Cloud Computing > Cloud Híbrida, Segurança de Cloud, Segurança de Dados

Segurança na Nuvem: Por onde começar?

Situações de risco são recorrentes, uma vez que muitas empresas acreditam que a segurança dos dados em cloud é responsabilidade do provedor

29 de Fevereiro de 2016 - 11h21

A utilização de ferramentas na nuvem e nuvem híbrida tem reduzido os custos das empresas de forma inédita, e estimulado o seu crescimento em todo o mundo. Diversas pesquisas revelam que a cloud chegou para ficar, o que torna importante a análise das medidas mais eficientes para controlar e mitigar riscos, como ameaças de invasão, ataques, vazamento de informações sensíveis e indisponibilidades de serviços.

A segurança na nuvem é o principal motivo de preocupação dos gestores de TI no mundo. Estimativas indicam que mais de 70% deles não confiam nas técnicas tradicionais de proteção dos dados. Além disso, a Cloud Security Alliance (CSA) revela que apenas 16% das organizações possuem políticas e controles para utilização da nuvem completamente implementados. A mesma CSA afirma que 80% das empresas com mais de cinco mil funcionários não conseguem informar quantas aplicações em nuvem são utilizadas por seus profissionais.

O modelo de nuvem adotado também interfere no controle de infraestrutura, aplicações e banco de dados. Segundo o relatório Threat Report, do Crowd Research Partners, 62% das pessoas consideram mais difícil detectar e proteger ameaças internas do que ataques externos. A situação é ainda mais complexa, pois as principais falhas ocorrem por responsabilidade dos próprios usuários, sendo que apenas 38% das organizações possuem política de segurança com regras e responsabilidades definidas para a proteção dos dados.

Situações de risco ainda são muito recorrentes, uma vez que muitas empresas acreditam que a segurança dos dados em nuvem é de responsabilidade do provedor, ou consideram que medidas de controle de acesso limitadas a usuários e senhas e criptografia de transmissão de dados protegem dados armazenados ou processados em servidores na nuvem.

Quase sempre por falta de investimentos ou devido à ausência de profissionais capacitados, a segurança é relegada a uma prioridade menor, e os responsáveis acreditam que a análise esporádica de logs ou ocorrências reportadas pelos usuários sejam suficientes para medidas de contenção de perdas ou incidentes.

Uma implementação efetiva de políticas para proteção e controles de acesso considera as seguintes ações: mapeamento dos serviços utilizados pelos usuários de forma independente; critério na oferta de acesso privilegiado; implementação de controle de sessão autenticada com expiração por tempo e inatividade; gerenciamento de identidades integrado com os processos de Recursos Humanos e terceiros; identificação do tipo de acesso, local, hora e perfis para evitar comportamentos danosos e possíveis brechas nos controles; proteção dos dados armazenados e transmitidos por meio de criptografia para evitar a exposição dos dados não somente na transmissão como também em seu armazenamento.

De acordo com o relatório Threat Report, do Crowd Research Partners, 47% das empresas não têm condições de detectar ataques internos ou não conseguem medir o tempo de detecção, sendo que 43% afirmam que o tempo de resposta a incidentes é de até uma semana.

Como é impossível se proteger de ameaças não identificadas, o monitoramento ativo de segurança, por meio de soluções de Data Loss Prevention (DLP – Prevenção da Perda de Dados), Security Information and Event Management (SIEM – Segurança da Informação e Gestão de Eventos) e Secure Enterprise Content Management (SECM – Gerenciamento de Conteúdo de Empresas Seguras), entre outras, deve ser implementado para o sucesso na detecção e proteção das informações. Melhor ainda se a solução for integrada, com monitoramento de infraestrutura, movimentações de dados e aplicações, considerando o contexto e o comportamento usual de todos os usuários envolvidos.

As considerações deste texto não têm a pretensão de esgotar o tema de segurança em Cloud. Existem muitos outros pontos importantes a serem considerados, desde a infraestrutura até os critérios de desenvolvimento de aplicativos para Cloud, que possuem características distintas do modelo tradicional de TI.

*Kleber Melo é presidente do conselho consultivo do (ISC)² para a América Latina.