Visibilidade e gestão do uso de aplicações na nuvem geram facilidades e segurança para os departamentos de TI e os usuários que buscam as suas próprias soluções tecnológicas.
Não faz muito tempo, algumas pessoas sussurravam a solicitação de envio para o seu webmail pessoal, por restrições ou indisponibilidade no domínio “de trabalho”. Parece coisa antiga, pois o e-mail foi um dos primeiros serviços migrados para a nuvem, hoje com domínio próprio e muitas vezes integrado a mecanismos de criptografia e DLP, sem que o usuário perca o nível de disponibilidade de ambientes como Gmail ou Hotmail. Em contrapartida, todo dia são criadas “startups de TI” dentro dos departamentos, que trazem centenas de novas ferramentas à rotina de trabalho.
As questões de segurança com as tendências de shadow IT, BYOD e outras formas autônomas de consumo de serviços de TI têm que levar em conta as perspectivas e a percepção de risco cada tipo de usuário. Por exemplo, para um profissional de vendas, com desempenho e ganhos medidos pela realização de metas comerciais, o valor concreto das oportunidades tende a ofuscar o valor, nem tão tangível, de mitigar riscos. Ou seja, se a negociação leva a práticas menos seguras, como expor dados sensíveis em redes sociais, o vendedor tende a contar com a sorte. Já um advogado da área administrativa, de índole mais conservadora, tem um natural receio de compartilhar informações críticas em um disco virtual sem uma boa leitura dos “termos de uso”. Todavia, esse mesmo usuário, conscientizado sobre segurança de dados, pode usar outras aplicações que escapem a sua percepção de risco.
Os riscos da contratação descoordenada de SaaS e outros serviços em nuvem não se relacionam apenas à segurança. Deixadas por sua própria conta, soluções que trazem produtividade imediata podem implicar, no futuro, uma torre de babel. Mas se a TI impuser todo o ciclo tradicional de homologação e liberação de aplicações, a nuvem perde sua função e se privam as áreas de negócios de usufruir dos apelos de agilidade.
Soluções de CASB (Cloud Access Security Broker) fornecem à TI condições de prover aplicações e serviços na nuvem, garantindo o devido controle e segurança, sem comprometer a agilidade do usuário de dispor das ferramentas que lhe forem mais úteis para geração de resultados ao negócio.
Em resumo, CASB é um conceito consolidado pelo Gartner visando adicionar controle, segurança, consistência, visibilidade e conformidade à nuvem. Estudos indicam que apenas cerca de 10% das aplicações em nuvem utilizadas nas empresas foram autorizadas ou são de conhecimento da TI. Os demais 90% compõem a Shadow IT.
Na maioria dos casos as implementações de CASB se integram aos recursos de inteligência e proteção já existentes na estrutura de segurança. Também consolidam políticas como autenticação, single sign-on, DLP para serviços em nuvem ou prevenção a malware. No entanto, adoção do CASB tem revelado dados preciosos sobre os critérios de escolha e a qualidade das aplicações que permeiam o ambiente de trabalho.
O “inventário de software”, apurado em tempo real, costuma chegar a centenas de aplicativos, que passam a ter visibilidade, classificação de riscos (score) e alinhamento às políticas de segurança. O CASB verifica também indicadores de risco, certificações de conformidade e outras características dos provedores de serviços, o que permite orientar as contratações e migrações a parceiros que deem mais tranquilidade aos usuários e à empresa.
Tão importante quanto a visibilidade sobre quais aplicações são usadas é conhecer como são usadas. As soluções de CASB são capazes de identificar anomalias no comportamento das aplicações e em seu uso, o que permite a identificação de pessoas ou software malicioso, seja de onde partir a ameaça, de invasores ou atacantes internos.
Evidentemente, o primeiro efeito do CASB é acelerar e até mesmo reduzir os custos de iniciativas de negócios, com um mapeamento ágil e preciso dos riscos e contramedidas. O impacto de mais longo prazo, todavia, é estabelecer uma relação de confiança entre os usuários e departamentos mais proativos, que buscam as ferramentas mais adequadas a sua atividade-fim, com os times de segurança. A relação de conflito ou apatia, inerente à abordagem bloqueia ou libera, dá espaço a uma colaboração baseada em objetivos bem entendidos por ambos os lados.
* Luiz Veloso é gerente de Negócios da CYLK e especializado em soluções de segurança