Em quais áreas de cloud security as empresas deveriam focar?

Analistas do Gartner reforçam que é essencial ter uma estratégia bem definida, assim como políticas para o seu uso; organizações devem mirar em três frentes principais: multilocação, virtualização e software como serviço

Compartilhar:

O Gartner alerta as empresas para a segurança de aplicações armazenadas em ambientes Cloud. Enquanto muitos profissionais de tecnologia ainda estão desenhando suas estratégias de nuvem, hesitando em adotar ou definindo seus fornecedores, os funcionários das organizações já estão amplamente utilizando centenas de aplicações, em especial Software como Serviço (do inglês, Software as a Service – SaaS).

Segundo o Gartner, a computação em nuvem cria muitos desafios para todas as empresas. Geralmente, nenhuma política corporativa de Cloud ou projeto de segurança é abrangente o suficiente. Do ponto de vista da Segurança e da Gestão de Riscos, a ambiguidade é especialmente difícil de lidar. Um dos principais dilemas com relação à introdução de políticas de cloud computing é que ninguém consegue realmente definir o que ela é. “Enquanto os CISOs veem a nuvem como um estilo de computação, outras partes da empresa enxergam apenas como ‘coisas acessadas pela Internet’”, afirma Jay Heiser, Vice-Presidente de Pesquisa do Gartner.

Independentemente de como os grupos a definem, os analistas da instituição indicam que é essencial ter uma estratégia bem definida, assim como políticas para o seu uso. As empresas devem focar em três áreas principais de
segurança na Nuvem: multilocação, virtualização e software como serviço.

A multilocação proporciona flexibilidade limitada nos serviços para empresas que dividem espaço com outros clientes. Com os dados fora do controle físico da companhia, a segurança acaba se tornando um problema. De fato, 38% das organizações que não planejam utilizar a Nuvem Pública apontaram a segurança e a privacidade como os principais motivos de risco. No entanto, as empresas podem estar usando a segurança e a privacidade como “desculpa”, tanto pelo medo de abdicar do controle sobre os dados quanto pela grande mudança no status quo do modo como estão acostumadas a trabalhar. “Não há correlação entre falha de segurança e o grau de multilocação. Às vezes, tornar-se híbrida pode ser a melhor forma para que algumas empresas ganhem confiança no modelo de Nuvem Pública”, explica Heiser.

A virtualização requer uma gestão de vulnerabilidade e processos de comparação distintos para o ambiente de nuvem. As empresas podem usar ferramentas diferentes para gerenciar máquinas virtuais, uma vez que sua natureza complexa, dinâmica e distribuída não permite a indicação física de segurança como as “luzes piscantes” dos modelos tradicionais.

Os aplicativos de SaaS (Software como Serviço) oferecem um nível cada vez maior de segurança, com inúmeras funcionalidades de controle. No entanto, as aplicações de SaaS estão, no geral, sob o comando dos usuários finais, oferecendo uma transparência mínima e sem possibilidades de personalização para as demandas das empresas. Para aumentar a complexidade, muitas empresas chegam a ter mil aplicativos SaaS em uso.

Priorize suas escolhas de SaaS
Os profissionais de segurança (CISOs) precisam definir suas prioridades e definir o tempo e os melhores recursos para lidar com o contexto de risco no uso de SaaS. Dessa forma, é necessário dividir os aplicativos de SaaS (Software como Serviço) em três níveis:

Nível 1: Realisticamente, cerca de 80% do mercado está centrado em cem serviços de cloud. Os principais fornecedores têm opções comprovadas, mas as organizações precisam se debruçar sobre o tema e verificar se realmente elas estão fora de risco para usar as soluções de forma segura.

Nível 2: Estas empresas, tipicamente grandes marcas que estão experimentando Cloud Services, não tinham oferecido antes como ofertas principais por mais de cinco anos. Geralmente com uma estratégia vertical de oferta de aplicativos, eles bloquearam avaialçies de terceiros. É neles que os CISOs devem focar suas avaliações e seus recursos.

Nível 3: Os milhares de aplicativos de computação em Nuvem classificados como nível 3 são praticamente irrelevantes, segundo Heiser. Não se pode assumir que um pequeno provedor de serviço em cloud (CSP) seja seguro ou financeiramente estável. Apesar de ser um risco aceitável, estes aplicativos devem ser utilizados com cuidado.

Conteúdos Relacionados

Security Report | Destaques

Brasil lidera ranking de ciberataques ao setor financeiro na América Latina

Durante as apresentações ocorridas no AWS re:Inforce 2025, a Duke University apresentou dados sobre o atual cenário de ameaças no...
Security Report | Destaques

SI para a IA, IA para a SI: como equilibrar os dois lados dessa inovação?

Durante o Check Point Engage Brasil 2025, companhia apresenta estratégia baseada em malha híbrida e alerta para o uso não...
Security Report | Destaques

“Uma fundação Segura é essencial para habilitar a inovação”, diz CISO da AWS

A AWS abriu suas atividades no re:Inforce 2025 com o keynote de abertura da Líder de Cyber da Companhia, Amy...
Security Report | Destaques

Quais os desafios de pequenas e médias empresas no segundo semestre de 2025?

Entre um cenário de ameaças fortalecido por IA e malwares tradicionais, aumento da complexidade e demandas por compliance, a Segurança...