Fazer login no IT Mídia Redefinir senha
Bem-vindo de volta,
Digite seu e-mail e clique em enviar
Ainda não tem uma conta? Cadastre-se
Salvar em Nova pasta de favoritos

+

Criar pasta
Salvar Escolher Pasta
5 dicas para aumentar a segurança da sua nuvem
Home > Notícias

5 dicas para aumentar a segurança da sua nuvem

Crescimento da nuvem leva cibercriminosos a aumentar esforços contra aplicações sem segurança adequada

Neil Thacker*

23/09/2021 às 21h20

segurança, nuvem
Foto: Shutterstock

Legenda: Imagem: Shutterstock

O mais recente estudo “Cloud and Threat Report” da Netskope datado de julho de 2021 revelou que nos últimos 18 meses o uso de aplicações de nuvem disparou. Organizações que têm de 500 a 2000 funcionários estão usando agora 805 aplicações em nuvem diferentes, o que significa um nível impressionante de novos riscos para os CISOs administrarem.

O crescimento da utilização da
nuvem fez também com que os criminosos cibernéticos elevassem seus esforços
maliciosos com foco em aproveitar oportunidades para roubos de dados em
aplicações sem segurança adequada. Além disso, o desafio pode parecer
insuperável, uma vez que os colaboradores trazem aplicações de nuvem não
homologadas para as empresas mais rapidamente do que a velocidade de bloqueio,
mas existem soluções.

Seguem cinco dicas para que possam
ter um controle sobre a segurança na nuvem:

1. Crie parcerias internas para construir uma segurança sob medida

Com a proliferação da nuvem em
toda a organização, as equipes de segurança precisam fazer parcerias estreitas
com a TI e garantir que a segurança nunca seja uma consideração de última hora.
Muitas organizações já estão reestruturando e combinando equipes, nas quais TI
e segurança ficam lado a lado com KPIs compartilhados.

A maioria das organizações percebe
as limitações de suas arquiteturas baseadas em dispositivos no momento em que
tentam proteger dados, aplicações e usuários que estejam fora de seu perímetro
e sua segurança deverá ser mantida onde quer que estejam.

Esta abordagem é chamada
estratégia de Secure Access Service Edge (SASE); que coloca a segurança na
nuvem, tornando-a integral à arquitetura de TI, e executa controles in-line. Ao adotar esta arquitetura de
segurança, não será necessário construir e personalizar novos controles de
segurança para aplicações em nuvem uma a uma.

2. Entenda os fluxos de dados

Quando se reconhece que os dados
não são mais estáticos, mas que se movem ao redor de serviços em nuvem de
terceiros, torna-se clara a necessidade do CISO ter uma compreensão dos fluxos
de dados de sua organização. Além disso, ele deve conhecer os movimentos, ter
visibilidade das categorias de dados em jogo e entender o perfil da aplicação
na nuvem, para poder decidir quais controles serão necessários.

Uma visão de segurança centrada em
dados faz sentido quando se considera que a regulamentação e os cálculos de
riscos são também centrados em dados. Um ponto mais crítico é quando se está
navegando em áreas como o modelo de responsabilidade compartilhada, ou
avaliando o risco de supply chain. As
organizações devem realizar avaliações contínuas de segurança com base em seus
fluxos de dados.

3. Adote APIs de segurança

A adoção da nuvem tornou mais
urgente do que nunca que as organizações avaliem o risco de supply chain e as garantias de
parceiros. Este fato tem ligação com a recomendação anterior sobre a
compreensão dos fluxos de dados (saber exatamente onde estão hospedados e quais
são suas responsabilidades), mas também vai mais além - especificamente ao
aproveitar ao máximo as oportunidades de integração e análise que vêm com a
nuvem.

Estas integrações tendem a ser
construídas com base em APIs (interface de programação de aplicação) e são
muito fáceis de serem configuradas. Entretanto, os appliances de segurança legados não entendem as APIs. A tendência é
que eles entendam apenas a linguagem da web e os protocolos tradicionais de
rede e não conseguem rastrear ou vigiar os serviços de nuvem, por isso a
proteção tem de estar no mesmo local.

4. Adote o modelo Zero Trust como padrão

As arquiteturas de nuvem estão
mudando o conceito de um perímetro seguro em torno dos dados e TI de uma
organização, e nesse contexto o modelo Zero Trust Network Access (ZTNA)
torna-se importante. Por meio dessa arquitetura o CISO não permite o acesso a
ninguém, nenhum dispositivo ou qualquer serviço em nuvem sem que haja uma série
específica de credenciais de segurança autenticadas. Os dados são muito
valiosos para que se possa assumir suposições de autenticidade.

Uma solução Zero Trust (ZTNA) faz
uma diferença imediata no nível de segurança inerente dentro de uma rede
tradicional ou arquitetura de nuvem e deve ser considerada como um componente
chave, à medida que as organizações migram ainda mais para o mundo da nuvem.

5. Aumente a conscientização e engaje a força de trabalho

Basta um simples erro ou má
configuração para expor passivamente dados sensíveis ou regulamentados, e os
criminosos cibernéticos trabalham arduamente para tornar suas armadilhas mais
difíceis de serem descobertas por funcionários comuns. Eles até usam os mesmos
serviços de nuvem de confiança em sua arquitetura de ataque, concedendo-lhes a
familiaridade de uma URL amigável. Vale destacar que 36% das campanhas de phishing em 2020 tiveram como alvo
principal as credenciais de aplicações em nuvem.

Para mitigar os riscos de ataques,
a conscientização é o primeiro passo, mas o objetivo precisa ser o engajamento,
para que cada um dos colaboradores assuma um papel de reponsabilidade e possa
se sentir um membro da equipe de segurança da organização.

Se a nuvem é adotada na empresa
por meio de grandes projetos de transformação comercial, ou através de um
aplicativo baixado para um dispositivo não gerenciado, esse fato não pode ser
ignorado pelas equipes de segurança.  A
adoção de uma estratégia SASE - com princípios fortes de Zero Trust - é a
melhor maneira de garantir que a nuvem permaneça uma força positiva dentro de
uma organização, e garanta ao CISO uma noite de sono tranquilo.

* Neil Thacker é CISO da
Netskope para EMEA

Snippets HTML5 default Intervenções CW
Vai um cookie?

A CIO usa cookies para personalizar conteúdo e anúncios, para melhorar sua experiência em nosso site. Ao continuar, você aceitará o uso. Para mais detalhes veja nossa Política de Privacidade.

Este anúncio desaparecerá em:

Fechar anúncio

15