Mesmo sabendo que os recursos baseados em cloud computing estejam trazendo diversos benefícios operacionais e estratégicos para os negócios, as empresas sentem dificuldade para gerenciar a Segurança nesses ambientes. Uma pesquisa divulgada pelo Ponemon Institute aponta que as organizações não estão adotando medidas de governança e nem estão em conformidade com as regulações de privacidade e proteção de dados em nuvem.
O levantamento aponta que 65% dos entrevistados afirmaram que suas companhias estão comprometidas em proteger informações confidenciais e sensíveis em cloud. E 56% não concordam que suas empresas sejam cuidadosas com o compartilhamento de informações sensíveis na nuvem com terceiros como parceiros comerciais, contratantes e vendedores.
De fato, as companhias estão aprendendo a manter o controle dos dados e da conformidade em ambientes virtuais, pois a segurança em nuvem segue como um dos principais desafios nos dias atuais. Na visão de Bruno Zani, System Engineering Manager da Intel Security, se apontarmos esse gargalo para os fabricantes de soluções de segurança, o principal desafio da proteção em nuvem é dar visibilidade do movimento das aplicações neste ambiente.
“No Brasil, ainda vejo uma resistência maior nos setores de Finanças e Governo quando falamos em cloud computing, principalmente se for nuvem pública. Entretanto, já enxergo um movimento maior na cloud privada, pois o custo é baixo, flexibilidade e agilidade são benefícios tangíveis para esses negócios”, pontua Zani durante painel de debates realizado na semana passada, em São Paulo, e promovido pela TVDecision.
Para o especialista, a computação na nuvem ainda tem muito espaço para avançar dentro das organizações e a Segurança da Informação vai acompanhar esse movimento. É uma quebra de paradigmas que transforma todo o mercado, inclusive, gerando dúvidas de suas aplicações. “Modelos como PaaS e IaaS podem ser implementados em Segurança. Ainda existe o cenário de SaaS que é mais pontual, mas também pode ser aplicado em nuvem. Tudo depende da necessidade do cliente, de como ele se comporta na nuvem e o que faz sentido para o negócio”, explica Zani.
Aplicabilidade ativada
Para Helton Moreno, gerente de Infraestrutura de TI da Assurant Seguradora, a computação na nuvem não é o fim, é o meio, pois a sociedade já está digitalizada e as organizações precisam acompanhar esse ritmo. “As startups, por exemplo, são pioneiras na era digital e já estão em nuvem, inclusive com a Segurança. As organizações precisam entender isso e direcionar as políticas de proteção corporativa para um ambiente conectado, entendendo quem é o usuário, como ele se comporta na rede e ter inteligência na tomada de decisão”, diz o executivo durante o painel de debates.
“Ao implementarmos uma solução de Segurança em cloud, o principal desafio é escrever detalhadamente o contrato, com garantias de relatórios com indicadores de desempenho. Esse processo é difícil, mas se estamos contando com os parceiros na gestão da Segurança, precisamos dessas garantias”, aponta Larissa Escobar, Cyber Security Leader da AES Brasil. Segundo ela, os profissionais precisam colocar as métricas de políticas de segurança corporativa para que elas cheguem até a nuvem.
Na rede de universidades Laureart, algumas aplicações de segurança em nuvem são realidade. O Security Officer da instituição, Henrique Lucena, afirma que esse movimento está sendo bem conduzido não só no Brasil, mas em outros países em que a Laureart atua. “Migramos para a nuvem por meio da integração com o Office 365 com garantia total da segurança. No Brasil, somos pioneiros em proteção corporativa, pois existem muitas fraudes nas provas online dos cursos à distância e a tecnologia tem nos ajudado em diversos aspectos”, acrescenta.
Outro exemplo de aplicabilidade de segurança na nuvem é a Roland DG Brasil. De acordo com o gerente de TI, Rogério Ramalhoso, a empresa está experimentando algumas aplicações em cloud, como a segurança de endpoint em nuvem. “O importante é avaliar e homologar essa migração, identificando vulnerabilidades e estando próximos aos parceiros de TI. Essa fase de experimentação é fundamental para o sucesso do cloud nas empresas”, completa o gerente.
Passos seguros
O estudo do Ponemon Institute sugere que as recomendações para segurança de dados na nuvem precisam contemplar medidas de segurança como criptografia, em que a proteção acontece de forma centralizada, e mais ênfase aos controles de acesso do usuário, com autenticação multifatorial. “As soluções estão indo para a nuvem. Hoje, quase todas as tecnologias on primese já estão nos ambientes em cloud, até porque a nuvem tem uma característica única para o gestor de SI que é o no friction, o atrito zero”, explica Bruno Zani, da Intel Security.
Para ele, tudo que migrar para nuvem a Segurança, compliance e políticas internas têm que acompanhar. “Essas aplicações devem ser monitoradas a partir do que a empresa estabeleceu no contrato junto ao parceiro. A nuvem muda o mundo em um modelo conflitante de negócio, de fato, é difícil acompanhar tantas mudanças. Mas temos muito caminho para percorrer e vamos ver muita coisa diferente acontecendo nesse ambiente”, conclui Zani.
A primeira matéria sobre o painel “Segurança integrada: um novo conceito para um novo campo de batalha” pode ser lida aqui.