Não há dúvida de que as organizações estão migrando para a nuvem em um ritmo mais acelerado do que nunca. A adoção da nuvem proporciona muitos benefícios que auxiliam as empresas a atingirem seus objetivos comerciais, como redução de custos, maior agilidade e mais escalabilidade.
Mas quais são os riscos? Quando dados confidenciais são transferidos ou armazenados na nuvem, surgem desafios regulamentares, de visibilidade e de controle para as equipes de segurança e conformidade das empresas. Na realidade, uma pesquisa sobre a adoção da nuvem realizada pela Intel Security revelou que 44% dos entrevistados acreditam que seus dados estão menos seguros na nuvem.
Felizmente, é possível atenuar os riscos seguindo práticas recomendadas e diretrizes úteis para que os dados sejam o foco da adoção da nuvem com maior proteção. Para proteger as nuvens híbridas (uma combinação de infraestrutura de TI tradicional, nuvens públicas e nuvens privadas), as organizações devem ter em mente estas cinco questões de segurança:
1. Adquirir visibilidade
Com a nuvem pública, é fácil contratar recursos computacionais e espaço de armazenamento em questão de minutos. Essa agilidade é um dos grandes atrativos da nuvem, mas também gera um desafio de visibilidade e controle para a equipe de TI da empresa, pois os usuários corporativos podem implementar soluções de nuvem sem o conhecimento da TI. O relatório sobre a segurança na nuvem da Intel Security revelou que menos da metade (45%) dos participantes diz ter visibilidade de implementações de SaaS na chamada “shadow IT”, enquanto apenas 42% declararam o mesmo sobre a existência de IaaS na “shadow IT”. A equipe de TI precisa implementar soluções de segurança que proporcionem visibilidade da nuvem para que seja possível aplicar políticas de segurança e, assim, proteger a empresa. O objetivo deve ser assumir o controle dos serviços da “shadow IT” para ajudar no cumprimento da missão do departamento e, para isso, a identificação desses serviços é uma prioridade.
2. Estabelecer a segurança centrada nas cargas de trabalho
As nuvens híbridas são uma combinação de vários tipos de nuvem e podem incluir a infraestrutura gerenciada do cliente ou de terceiros. Como o perímetro tradicional já não existe no atual mundo altamente móvel e conectado à nuvem, os controles tradicionais de segurança de perímetro não são capazes de oferecer a proteção necessária. Complementar a segurança de perímetro e rede com um modelo centrado nas cargas de trabalho ajudará a resolver a falta de visibilidade e permitirá a implementação de controles por política, com a finalidade de proporcionar uma cobertura de segurança mais completa.
3. Adotar a automação
Se a sua equipe de operações de segurança é como a maioria, ela já percebeu como é difícil manter a eficiência quando a carga de trabalho só aumenta, mas o número de funcionários continua o mesmo. Em um estudo recente, 46% das organizações afirmaram enfrentar uma “carência problemática” de profissionais com conhecimentos em segurança cibernética e 1/3 dos participantes comentou que especialistas em segurança na nuvem são os profissionais mais em falta. Proteger a infraestrutura de nuvem híbrida com a automação eleva consideravelmente a eficiência operacional, além de melhorar a postura de segurança da empresa.
4.Incorporar controles de segurança com base nos ativos
Identifique as prioridades de segurança, privacidade e conformidade de cada sistema específico e implemente o nível de proteção correspondente. Você não deve ter uma única política para tudo.
5. Adotar a segurança integrada
Nosso relatório sobre segurança na nuvem revelou que as organizações usam, em média, 43 serviços de nuvem diferentes, mas somente 35% delas usam uma solução integrada para gerenciar a segurança para todos esses serviços. Por definição, as nuvens híbridas são heterogêneas, portanto, uma política universal não funciona. Em vez disso, adote uma estrutura de segurança que facilite a integração de várias funções de segurança nos processos diários. Uma abordagem integrada minimiza as oportunidades e o impacto de táticas de ataque emergentes e simplifica a proteção da sua infraestrutura de nuvem híbrida.
Algo é inegável: a nuvem é o novo padrão. Para controlar os riscos, é necessário colocar a segurança no centro dos seus processos de aprovisionamento, implementação, gerenciamento e conformidade.
* Scott Montgomery é vice-presidente e estrategista técnico-chefe do Intel Security Group