A longo dos últimos três anos tenho encarado a posição de Cyber Risk Manager, enfrentado diariamente inúmeros desafios para tratar riscos em ambiente de infraestrutura. Isso envolve a gestão própria da organização e de ambientes externos, que caracterizam um cuidado compartilhado com o cloud provider. Como exemplo, SaaS, PaaS e IaaS diferem completamente em termos de responsabilidade dividida, governança de dados e, em especial, a maneira como gerenciamos os riscos.
O ambiente de cloud se tornou um novo alvo das organizações, pois proporciona a redução de custo de propriedade (TCO) e CAPEX, retorno de investimento (ROI) e principalmente a economia e eficiência de custo em OPEX, uma vez que, na cloud, o cliente paga pelo uso, assim como energia elétrica. Em contrapartida, estive envolvido em novos projetos em que aplicações críticas se moveram para a nuvem.
Nesse cenário, a estratégia de Segurança e controle parece infinita, dado o grande número de incidentes de vazamentos ocorridos nos últimos anos. Proteção de dados e gestão de riscos envolvem vários aspectos, e as dúvidas mais frequentes são por onde começar, qual framework usar, quais responsabilidades haverá na nuvem, qual o melhor modelo de serviço e o que é importante no aspecto de regulamentação.
A intenção deste artigo não é escrever um guia de migração de on-premises para cloud, mas demonstrar a complexidade do processo aparentemente simples. É fato que, durante a pandemia, muitas empresas migraram à cloud a fim de manter seus colaboradores em trabalho remoto. Mas isso pode envolver responsabilidade do cliente na gestão de infra, aplicação e na proteção dos dados, a depender do modelo de nuvem adquirida. Acima de tudo, é um shared responsability. Esse fato precisa ser entendido, ou a sua empresa estará sujeita a diversos desafios.
Exemplificado este contexto, esmiuço alguns aspectos de gestão de cyber risk na cloud que toda organização e departamento de risco cibernético devem se atentar:
1. Não entender o que precisa ser protegido pode alavancar desde risco de compliance até o vazamento de dados. Dependendo do país, pode-se requerer atenção às regulamentações de privacidade dos usuários, como GDPR, CCPA e LGPD. Elas exigem um nível de proteção para dados PII e PCI-DSS; e o standard orienta proteção dos dados de portadores de cartão.
– Pense na forma que será segregado o ambiente, por meios de security groups: são defesas virtuais com a função semelhante a um firewall tradicional, usado para construção de DMZ normalmente em on-premises.
– Considere a localização dos dados e como estão distribuídos na nuvem.
– Use as ferramentas que o próprio cloud provider disponibiliza para localização e mapeamento dos dados.
– Classificação de dados e o uso de outras ferramentas de IRM e DLP integradas com soluções de cloud pode alavancar o nível de controle.
2. Mudança cultural, atualização das políticas e treinamento contínuo são pontos relevantes para uma migração de um produto/aplicação. A equipe deve ser treinada visando gerir os serviços e saber como obter relatório de compliance, além de entender as diferenças entre modelos de nuvem, seja GCP, Azure ou AWS. O melhor será aquele que tiver preços compatíveis e atender os objetivos esperados pela organização. Recomendo também:
– Cloud FinsOps para gestão financeira em cloud.
– Definição de novos standards com apoio de frameworks da Cloud Security Alliance (CSA) combinado com ISO 27001, ISO 27017, ISO 27018 e NIST CSF.
– Aplicação de políticas em nuvem, com ZTE (Zero Trust) e controle de acesso de maior granularidade, usando o modelo ABAC.
– DevSecOps and Infrastructure as Code (IaC) irá facilitar a integração de aplicações e acelerar a velocidade, colabora com o patch management nas imagens protegendo-as antes de serem produzidas.
3. Proteção dos dados e infraestrutura são fundamentos essenciais para assegurar os ativos. aqui é importante considerar controles de:
– Processo de gestão de acessos e níveis de segurança em aplicações.
– Segurança no ambiente de aplicação, SDLC (SAST, DAST, IAST, PenTesting), Threat Modeling, Bug Bounty program, OWASP, MITRE ATT&CK.
– Uso de ambientes segregados, sandboxing para teste de aplicações e uso de soluções de antimalware. Cloud Natives com scan de vulnerabilidade, como WIZ, AquaSecurity, Prisma, entre outros irá facilitar a governança de riscos no ambiente.
– Criptografia em trânsito e descanso (data at rest) para dados PII, PCI, PHI e dados restritos/sensíveis. Pensar também em key management e admissão de modelo de arquitetura em nuvem. Existem diversos modelos, e cada provedor oferece um que pode ser usado.
– Uso de CIS e NIST para criação de Baseline de uso de Kurbenetes e containers. Segurança das imagens produzidas nos ambientes de PaaS e IaaS. Nesses casos, o cliente tem algumas responsabilidades: em IaaS, ele é responsável por aplicar patch de segurança no sistema operacional.
– Implementação de camadas com VPC, security groups, WAF, gateways de APIs e ambiente segregados. Deve-se criar integração com change management, incident response, SOC, SOAR etc.
– Perfilamento de acesso, landing zone evitando blast radius e aplicação de MFA para todo o acesso ao management plan e ao acesso remoto.
– Integração com log management (SIEM, soluções Zero Trust, SASE e threat intelligence) é bastante útil, e pode ajudar na deteção de ataques em percurso, como um zero day, acesso indevido no ambiente ou risco de ataque lateral em multitenancy em cloud pública.
4. Gestão de risco, governança e supply chains jamais devem ser ignorados, pois todo risco deve ser documentado segundo o apetite que a organização está supostamente disposta em aceitar. Com isso é importante considerar:
– Uma estratégia de gestão de cyber risco incluindo on premises e nuvem.
– Ter um programa de gestão risco baseado em metodologias como NIST RMF 800-37, ISO 31000, ENISA ou FAIR. Prefiro particularmente o NIST, porém a aplicação de uma análise qualitativa e quantitativa poderá alavancar a aceitação no âmbito corporativo.
– Avaliação de riscos de terceiros, envolvendo SaaS e parceiros. Deve ser avaliado pelo time de cyber risk (TPRM).
– Aplicação de avaliação de risco no ambiente e auditoria interna considerando as possibilidades do cliente conforme definido pelo contrato.
– Garantia contra riscos como vendor lock-in e necessidade de atender requests em uma perícia forense, que esteja coberta pelo contrato e SLA. Quem será responsável por capturar as informações para a proteção da cadeia de custódia?
– Avaliação de risco em locais onde a equipe da empresa é responsável por algumas atividades. IaaS e PaaS normalmente requerem atenção de controles no ambiente (key management, segurança da aplicação, patch management em IaaS, controle de acesso e proteção de dados com criptografia).
– Qual será a responsabilidade do cliente em definir a estratégia de recuperação em casos de Business Continuity e Disaster Recovery. Dependendo do modelo, há 3 alternativas em cloud. O cliente deve escolher aquela que mais se enquadra a sua realidade.
– Adoção de um framework. Na verdade, a combinação entre ISO 27001, NIST, CSA e ITIL será fundamental para uma governança efetiva. Cyber risk deve constantemente realizar avaliações no ambiente pelo qual ele é responsável e obter relatórios fornecidos pelo provedor com certificações CSA, ISO 27001 ou SOC 2 Type II. Elas darão percepção de maturidade em controles, segurança física no datacenter e virtualização, no qual é responsabilidade do CSP.
Enfim, vimos acima um conjunto de controles aplicáveis para proteção dos dados em nuvem. Mas, a meu ver, a busca da automatização de processos irá contribuir muito em segurança e redução de custo. Programar o desligamento de um WAF que protege o ambiente de desenvolvimento durante a madrugada, quando o funcionário não usa o ambiente, pode ser uma grande economia para a organização.
Lembre-se: a organização pagará somente o uso, incluindo serverless como Lambda, capazes de atender um aumento de pico em horários específicos em um e-commerce. Usando carrinho de compra, a conta final pode ser bem interessante em termos de redução de custo.
A cloud pode proporcionar muitos benefícios, desde que a segurança seja tratada com responsabilidade pela alta administração. A governança de cyber risk será fundamental para obter uma visibilidade eficaz em nuvem e on-premises integrado. Uma cloud híbrida ou combinação de multicloud pode reduzir custos caso a organização exija um nível de proteção elevado devido uma regulamentação, e algumas aplicações específicas não precisem do mesmo nível de cuidado.
Entretanto, é crucial agir com diligência, estabelecendo cada fase de implantação da aplicação com os devidos controles, seguindo a receita das melhores práticas e consultando especialistas, fóruns etc., pois tudo irá caminhar em direção ao cenário prometido. Prepare-se para uma nova forma de observar o tratamento de riscos.
Em suma, a boa e básica gestão de risco será a chave para o sucesso do negócio. Como diz um provérbio, “Os ensinamentos das pessoas sábias são uma fonte de vida, eles ajudam a evitar as armadilhas da morte”.
*Rangel Rodrigues (csocyber) é advisor em Segurança da Informação, CISSP, CCSK, Certified in Cybersecurity, e pós-graduado em Redes de Internet e Segurança da Informação pela FIAP e IBTA. Tem MBA em Gestão de TI pela FIA-USP e é professor de cibersegurança na FIA. Atualmente, é BISO para a uma empresa financeira nos Estados Unidos.
