Entre a cloud e os homens, a nuvem ainda é uma camada densa e dificulta a visibilidade com a falta de profissionais, exigência de gestores de segurança multidisciplinares, dizer mais sim para reduzir o shadow IT e buscar o equilíbrio com parceiros que entendam da nuvem.

Por: Paula Zaidan

Sim. A nuvem já é uma realidade e as empresas precisam aprender a lidar com o ambiente de cloud security. Muitas empresas nascem nesse ambiente para ter agilidade e velocidade com o intuito de obter crescimento rápido e atualmente é sabido que se alguém tiver uma excelente ideia em poucas horas é possível atingir uma eficiência computacional de forma que anteriormente demoraria semanas ou meses. “Hoje, a cloud por ter esse comportamento ágil, mas traz um desafio para a segurança da informação, mas como torná-la tão rápida quanto a transformação digital?”, indaga Adriano Galbiati, diretor de operações da Etek NovaRed Brasil, durante o Etek NovaRed Security Workshop, sob tema “Rethinking Cyber Security”, realizado nesta ultima semana, em São Paulo.

“Reunimos os principais executivos de TI do mercado para discutir as informações sobre as melhores práticas relacionadas a riscos cibernéticos à luz do movimento de transformação digital, migração para a nuvem e regulações de privacidade, em especial a Lei Geral de Proteção de Dados”, explica Rafael Sampaio, country manager da Etek NovaRed Brasil.

Em um debate que reuniu CISOS e especialistas, Galbiati lembrou que a cloud não é segura por si só e alertou: “quando fazemos um contrato com um fornecedor de cloud existe um contrato de responsabilidade compartilhada, onde os ambientes são protegidos automaticamente. Por isso, os dados da empresa é responsabilidade do cliente e a área de segurança deve fazer a gestão da proteção das informações”.

Compartilhar as responsabilidades, ter a mente aberta para o security by design, ser parceiro das áreas de negócios, além de ter fornecedores que realmente entendam do ambiente cloud. Esse é o perfil do gestor de segurança da informação. Ele deve ocupar várias posições e estar em distintos times com o objetivo de ganhar o jogo contra as vulnerabilidades. Afinal, seja na nuvem, on primise ou no cenário híbrido, a segurança da informação é mandatória para proteger os dados e a reputação da empresa.

Para Leandro Carmona, CISO da Quod, a cloud foi criada com requisitos de segurança, diferente dos protocolos que usávamos antigamente e foram pensados para serem resilientes, como na época da Guerra Fria. Num cenário de bomba, a rede não podia parar de funcionar. “Quando você pega uma arquitetura de cloud as possibilidades são muito distintas nesse mundo de protocolos que não param de trabalhar. Portanto, o grande desafio é como ter mão de obra para trabalhar nesse novo paradigma de fazer controle e fazer infraestrutura e como sobreviver e ter essa mão de obra. O movimento para nuvem está acontecendo porque o problema do big data demanda algo no paralelo e essa quantidade de dados vai aumentar com a conexão massiva das coisas. Precisamos ter gente que saiba criar e entrada como é o ambiente de cloud. Até que esses profissionais estejam habilitados, como vamos sobreviver?”.

Ricardo Duraes, CISO da Digio, acredita que a qualificação é o primeiro passo para a segurança estar preparada e encarar o cloud de frente e é um mundo com um acesso que num mundo tradicional levaria meses. É importante, por isso, estar próximo da estratégia da empresa e focar naquilo que ela precisa. “Fazendo uma analogia, você pode ser  um excelente mecânico de carros, mas não pode dar manutenção num avião. A possibilidade de segurança em cloud é infinitamente maior comparado com on primise. Por que não ter desenvolvimento dentro de segurança, automações dentro da segurança? A Cloud tem desafios de elasticidade, mas não é possível começar com cabeça de on primise”, aponta.

Diego Pedrosa, CISO da V´Treo, concorda com Duraes quando se refere a estar próximo da área de negócios e de desenvolvimento para evitar vulnerabilidades e adotar as melhores práticas. “A área de segurança deve estar junto com a TI, esqueça shadow IT porque todos devem estar juntos discutindo tudo porque esse – o shadow IT – é um dos grandes riscos hoje na nuvem”.

Leandro Camara, CISO da Empiricus, reforça que a segurança deve partir desde o nascimento da ideia a ser desenvolvida. “Na Empiricus trouxemos a cultura de cada área sobre a segurança da informação para que todos possam crescem em cima dela. Um dos nossos grandes desafios é que segurança precisa parar de dizer não. Devemos conseguir dizer sim para fazer o projeto da melhor forma e com segurança”, diz quando lembra que quanto mais acesso você precisa, mais pontos de atenção são necessários.

Maurício Chede, analista sênior de indústria da Frost & Sullivan, diz que a priorização do risco é muito importante porque todos devices terão vulnerabilidades. “Pegando um pouco o gancho do ‘não pode’ você terá como resposta que o shadow IT vai crescer exponencialmente. Desde 2012 rodamos muitas pesquisas na AL sobre adoção de cloud e os principais restritores desde aquela época ainda é segurança. O usuário final, principalmente os menores, acreditou que tudo poderia migrar para a nuvem sob a tutela do provedor. Um engano, uma vez que a responsabilidade deve ser compartilhada”.

Onde você está? On primise, cloud ou híbrido

A V´Treo nasceu em 2018 já 100% na nuvem. Diante disso, Pedroso, alerta que é necessário pensar que tudo pode estar rodando em qualquer lugar e devemos pensar em novos desafios e riscos. “A nuvem muda todos os dias e sempre haverá alguém querendo inovar. Por isso, o gestor de segurança deve estar junto com a equipe de inovação. Paralelamente, as ferramentas têm esse desafio porque como elas estão preparadas para as novas funcionalidades”.

Muito comum atualmente, a exposição de dados na internet é um dos grandes vetores de risco em cloud. “Quando falamos em fechar o banked S3 nos referimos ao controle de acesso, ou seja, os conceitos de segurança são os mesmos, mas devemos acompanhar as novas infraestruturas”, observa Camara quando lembra que o desafio é acompanhar o que vem por aí em termos de novas tecnologias.

Ricardo Duraes acredita que o grande desafio é o dinamismo para a velocidade. “As coisas simplesmente acontecem. Não compararia on primise com nuvem porque há casos de sucesso de transição, o importante é desapegar e enxergar a nuvem sendo predetivo, com soluções que se adaptem a essa agilidade e questionar se as soluções on primise são capazes de garantir a proteção dos dados. Acabou a questão do check list de segurança e estamos vivendo a era do security by design, criando um ambiente que já nasce seguro”.

Na visão de Carmona, a grande diferença de on primise para cloud é a maneira de manipular os ambientes, há poucas pessoas treinadas para isso e  normalmente são os provedores de acesso que treinam as equipes dos clientes, criando ferramentas para avisar que o budget está aberto. Essas empresas são de engenheiros e arquitetos e eles têm claro sobre o que fazer. “Quando chegamos nas empresas, o cenário é outro porque temos que pensar no negócio. Por isso, é importante ter um parceiro de fazer isso de forma automática. Se vou criar uma coisa para pessoas que não estão preocupadas, invariavelmente terei falhas. Isso acontece com cloud porque nele há infinitas possibilidades, mas as pessoas não sabem usar e é necessário ter uma camada de hight level com profissionais capacitados”.

Chede acredita que a estrutura híbrida começa a ser uma realidade. “O gestor de segurança precisa saber administrar os dois cenários. A tecnologia está migrando da mesma forma, onde pessoas, processos e tecnologia estão sendo terceirizados por conta do DNA da nuvem”.

“Realmente estamos longe de contar com profissionais que entendam da nuvem dentro de casa. A automação nas atividades de infraestrutura para cloud é o caminho porque senão não conseguiremos deixar a nuvem fechada”, finaliza Adriano Galbiati, diretor de operações da Etek NovaRed Brasil.

Fonte: Security Report