CLOUD SECURITY:
não colocou suas informações e dados na nuvem? não acha seguro?
está atrasado
Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES, DEA, DSE, MBS
Publisher da Revista Gestão de Risco e Presidente da Brasiliano INTERISK.
abrasiliano@brasiliano.com.br.br
A nuvem é uma realidade, nua e crua, mesmo tendo um cenário desafiador e ainda com inúmeros casos de vazamento de informações. Segundo pesquisas de mercado, quase que 100% das empresas devem estar na nuvem nos próximos anos. O cloud computing em 2010 ocupava o topo da lista dos gestores de tecnologia da informação no Brasil, segundo pesquisas da Gartner. O levantamento feito com mais de 1.500 executivos de TI em mais de 40 países, apontava que a nuvem veio para ficar. Até 2020, segundo a Gartner, quem não estiver na nuvem será tão raro como hoje não estar internet.
Para termos uma visão do contexto, a contratação de infraestrutura, plataforma e software como serviço em nuvem atingirá o montante de US$ 1,7 bilhão no Brasil e o dobro até 2020, segundo previsões da IDC.
O aumento da terceirização de serviços de TI também possui um crescimento forte, em 2013 tinha um percentual de 25% de consumo, em 2015 passou para 37%, com uma previsão de consumir até 2018 44%.
Hoje a utilização da nuvem fornece a empresa uma enorme flexibilidade, além de responder mais rápido às necessidades dos negócios nesta quarta revolução industrial. Por tudo isso a nuvem se tornou a alternativa para proporcionar, com segurança necessária e um custo muito menor que a de um Data Center, as transformações exigidas pela volatidade, incertezas, complexidade e ambiguidade desta nova era que estamos vivenciando.
A relação custo – benefício de possuir uma nuvem não tem comparação, pois as empresas deixam de possuir ativos, não se preocupam mais com manutenção das máquinas, além de ganhar em escala de armazenamento de dados, ao invés de investir em servidores locais.
Praticamente a última barreira no Brasil, acabou de cair, com a resolução do Banco Central Brasileiro, ao permitir que as instituições financeiras possam utilizar serviços na nuvem. Este segmento era muito refratário a operacionalização de serviços financeiros na nuvem. Não houve como impedir o grande tsunami de invadir a praia das instituições financeiras, pois o ganho é extremamente vantajoso.
A nuvem fornece para seus usuários acessibilidade e agilidade nesta era que vivemos com grandes incertezas. O mundo hoje é cada vez mais digital e conectado, o que significa interdependência. Por esta razão, o acesso de qualquer lugar passa a ser uma questão de sobrevivência para os negócios do século XXI. Mais de 30% das soluções em software até 2019, terão investimentos no modelo Cloud-Only. A tendência é cada vez mais termos programas customizados para a prestação de serviço na nuvem.
Outra alavanca que potencializou a utilização da nuvem, é a nova regulamentação europeia – GDPR: Regulamento Geral de Dados da União Europeia, que entrou em vigor agora em maio de 2018, onde se espera que as empresas invistam mais para estarem em compliance.
O maior risco que a nuvem possui, é o denominado inimigo oculto, pois não há visibilidade pela TI das empresas. É a utilização indiscriminada de ferramentas e aplicações sem o consentimento da TI. Este risco tecnicamente é chamado de Shadow IT.
Estima-se que 97% dos profissionais de TI utilizam algum serviço na nuvem, com ou sem consentimento. Temos como exemplo, os serviços de armazenamentos de dados, mídias sociais, compartilhamento de dados, conversores pdf, entre outros. Informações confidenciais são trafegadas e armazenadas nestes serviços de nuvem, onde não há em vários fornecedores destes serviços a segurança necessária, deixando um convite para um ataque cibernético.
Outro fator de fragilidade é a integração dos ambientes públicos e privados, hoje com 59% de uso, embora seja mais comum para empresas grandes. Estas, armazenam informações sigilosas na nuvem pública e com a utilização do Shadow IT o risco de vazamento passa a ser uma realidade.
O crescimento do tráfego na rede, somado à grande quantidade de informações disponibilizadas na nuvem, congestiona o monitoramento de segurança. O Instituto americano Vanson Bourne realizou uma pesquisa e concluiu que cerca de 72% das empresas prestadoras de serviço ainda não possuem uma infraestrutura escalável para fazer frente a demanda. E no mercado, cerca de 50%, não sabe o que está criptografado na rede.
A solução que devemos operacionalizar é o controle sobre o Shadow IT, que só pode ser feito através de sistemas de segurança, pois estes, trazem visibilidade para todos os serviços e aplicativos de nuvem. O sistema de segurança a ser implantado deve conter avaliação de risco, detecção de ameaças e controle das políticas de segurança.
Os benefícios de possuir sistemas de segurança que controlem os Shadow IT, tornando-os visíveis são:
-
Visibilidade aprimorada para habilitar proativamente serviços na nuvem, com alto valor agregado;
-
Redução de riscos, através da sensibilização dos usuários, sobre serviços de alto risco;
-
Rápido entendimento para os usuários de quesitos de segurança nos aplicativos em nuvem;
-
Consolidação de serviços redundantes, visando reduzir custos entre departamentos;
-
Reaproveitamento de horas perdidas com a transição da análise manual para análise automática;
-
Cumprimento da regulação europeia e americana;
-
Transição segura do modelo de Data Center para a Nuvem, evitando ataques e vazamentos.
O último quesito estratégico de segurança é a governança dos dados, se não houver transparência nas empresas, o custo de ir para a nuvem pode ser muitas vezes superior ao de possuir data center. As informações devem estar seguras na nuvem e a condição é o acompanhamento se estão sendo utilizadas, protegidas, classificadas, acessadas e rastreadas durante seu ciclo de vida. Sem operacionalização a empresa corre de fato um grande risco de ter seus dados sequestrados por um agente cibernético. Este é um risco real e de maior severidade.
Portanto para ir para a nuvem com sua exposição, alinhada com seu apetite de risco é um fator primordial e estratégico que os gestores de riscos devem alertar de forma enfática a alta gestão da empresa. Se não conseguir sensibilizar, o vazamento passa a ser uma questão de tempo!
Espero que consiga! Boa sorte!!
Boa Leitura!
Antonio Celso Ribeiro Brasiliano
Publisher da Revista Gestão de Riscos e Presidente da Brasiliano INTERISK
abrasiliano@brasiliano.com.br