As grandes dificuldades da proteção de nuvem ainda giram em torno do básico bem-feito. Foi essa a concordância que tiveram membros da comunidade de SI, durante painel de debates organizado pelo Security Leaders e realizado hoje (12) sobre o tema. O evento foi conduzido pela TVSecurity e contou com o apoio da Actar e da Wiz, e sua proposta era tratar dos desafios em criar uma estratégia mais eficiente para Cloud Security.
O cenário de frenesi em torno da tecnologia nos últimos anos é um dos impeditivos das demandas essenciais de segurança. Em pouco tempo, quase todas as empresas possuíam recursos já transferidos aos armazéns digitais ou tinham projetos nesse sentido. Mas a maior complexidade e os novos riscos aos dados incentivaram organizações a retornarem ao on premise ou adotarem formatos híbridos.
Marcelo Assumpção, Cyber Security Senior Manager na Elera Renováveis, lembra, inclusive, que os maiores vazamentos em cloud foram ocasionados por configurações equivocadas ou desentendimentos sobre de quem teria a responsabilidade de Segurança. Ambos os problemas são resultados de migrações mal planejadas.
“Agora, boa parte dos sistemas está migrando de um lado ao outro. Então o momento é saber como reduzir a complexidade de todo o sistema e mantê-lo conectado. Por isso, falar do básico é tornar processos mais eficientes e funcionais, e não propriamente melhores. São conceitos cruciais como conhecer seus ativos, manter visibilidade sobre eles, proteger perímetros, entre outros. Essas ideias estavam presentes no meio físico e precisam ser incluídas nesse mundo novo”, afirmou Assumpção, durante participação no debate.
Esses fundamentos serão aplicados corretamente após a empresa estabelecer os objetivos da migração para a nuvem, de forma clara e detalhada. De acordo com Cássio Menezes, CISO na United Health Group, também é parte do básico bem-feito discutir ativamente com os fornecedores as condições de proteção do usuário, de forma a ficar ciente de todos os processos necessários.
Menezes aponta que aplicar demandas básicas no processo de movimento depende da sobriedade da companhia em entender por que esse movimento é necessário. Isso permite reconhecer as carências da própria nuvem, entender as melhores formas de aplicá-las e evitar arrependimentos futuros.
“Essas demandas precisam ser tratadas antes de se fechar qualquer contrato de cloud, envolvendo ainda jurídico, compliance, entre outros setores-chave. Isso é útil para entendermos que muitas das proteções usadas no on premise ainda serão importantes em cloud, mas precisarão ser readaptadas àquele contexto”, explica o executivo.
O potencial de complexidade também é outro grande desafio no momento de elaborar a segurança dos sistemas em nuvem. Embora a aquisição rápida dessas soluções gere uma falsa sensação de facilidade, empresas com muitos ativos legados têm dificuldade de executar a migração com a mesma eficiência, pois a implementação das estruturas de cloud se torna mais extensa e exige longos processos de reengenharia dos ativos mais antigos.
“Como as soluções de nuvem oferecem diversos recursos diferentes, entender cada um deles e saber como aplicá-los gera outros problemas de implementação. Todavia, essa necessidade básica é crítica para evitar crises geradas por configurações malfeitas. Essas descobertas são muito trabalhosas, mas muito necessárias”, apontou Vinícius Santos, Cyber Advisor na Actar.
O Arquiteto de Soluções, Leste dos EUA e LATAM na Wiz, Daniel Lemos, ainda ressaltou a complexidade gerada pelas próprias ferramentas de Segurança. Lembrando pesquisa do Gartner sobre a grande fragmentação dessas soluções, o executivo reforçou ser necessário descobrir como reunir todos os vários alertas de risco e correlacioná-los, de forma a priorizar as mais críticas.
“A ideia é o negócio oferecer um contexto para cada um dos riscos, pois assim é possível otimizar um processo mais rápido de resposta e controle. É importante compreender da melhor forma possível tudo aquilo que é visível dentro da infraestrutura quando olharmos essas vulnerabilidades”, disse Daniel Lemos.
CISO estratégico também é básico
Os C-Levels também avaliaram problemas envolvendo o próprio setor de Cibersegurança, pois estratégias de Cloud Security são cada vez mais difíceis de serem solidamente incorporadas nas companhias. Na visão de Cássio Menezes, isso se deve à alta rotatividade de um setor carente em mão de obra e às dificuldades de comunicação entre o board e os CISOs. Esses dois pontos geram falta de continuidade no planejamento em Cyber.
Devido a isso, a recomendação para a comunidade Security Leaders é desenvolver planejamentos mais empresariais, capazes de serem aplicados por qualquer profissional da área. Marcelo Assumpção, da Elera, alerta que nem sempre as melhores soluções funcionarão em conjunto, portanto manter uma visão de segurança “fim-a-fim” trará resultados melhores no futuro.
“Em nuvem, é essencial usar o padrão para descomplicar os processos. É isso que ela oferece de melhor: viabiliza funcionamento dos workflows, sem necessitar de reengenharia total dos ativos, permitindo o trabalho modular. Mas devemos voltar à prancheta de desenhos e refletir a respeito”, disse o executivo.
“Isso inclusive pode ser resolvido com os processos documentados” complementou Vinícius Santos, da Actar. “Ainda que se tenha uma correção ou outra no planejamento, a troca de pessoas não gerará tanto impacto, evitando a perda do conhecimento junto com o funcionário. A estratégia deve ser corporativa, e não pessoal”.
Daniel Lemos ainda reforçou o papel dos parceiros nessa resposta, preservando frameworks de educação em nuvem. “É também nossa função ajudar a criar consciência de Cyber nos clientes, para que eles assegurem proteções desde o início dos projetos, democratizando a Segurança e desenvolvendo melhores práticas”, arremata ele.
A discussão está disponível na íntegra no canal da TVSecurity no Youtube no link abaixo:
