Cloud computing security-resized-600A segurança em nuvem se tornou um tópico polêmico em muitas empresas. Alguns veem cloud como uma necessidade de negócio, para fazer frente à concorrência ou mesmo como um veículo de transformação do “velho mundo” da TI. Outros ainda encaram o modelo como algo que traz grandes riscos de segurança. Na verdade, a computação em nuvem representa uma oportunidade para repensar, redesenhar e operacionalizar a segurança da informação e o gerenciamento de risco para dar agilidade ao negócio.

Observando bem, cloud computing oferece uma única mudança na gestão dos sistemas de informação: o uso da automação. Embora muitos olhem a automação como o principal ponto de eficiência e redução de custo da nuvem, ela é igualmente valiosa, se não for até mais, para segurança da informação e gerenciamento de risco. Olhando para os atuais problemas de segurança, o cenário está cheio de métodos manuais e desconectados.

– Os sistemas corporativos são lançados e retirados antes mesmo que os times de segurança possam identifica-los, analisa-los e acompanha-los

– Riscos são aceitáveis pelos patrocinadores durante o planejamento, desenvolvimento e operação, mas apenas mitigados quando pressionados pela segurança e gestão de riscos

– Políticas de segurança são reforçadas primeiramente por processos e auditorias executadas manualmente

– Escalar os problemas de segurança e gestão de riscos atuais para a velocidade da nuvem é praticamente insustentável, mas seguir adiante sem fazer nada nesse sentido gera um risco ainda maior para as empresas

Uma abordagem de sucesso combina refazer as práticas de segurança da informação e gerenciamento de risco e implantar processos automatizados para operar na velocidade e escala da nuvem. Essa automação consiste em quatro pontos:

– Ferramenta de execução que libera com segurança sistemas virtuais para projetos baseados em dados

– Sistemas de gerenciamento do ciclo de vida e ferramentas operacionais

– Sistemas de escaneamento e sensores que identifiquem ameaças e riscos

– Política de evolução da ferramenta que possa disparar notificações e respostas automáticas e planejadas

A combinação desses conceitos de automação e segurança da informação cria um ambiente na qual os requerimentos de segurança para sistemas em nuvem são codificados e aplicados de maneira proativa e prescritiva.

Um exemplo pode ser visto em grandes empresas que engajam a equipe em sistemas de segurança rotineiros e promovem o escaneamento de aplicações corporativas. O desafio com esses escaneamentos começam com a identificação dos sistemas que são passíveis de tal atividade. Esse processo normalmente é o que mais consome tempo, mas também é fato crítico de sucesso. Uma vez identificados, os sistemas são colocados em uma programação de escaneamento, e a cada rodada os resultados são analisados. Com as informações em mãos, o time de segurança comunica eventuais problemas para a equipe de projetos, desenvolvimento ou mesmo área usuária, partindo, então, para negociação, discussão de riscos aceitáveis, entre outros.

O time de segurança de TI tipicamente gerencia o processo completo, gastando mais tempo na burocracia que na segurança em si. Por conta da sobrecarga, essas avaliações são normalmente feitas em sistemas de produção ou quase produção. Os processos são considerados exitosos quando cada aplicação ou servidor na empresa é analisado anualmente.

Em operações centradas em nuvem, um sistema pode estar em execução por horas ou mesmo dias, ou seja, os processos existentes provavelmente perderão o sistema por completo. Embora esse problema possa ser mitigado a partir de uma redução das implantações em nuvem, até para adequar tudo aos processos, a melhor estratégia é revisar o processo de avaliações de segurança para a nuvem.

Em operações de nuvem mais ágeis, uma plataforma de gerenciamento terá conhecimento de todo sistema iniciado pelas equipes de negócio e de desenvolvimento. Por meio da automação e de uma política clara, um sistema é escaneado a cada inicialização. Os resultados podem ser enviados automaticamente para a área de segurança e para os usuários. O mais importante é que essas avaliações podem acontecer já nos estágios iniciais de desenvolvimento do sistema, quando é mais fácil, barato e mais rápido promover qualquer mudança necessária.

Ao adaptar o processo de escaneamento de sistemas para a nuvem, as empresas podem agir mais rapidamente em um ambiente centrado em cloud. Esses ganhos, entretanto, não serão possíveis sem uma fundação sólida provida por uma plataforma de gerenciamento de nuvem.

Ao implantar uma plataforma dessas, com uma boa política de infraestrutura automatizada, a TI pode ter a confiança de que possui estabelecidas governança, segurança e compliance. Além disso, esses tópicos são configuráveis, automatizados e obrigatórios.

Fonte: Information Week