Para muitas organizações, a migração para a nuvem teve que acontecer rapidamente e em grande escala para garantir a continuidade dos negócios em meio à pandemia global. Hoje, o maior desafio é entender um comportamento suspeito, principalmente no ambiente cloud. Diante de uma disrupção mundial, a chave para a sobrevivência de muitas empresas foi uma mudança acelerada para a nuvem e, por fim, a inclusão de produtos de segurança em seus data centers.
Entretanto, hoje temos um cenário cada vez mais vulnerável, os vazamentos de dados não estão mais ficando debaixo do tapete. Isso, com certeza, está transformando a maneira de se relacionar com a cloud. Para ter uma noção do impacto, basta avaliar os números. Uma pesquisa da consultoria IDC aponta que 87% das empresas no mundo já estão adotando multicloud ou possuem um ambiente híbrido, com aplicações em cloud privada e pública. Isso significa que a grande maioria das empresas possuem ambientes bastante heterogêneos para suportar a demanda dos negócios.
Essa diversidade acabou trazendo maior complexidade do ponto de vista de gestão e de segurança. De fato, os desafios de segurança aumentaram exponencialmente nos ambientes multiclouds, principalmente agora, no período da Pandemia, em que os usuários estão descentralizados e os ataques estão cada vez mais sofisticados. Sendo assim, muitas abordagens tradicionais de segurança que antes funcionavam razoavelmente bem tendem a ficar obsoletas.
Segurança 360
Até hoje, quando se pensava em proteção, tradicionalmente se criava a infraestrutura para uso geral e era solicitado ao time de segurança que a protegesse e também as aplicações, o que implicava na inserção de muitos produtos, trazendo, com isso, maior complexidade. Segundo pesquisas, cada cliente possui, atualmente, cerca de 74% de produtos de Segurança diferentes para garantir um nível de proteção. Hoje, quando olhamos para esse ambiente temos que pensar menos em produto e mais em estratégia.
O modelo de segurança baseado em muitos produtos não atende mais. É necessário buscar um controle mais agnóstico, que tenha um ponto de centralização e uma interface única, defende o executivo. As empresas precisam implementar mais automação e controle, independentemente de onde a infraestrutura esteja seja consumida.
É importante notar que esse cenário não surgiu por acaso, a evolução para a computação em nuvem não foi um processo tranquilo na maioria das empresas e o Shadow IT está aí para apontar isso. Nessa análise de cenário, não podemos deixar de lado também o processo de desenvolvimento que se tornou muito acelerado, de uns tempos para cá, e disparou na Pandemia. Hoje, esse modelo desafia a Segurança, e é quando entra em cena os “ops”. Mas o desenvolvedor não tem que estar preocupado com segurança, ele tem mesmo que desenvolver rápido, isso é um trabalho para o DevSecOps.
O time de operações precisa ser o mais automatizado possível, uma fábrica de segurança, que consiga proteger de forma intrínseca e ampla, ter uma política de segurança integrada e baseada em software, independentemente de onde a aplicação esteja. Nessa hora, a experiência do usuário não pode ser esquecida, ao contrário, é preciso proteger as aplicações na ponta sem que isso comprometa a usabilidade.
Usabilidade
Não adianta pensar que o usuário é um cara chato, porque todos buscam agilidade, flexibilidade e tempo de resposta. Por exemplo, se o aplicativo de um banco demora muito para carregar, qualquer cliente hoje fica incomodado e pode até trocar de instituição.
No fundo, estamos vivendo uma mudança cultural. É preciso abandonar o que se fazia há muito tempo, desde os aspectos de segurança do endpoint, passando pela segurança da infraestrutura e chegando na aplicação. O caminho é olhar esse processo de uma forma diferente. Se o inimigo está bem preparado, como estão os cibercriminosos, é necessário ficar mais bem equipado ainda.
Por último, não podemos deixar de falar sobre a carência de profissionais especializados em cloud, é preciso promover dentro dos times de segurança modelos de colaboração, de troca de informação e transferência de conhecimento, o mundo do futuro é multicompetência. A automação vem para ajudar, definir processos e liberar os recursos humanos de ações repetitivas, mas é preciso avaliar quais desses processos são passíveis de automação para que não criemos mais insegurança.
