Segurança da informação é fundamental para qualquer tipo de empresa ou usuário atualmente. Do pequeno empreendedor até a empresas de porte internacional, daquele cliente que apenas navega na Internet até o funcionário que trabalha remotamente.
Mesmo que os primeiros passos sejam na instalação de um simples antivírus, mas é preciso se prevenir contra ataques virtuais e roubo de dados.
Principalmente nesse momento que estamos ficando cada vez mais conectados, são compras, pagamento de contas, entretenimento e várias outras atividade que a cada dia que passa nos faz depender ainda mais da conectividade com a Internet.
Porém, não dá para fazer qualquer coisa sem o mínimo de conhecimento necessário, principalmente às empresas que estão adotando a Computação em Nuvem como a principal infraestrutura tecnológica do seu negócio. É preciso proteger dados. E esse será o tema do artigo de hoje.
Custo e segurança da informação tem levado muitas empresas à nuvem
Otimização de custo e segurança da informação têm sido bons motivos que tem levado muitas empresas a procurarem a nuvem pública.
Em vez de optar por um ambiente de TI com uso de recursos locais onde as equipes de TI pudessem controlar internamente, tem sido bastante estratégico para as empresas a migração para a nuvem.
Entretanto, mesmo com o acesso a tantos recursos e serviços relacionados a proteção de dados alguns erros de segurança permanecem. Uma abordagem desatenta à segurança da informação tem criado brechas que nenhum serviço gerenciado ou ferramenta de segurança pode preencher.
O pacote de serviços de segurança oferecido pelos fornecedores de cloud, a exemplo da AWS, protege dados e recursos na nuvem, desde que, a equipe de TI corporativa possa superar a curva de aprendizado associada ao uso adequado das ferramentas disponíveis, para garantir que os recursos de tecnologia da empresa estejam seguros.
Porém, pelo menos quatro erros específicos que os gestores e times de TI cometem em relação a Segurança da Informação que merecem ser observados em sua operação na nuvem.
-
Evitar a responsabilidade compartilhada
Um dos mais importante princípios da nuvem em relação a segurança da informação prega o conceito de responsabilidade compartilhada, mas isso não significa que todos os seus clientes o entendem.
As configurações de segurança local envolvem um nível diferente de trabalho prático. As equipes de TI lidam com a maioria ou toda a responsabilidade de proteger dados e cargas de trabalho.
Assim, quando uma empresa faz a migração para a nuvem, alguns dos profissionais de TI cometem o erro ao pensar que o provedor de cloud lida com toda a responsabilidade e aspectos da segurança da informação na nuvem.
Isso pode levar a uma disputa desnecessária entre as empresas após a migração para atender e manter a conformidade dos clientes com as necessidades relativas a segurança da informação.
Do ponto de vista estratégico de gerenciamento de risco, muitos clientes não são tão cuidadosos quanto deveriam sobre a verificação de sua arquitetura e acham que é trabalho do provedor mantê-los seguros.
Isso pode ocorrer de várias maneiras, incluindo a negligência quanto a tolerância a falhas e recursos de redundância, como com múltiplas zonas de disponibilidade.
-
Funções configuradas incorretamente e grupos de segurança da nuvem
A gestão de identidade e controle de acesso tem a responsabilidade de controlar o acesso do usuário a serviços e recursos. É uma ferramenta de segurança que se integra a todo o conjunto de serviços e ferramentas na nuvem, mas isso não significa que todos a integram corretamente.
Primeiro, as empresas podem deixar de seguir a política de menor privilégio, concedendo muito acesso a muitos recursos.Os grupos de segurança devem ser considerados como firewalls e ter uma filosofia de ‘negar tudo’, exceto o que é explicitamente permitido.
Além disso, as equipes de TI muitas vezes configuram as funções de gestão de identidade e os grupos de segurança para atender às demandas organizacionais e, em seguida, diminuem a imposição e a atualização desses controles de acesso.
Os grupos de segurança podem ser difíceis de gerenciar, mesmo quando uma empresa compromete pessoal e recursos necessários para lidar com ela. Isso pode levar a vulnerabilidades em toda a implantação da nuvem.
-
Uso ineficiente de logs
As ferramentas de registro geralmente podem determinar quando e onde ocorreu um problema e qual usuário estava envolvido; muitas equipes de TI confiam nessas ferramentas como um componente de segurança na nuvem. Porém, muitos não levam essa regra a risca.
A coleta de dados de instâncias e eventos que ocorrem na nuvem e são registrados em logs, oferecendo aos times de TI informações sobre tudo, desde o desempenho do aplicativo até as chamadas de API.
Os Logs oferecem uma grande variedade de informações sobre uma implantação na nuvem, e essas informações podem ser direcionadas para outros serviços para configurar alertas personalizados ou disparar as funções em resposta a possíveis problemas.
-
Falta de criptografia
O uso de criptografia de dados tornou-se algo fundamental quando se fala em proteção de dados. Os usuários finais com qualquer tipo de dispositivo inteligente podem usar a criptografia para proteger os dados pessoais.
Porém, nem todas as empresas utilizam esse recursos efetivamente. Muitas informações não são criptografadas ou não são bem feitas.
Há uma infinidade de opções, algumas fornecidas pela fornecedores de nuvem, a exemplo da Amazon. Algumas soluções são do lado do servidor; algumas criptografam as informações no lado do cliente antes que elas entrem na nuvem.
O gerenciamento de logs também é importante ao implementar as práticas recomendadas de segurança da nuvem. Ao adotar ferramentas de gestão de logs é possível agrega automaticamente dados de log e executar análises inteligentes que iniciam ações de prevenção ou contenção à incidentes de segurança.
Próximos passos
Outras práticas recomendadas de segurança da nuvem incluem o uso de backup entre regiões para cargas de trabalho e a implantação de um servidor no perímetro de rede para ajudar a detectar ameaças.
Além disso, as ofertas de produtos e serviços relacionados a alta disponibilidade são recomendadas para as melhores práticas de segurança na nuvem. É importante alinhar a definição dos recursos de segurança à arquitetura de TI que foi definida ao adotar a computação em nuvem pelas empresas.
Agora que você já tem o conhecimento de alguns dos principais erros de segurança da informação relacionados a nuvem, chegou a hora de dar os próximos passos e corrigi-los.
Caso ainda tenha dúvidas de como fazer todas as correções ou ainda sua empresa está iniciando um processo de migração para a nuvem marque uma conversa com nossos consultores, sabemos muito bem como te ajudar nesse momento de transição.
Aproveite também para assinar nossa newsletter para não perder as novidades.