* Marcos Oliveira
O que os CIOs de um grande banco, de uma siderúrgica e de uma administradora de cartões no Brasil têm em comum nesse novo mundo onde os perímetros tradicionais de segurança se dissolveram? Todos descobriram ter centenas de aplicativos na nuvem não sancionados sendo utilizados pelos colaboradores da empresa. Mais do que isso, eles descobriram que informações sigilosas estavam sendo compartilhadas com outros funcionários ou publicamente por meio desses aplicativos. Isso pode parecer um problema típico do ambiente de cloud, mas também está ligado ao comportamento de uma nova geração de usuários corporativos. Se esse usuário quer fazer algo para melhorar sua produtividade e gerar resultados, ele vai fazer. Se precisar baixar um aplicativo por meio de seu smartphone, ele vai baixá-lo e utilizar no ambiente de trabalho.
Com isso, os CIOs de hoje enfrentam um paradoxo.
Por um lado, sabem que o negócio demanda determinadas aplicações e serviços em nuvem. De outro, essas mesmas aplicações podem representar uma variedade de riscos de segurança. Se a área de TI negar o acesso a estas aplicações, pode ser vista como aquela que coloca barreiras à produtividade. Mas se permitir que os aplicativos em nuvem sejam usados indiscriminadamente, sem qualquer controle, a empresa pode sofrer violações que poderiam custar aos CIOs seus empregos.
A resolução, ao que tudo indica, parece outro paradoxo: dar liberdade de escolha aos usuários sem perder o controle e a visibilidade.
Mas como fazer isso? O caminho apontado pelo Gartner chama-se Cloud Access Security Broker (CASB), que foi definido como uma arquitetura ou um conjunto de soluções capazes de cobrir uma ampla gama de cenários, incluindo aplicativos autorizados e não autorizados, dispositivos móveis e/ou desktops gerenciados e não gerenciados, etc. Com base nesse conceito, existem medidas que os gestores de TI podem e devem tomar e que lhes permitirão deixar os usuários livres, mas sem perder o controle da situação, mitigando assim alguns dos principais riscos da Shadow IT. É sobre isso que vamos tratar a seguir.
Segurança tem que começar com algum nível de visibilidade
Existem, essencialmente, dois tipos de empresas: as que usam abertamente nuvem e aquelas que usam, mas não sabem que estão usando. No caso do segundo tipo, uma vez que um assessment é conduzido, torna-se claro que há considerável atividade fora do controle do departamento de TI – a isso chamamos Shadow IT. A área de TI pode bloquear aplicações como o Dropbox, mas isso não vai deter o funcionário que está disposto a ter um aplicativo desse tipo. Ele vai acabar encontrando alternativas, como o Bitcasa.
Assim, a descoberta é o primeiro passo para retomar o controle da situação; e pode-se começar, simplesmente, observando os dados de log do firewall para ver quais serviços de nuvem estão sendo acessados. Por outro lado, entender como esses serviços estão sendo usados e por quem já é outra coisa e requer um trabalho mais avançado, mas é totalmente possível.
É fundamental entender como a informação transita pela empresa
Um exemplo de um controle mais granular seria entender o que está acontecendo dentro do aplicativo para além do simples fato de que ele está sendo acessado. O que é realmente necessário para a segurança são os detalhes da transação. Por exemplo, a solução CASB precisa dizer que o usuário ‘José’ foi para o Dropbox ou Google Drive e compartilhou o arquivo chamado ‘Confidential.docx’, que continha informações sigilosas com um usuário externo chamado ‘Alice’ de um determinado endereço IP.
Com esse nível mais profundo de visibilidade pode-se, então, tomar medidas de prevenção, como a criação específica de políticas em torno de uso de aplicativos, ou implementar uma solução que detecta o comportamento anômalo do usuário.
Analise e avalie
Uma vez que a empresa tenha descoberto o que, de fato, está em uso na nuvem e como está sendo usada, precisa avaliar as implicações de segurança desses serviços e aplicativos, especialmente a partir da perspectiva de governança, risco e compliance. Em média, há mais de 2.000 arquivos armazenados por usuário em um aplicativo de compartilhamento baseado em nuvem, como o Box ou Google Drive. Destes, cerca de 185 arquivos são “amplamente compartilhados”, ou seja, arquivos que são ou compartilhadas publicamente ou compartilhadas externamente, e podem ser acessados por alguém de fora da organização.
O que é alarmante é que 20% dos arquivos amplamente compartilhados contêm algum tipo de dados relacionados à conformidade. Essa é uma perspectiva assustadora, pois este conteúdo poderia incluir informações pessoais (PII – Personally Identifiable Information), informações financeiras (PCI – Payment Card Information), como número do cartão de crédito; ou informações de saúde (PHI – Protected Health Information). Para resolver isso, a TI deve ser capaz de criar políticas sobre como, quando e onde os usuários podem acessar aplicativos e a partir de quais dispositivos. Isto é controle.
Olhando para os dispositivos móveis
Após garantir uma melhor gestão e visibilidade em relação a segurança de seus aplicativos — seja Shadow ou não — a TI deve, finalmente, olhar para os dispositivos utilizados pelos funcionários. BYOD — Bring Your Own Device — não tem de ser inseguro. O que precisa ser estabelecido é o gerenciamento desses dispositivos móveis. Pelo menos, um código de acesso/senha deve ser definido no dispositivo. Para se ter uma ideia de algumas vulnerabilidades básicas, muitos funcionários se conectam às suas contas corporativas usando dispositivos móveis pessoais que não têm sequer uma simples senha para evitar o acesso no caso de perda ou roubo.
Os mais avançados serviços de identidade em nuvem permitem à TI conceder acesso apenas a dispositivos gerenciados e, mesmo assim, apenas em redes específicas.
Resumindo, não importa qual seja o estágio da adoção da nuvem pelas empresas, o que todas precisam hoje e vão requisitar cada vez mais são soluções capazes de lhes dar total visibilidade e controle do uso da nuvem. Acreditamos que um programa de proteção e privacidade de dados bem planejado trará todas as funcionalidades do CASB (descoberta, controle, reforço, detecção, análise) e ajudará as empresas em relação ao cumprimento das leis e regras de compliance, na residência dos dados e na ampliação e aplicação de políticas internas e mais eficazes de segurança.
* Marcos Oliveira é country manager da Blue Coat Brasil
