O Gartner explica que, em um mundo no qual os furos de segurança nas grandes empresas dominam as manchetes, o desafio não está na proteção da Nuvem em si, mas nas políticas e tecnologias para defesa e controle da tecnologia Cloud.
Embora a maioria das empresas esteja familiarizada ou pelo menos tenha uma ideia do que é Cloud Computing (Armazenamento em Nuvem), ainda há muita confusão e conceitos equivocados sobre o que a plataforma tem a oferecer. Na visão dos especialistas do Gartner, o mercado brasileiro precisa acabar com as incertezas que possui em relação à Cloud para que as companhias cresçam usando essa tecnologia.
“A computação em Nuvem continua sendo popular e amplamente incompreendida. Os questionamentos sobre o que ela entrega para uma empresa são um misto de preocupações reais e fictícias com relação à segurança e ao controle dos seus diferentes modelos”, explica Jay Heiser, Vice-Presidente de Pesquisas do Gartner.
Estudos do Gartner apontam que, até 2018, 60% das empresas que implementarem ferramentas apropriadas de visibilidade e controle da Nuvem obterão um terço a menos de falhas. A migração das cargas de trabalho para essa plataforma não implica em perda da segurança. Na verdade, os fornecedores de IaaS em Nuvem oferecem recursos que garantem aos usuários acesso às informações de que eles precisam e permitem que eles acompanhem detalhes sobre “quem, o que, quando e onde”. As empresas ganham muito com a segurança em Cloud.
O Gartner prevê que, até 2020, a Nuvem Pública para infraestrutura como serviço (IaaS, do termo em inglês Infrastructure as a Service) apresentará no mínimo 60% menos incidentes de segurança do que os Data Centers convencionais. O Gartner também concluiu que a estratégia dos grandes fornecedores da plataforma é tão boa ou até melhor do que a da maioria dos Data Centers corporativos e que a segurança não deve ser mais considerada uma razão forte contra a adoção de serviços em Nuvem Pública. Entretanto, essa mudança não é tão simples quanto migrar atividades de dentro da companhia para Cloud e as equipes de segurança precisam alavancar a infraestrutura programática do modelo IaaS na Nuvem Pública. A automação máxima dos processos removerá o potencial erro humano, normalmente responsável por ataques de segurança desastrosos. Os Data Centers corporativos também poderiam ser automatizados, mas normalmente não oferecem a infraestrutura programática necessária.
A utilização de IaaS terá uma taxa de adoção lenta e nem todos os fornecedores de IaaS terão soluções compatíveis com a plataforma em Nuvem Pública. Os líderes de segurança e gerenciamento de riscos devem usar os recursos nativos dos fornecedores de IaaS e integrar testes de aplicações e outras funcionalidades de reconhecimento de vulnerabilidade ao ciclo de implementação.
A computação em Nuvem reduz o escopo da segurança em geral e exige que os clientes gerenciem parte da estrutura de computação de acordo com o modelo de responsabilidade compartilhada. É uma boa oportunidade para novos tipos de abordagens e para a adoção de um novo método para proteger as informações. A Nuvem requer uma postura diferente em relação à segurança, e os hábitos e formatos para proteção dos dados dentro da empresa não vão funcionar bem para as informações armazenadas nessa nova plataforma.
Os líderes de segurança e gerenciamento de riscos devem orientar e ensinar suas equipes e times de Infraestrutura e Operações (I&O) sobre os recursos de controle e de visibilidade nativa oferecidos pelos fabricantes de ambientes em Nuvem. É preciso procurar ferramentas habilitadas que melhorem a visibilidade para que a segurança diária fique a cargo das equipes de Segurança e de I&O, e não dos desenvolvedores.
