IT Forum 365
A-Governança-da-Segurança-para-a-Nuvem-750x410

Governança da Segurança já está na nuvem. E na sua empresa?

Por Evandi Manoel da Silva*

A transformação da infraestrutura de TI das companhias para o modelo de nuvem já é uma realidade em ambientes de serviços SaaS como MS Office365, CRM ou plataformas de colaboração. Cada vez mais o uso de plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS) passam a fazer parte da estratégia de negócio das organizações, com o objetivo de otimizar custos e ganhar agilidade em processos corporativos.

Nesse cenário, a Governança de Segurança da Informação aplicada a ambientes on-premises também precisa passar por uma transformação, considerando os desafios que o ambiente em nuvem inevitavelmente provoca, entre eles:

  • Conformidade com regulamentações e leis entre países – A GDPR é um exemplo claro desse caso, em que cada companhia precisa entender seus limites e onde seus serviços são executados para garantir a devida conformidade com leis regionais e regulamentações.
  • Privacidade de Dados – A forma de exposição de dados e de proteção e a criptografia de Data-in-Rest e Data-in-transit são preocupações que não existiam em ambientes on-premises.
  • Perda de Controle – O comprometimento de credenciais privilegiadas como a conta Root ou Administrativa podem impossibilitar o acesso ao ambiente.
  • Multitenancy – Preocupações com Tenants vizinhas não confiáveis que compartilham o mesmo recurso de hardware, quando se trata de ambientes de nuvem pública.
  • Falta de Visibilidade – Dificuldade em visualizar configurações e estruturas de relacionamentos entre workloads.
  • Vetores de ataque – Uso de APIs maliciosas para interação entre serviços em nuvem.
  • Falta de acesso físico – Em ambientes SaaS, a rastreabilidade em níveis mais baixos de plataforma é limitada e fica sob responsabilidade do provedor de nuvem.

Principais riscos

Quando elencamos os principais riscos à segurança em ambiente de nuvem, consolidando pesquisas realizadas pelo Cloud Security Alliance e Europe Union Agency for Network and Information Security (Enisa), temos a seguinte classificação:

  1. Riscos com conformidade em regulamentações e leis
  2. Perda da Governança
  3. Vazamento de dados
  4. Lock-In
  5. Falha de Isolamento e comprometimento do Management Plane
  6. Hospedagem de softwares maliciosos
  7. Sequestro de credenciais de acesso
  8. Usuários internos maliciosos
  9. Destruição incorreta de dados ou de forma insegura
  10. Uso de softwares inseguros ou vulneráveis

Principais incidentes relacionados à perda da Governança da Segurança:

  • Comprometimento de chaves de acesso, permitindo que agentes maliciosos criem instâncias sem controle, para uso em ações de criptomining, por exemplo.
  • Problemas de erro de configuração, expondo instâncias e serviços de forma indevida para a internet.
  • Gestão de vulnerabilidades, permitindo o uso de instâncias vulneráveis de forma não monitorada e sem o devido hardening.
  • Falha em classificação de dados, permitindo que dados sensíveis se misturem com dados públicos, dificultando o controle e a devida monitoração.

Não por acaso, o Gartner afirma que, em 2020, 80% das brechas relacionadas ao ambiente de nuvem estarão relacionadas a problemas de configuração em clientes devido a perda da Governança de Segurança e não atrelados aos provedores de nuvem.

Desafios para uma Governança de Segurança eficaz

  • Cloud Visibility – Ter visibilidade de todos os ambientes de nuvem, independentemente do provedor, de forma consolidada, integrada e prática.
  • Cloud Discovery – As companhias devem ser capazes de gerar inventários do seu ambiente de cloud e ter a capacidade de visualizar de forma ágil qualquer transformação no seu ambiente, de maneira integrada, independentemente de qual serviço de nuvem utiliza.
  • Conformidade com Leis e Regulamentações – O nível de conformidade com regulamentações (como PCI-DSS, GDPR e LGPD, HIPPA, ISO27001 e leis regionais) deve ser claro e visível.
  • Automação de processos e rotinas de forma ágil – Uso de machine learning e Inteligência Artificial para automação do ciclo de vida de instâncias para customização de custos, verificações periódicas de segurança, proatividade para identificação de comportamentos anômalos, e monitoração contínua.

Se você revolucionou o seu negócio com o modelo de nuvem, possui arquitetura multicloud ou pretende ingressar nessa nova era, agora é hora de fortalecer esse ambiente com Governança de Segurança da Informação. O UOL DIVEO tem uma solução personalizada para o seu desafio e o caminho ideal para otimizar custos e ganhar agilidade em processos corporativos de maneira segura e eficaz.

*Evandi Manoel da Silva é Gestor da Segurança da Informação do UOL DIVEO. Responsável pela engenharia de segurança dos projetos de inovação, manutenção da segurança da informação dos ambientes de Data Center, desenvolvimento de projetos de segurança para clientes, gestão de serviços de segurança para o UOL Conteúdo e Serviço e também PagSeguro.

Comentários

Notícias Relacionadas

IT Mídia S.A.

Copyright 2018 IT Mídia S.A. Todos os direitos reservados.