Home > Gestão

Os elos mais fracos de segurança da nuvem não estão onde procuramos

Embora pareçamos inteligentes em reunir as melhores soluções de segurança em nuvem, em muitos casos estamos deixando de cuidar de aspectos elementares

David S. Linthicum *

05/02/2019 às 13h19

Foto: Shutterstock

Você se orgulha de sua estratégia de segurança para computação em nuvem e da pilha de ferramentas ao seu dispor. De fato, o seu sistema composto de muitas soluções de segurança é proativo e auto-atualizável. Então, você nunca terá que se preocupar com novos ataques de segurança... Bem, quase.

A maioria dos departamentos de TI faz um bom trabalho em busca dos mais recentes ataques de DNS e ransomware, mas não está prestando muita atenção aos fundamentos de segurança da nuvem, como segurança física, governança de acesso a dados federados e visibilidade da rede.

Certa vez, tive um amigo que era o melhor do ramo de segurança. Ele criou uma solução de segurança baseada em software para o datacenter da sua empresa, que era bem feita e de última geração. No entanto, no fim de semana, um guarda de segurança não conseguiu bloquear uma porta da doca de carregamento e os servidores muito seguros foram parar na caçamba de uma F-150.

A moral dessa história para a nuvem é que, embora pareçamos inteligentes em reunir as melhores soluções de segurança em nuvem, em muitos casos estamos deixando de cuidar de aspectos elementares. Mesmo não acreditando que o seu servidor de nuvem vá rodar por aí na traseira de um caminhão, há coisas muito parecidas a serem observadas.

Aqui estão três delas:

Segurança no nível do aplicativo
Na maior parte, as pessoas de segurança na nuvem não olham para a segurança no nível dos aplicativos, estejam eles na nuvem ou não. Isso se deve mais ao controle e à política do que ao desejo. No entanto, se um aplicativo tiver acesso a dados e esse aplicativo estiver vulnerável, os dados também estadrão.

A resposta é que a segurança precisa ser projetada no aplicativo e deve ser sistêmica para todos os aplicativos e bancos de dados. No entanto, quase nunca é.

Controle de acesso
Toda empresa tem uma história sobre um funcionário insatisfeito que decidiu sair com uma unidade USB cheia de dados seguros. Além disso, há funcionários que são bem intencionados, mas acabam tendo seus laptops - e, portanto, os dados dos laptops - roubados de seus carros.

A única maneira de proteger seus dados é limitar o que as pessoas podem ver e o que podem carregar com elas. Deve haver uma regra de necessidade de saber onde eles podem ver apenas os dados que precisam ver, e eles nunca devem ter a capacidade de fazer downloads volumosos.

Sistemas legados
A frustração da integração de dados em nuvem com sistemas legados deixou muitos gateways de cloud-to-legacy mal configurados e, portanto, vulneráveis. Quando uma empresa não consegue obter dados na nuvem pública devido a um sistema de segurança bem projetado, muitas vezes muitos desses sistemas de segurança são ignorados devido à necessidade de fornecer sincronização de dados. Esses desvios são facilmente explorados.

Em toda a segurança, o seu elo mais fraco é a sua maior vulnerabilidade. A segurança na nuvem não é diferente. Mas eles provavelmente não estão onde você está procurando. Então comece a procurar em mais lugares.

 

(*) David S. Linthicum é diretor de estratégia de nuvem da Deloitte Consulting e colunista da InfoWorld

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail