Segurança em nuvem sem uma ótima equipe não é nada, por Lauro de Lauro*
/ Já são quase quinze anos desde que a primeira nuvem pública foi lançada e, até hoje, muitas empresas que consomem os serviços dos provedores de armazenamento não têm claro que a segurança da plataforma é uma das responsabilidades compartilhadas entre o Cloud Provider e o cliente. Um dos principais ganhos com este modelo é reduzir os custos operacionais do cliente a medida que o Cloud Provider opera, gerencia e controla os componentes da rede física, infraestrutura e da camada de virtualização e a segurança física das instalações.
Assim, o cliente assume a gestão e a responsabilidade pelo sistema operacional, como atualizações e patches de segurança por outros softwares de aplicativos associados ao ambiente e pela configuração do firewall do grupo de segurança fornecido. Mas, para especialistas em segurança é muito claro que ferramentas e sistemas de proteção não fazem o trabalho sozinhos, sendo necessário uma ótima equipe. A falta dela deixa as empresas com enormes falhas de defesa que podem ser exploradas por hackers e impactam muito o tempo de atividade dos aplicativos e a agilidade nos negócios.
Analisando as principais causas que geram prejuízos às empresas, vemos que elas estão concentradas em dois pilares estruturantes em segurança: aplicação de melhores práticas e avaliações periódicas de vulnerabilidades.
Ambos pilares estão ligados a playbooks (processos) – que garantem a validação de condutas -, procedimentos de conformidade e verificações de auditoria.
E, a cada dia, novas ferramentas de validação de segurança e vulnerabilidades são criadas, muitas delas utilizando inteligência artificial, mas ainda não dispensam uma ótima equipe que saiba avaliar se as melhores práticas estão sendo aplicadas, se toda a informação está sendo coletada e transformada em conhecimento específico para cada ambiente da empresa. Os playbooks associados e estas poderosas ferramentas podem mitigar desde simples situações de erros na configuração dos controles de segurança na nuvem, que ainda são a principal causa de risco e violação, até validações contínuas de conformidade e o controle de políticas.
O que vivenciamos ainda hoje no Brasil é um grande desconhecimento das equipes de TI em relação a adoção de políticas básicas de segurança. Sabemos dos prejuízos causados pelo ransomware, uma ameaça muito comum e largamente utilizada por hackers e que existe proteção. Por que as empresas ainda sofrem dessa ameaça? Não é um problema tecnológico e sim falta de se seguir um playbook básico de verificação das vulnerabilidades do ambiente e a adoção do antiransomware.
Com a adoção de políticas de segurança, diversos casos de incidentes de vazamento de dados poderiam ser evitados. Princípios básicos podem garantir um excelente nível de proteção dos dados. Além disso, é importante deixar claro a intrínseca relação de segurança cibernética e regulatórios como a Lei Geral de Proteção de Dados, a LGPD. Os artigos 8 e 46 e o §1º do artigo 52 da Lei 13709/18 deixam claro que empresas precisam adotar medidas de segurança técnicas e administrativas para proteger os dados pessoais de eventuais incidentes de segurança, e ainda preveem a mitigação das sanções administrativas àquelas empresas que demonstrem adotar mecanismos e procedimentos internos capazes de minimizar eventual dano causado por incidentes de segurança da informação. Desta forma, a importância do processo da segurança para mitigar e proteger os dados é uma exigência legal a partir da implementação da LGPD.
Finalizo aqui com uma questão que deve ser frequentemente respondida: segurança é só para empresa que tem um grande orçamento de TI? Absolutamente não! Hoje, com os serviços de segurança da nuvem e com as diversas empresas especializadas em proteção, os custos são uma fração do que tínhamos há alguns anos. Não vale a pena arriscar a ficar sem.