por Alain Karioty*
Num ambiente corporativo tudo precisa acontecer ao mesmo tempo! Ou seja, as atividades de diferentes áreas e suas respectivas aplicações/aplicativos têm o mesmo grau de importância e precisam ser acessadas, operacionalizadas e executadas simultaneamente. Nesse momento há colaboradores fazendo upload, download, acessando e recebendo arquivos compartilhados por terceiros. E me pergunto: num cenário de aplicações baseadas em cloud computing, até que ponto essas atividades estão sendo controladas e quais seriam os riscos caso houvesse um vazamento das informações confidenciais?
O CIO (Chief Information Officer), o CISO (Chief Information Security Officer) e a equipe de TI provavelmente não sabem exatamente quais dados estão sendo carregados e compartilhados, em consequência, a segurança da informação fica fragilizada. Com o GDPR já em vigor, é essencial que os responsáveis pelo setor de TI possam mostrar que têm controle sobre os dados pelos quais são responsáveis, evitando pontos de vulnerabilidade que consequentemente podem representar prejuízos financeiros e de imagem. Abaixo listo quatro pontos fundamentais que o CIO deve levar em consideração para reforçar a segurança na nuvem.
1 – Todos os setores devem estar em acordo com a segurança na nuvem
O recente relatório de Cloud da Netskope indicou que as áreas de RH e Marketing são as que mais utilizam os serviços em nuvem. O RH se destaca por frequentemente fazer uso de aplicações que o usuário insere informações pessoais. Já o Marketing pode se tornar um alvo atraente para os cibercriminosos porque muitas das aplicações que o setor utiliza estão fora do controle de TI ou não possuem validação pela empresa. As áreas de Finanças e Contabilidade também se destacam porque a maioria das aplicações em nuvem ainda não está apta.
2 – A empresa deve promover a educação para evitar crimes cibernéticos
Registramos que 93% dos serviços em nuvem usados em todos os departamentos de uma empresa ainda não estão aptos para as empresas. Para lidar com esse problema e alcançar um ponto de conformidade, o CIO deve introduzir políticas contextuais nos níveis das atividades. O CASB (Cloud Access Security Broker, agente de segurança de acesso à nuvem em português) pode atualizar serviços prontos para uso não corporativo fornecendo controle refinado, isto facilita o gerenciamento e filtragem da informação. O CIO também deve promover espaços de educação entre os funcionários com treinamentos para melhor implementação de medidas básicas de cibersegurança. A solução CASB pode ajudar com esse processo de treinamento, detectando comportamentos ou práticas indevidas. .
3 – O GDPR e a fragilidade da segurança na nuvem
A regulamentação está se tornando mais severa. O GDPR se aproxima neste mês e as empresas devem estar preparadas para seguir a nova legislação. Enquanto as companhias buscam alcançar a conformidade, a segurança na nuvem pode revelar-se um problema para muitos. O GDPR é prioridade no pensamento das lideranças empresariais e infelizmente os dados apontam a imensa fragilidade da segurança na nuvem.
No mesmo relatório da Netskope, concluiu-se que 68% dos serviços em nuvem usados na base de clientes falharam em especificar controle dos dados e 81% dos serviços não eram criptografados. Visto isso, é fundamental que o CIO busque rastrear todos os dados, já que qualquer ponta solta pode esconder uma brecha perigosa e inúmeras vulnerabilidades.
4 – Promover políticas de segurança para uploads e downloads
As organizações devem colocar várias camadas de proteção contra ameaças em ação. Com inúmeros pontos de verificação de segurança, se torna cada vez mais difícil para os invasores se perderem entre os enormes volumes de tráfego na nuvem. Outra abordagem tática eficaz para criar um ponto de estrangulamento e se defender contra esses ataques é a aplicação de políticas de uploads e downloads de dados para a varredura de malware e ameaças avançadas.
Fique de olho
Neste ano a segurança em nuvem simplesmente não pode ser ignorada. Pois, o cenário de ameaças cresce e o GDPR chega agora para punir aqueles que deixarem qualquer porta aberta. Nesse sentido, é válido reforçar a importância de implementar políticas de segurança contextuais, assim como nos diferentes níveis de atividade, atualizar os serviços não corporativos e incorporar recursos robustos de segurança a fim de proteger todas as camadas da nuvem.
*Alain Karioty é diretor regional de Vendas América Latina da Netskope