As redes evoluíram. A maior parte do tráfego de usuários vai para aplicativos corporativos no Amazon Web Services (AWS) e no Microsoft Azure; Aplicativos SaaS, como o Office 365; e-mail em nuvem; e a web. Como é possível controlar a segurança em cada uma dessas áreas? Uma das soluções é trabalhar com vários fornecedores de segurança. Mas terceirizar, implementar e gerenciar um ambiente complexo, com poucos recursos humanos é praticamente impossível, custoso e, diante de integrações deficientes, não é totalmente efetivo. Isso abre portas para os criminosos digitais. Por isso, diante de um cenário regulatório mais exigente sob o aspecto da proteção de dados, com a GDPR em vigor e a LGPD, no Brasil, a maioria das organizações optou em migrar para a nuvem. No entanto, essa migração foi feita no passado com a simples transferência de um ambiente legado que não é compatível com a nuvem.
Diante disso, o Brasil lidera no quesito incidentes de segurança por conta da imaturidade das práticas adotadas pelas companhias. Segundo pesquisa da Symantec, 78% dos entrevistados afirmaram já ter sofrido algum tipo de ataque por este motivo, a média global é de 73%. A falta de visibilidade nos workloads na nuvem é a causa principal, 90% dos entrevistados relatou problemas em monitorar todos os workloads na nuvem. Mais da metade (55%) de todo o workload computado das empresas brasileiras migrou para nuvem, porém, as práticas de segurança estão com dificuldades para acompanhar esse movimento. Mais da metade (54%) das empresas indicaram que a maturidade da segurança da nuvem de suas organizações não é capaz de acompanhar a rápida expansão dos aplicativos na nuvem.
Para entender melhor esse cenário, A Security Report entrevistou Manoj Sharma, diretor Cloud Services da Symantec, que aponta como tendência a consolidação da automação e o desenvolvimento de aplicações de segurança voltadas para a nuvem.
Security Report: Como você avalia o mercado de segurança na nuvem?
Manoj Sharma: Recentemente, a pesquisa Cloud Security Threat Report (CSTR) revelou que 65% das empresas brasileiras acreditam que seus dados já estejam à venda na Dark Web e temem um risco maior de vazamentos de dados devido à mudança para a nuvem. A Symantec oferece serviços em diferentes níveis, inclusive em cloud publica, privada ou email e atua em todos os controles que as empresas precisam estão na plataforma. Cada vez mais, as aplicações estão migrando para cloud, exceto sistemas críticos, como compliance. No entanto, acredito que isso é uma questão de tempo porque os clientes desejam eliminar os data centers privados por meio de serviços como SaaS ou IaaS. Portanto, eles buscam segurança na nuvem e para a nuvem.
Security Report: No Brasil essa tendência também deve ser consolidada, uma vez que atualmente muitas empresas atuam no modelo híbrido?
Manoj Sharma: As Américas são os líderes em migração para a cloud. E no Brasil não é diferente. Vimos muitos dos nossos clientes brasileiros migrarem para a nuvem nos últimos anos, mas sem maturidade para garantir a segurança.
Security Report: Em quanto tempo as empresas devem migrar totalmente para a nuvem?
Manoj Sharma: Com machine learning e IA, a migração para cloud pode ser mais acelerada. A Symantec hoje tem a maior rede de inteligência do mundo, em um programa aberto. Obviamente, as empresas do setor financeiro devem migrar totalmente para a nuvem, puxando os outros setores de diversos ecossistemas, uma vez que todos fazem transações financeiras. Por isso, acredito que o full cloud aconteça nos próximos dois anos. Para se ter uma ideia, hoje a Symantec conta com 90% de seus sistemas na nuvem e os outros 10%, on primise.
Security Report: A automação de segurança contribuirá para a migração na nuvem?
Manoj Sharma: Sim. A automação é essencial porque permite identificar os ataques maliciosos por meio de ações usando Inteligência Artificial e machine learning. É impossível pensar em segurança feita apenas com pessoas, até porque falta mão de obra nesse setor. A Symantec conta com um framework de Zero Trust e todos os nossos produtos contam com APIs integrados com outros fabricantes, permitindo automatizar e controlar também o ambiente de terceiros.
Security Report: Na Black Hat, muitos vendors apresentaram soluções de segurança para controlar o ambiente de terceiros. Essa tendência deve se consolidar com a GDPR e LGPD?
Manoj Sharma: Sim. A Symantec desenvolveu um programa denominado TIPP Symantec, com o objetivo de formar parcerias, inicialmente com 1000 empresas, das quais 180 foram escolhidas, para atuar com uma plataforma aberta, bidirecional para atender os requerimentos de segurança mais elevados. Assim, todos os produtos se integram com todos os vendors e com ferramentas de orquestração SOAR (Security Orchestration, Automation and Response). Assim, atuamos sob um conceito de segurança holística, destacando, proteção de endpoints, DLPs, proxi, email, ou seja, pelo menos quatro pontos de controle.
Security Report: Como você avalia a maturidade das empresas sobre a LGPD diante do movimento migratório para cloud?
Manoj Sharma: A ideia que os clientes no Brasil vão dar mais atenção ao cumprimento das exigências da lei, uma vez que muitas empresas já passaram pela experiência da GDPR. Acredito que o essencial seja ter a visibilidade e informação pessoal identificável, uma vez que a organização deve proteger os dados pessoais, onde está a informação e quem teve acesso aos dados. Porém, hoje muitas empresas migraram para a nuvem sem ter feito essa lição de casa. Por isso, é fundamental colocar controles na cloud, lembrando que o provedor não é responsável pela informação da empresa na nuvem, usando inteligência para que a segurança começa a trabalhar de modo integrado para operacionalizar o ambiente. Portanto, as palavras de ordem são integração, visibilidade e controle.
Security Report: Os CISOs têm apostado no Security by Design como forma de desenvolver produtos e serviços para as empresas, já com a segurança aplicada desde o início. Como isso se aplica na nuvem?
Manoj Sharma: O cliente quer migrar para nuvem, mas não basta simplesmente jogar o seu ambiente em cloud. O ideal é desenvolver a aplicação para a nuvem. A realidade é que a maioria das empresas que transferiram o seu workload para a nuvem não tem o controle de segurança adequado. Vimos uma tendência de embarcar a segurança na nuvem, no momento do desenvolvimento da aplicação, o SecDevops. A segurança tem que ser parte do desenvolvimento de aplicação na nuvem. A Symantec conta com uma solução criada para a nuvem e na nuvem, chamada CWP (Cloud Workload Portection), com ciclos de desenvolvimentos mais ágeis e permite uma camada além de segurança adequada, inclusive, para multicloud, permitindo a integração com outros provedores de cloud.
Este e outros temas serão abordados no Security Leaders 2019. Se você quer acompanhar as principais tendências do mercado de segurança, faça já a sua inscrição aqui.