Paolo Passeri
Especialista em cibersegurança
É geral o sentimento de frustração diante dos constantes relatórios de vazamentos de dados da nuvem. É como um balde com um furo minúsculo, mas que está constantemente pingando água. A impressão é que não há um dia sequer sem algum relato de incidente e, no entanto, esse cenário ainda parece insuficiente para que, de fato, as empresas tomem novos rumos por mudanças na abordagem de cibersegurança.
Aumenta cada vez mais também a escala de vazamentos e o impacto sobre os afetados – sejam organizações ou os proprietários desses dados. Outro agravante é que o nome da marca em questão determina, para o público leigo, se o incidente merece atenção, quando, na verdade, o destaque deveria estar nos números e tipos de dados envolvidos.
São diversos os exemplos, mas o ponto principal é: por que esses incidentes continuam ocorrendo?.
Relatório recente da Cloud Security Alliance (CSA) revela que a maioria das pessoas não enxergam de fato os riscos. Os 241 especialistas em TI entrevistados apontaram que violações de dados, configuração incorreta da infraestrutura e falta de arquitetura e estratégia de segurança são os três principais riscos de uso da nuvem.
É certo que nem todos os usuários corporativos da nuvem são especialistas, mas os responsáveis pela infraestrutura do ambiente cloud são.
Dessa forma, partindo do princípio de que as ameaças na nuvem são compreendidas pelos profissionais que a monitoram, a única conclusão é que as empresas ainda não compreenderam a “responsabilidade compartilhada”. Esse modelo estabelece onde termina a responsabilidade do provedor (segurança da nuvem) e onde começa a responsabilidade do cliente (segurança na nuvem). Uma preposição que faz toda a diferença, e muitas empresas ainda ignoram seus deveres relacionados à segurança dos dados nesse ambiente.
Inclusive, pesquisa realizada em parceria com o Instituto Ponemon mostra que apenas 32% das organizações acreditam ser responsáveis pela proteção dos próprios dados na nuvem.
A segurança da cadeia de suprimentos deve ser um elemento central da estratégia de cibersegurança corporativa, e a nuvem precisa estar incluída nesse plano. A educação do usuário também tem papel importante, mas existem várias ferramentas capazes de automatizar o monitoramento do uso da nuvem. O conceito dessas ferramentas é basicamente criar regras predefinidas, integradas com alertas para a equipe de segurança, para, em caso de violações, executar ações reparadoras em tempo real.
A conclusão é que o amadurecimento das estratégias de segurança corporativa é o ponto principal para acompanhar a velocidade com que as organizações estão migrando para a nuvem. Os executivos de TI precisam compreender que o perímetro não se limita mais à sua própria rede – agora, trata-se da segurança centrada em dados, independentemente de onde estejam. Os controles de segurança precisam ser configurados de forma correta e inteligente para não impactar os níveis de produtividade e garantir que os dados armazenados na nuvem não estejam acessíveis e desprotegidos.