Segurança em cloud: além da tecnologia

Hoje ouvimos falar muito de Cloud como algo importante para os negócios de uma organização, fazendo com que sejam feitos investimentos financeiros, redesenho de ambientes ou mudanças estratégicas importantíssimas de alto impacto para a organização. Mas, muitas vezes, esquecemos que como qualquer projeto, imaginar o uso de cloud Computing, sem pensar em segurança e compliance é cometer quase que um haraquiri sem a cerimônia obrigatória dos samurais.

Além disto, muitas empresas estão negligenciando o impacto que problemas de segurança podem causar à marca, muitas vezes destruindo em pouco tempo, o valor construído pela empresa durante anos.

Antes da segurança

É importante destacar que antes de imaginarmos um projeto de Cloud ou mesmo como a segurança impacta este novo paradigma, devemos avaliar muito bem qual o modelo de cloud mais aderente para a aplicação desejada e avaliar também qual o impacto desta aplicação no negócio como um todo.

Sabemos que ao falarmos de Cloud, referenciamos geralmente os modelos Público, Privado e Híbrido.

Devemos questionar sempre qual o esforço que será feito para adequar a aplicação ao modelo escolhido? Vai haver alguma perda para ter a sonhada agilidade em TI ou para atingir a liberdade de adicionar ou remover recursos a qualquer momento? Vamos manter estes questionamentos em mente e identificar os modelos de Cloud existentes.

O Gartner define nuvem pública (Public Cloud Computing) como um ambiente computacional que possui escalabilidade e elasticidade provido como serviço de forma automatizada e orquestrado para clientes que, em sua essência, estão externos ao provedor usando tecnologias acessíveis pela internet em elementos de infraestrutura compartilhados. Completando o que diz o Gartner, é importante também entendermos que esta infraestrutura de Cloud é algo compartilhado por todos os clientes e que aceita menos requisitos de negócios, ou seja, é preciso se enquadrar dentro das características oferecidas pelo provedor de serviços.

A nuvem privada (Private Cloud Computing) posiciona-se como um ambiente de nuvem onde a infraestrutura é usada exclusivamente por uma empresa ou onde uma organização é completamente isolada das outras sem perder escalabilidade ou elasticidade, sendo auxiliada pela automatização e orquestração. Esta empresa tem os recursos de infraestrutura reservados para o seu uso, como se fosse a dona dela, detendo muito mais liberdade na definição do ambiente.

Dizemos que a nuvem híbrida (Hybrid Cloud Computing) é aquele que equilibra workloads entre nuvens públicas e ambientes privados (sejam eles em nuvem ou não). Um exemplo deste modelo é quando a empresa precisa manter certos workloads na Cloud Privada, por questões de compliance e soberania dos dados, e outros na nuvem pública, em uma região mais próxima dos usuários finais.

Brokers de segurança

Entrando mais fundo no universo Cloud Computing, vemos um conceito que cresce com bastante força, firmando-se na representação da sigla CASB (Cloud Access Security Brokers). Pode-se dizer que um ambiente CASB é aquele que pode ser posicionado dentro do próprio cliente ou em um ambiente de Cloud externo controlando as regras de segurança que gerenciam o acesso ao ambiente em nuvem do cliente. O CASB é posicionado entre o cliente e o Provedor de Cloud e as políticas de segurança podem incluir elementos como single sign-on, autorização, mapeamento de credenciais, criptografia, uso de token para duplo fator de autenticação, registro de acesso (logging), geração e alertas, detecção e prevenção de malware.
Segundo o Gartner, até o final e 2018, 50% das organizações com mais de 2.500 usuários estarão com uma plataforma de CASB para controlar o uso dos produtos mantidos como SaaS (Software as a Service). Ainda segundo o Gartner, em 2020, 85% das maiores empresas usarão um produto de CASB. Desta forma, a camada de segurança não precisa estar por padrão incluída no ambiente de Cloud, mas ele precisa estar pronto para ambientes que usem CASB.
Com o holofote em Segurança da Informação e olhando para os dias atuais, ver-se que independentemente do modelo de Cloud escolhido, ele tem que possuir mecanismos que protejam a autenticação para acessar o painel de gerenciamento. É comum termos o atacante digital descobrindo o usuário responsável pela administração das máquinas em Cloud e pedir resgate para devolver o acesso e não apagar ou danificar as máquinas virtuais que foram criadas. Tem-se assim, perdas financeiras reais. É importante ter um ambiente de contingência e um plano bem detalhado e ensaiada com simulações periódicas para recompor de forma rápida o ambiente em Cloud.

Além da indisponibilidade

Acredito que devemos sempre olhar nossos projetos com análises bem mais críticas e observar o que acontece no restante do mundo para identificar se é possível aproveitar algo. Um exemplo deste tipo de análise pode ser encontrado na pesquisa feita pela Veeam Software. A Veeam Software é uma empresa reconhecida pelos produtos de Backup, Replicação e Disponibilidade. Esta pesquisa mostra que muitas empresas estão tendo perdas financeiras por não avaliarem corretamente se suas aplicações estão realmente respondendo as necessidades de seus usuários. A pesquisa elaborou 1.140 entrevistas com os principais responsáveis pelo departamento de TI em 24 países. Segundo a pesquisa, 84% dos entrevistados admitiram que suas organizações possuem problemas com disponibilidade de seus serviços. Isto implica em danos na marca ou na imagem da corporação.

A Veeam revela também que para tentar solucionar estes problemas, muitas instituições estão investindo em Data Centers próprios ou melhorando os que já existem. Mesmo assim as paradas continuaram se multiplicando, indo de 13 para 15 eventos em 2015. A média de cada parada subiu de 1,5h para 2h por aplicação de missão crítica. O resultado é um custo médio anual do superior a US$ 16 milhões (US$ 6 milhões a mais que 2014).

Isto é extremamente assustador, mas o que precisa ser entendido é que existem diversos impactos mais devastadores. Observe que 68% destas empresas entrevistadas apontaram perda da confiança do cliente, 62% indicaram dano a integridade da marca, 51% revelaram perda de confiança dos parceiros, 31% disseram que houve redução do preço dos estoques e 26% tiveram ações legais de parceiros ou clientes alegando perdas financeiras.

Observe que os custos para refazer a imagem de uma instituição podem ser gigantes. Este foi o tema da pesquisa International Business Resilience Survey 2015. A pesquisa revela que 73% dos executivos informam ter uma falta de planejamento de gestão de crise nas empresas. Para se proteger dos ataques cibernéticos, 28% deles afirmam ter apólices de seguros especiais para coberturas ataques cibernéticos. Outros 21% contratam seguros também para se proteger de possíveis danos à reputação das empresas após uma violação de dados e ainda assim, 60% dos CEOS e gestores entrevistados têm dado pouca importância na resiliência dos sistemas de TI em relação à gestão de reputação de suas empresas.

As ameaças são muitas, mas como o UOL DIVEO pode ajudar a proteger seu negócio, evitando perda da confiança dos seus clientes e fornecedores, dano a integridade das suas marcas e problemas jurídicos?

Com os serviços de segurança do UOL DIVEO, sua empresa pode encontrar diversos serviços que buscam a continuidade do negócio e proteção de informações dos clientes.

Os serviços são diversos e vão desde DDoS Protection, um pilar para sustentar a disponibilidade dos seus serviços, e evitar perdas financeiras importantíssimas, até a proteção específica para a aplicação Web, por meio do Web Application Firewall (WAF), um produto destinado a aplicações web, protegendo-as contra ataques à sua aplicação exposta à internet, deixando seu acesso mais rápido ou auxiliando na defesa contra o furto de informações existentes nas bases de dados usada pela sua aplicação.

Sabemos que não basta ter uma infraestrutura confiável ou hardwares tecnicamente reconhecidos pelo marcado, é importante termos o apoio de uma equipe especializada em ciberataques (cyberattack). Protegemos o maior portal de serviços da América Latina, o UOL, além das aplicações de 250 das 500 maiores empresas do Brasil.

Muitas vezes uma Tecnologia é cercada por medos, sejam eles posicionados em Cloud ou não. Na grande maioria das vezes o medo é algo benéfico, pois nos inspira a repensar nossas estratégias. Entretanto, é importante termos em mente que o uso da Segurança Digital precisa ser avaliado em conjunto com o custo da perda financeira para entender que a salvação de qualquer modelo de negócio dependerá de como definimos e implantamos a Segurança Digital como um todo envolvendo: pessoas, tecnologia e processos. Quando isto é feito, Segurança Digital será sempre a salvação para qualquer negócio.

 

Denis Souza

 

Fontes:

Denis Souza

Analista de Produtos no UOL DIVEO, especialista em segurança de dados. Formação em Engenharia Elétrica pela Universidade Federal da Paraíba, com experiência de mais de 17 anos na área de tecnologia da informação, sendo destes 9 anos como Engenheiro de Redes de Computadores e 4 anos aplicados como Arquiteto de Solução para ambientes Data Center.