Home  >  Segurança

7 requisitos para migrar para a nuvem com segurança

Na prática, cloud se tornou a “grande disseminadora” de dados

Vladimir Amarante*

12/01/2019 às 11h01

Foto: Divulgação

Cada vez mais organizações percebem as vantagens financeiras e operacionais de migrar seus dados e cargas de trabalho locais para a nuvem. De fato, há muitos benefícios ao negócio, incluindo ganhos de produtividade e usabilidade para os funcionários. Por outro lado, uma consequência do rápido crescimento de nuvem é que muitas empresas não prestam muita atenção nos novos riscos e ameaças que exploram esta tecnologia. Além disso, dependendo da arquitetura e conectividade propostas, podem ter taxas ocultas de desempenho como preço para habilitar uma força de trabalho cada vez mais móvel.

Na prática, a nuvem se tornou a “grande disseminadora” de dados. Os usuários exigem acesso direto aos aplicativos de nuvem que utilizam para trabalhar, sendo que muitos destes não são conhecidos ou sancionadas pela empresa.

À medida que a nuvem transforma a TI, ela cria vários desafios em relação à segurança e aos dados. Portanto, ao avaliar a situação de segurança de nuvem de uma empresa, é necessário fazer as seguintes considerações:

- Ter tecnologias de alto nível de prevenção contra ameaças e inspeção de segurança das informações que possam verificar rapidamente o tráfego, mesmo criptografado, que parte para a Internet ou chega por ela. Ao contrário dos firewalls de última geração (NGFWs), os proxies (Secure Web Gateways) são desenvolvidos para fazer isso e para inspecionar o tráfego criptografado em escala, sem deteriorar o nível de segurança e performance.

- Certificar que a abordagem de inspeção tenha múltiplas camadas que sejam comprovadamente eficientes (ou seja, insista em ver resultados de testes e provas de conceito).

- Não apostar em políticas de segurança e conformidade menos eficientes para proteger os usuários remotos em comparação aos funcionários da sede. As políticas de segurança e conformidade devem valer para todos os usuários, independentemente de sua localização ou de quais dispositivos usem (que por vezes são múltiplos).

- A segurança deve ser aplicada e reforçada já que o tráfego agora flui diretamente para Internet. Se o provedor de segurança de nuvem tiver tecnologias adequadas para funcionar nativamente com aplicativos de nuvem, como por exemplo o Office 365, os usuários terão desempenho e segurança melhores e você terá um menor custo mensal.

- Para atender a requisitos de conformidade de dados e segurança de informações, é importante saber quais informações estão saindo para a web e a nuvem. Por exemplo, se dados são enviados para serviços como Box ou similares, isso viola as políticas de conformidade da empresa? Se há conteúdo sigiloso ou propriedade intelectual, é necessária uma proteção adicional, como criptografia? Caso positivo, é necessário aplicar direitos de acesso, estabelecendo regras para quem na empresa está autorizado a ver esses documentos que forem criptografados, gerando também rastreabilidade na medida que são acessados e alterados na nuvem ou em qualquer dispositivo.

- Recursos de CASB (Cloud Access Security Broker) podem ajudar a identificar quais aplicativos de nuvem os funcionários usam. Não tem como avaliar os riscos ao negócio sem conhecer os atributos e características desses apps na nuvem. O próximo passo é ter ferramentas que permitam gerenciar o acesso a aplicativos de nuvem para que você possa desautorizar o acesso para nuvens sem conformidade ou permitir o acesso mas com monitoramento contínuo e possibilidade de impor políticas de segurança mais rígidas.

- Por último, você necessita de uma forma de receber alertas quando algo suspeito ocorrer em quaisquer contas de nuvem. Por exemplo, ferramentas de CASB avançadas podem utilizar a análise de comportamento de usuário (UBA) para detectar padrões de comportamento que indiquem situações de risco ou anormais.

Sem as ferramentas adequadas, muitas empresas agem de forma ultraconservadora, bloqueando muito o tráfego da web. Não faz mal ser cauteloso, mas isso sem dúvida frustra os funcionários e atrapalha a produtividade, já que eles não conseguem acessar os sites e Apps que precisam para trabalhar. Mas vá em frente e aposte tudo na nuvem. Já é uma realidade presente em 100% das empresas, na maioria dos casos por influência ou ação dos usuários (Shadow IT), mesmo em empresas que formalmente creem que não usam nuvem. É importante abraçar esse movimento buscando rapidamente ter visibilidade como a base para se propor melhorias, sancionar alternativas tecnológicas e readequar os processos para o uso autorizado e ainda mais seguro da nuvem.

*Vladimir Amarante é diretor de engenharia da Symantec para América Latina