A tecnologia de nuvem está se tornando uma peça essencial para muitas empresas devido aos múltiplos benefícios que ela traz e, ainda, em razão da crescente adoção de serviços oferecidos via nuvem em tempos de home office e atividades remotas. No entanto, também existem muitos riscos e desafios associados a esses novos ambientes de trabalho, à medida que mais violações de segurança ocorrem na nuvem. Por esse motivo, a Check Point aponta as seis principais etapas de um programa de garantia de conformidade nesse ambiente que permite lidar com riscos cibernéticos associados à nuvem.
“Atualmente, os ciberataques estão se tornando mais rápidos e sofisticados, por isso, a automação é obrigatória na identificação, resposta e correção de ameaças. Na nuvem é ainda mais crítico, dado a sua natureza mutável”, diz Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Brasil. “Possuir um programa de Postura e Compliance é essencial para aumentar a segurança, ficar aderente às normas e/ou melhores práticas necessárias para seu negócio, avaliar os riscos e as medidas de correções, ou seja, um diferencial na garantia de segurança de sua infraestrutura em nuvem e, consequentemente, de seus clientes”, acrescenta Falchi.
Embora a conformidade e postura de segurança em nuvem, sozinha, não seja uma garantia de proteção nesses ambientes, trata-se de um apoio para manter o foco na estratégia de cibersegurança. Os especialistas da Check Point apontam as principais etapas para implementar com êxito qualquer programa de conformidade e postura em nuvem:
1. Obtenha visibilidade dos ativos: somente o que é conhecido e mantido pode ser protegido. Com a nuvem, os recursos digitalizados são seus ativos, portanto, é essencial que todos os sistemas sejam adequadamente organizados e adaptados para a evolução futura. Para muitas empresas, o monitoramento e o controle de seus produtos também são uma maneira de obter mais rentabilidade. Dessa forma, a automação das operações na nuvem permite o inventário e a configuração dos diferentes elementos dos produtos.
2. Escolha do sistema de conformidade apropriado: Os programas de conformidade devem ser escolhidos com base nas diferentes necessidades do mercado e da indústria. No caso de empresas para as quais não existem padrões regulatórios específicos, as necessidades de sua base de clientes podem servir como um guia para a escolha, pois podem procurar fornecedores que atendam aos padrões adequados ao seu próprio setor. A escolha de padrões comuns, como CIS ou NIST, é um excelente ponto de partida.
3. Avaliação inicial, exceções e personalização: Ao analisar qualquer programa de conformidade, vale a pena examinar como outros aplicaram determinadas soluções para atender a seus requisitos. Por exemplo, as estruturas PCI mostram a necessidade de componentes específicos do sistema de dados do titular do cartão (em vez de toda a rede ou sistema interconectado) para receber o mais alto grau de proteção. Isso resulta na segmentação e isolamento de partes do sistema para isolar os controles de conformidade apenas para sistemas e dados em um determinado escopo. A adaptação de um sistema para atender aos requisitos de conformidade pode levar a economias e maior eficiência.
4. Monitoramento, frequência de avaliações contínuas, integração com o fluxo de trabalho: a maioria dos programas de conformidade possui controles que devem estar sempre operacionais, por isso é necessário monitorá-los continuamente. Para facilitar o atendimento desses requisitos, muitas empresas usam ferramentas que automatizam o fluxo de trabalho e garantem a eficiência de seus sistemas. Isso pode ser tão simples quanto automatizar funções de segurança, por exemplo, adicionar ou remover usuários ou ações mais complexas, como combinar o processamento de pedidos com confirmações de vários sistemas para garantir precisão, privacidade e confidencialidade.
5. Reparo automatizado: os sistemas que operam na nuvem são mais complexos que os modelos tradicionais. Controles de alta complexidade, como sistemas de alto volume e detecção de vulnerabilidades, são executados automaticamente para aumentar a eficiência. No entanto, é importante ter cuidado com a automação das atividades de acompanhamento, especialmente no caso de falsos positivos, pois isso pode levar a falhas de segurança em larga escala.
6. Relatórios e auditorias: A implementação da tecnologia em nuvem deve ser acompanhada por um sistema ou ferramenta que permita acompanhar tudo o que acontece e, portanto, gerar relatórios periódicos que ajudem a avaliar o desempenho de todos os elementos regulamentados. Eles fazem parte da estratégia de cibersegurança na nuvem. Dessa maneira, pontos fracos podem ser analisados e medidas corretivas funcionam.