Não há como negar a importância da Nuvem para os negócios hoje. Redução de custo, agilidade, escalabilidade, competitividade e inovação são apenas alguns dos muitos benefícios destacados por executivos de TI e SI sobre o ambiente. O Gartner vai além e afirma que, “até 2020, as empresas que não utilizam soluções em cloud computing serão tão raras quanto as sem acesso à internet hoje em dia”. Mas diante dos atuais vazamentos de dados ocorridos (Facebook, Netshoes, Uber), como as empresas devem se adequar para tornar o ambiente mais protegido e tornar esses dados seguros?
Para Vinicius Fiel, CISO do Grupo Pão de Açúcar, uma das principais formas de mitigar riscos é por meio de uma boa estratégia na governança de dados. “É preciso se preocupar com a forma que as informações são classificadas, acessadas, utilizadas e descartadas, caso contrário gerir todos esses dados pode tornar essa migração custosa para a empresa”, disse o executivo, durante encontro promovido hoje (29) pela TVDecision, patrocinado pela McAfee e NetSafe.
O segredo, de acordo com Adriano Breviglieri, coordenador de TI do Tribunal de Justiça de São Paulo, ainda está no desconhecimento do que se proteger. “Devido a isso, as empresas vão adicionando cada vez mais soluções, tornando o processo caro até mesmo por falta de planejamento”, disse.
Além da governança, a visibilidade foi outro quesito fundamental bastante apontado pelos especialistas. “Existem três tipos de nuvens nas empresas: a oficial, a que você tolera e a qual você desconhece”, explicou Vitor Sena, CISO do Grupo NC. No caso da utilização de aplicações sem conhecimento da TI, a chamada Shadow IT, soluções de CASB (Cloud Access Security Broker) são uma boa saída. “Muitas das empresas que as vendem já oferecem assessment, só com isso já dá para ver o tamanho do buraco. Quanto ao uso da nuvem não oficial, mas tolerável, é preciso tentar contornar de forma criativa”, opina Sena.
Ter um time de Segurança já envolvido no início dessa migração é outro fator essencial para minimizar riscos. No entanto, embora seja o cenário ideal, são poucas empresas ainda que têm esse nível de maturidade. “Pela facilidade da Nuvem, o board quer desbravar novos negócios e nem sempre a área de Segurança é envolvida no começo”, disse Willians Santos, Security Officer da Somos Educação. “Na maioria das vezes, a gente pega o bonde andando”, acrescentou Pierre Rodrigues, CSO da WEG.
Diante desse desafio, Rodrigo Nobre, consultor de SI Sênior da Kroton, acredita que é hora dos executivos de Segurança se posicionarem mais e deixarem de ser reativos. “Precisamos conscientizar que a Segurança tem de nascer junto com o desenvolvimento do negócio. Temos que trabalhar em conjunto”, disse.
Responsabilização
Uma dúvida recorrente é sobre de quem é a responsabilidade quando há um incidente, no caso, um vazamento de dados. E é devido a esse desconhecimento que muitas empresas deixam de investir em segurança nesse ambiente, acreditando que os dados se tornaram de responsabilidade do provedor contratado.
“Os provedores protegem o entorno, mas a responsabilidade dos dados continua sendo da empresa”, explica Vitor Sena. Na visão do executivo, o fato de migrar a informação para a nuvem não deve inibir o investimento em Segurança e os cuidados devem ser iguais aos quem tem uma infraestrutura “dentro de casa”. O que é responsabilidade de cada uma das partes deve estar claro em contrato vigente, respaldado pelo jurídico da empresa.
Apesar de frisar que as empresas devem continuar investindo em Segurança, importante ressaltar que os provedores também estão cada vez mais preparados para esse cenário de ameaças. “Os grandes players do mercado já proveem um ambiente mais seguro e contam com recursos avançados de segurança”, destaca Glauco Sampaio, Information Security Manager do Banco Original. Segundo ele, empresas que já nascem digitais têm mais facilidade para lidar nesse espaço.
“Migrar para a Nuvem pode trazer uma falsa sensação de Segurança, no entanto, ter visibilidade é essencial para gerar as melhores estratégias de proteção de dados. O CASB é muito conhecido por seus recursos de autenticação e trazer à tona a questão da Shadow IT, mas é interessante ver como a ferramenta ganha novas atribuições à medida que a Nuvem evolui. Visibilidade é essencial, pois o risco invisível é pior que o risco aceito”, finaliza Bruno Zani, head de Cloud Security da McAfee.