Kleber Melo, Presidente do Conselho Consultivo do (ISC)² para a América Latina
A utilização de ferramentas na Nuvem e Nuvem Híbrida tem reduzido os custos das empresas de forma inédita, e estimulado o seu crescimento em todo o mundo. Diversas pesquisas revelam que a Nuvem chegou para ficar, o que torna importante a análise das medidas mais eficientes para controlar e mitigar riscos, como ameaças de invasão, ataques, vazamento de informações sensíveis e indisponibilidades de serviços.
A segurança na Nuvem é o principal motivo de preocupação dos gestores de TI no mundo. Estimativas indicam que mais de 70% deles não confiam nas técnicas tradicionais de proteção dos dados. Além disso, a Cloud Security Alliance (CSA) revela que apenas 16% das organizações possuem políticas e controles para utilização da Nuvem completamente implementados. A mesma CSA afirma que 80% das empresas com mais de cinco mil funcionários não conseguem informar quantas aplicações em Nuvem são utilizadas por seus profissionais.
O modelo de Nuvem adotado também interfere no controle de infraestrutura, aplicações e banco de dados. Segundo o relatório Threat Report, do Crowd Research Partners, 62% das pessoas consideram mais difícil detectar e proteger ameaças internas do que ataques externos. A situação é ainda mais complexa, pois as principais falhas ocorrem por responsabilidade dos próprios usuários, sendo que apenas 38% das organizações possuem política de segurança com regras e responsabilidades definidas para a proteção dos dados.
Situações de risco ainda são muito recorrentes, uma vez que muitas empresas acreditam que a segurança dos dados em Nuvem é de responsabilidade do provedor, ou consideram que medidas de controle de acesso limitadas a usuários e senhas e criptografia de transmissão de dados protegem dados armazenados ou processados em servidores na Nuvem.
Quase sempre por falta de investimentos ou devido à ausência de profissionais capacitados, a segurança é relegada a uma prioridade menor, e os responsáveis acreditam que a análise esporádica de logs ou ocorrências reportadas pelos usuários sejam suficientes para medidas de contenção de perdas ou incidentes.
Uma implementação efetiva de políticas para proteção e controles de acesso considera as seguintes ações: mapeamento dos serviços utilizados pelos usuários de forma independente; critério na oferta de acesso privilegiado; implementação de controle de sessão autenticada com expiração por tempo e inatividade; gerenciamento de identidades integrado com os processos de Recursos Humanos e terceiros; identificação do tipo de acesso, local, hora e perfis para evitar comportamentos danosos e possíveis brechas nos controles; proteção dos dados armazenados e transmitidos por meio de criptografia para evitar a exposição dos dados não somente na transmissão como também em seu armazenamento.
De acordo com o relatório Threat Report, do Crowd Research Partners, 47% das empresas não têm condições de detectar ataques internos ou não conseguem medir o tempo de detecção, sendo que 43% afirmam que o tempo de resposta a incidentes é de até uma semana.
Como é impossível se proteger de ameaças não identificadas, o monitoramento ativo de segurança, por meio de soluções de Data Loss Prevention (DLP – Prevenção da Perda de Dados), Security Information and Event Management (SIEM – Segurança da Informação e Gestão de Eventos) e Secure Enterprise Content Management (SECM – Gerenciamento de Conteúdo de Empresas Seguras), entre outras, deve ser implementado para o sucesso na detecção e proteção das informações. Melhor ainda se a solução for integrada, com monitoramento de infraestrutura, movimentações de dados e aplicações, considerando o contexto e o comportamento usual de todos os usuários envolvidos.
As considerações deste texto não têm a pretensão de esgotar o tema de segurança em Cloud. Existem muitos outros pontos importantes a serem considerados, desde a infraestrutura até os critérios de desenvolvimento de aplicativos para Cloud, que possuem características distintas do modelo tradicional de TI.
Por isto, o (ISC)² juntamente com a CSA (Cloud Security Alliance) desenvolveu a certificação CCSP – Certified Cloud Security Professional, que traz um valor inestimável aos profissionais que querem e precisam se aprofundar neste conhecimento. A certificação CCSP é uma indicação clara do potencial deste mercado e tenho certeza que aqueles que a buscarem estarão à frente, destacando-se em um mercado de trabalho cada vez mais competitivo.