Ainda resiste no meio de tecnologia a ideia de que migrar para a nuvem significa, necessariamente, mais segurança. A crença surgiu em meio ao boom de migração que vimos nos últimos anos, em que o discurso a favor da mudança focava apenas na simplificação que a tecnologia trazia. Com dados na nuvem, tornou-se possível trabalhar sem fronteiras, com acesso a informações inclusive de celulares e tablets. As pessoas ganharam tempo e flexibilidade.
O erro está em associar isso à segurança, assumindo que a proteção está no pacote.
Mas, segurança nem sempre faz parte do que um provedor de nuvem oferece. E a realidade é que nem todas as empresas que contratam o serviço, possuem um time interno de tecnologia especializado, com conhecimento para configurar controles críticos e adotar as práticas de proteção necessárias na plataforma de nuvem.
Migrar o quanto antes?
Boa parte das empresas precisou correr com a migração. Não é anormal haver uma pressão para que o processo seja feito no menor prazo possível. A empresa não quer colocar em risco o negócio, com a possibilidade de ambientes inoperantes enquanto servidores, e-mails, e outras informações são transferidas. Mas, a aceleração, nesses casos, representa aumentar os riscos. Porque as boas práticas às vezes são ignoradas em favor da agilidade da migração, o que gera brechas para cibercriminosos explorarem.
Por isso, neste post, trouxemos algumas práticas recomendadas para que organizações possam visualizar possíveis vulnerabilidades na nuvem e que maneira transformá-la, efetivamente, em um ambiente seguro.
Segurança é responsabilidade compartilhada
Conforme uma organização considera e avalia os serviços de nuvem pública, é essencial que entenda o modelo de responsabilidade compartilhada. Ou seja, quais tarefas de segurança são tratadas pelo provedor de nuvem e quais são responsabilidade da empresa.
As responsabilidades da carga de trabalho variam. Depende se está hospedada em SaaS (Software como Serviço), PaaS (Plataforma como Serviço), IaaS (Infraestrutura como Serviço), ou em um datacenter local.
Para todos os tipos de implantação de nuvem, a empresa tem dados e identidades. E é responsável por protegê-los. Não só isso, também deve cuidar de recursos locais e de componentes da nuvem que controla (o que varia por tipo de serviço).
Independentemente do tipo de implantação, podemos resumir a responsabilidade do negócio em:
· Dados;
· Pontos de extremidade;
· Contas de usuários;
· Gerenciamento de acesso.
Um exemplo para entender como isso funciona na prática. Se o computador de um diretor ou de um colaborador estiver infectado no momento em que ele acessar a conta da nuvem da organização, o provedor não se responsabilizará se os dados sensíveis vazarem na Dark Web. Por isso a equipe interna deve estar ciente das ações que cabem à companhia tomar.
Ciclo de segurança em nuvem
Toda organização precisa ter sistemas para atender as três fases do ciclo de segurança em nuvem. Sem ele, há uma grande chance de incidentes de segurança na nuvem. As etapas são:
Proteger – usar recursos para proteger o ambiente;
Detectar – processar informações e sinais para entender os eventos atuais;
Responder – corrigir para reduzir danos.
Nuvem muda todos os dias, mantenha a equipe capacitada
Há novidades na plataforma de nuvem todas as vezes que alguém do time de TI acessá-la, porque a atualização é constante. Sendo assim, é importante se certificar de que o time tenha a instrução técnica necessária. Isso inclui conhecimentos em tecnologia de segurança em cloud, configurações recomendadas, melhores práticas e leis de compliance.
Com a quantidade de tecnologias que surgem todos os dias e a complexidade de algumas normas e padrões de segurança, é recomendável que uma empresa especializada em segurança da informação apoie a equipe interna.
Exija MFA para todos os administradores e usuários
A autenticação multifator (MFA) já foi uma etapa complexa. Hoje, as abordagens sem senha facilitam a administração, segurança e dia a dia dos usuários na nuvem. Normalmente, o CISO ou o CIO devem apoiar esse trabalho, para que a ação se torne parte da cultura da organização. Já a execução deve ser um esforço colaborativo, que envolve:
· Equipe de política e padrões, para estabelecer requisitos claros;
· Gerenciamento de chaves e identidade ou operações centrais de TI, para implementar a política;
· Gerenciamento de conformidade de segurança, para monitorar e garantir conformidade.
Não subestime o spam
O spam ainda é uma das principais entradas de malware e ransomware nos ambientes de nuvem das organizações. Um software AntiSpam usa diversos protocolos e parâmetros que bloqueiam uma boa parte desses e-mails maliciosos. Então, não o subestime, e mantenha-o funcionando.
Habilite a proteção de segurança para links enviados por e-mail e a de anexos maliciosos (Zero Day). O antiphishing e o antispoofing também não podem ser esquecidos. Se puder, habilite também soluções para detecções em tempo real de ransomware enviados pela nuvem, a validação de SPF, DKIM e DMARC, os ajustes no nível do SCL (Spam Confidence Level), e o assessment contínuo no ambiente e implementações de melhorias.
Análise de Shadow IT
Hoje, estima-se que funcionários de empresa usem, em média, mais de mil aplicativos de nuvem distintos. O que gera uma área de sombra, que o monitoramento não alcança. Uma análise de Shadow IT ajuda a organização a conhecer e identificar quais aplicativos estão sendo usados e o nível de risco e exposição dos dados.
A sua empresa classifica os dados?
Uma política de proteção e classificação de informações permite que a empresa rotule e proteja dados, ao mesmo tempo em que garante que a produtividade do usuário e a capacidade de colaboração não sejam prejudicadas.
São marcações e regras utilizadas para determinar qual tipo de informação, qual tipo de acesso e de permissão que um colaborador que lida com esse dado vai ter para poder trabalhar com ele. É possível separar os dados com etiquetas de público, interno ou confidencial. Criptografe as confidenciais. E permita a revogação de acesso.
Ficou com dúvidas? Procure um de nossos especialistas para entender como assegurar dados em nuvem.