Brechas e vulnerabilidades. Assim o cibercriminoso aproveita as fraquezas das organizações que nos últimos anos começou a olhar a Segurança da Informação como proteção de ativos, reputação e continuidade do negócio. Empurradas pela transformação digital e diante do momento regulatório com a LGPD, todo o ecossistema das economias do mundo todo buscam as novas tecnologias para aumentar o campo de defesa, embora muitas empresas acompanharam algumas ondas sem a preocupação com a segurança dos dados, como foi a migração em massa para cloud. A consequência tem sido assistida diariamente com grandes ataques e multas aplicadas pelo Ministério Público ou órgãos de proteção ao consumidor.
Durante a 4ª edição do Security Leaders Recife, realizado na semana passada, cloud security, uso da Inteligência Artificial e machine learning foram temas discutidos para minimizar os riscos e as vulnerabilidades contra ataques em massa.
Estudos revelam que a maioria das empresas migrou para a nuvem. No entanto, hoje quem ainda está no ambiente on premise pensa no assunto com um pouco mais de cautela porque já colocou na ponta do lápis o custo operacional para fazer a migração com a segurança. O desafio é provar aos gestores e board que o “barato” pode sair caro sem uma composição entre uma análise de viabilidade dos processos, arquitetos treinados e especializados na nuvem e soluções de segurança para cloud.
No final do dia, o tripé processos, pessoas e tecnologia é a máxima para obter êxito nos projetos, sob o guarda chuva da segurança da informação cobrindo toda e qualquer mudança ou desenho de uma nova aplicação.
Você precisa mesmo estar na nuvem?
Estar ou não na nuvem. Esse dilema deixou de existir desde quando as empresas passaram a entender que para cada necessidade, uma solução. Essa maturidade começa a acenar, dada a cultura de proteção de dados imposta também pela GDPR, LGPD e outras regulamentações que exigem um controle maior, compliance e gestão de risco.
Luiz Carlos Pádua, da assessoria da superintendência de telecomunicações da CHESF, comenta que hoje 30% da infraestrutura da TI estão na nuvem. No entanto, ainda há um grande receio para migrar as aplicações e dados críticos da área core da companhia de energia.
De fato, foi o tempo da migração excessiva para a cloud com a perrogativa de que a nuvem oferece mais agilidade nos negócios sem a preocupação de requisitos de segurança. Assim, a lição aprendida é fazer uma análise entre processos, pessoas, tecnologia. Esse é o momento da FUNDAJ: avaliar os custos operacionais. “Não migramos porque o nosso negócio contém um acervo muito grande de imagens e contamos com três campos (administrativo, acervo e pesquisa), distribuídos em dois data centers. Outro fator que retarda a migração é a velocidade de processamento, não só porque vamos precisar replicar o link, como também há a necessidade da continuidade do serviço, que é crítico, numa operação 24 X 7”, explica Alexsandro Diniz, CSO da FUNDAJ.
Ao contrário da FUNDAJ, 50% das operações das Faculdades Integradas da Vitória de Santo Antão está em cloud. Auximar Lemos, gestor de TI da instituição de ensino, explica que a migração para a AWS permitiu a agilidade na digitalização de muitos serviços. Por isso, fez muito sentido: “chegou um momento em que eu precisaria realizar uma operação de três horas e se estivesse na infraestrutura antiga, o custo seria em torno de R$ 8 mil. Com o AWS, em três horas, o gasto seria de US$ 5”, destaca. André Carneiro, country manager da Sophos no Brasil, concorda com Lemos. “A grande vantagem da nuvem é transformar um negócio em algo mais dinâmico”.
Segurança mais (processos, pessoas e tecnologia)
O trinômio é a máxima da área de TI, mas a maturidade das organizações e o volume excessivo de ataques exigiu uma camada acima: a segurança da informação. Diante disso, especialistas recomendam:
- Tenha em seus times profissionais qualificados e que entendam sobre cloud security – sejam treinados ou por meio da contratação de uma empresa. “Não adianta migrar para a nuvem sem segurança e desprovido de um profissional que entenda dos procedimentos que ela requer, uma vez que a empresa deve garantir a segurança e proteção de seus dados na nuvem”, adverte Lemos.
- Processos também devem ser avaliados antes de ir para a nuvem: o que é crítico e o que não é. Analise os seus processo internos, qual o risco do dado que você vai colocar na nuvem.
- Tecnologia também é um elo importante, uma vez que o mercado ainda engatinha na oferta do mercado. Carneiro comenta que apresentou uma solução de CSP e poucas empresas conheciam. “A pressa de ir para a nuvem, bem comum no mercado financeiro, impacta no resultado e abre brechas para os cibercriminosos. Portanto, desenvolva um processo de governança de dados”, recomenda Carneiro.
- Segurança na nuvem tende a transformar a Segurança como Serviço. Prioritariamente, pense na nuvem antes de migrar para esse novo ambiente e desenhe uma mudança prevendo a segurança desde a concepção do projeto. “A segurança é um elemento invisível porque o gestor não olha ou tende a olhar de forma não muito clara, embora agora consigamos referenciar quanto custa o vazamento de dado, em função da LGPD”, destaca Diniz.
- E para blindar esse arcabouço: desenvolva o projeto com uma equipe multidisciplinar. As áreas de negócios devem estar envolvidas, até para evitar o shadow IT.
Carneiro conclui que a indústria de segurança está numa fase de adaptação. “Embora os custos para a cloud security sejam altos, os vendors estão mensalizando as soluções como serviços para a nuvem. A tendência nos próximos cinco anos na América Latina é acontecer uma grande migração para cloud e isso impulsionará a adoção de soluções de segurança como serviço”.
