Três fatores essenciais para a segurança na nuvem

O “Relatório de 2019 sobre ameaças de nuvem, realizado pela Oracle e pela KPMG” demonstra a importância da visibilidade, da responsabilidade compartilhada e da presença de um diretor de segurança da informação na tomada de decisões.

Quer proteger seus ativos na nuvem? Você precisa saber o que são e quem está usando esses ativos. Suas equipes de segurança devem ser capazes de ver tudo o que se passa na sua infraestrutura de nuvem, do núcleo à borda da nuvem. Elas precisam saber quais partes de seus aplicativos de nuvem a empresa é responsável por proteger e quais delas são responsabilidade do provedor de serviços de nuvem. E no nível executivo, o diretor de segurança da informação (CISO) deve participar de todas as discussões que envolvam a aquisição ou o uso de novos aplicativos ou recursos de nuvem, para garantir que esses serviços estejam protegidos e cumpram com as políticas da empresa.

Esses são três dos principais aspectos extraídos do “Relatório de 2019 sobre ameaças de nuvem, realizado pela Oracle e pela KPMG.” A segurança de nuvem é fundamental para as empresas modernas, basta dar uma rápida olhada no jornal e ver notícias sobre empresas que tiveram arquivos desprotegidos de clientes baixados por terceiros, roubo de propriedade intelectual de empresas de tecnologia e interrupção completa de negócios.

A segurança da nuvem é um grande desafio por outro motivo: o uso corporativo da nuvem chegou a níveis de adoção surpreendentes e continua aumentando. No estudo realizado pela Oracle e pela KPMG, 7 entre 10 organizações relataram um aumento no uso de serviços de nuvem essenciais para os negócios, com enorme aumento no número de empresas que armazenam seus dados na nuvem.

Ao mesmo tempo que o uso de soluções em nuvem aumenta, as considerações sobre segurança estão sendo deixadas para trás.

No total, 93% das organizações participantes relataram que os usuários utilizaram aplicativos em nuvem mal-intencionados. Este é um ótimo exemplo de “TI sombra”, ou seja, decisões tecnológicas tomadas por funcionários sem o conhecimento nem a aprovação do departamento de TI. Essas decisões se baseiam no movimento BYOD (uso de dispositivos particulares no trabalho) e na consumerização de TI.

Os funcionários podem, por exemplo, executar serviços de nuvem como consumidores (utilizando soluções como Evernote ou Dropbox) para aumentar a produtividade individual. E, durante esse processo, podem armazenar ou até compartilhar informações comerciais confidenciais, como dados de clientes ou documentos financeiros nestas soluções. Os departamentos podem se registrar em aplicativos de SaaS hospedados (como WordPress ou Adobe Creative Suite). Os desenvolvedores podem usar repositórios de códigos de desenvolvimento de software (como GitHub ou SourceForge). E outros colaboradores podem compartilhar com seus parceiros, fornecedores ou clientes plataformas colaborativas em nuvem, como Slack ou SharePoint.

Esses aplicativos em nuvem são ruins? Na maioria das vezes, os produtos são bons da perspectiva de qualidade de software. Mas ter uma boa reputação não libera o uso destes aplicativos específicos em sua empresa sem o conhecimento e a aprovação do departamento de TI. E mesmo após a aprovação do uso de um aplicativo, o diretor de segurança da informação deve verificar se ele foi implementado de acordo com as políticas de segurança de sua empresa. Caso contrário, a organização corre o risco de perder dados importantes, de eles serem roubados ou que estranhos obtenham acesso a informações e processos confidenciais internos. Há muitos riscos às organizações, portanto os líderes não podem ser complacentes com relação à segurança. Aqui estão as três principais maneiras de afastar essas ameaças e enfrentar as dificuldades de forma incisiva.

Fator essencial 1: Veja tudo o que precisa ser protegido

Visibilidade é essencial para todos os aspectos da segurança. Analise o prédio onde fica seu escritório: há câmeras vigiando as portas externas, por exemplo, e um software registrando a chegada de funcionários e fornecedores para proteger os espaços de trabalho.

O mesmo deve ocorrer com informações importantes sobre o tráfego da rede, tentativas bem ou malsucedidas de efetuar login na rede e o uso de aplicativos corporativos. Não basta saber que o diretor financeiro efetuou login no sistema de contabilidade à uma da manhã. Também é importante saber o tipo de dispositivo, sua localização e a telemetria envolvida. A transação pode ser completamente válida, ou pode estar sendo realizada do outro lado do mundo, quando na verdade o diretor financeiro está em casa. A transação ainda ter sido feita no próprio smartphone do diretor financeiro, após ele ter clicado no link de um e-mail de phishing.

Sem visibilidade, os softwares de segurança baseados em inteligência artificial não são capazes de detectar anomalias ou formar padrões de comportamento que podem indicar fraude ou atividade ilegal. Sem visibilidade, os investigadores de segurança não conseguem definir a causa principal de situações incomuns de forma rápida e precisa.

Isso acontece especialmente com serviços de nuvem, disse Greg Jensen, diretor sênior de segurança de nuvem da Oracle e coautor do “Relatório de 2019 sobre ameaças de nuvem, realizado pela Oracle e pela KPMG”. “O relatório apresenta muitos exemplos sobre os desafios de visibilidade”, disse. “As organizações não sabem o que seus funcionários estão fazendo com os serviços de nuvem e para onde seus dados corporativos estão indo. Eles foram parar no Google? Ou na Amazon? Eles foram para o serviço de nuvem excelente de Bill e Ted? Eles não têm essa visibilidade.”

Uma maneira de obter mais visibilidade é implementando a tecnologia de conformidade com o CASB para o ecossistema de nuvem, diz o coautor do relatório, Brian Jensen (sem relação familiar), consultor de gerenciamento de riscos da KPMG.

Um CASB, ou agente de segurança de acesso na nuvem (Cloud Access Service Broker), oferece visibilidade para toda a pilha de nuvem, fornecendo automação de segurança para que as políticas corporativas sejam cumpridas. Uma plataforma CASB completa oferece detecção de ameaças, resposta automatizada de incidentes, análise preditiva e gerenciamento de configuração de segurança.

“Um CASB mostra como os funcionários estão utilizando serviços de nuvem, sancionados ou não”, disse o Jensen da KPMG. “Em média, as organizações executam mais de 1.900 aplicativos, incluindo aplicativos em nuvem. No geral, os profissionais de segurança precisam usar um CASB para monitorar transações em nuvem essenciais para os negócios”, e fazer com que as políticas relacionadas a esses aplicativos sejam cumpridas.

Fator essencial 2: Entenda o modelo de segurança compartilhada

Em um aplicativo clássico de data center, a empresa tem total domínio sobre tudo relacionado à segurança, desde a instalação física até o acesso à rede, passando pelas vulnerabilidades de aplicação de patch e pela verificação das credenciais digitais dos usuários. Em um serviço de nuvem, qualquer que seja, a responsabilidade com a segurança é compartilhada entre a empresa e o provedor dos serviços de nuvem.

Os problemas ocorrem quando a empresa não cumpre com suas responsabilidades relacionadas à segurança, disse o Jensen da Oracle. Isso pode acontecer por conta do “TI Sombra” ou por falta de entendimento sobre o modelo de segurança compartilhada para serviços de nuvem.

Por exemplo, o teste de penetração mede a facilidade de atacar um serviço de nuvem com conhecidas técnicas de hacking. Muitas empresas não veem isso como sua responsabilidade, então não realizam o teste. “As empresas não acham que são responsáveis por testar a segurança de um serviço de nuvem”, disse Greg Jensen. “Na verdade, seja usando IaaS, PaaS ou SaaS, sua empresa é responsável pelo teste de penetração. A empresa é responsável por garantir que a nuvem não seja invadida: tanto o serviço como o aplicativo em si.”

Brian Jensen aponta a autenticação do usuário como uma área comum de falta de entendimento. “Os provedores de SaaS incluem uma solução de autenticação de logon único, só as senhas não são o suficiente”, disse. “É necessário haver capacitação do usuário para garantir a proteção de dados e transações confidenciais, e por isso as organizações devem considerar o uso de autenticação multifator com biometria.”

O monitoramento de eventos lida tanto com a questão da visibilidade quanto do compartilhamento de responsabilidade, acrescenta. “O monitoramento de eventos de segurança no SaaS ainda é sua responsabilidade”, disse. “Se houver alguma atividade de usuário suspeita associada à sua parte do modelo de responsabilidade compartilhada, você precisa estar ciente destes eventos, monitorá-los e responder a eles.” (Não confunda isso com o monitoramento de eventos inicial, que o provedor de serviço de nuvem utiliza para defender-se contra diversos eventos em nível de rede.)

Fator essencial 3: Participação do diretor de segurança da informação

Um departamento de linha de negócios considera a adoção de um aplicativo em nuvem, talvez um aplicativo SaaS pronto. O diretor de segurança da informação é convidado para as reuniões de discussão, avaliação e aprovação de um produto? Talvez. Ou, quem sabe, não. E é muito provável que a equipe do diretor de segurança da informação não esteja envolvida na implementação e integração deste aplicativo em nuvem. Na verdade, os membros da equipe de segurança podem nem mesmo saber sobre o aplicativo até que comecem a acontecer incidentes de segurança no painel.

“Há uma falta de comunicação, colaboração e visibilidade entre os executivos”, disse Greg Jensen. “Esses executivos enfrentam desafios sobre como colaborar em questões relacionadas à segurança, ao risco, à conformidade e à privacidade.”

Se os gerentes não trabalharem em conjunto, suas equipes também não trabalharão. “Precisamos lidar imediatamente com os problemas dos executivos”, acrescentou. “Precisamos tentar garantir que seja uma conversa colaborativa, onde todos entendem sua função específica para que a segurança da nuvem seja bem-sucedida em toda a organização. Se os executivos não fazem sua parte, a empresa toda está em risco.”

Um futuro brilhante para a nuvem

Cada vez mais as empresas confiam nas soluções em nuvem para utilizar aplicativos importantes e armazenar dados essenciais. A tecnologia de segurança faz um bom serviço de manutenção, mas ainda há muito a ser feito, conforme indicado no “Relatório de 2019 sobre ameaças de nuvem, realizado pela Oracle e pela KPMG”, disse Greg Jensen.

“Os recursos e as soluções em nuvem disponíveis atualmente são muito superiores ao que havia poucos anos atrás”, completou. “Atualmente estamos muito mais cientes sobre a segurança do que estávamos no passado, e aceitamos mais a necessidade de conversar com as equipes de segurança e de gerenciamento de riscos.

Artigo escrito por: Alan Zeichick - Diretor de Comunicações Estratégicas da Oracle
Fonte: Blog Oracle

G&P e Oracle

A G&P é uma das maiores implementadoras de Soluções, Serviços Gerenciados e Projetos em Tecnologia Oracle.

Ao longo de vários anos de experiência na Implementação e Gestão dessas soluções, conta com uma equipe composta por arquitetos e implementadores de alto nível de conhecimento.

Gostaria de mais detalhes sobre as nossas soluções? Entre em contato conosco clicando aqui.