Seidor
cloud security

24 de agosto de 2023

Segurança na Nuvem: estratégia integral imprescindível para a proteção de dados na nuvem

Segundo a última pesquisa da Cybersecurity Insiders, 95% das organizações estão preocupadas com a segurança de seus ambientes na nuvem (Cloud Security), enquanto uma em cada quatro confirma um incidente de segurança na nuvem nos últimos 12 meses. De fato, segundo dados da Gartner, este setor será o que mais crescerá em investimento para 2023.

O conceito de Cloud Security

O conceito de Cloud Security refere-se à combinação de tecnologias, metodologias, processos e políticas para proteger infraestruturas, sistemas e dados na nuvem, e que pode ser personalizado de acordo com os requisitos específicos da organização.

Na Espanha, segundo o relatório anual da InfoBlox, 47% das empresas espanholas experimentaram um incidente de segurança na nuvem em 2022. Isso não só afeta a operação, como também pode acarretar sérias implicações legais e financeiras. Statista, por exemplo, reportou no ano passado multas de até 1.200 milhões de dólares a grandes gigantes como Meta, Whatsapp ou Google.

Além de preservar a conformidade, uma estratégia correta de Segurança na Nuvem ajuda a manter a continuidade dos negócios. De acordo com uma pesquisa recente da EMA, consultoria especializada em gestão de dados, o custo médio por tempo de inatividade não planejada é de 12.900 dólares por minuto, embora o estudo destaque que o custo varia de acordo com o tamanho da empresa.

Principais desafios

O conceito de Cloud Security não inventa nada novo, mas representa uma mudança importante na forma de conceber a defesa contra ataques a dados, aplicações e cargas de trabalho. A seguir, são apresentados alguns dos desafios mais importantes.

  • Exposição de dados confidenciais. Segundo uma pesquisa recente da IPM, a exposição de dados é a maior preocupação sobre Segurança na Nuvem entre os executivos de TI espanhóis. E é que, pela natureza da nuvem, qualquer pessoa, de qualquer lugar, com os recursos adequados, pode acessar qualquer informação. Um vetor de risco comum são os buckets de armazenamento, que frequentemente estão expostos devido a problemas de configuração incorreta.
  • Perda de visibilidade sobre a infraestrutura. Como regra geral, as redes corporativas em nuvem oferecem acesso a dados e serviços para centenas ou milhares de dispositivos dispersos, conectados a diferentes redes ao longo de diferentes geografias. Essa complexidade pode causar a perda de visibilidade sobre os diferentes elementos da infraestrutura. Sem os processos corretos e as ferramentas de gestão de segurança adequadas, os responsáveis técnicos podem perder de vista quem está usando os serviços de nuvem, de onde e para quê.
  • Responsabilidade compartilhada. Definir e normalizar como são utilizados, como são armazenados e quem está autorizado a acessar os dados compartilhados também é um desafio chave. Por exemplo, se um funcionário mover involuntariamente os dados que não deve para um serviço na nuvem sem autorização, a empresa poderia incorrer em um descumprimento do contrato com o fornecedor que poderia acarretar em ações legais.
  • Ameaças internas. O exemplo mencionado no ponto anterior destaca que funcionários, contratados e parceiros podem ser um dos maiores riscos de segurança na nuvem. De fato, a maioria dos incidentes internos ocorre devido à falta de treinamento ou negligência. A nuvem aumenta ainda mais os riscos, pois a organização entrega o controle de seus dados ao provedor de nuvem e introduz uma nova camada de ameaça interna, a dos funcionários do provedor.
  • Erros de configuração. A configuração incorreta dos serviços na nuvem pode fazer com que os dados sejam expostos publicamente, possam ser manipulados ou até mesmo excluídos. Falta de revisão na segurança padrão, erros na configuração da gestão de acessos... são problemas com os quais lidar diariamente. Merece menção especial a segurança das APIs, que são parte fundamental das aplicações web, SaaS e móveis modernas, pois representam um elo entre diferentes infraestruturas (locais ou de nuvem). Mas uma API cloud insegura é uma porta de entrada para acessos não autorizados.
  • Violações de conformidade. Desde a entrada em vigor do RGPD, garantir a conformidade normativa em matéria de proteção de dados tornou-se um aspecto chave da cibersegurança, e portanto para a Cloud Security. A empresa deve saber onde estão seus dados, quem tem acesso a eles, como são processados e como são protegidos. Para a nuvem, existem regulamentações adicionais que também obrigam o fornecedor.

Marcos de ação do Cloud Security

Embora, como dissemos antes, o conceito de Cloud Security não invente nada novo, ele representa a melhor combinação para alcançar uma base sólida de proteção: entre elas, as seguintes:

  • Inteligência de ameaças. Soluções como os sistemas de detecção e prevenção de intrusões (IDS/IPS) são a base de qualquer estratégia de Cloud Security. Essas ferramentas de inteligência de ameaças permitem identificar ameaças presentes e futuras. Obviamente, a centralização das informações, o acesso a fontes externas e a monitorização contínua serão requisitos básicos para mitigar os ataques e responder.
  • Controle de identidades e acessos. Os sistemas de gestão de identidades e acessos (IAM) são essenciais para a segurança dos ambientes em nuvem, combinando autenticação multifatorial com políticas ad hoc para controlar quem tem acesso aos dados e aplicativos, o que pode acessar e o que pode fazer com os dados. Normalmente, o fornecedor integrará seu sistema com o IAM do cliente, ou utilizará seu próprio ambiente, mas em qualquer caso é fundamental, pois também afeta a conformidade regulatória.
  • Criptografia. As infraestruturas em nuvem requerem um movimento contínuo de dados, seja entre o centro de dados do cliente e a plataforma do provedor de nuvem, ou entre diferentes provedores. O movimento é contínuo e multidimensional (para ou da nuvem, entre nuvens, etc.). Diante dessa situação, a criptografia de dados é uma camada de segurança essencial na nuvem - na verdade, sempre foi -, pois permite manter os dados protegidos o tempo todo, tanto quando estão em trânsito quanto quando estão em repouso.
  • Segurança física. Como é fácil supor, esta seção é igualmente essencial, mesmo que os dados estejam na nuvem... ou precisamente por isso. O objetivo neste caso é evitar acessos não autorizados ou ataques contra ativos de hardware, desde os endpoints dos usuários até os sistemas do provedor de nuvem. Aqui ganham especial relevância aquelas redes que incorporam dados de sensores, mas também elementos específicos como portas, fontes de alimentação ininterrupta, circuitos de TV, alarmes, etc.
  • Pentesting/VPD. Os testes de penetração (pentesting) e os programas de divulgação de vulnerabilidades (VDP) são uma prática cada vez mais comum para manter e melhorar a segurança na nuvem “atacando” a infraestrutura cloud internamente para identificar fraquezas ou potenciais vias de exploração. Com base nos resultados, a organização poderá tomar as medidas e estabelecer os controles adequados para mitigar os riscos.
  • Segmentação de cargas de trabalho. Consiste em dividir a infraestrutura da nuvem em diferentes segmentos de segurança. Ao isolar as diferentes cargas de trabalho (até mesmo em nível de usuário), é possível aplicar políticas de segurança flexíveis que permitirão ganhar em agilidade e proatividade para prevenir possíveis ataques ou brechas de dados.

Benefícios de implementar uma estratégia de Segurança na Nuvem

Uma vez implementada a estratégia de Cloud Security, a organização poderá ter uma visão integral de seus ativos na nuvem e seu estado de proteção, mas este não é o único benefício. Aqui estão alguns mais:

  • Centralização. Inerente ao conceito de Cloud Security está o conceito de centralização. Assim como o próprio Cloud Computing passa por centralizar aplicativos e dados, o Cloud Security implica centralizar a segurança em plataformas centralizadas com controles avançados, alarmes, conexão a fontes externas, etc. Isso melhora as opções de recuperação de desastres e, consequentemente, a continuidade do seu negócio.
  • Redução de custos. Um fornecedor de serviços de nuvem renomado oferecerá hardware e software incorporado dedicados a proteger suas aplicações e dados 24 horas por dia. Isso elimina a necessidade de um investimento financeiro significativo em sua própria configuração.
  • Menor carga administrativa. Como já mencionamos, a segurança dos dados na nuvem é baseada em um modelo de responsabilidade compartilhada entre o provedor e o usuário, o que constitui uma vantagem para este último, pois reduz a quantidade de tempo e recursos necessários para gerenciar esta área.

A importância de contar com um parceiro de confiança

Uma parte básica de qualquer estratégia de Cloud Security é identificar um fornecedor de serviços de nuvem adequado, e depois a implementação de uma estratégia que combine as ferramentas, os processos, as políticas e as práticas apropriadas e necessárias.

Contar, além disso, com um parceiro especializado, com conhecimentos sobre cloud e segurança que a empresa não precisa ter, e que permita gerir de maneira correta e justa a responsabilidade compartilhada.

Se a sua estratégia passa pela nuvem e você se preocupa com a segurança e privacidade dos dados da sua empresa, entre em contato conosco e nós o aconselharemos sobre como implementar a melhor estratégia de Cloud Security para a sua organização.

Quiz talvez te interesse

24 de agosto de 2023

A segurança nos dispositivos e o trabalho remoto

O teletrabalho tornou-se atualmente uma prática confortável, eficiente e até mesmo necessária para muitas empresas. Mas há regras de cibersegurança que devem ser implementadas para evitar colocar em risco informações sensíveis, próprias ou dos clientes.

A seguir, são apresentados os aspectos mais importantes a serem considerados, tanto do ponto de vista da organização quanto no que se refere aos usuários.

SEIDOR
23 de agosto de 2023

O que é Zero Trust? Passado, presente e futuro da segurança

Neste artigo, contamos a tendência e evolução das iniciativas Zero Trust, mas antes disso, vamos contextualizar: o que é Zero Trust?

Zero Trust é um modelo de segurança no qual se assume que todas as entidades dentro da rede, incluindo aquelas que têm acesso à rede, são potencialmente mal-intencionadas.

Cara Laura López
Laura López Senderos
Jefa de proyecto de SEIDOR
15 de março de 2023

Aplicativos móveis e modelos de negócio

Com a popularidade dos dispositivos móveis, as empresas viram a oportunidade de criar aplicativos para se conectar com seus clientes, melhorar a produtividade de seus funcionários e aumentar suas receitas. No entanto, criar um aplicativo de sucesso não é uma tarefa fácil.

cara Carlos Polo
Carlos Polo
Director de desarrollo de negocio Innovation & Ventures en SEIDOR