mecanismos de proteção. Significa que as ferramentas utilizadas na rede interna da empresa devem interagir com os dispositivos instalados para proteger as informações no ambiente da nuvem, explica Alexandre Bonatti, gerente de sistemas de engenharia da Fortinet.
Outra medida importante para garantir a segurança na nuvem consiste na segmentação inteligente do tráfego: para evitar a exposição ao risco, as informações tidas como críticas para os negócio da empresa devem ser processadas em uma infraestrutura de rede exclusiva.
Ocorre que a segmentação do tráfego não é uma prática comum no Brasil. Na área de saúde, por exemplo, os hospitais normalmente conectam novos equipamentos médicos à rede através de tecnologia wi-fi, que também está disponível para acesso pelos pacientes. “Isso representa um risco muito grande para os dados”, diz Bonatti.
Na questão da segurança, as empresas lidam também com o desafio de implementar soluções que sejam capazes de evitar a ocorrência de incidentes, mas sem degradar o desempenho da operação. Trata-se de um dilema enfrentado particularmente pelas instituições financeiras, que têm no tempo uma fator crítico para execução de uma transação, lembra Bonatti.
Embora estejam trilhando rapidamente o caminho da transformação digital, tanto as instituições financeiras quanto as empresas do setor de saúde demonstram cautela no que diz respeito à nuvem. Nos projetos em curso prevalece o modelo híbrido, no qual está sendo feita, inicialmente, a migração apenas dos dados que não são considerados críticos.
Como exemplos de aplicações desses dois setores que já estão rodando na nuvem, Raphael Bottino, especialista em segurança da TrendMicro, cita campanhas de marketing e programas de pontos, no caso dos bancos, e os sistemas de gestão de recursos humanos, no caso das empresas do setor de saúde.
A estratégia é correta porque tem como objetivo ganhar expertise no processamento de aplicações no ambiente de nuvem para, depois, iniciar o processo de migração das aplicações críticas. “É uma boa forma de as empresas compreenderem que não terão os dados às mãos, mas que eles estarão seguros”, avalia.
A chamada jornada para nuvem a que se lançam as empresas aumenta as oportunidades de negócio para os provedores de soluções de segurança em um mercado que só cresce. Entretanto tão importante quanto adquirir equipamentos de ponta é indispensável o investimento em pessoas para conter as ameaças cibernéticas, recomenda Bottino. “É preciso ter gente capacitada para implementar e garantir que as soluções de segurança atendam as necessidades das empresas”.
A recomendação é feita pelos provedores de soluções de segurança na nuvem para os clientes dos setores que processam informações com alto nível de criticidade, como os bancos e as empresas de saúde, por exemplo. Os primeiros trabalham com informações financeiras dos clientes, enquanto as segundas guardam dados pessoais dos pacientes.
Além de processar informações sensíveis, os dois setores têm em comum o fato de investirem bastante em modernização de sua estrutura tecnológica e de atuarem em ramos de negócio que são altamente regulamentados. Não por acaso, costumam ser o alvo preferencial dos ataques realizados pelos hackers, entre os quais se destaca a prática de sequestro de dados para pagamento de resgate (ransomware).
As empresas tendem a confiar na infraestrutura oferecida pelos provedores de serviços na nuvem. Entretanto, muitas vezes a segurança não está embarcada nessa modalidade de prestação do serviço – seja porque os mecanismos de proteção não existem ou estão presentes, mas são considerados inadequados para mitigação de risco –, observa William Rodrigues, engenheiro de vendas da Forcepoint.
Em geral os contratos versam sobre a garantia de disponibilidade do serviço, mas cabe a quem o contrata traçar uma estratégia de segurança das informações que rodam no ambiente. O problema é que as empresas não fazem uma classificação sobre quais dados podem ir para a nuvem e os que devem ser processadas no ambiente interno. “Falta esse tipo de controle”, afirma Rodrigues.
O espelhamento da estratégia de segurança requer a integração dos mecanismos de proteção. Significa que as ferramentas utilizadas na rede interna da empresa devem interagir com os dispositivos instalados para proteger as informações no ambiente da nuvem, explica Alexandre Bonatti, gerente de sistemas de engenharia da Fortinet.
Outra medida importante para garantir a segurança na nuvem consiste na segmentação inteligente do tráfego: para evitar a exposição ao risco, as informações tidas como críticas para os negócio da empresa devem ser processadas em uma infraestrutura de rede exclusiva.
Ocorre que a segmentação do tráfego não é uma prática comum no Brasil. Na área de saúde, por exemplo, os hospitais normalmente conectam novos equipamentos médicos à rede através de tecnologia wi-fi, que também está disponível para acesso pelos pacientes. “Isso representa um risco muito grande para os dados”, diz Bonatti.
Na questão da segurança, as empresas lidam também com o desafio de implementar soluções que sejam capazes de evitar a ocorrência de incidentes, mas sem degradar o desempenho da operação. Trata-se de um dilema enfrentado particularmente pelas instituições financeiras, que têm no tempo uma fator crítico para execução de uma transação, lembra Bonatti.
Embora estejam trilhando rapidamente o caminho da transformação digital, tanto as instituições financeiras quanto as empresas do setor de saúde demonstram cautela no que diz respeito à nuvem. Nos projetos em curso prevalece o modelo híbrido, no qual está sendo feita, inicialmente, a migração apenas dos dados que não são considerados críticos.
Como exemplos de aplicações desses dois setores que já estão rodando na nuvem, Raphael Bottino, especialista em segurança da TrendMicro, cita campanhas de marketing e programas de pontos, no caso dos bancos, e os sistemas de gestão de recursos humanos, no caso das empresas do setor de saúde.
A estratégia é correta porque tem como objetivo ganhar expertise no processamento de aplicações no ambiente de nuvem para, depois, iniciar o processo de migração das aplicações críticas. “É uma boa forma de as empresas compreenderem que não terão os dados às mãos, mas que eles estarão seguros”, avalia.
A chamada jornada para nuvem a que se lançam as empresas aumenta as oportunidades de negócio para os provedores de soluções de segurança em um mercado que só cresce. Entretanto tão importante quanto adquirir equipamentos de ponta é indispensável o investimento em pessoas para conter as ameaças cibernéticas, recomenda Bottino. “É preciso ter gente capacitada para implementar e garantir que as soluções de segurança atendam as necessidades das empresas”.
Fonte: Valor
Obrigado por comentar!
Erro!
