Nuvem demanda revisão da abordagem de proteção
30/09/2019
Com benefícios comprovados por negócios de todos os portes, a computação em nuvem ganha adeptos em grande velocidade no Brasil. Suas vantagens, entretanto, podem ser anuladas se as empresas não adequarem sua abordagem de segurança às características e desafios únicos desse ambiente, dizem especialistas. A falta de maturidade das organizações nessa área gera brechas inéditas que são bem aproveitadas por cibercriminosos.

Segundo João Rocha, diretor de cibersegurança da IBM Brasil, o tema ganha relevância porque as empresas, cada vez mais, elegem a nuvem como primeira opção de ambiente para novos serviços - estratégia conhecida como “cloud first”. Sem proteção adequada, elas se tornam vulneráveis a ataques de natureza e impactos variados, desde prejuízos financeiros e perdas de clientes até danos à imagem que podem ser irreversíveis.
 
Um vazamento de dados no Brasil, por exemplo, custa em média US$ 1,35 milhão às empresas, sendo que a maior fatia desse prejuízo resulta da perda de negócios, segundo estudo da IBM. Um sinal otimista, segundo Rocha, é que mais empresas estão interessadas em soluções de proteção inovadoras, como as que usam inteligência artificial (IA) para prever e aprender com os incidentes.
 
Rocha diz que o estado da arte de segurança em nuvem envolve criação de uma cultura "secure by design" (segurança a partir do desenvolvimento) e que leva em conta o futuro, ou seja, tudo o que virá junto com internet das coisas, blockchain, computação quântica, inteligência artificial, multicloud e outras tendências.
 
Essa cultura parece distante porque nuvem ainda é um mundo novo para muitas empresas. Elas não têm políticas eficazes de acesso nem avançaram na adoção de conceitos relevantes nessa área, como o DevSecOps - abreviação de desenvolvimento + segurança + operação, que considera a segurança da aplicação e da infraestrutura desde as etapas iniciais de desenvolvimento.
 
Marcelo Pivovar, gerente de arquitetura de soluções da Oracle Brasil, diz que a maior parte dos vazamentos decorre de erros de configurações de parâmetros e políticas de acesso que, em grande parte, são feitas pelas próprias empresas usuárias. Ele também menciona a migração de sistemas desenvolvidos em ambiente tradicional, sem cumprimento de requisitos de segurança, como geradora de alta vulnerabilidade.
 
Outro equívoco, segundo Pivovar, é repassar toda a responsabilidade sobre segurança para o provedor de nuvem. “Este é um dos maiores erros porque, embora a segurança seja disciplina compartilhada entre o provedor e contratante, com oferta das mais avançadas soluções de proteção, a implementação e a manutenção das melhores práticas continuam sendo de cada empresa.”
 
A Oracle aponta como tendência o uso de uma infraestrutura de nuvem voltada para missão crítica que não compartilha recursos e aplica aprendizado de máquina e aprendizagem profunda para monitorar os seus perímetros, com garantia de segurança fim a fim. A empresa lançou o conceito este mês, em São Paulo.
 
Dirceu Lippi Neto, gerente de produtos de cibersegurança da ISH, lembra que soluções de cibersegurança oferecidas pelos principais provedores não fazem parte do contrato padrão de migração para nuvem. “É um erro acreditar que, por estar na nuvem, a camada de segurança está inclusa.”
 
Neto salienta que os contratos selados com provedores devem incluir a mesma proteção para a nuvem e ambientes locais. “Segurança da informação pede abordagem sem fronteiras, com monitoramento e proteção similar para nuvem, rede local e dispositivos móveis.”
 
Para quem planeja migrar para a nuvem pública, a dica de Luís Albejante, diretor de produto na área de TI híbrida da HPE, é buscar saber se o equipamento usado pelo provedor tem camada extra de segurança no nível do firmware (software embarcado no hardware). Segundo ele, trata-se de um dos tipos de ataque mais difíceis de se detectar e tratar no campo da segurança cibernética atualmente.
 
Fonte: Valor




Obrigado por comentar!
Erro!