Logo Compasso
Busca

Governança da Segurança já está na nuvem. E na sua empresa?

Postado
Tempo de leitura: 6 minutos
por Compass UOL

A transformação da infraestrutura de TI das companhias para o modelo de nuvem já é uma realidade em ambientes de serviços SaaS como MS Office365, CRM ou plataformas de colaboração. Cada vez mais o uso de plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS) passam a fazer parte da estratégia de negócio das organizações, com o objetivo de otimizar custos e ganhar agilidade em processos corporativos.

Nesse cenário, a Governança de Segurança da Informação aplicada a ambientes on-premises também precisa passar por uma transformação, considerando os desafios que o ambiente em nuvem inevitavelmente provoca, entre eles:

  • Conformidade com regulamentações e leis entre países – A GDPR é um exemplo claro desse caso, em que cada companhia precisa entender seus limites e onde seus serviços são executados para garantir a devida conformidade com leis regionais e regulamentações.
  • Privacidade de Dados – A forma de exposição de dados e de proteção e a criptografia de Data-in-Rest e Data-in-transit são preocupações que não existiam em ambientes on-premises.
  • Perda de Controle – O comprometimento de credenciais privilegiadas como a conta Root ou Administrativa podem impossibilitar o acesso ao ambiente.
  • Multitenancy – Preocupações com Tenants vizinhas não confiáveis que compartilham o mesmo recurso de hardware, quando se trata de ambientes de nuvem pública.
  • Falta de Visibilidade – Dificuldade em visualizar configurações e estruturas de relacionamentos entre workloads.
  • Vetores de ataque – Uso de APIs maliciosas para interação entre serviços em nuvem.
  • Falta de acesso físico – Em ambientes SaaS, a rastreabilidade em níveis mais baixos de plataforma é limitada e fica sob responsabilidade do provedor de nuvem.

 

Quando elencamos os principais riscos à segurança em ambiente de nuvem, consolidando pesquisas realizadas pelo Cloud Security Alliance e Europe Union Agency for Network and Information Security (Enisa), temos a seguinte classificação:

  1. Riscos com conformidade em regulamentações e leis
  2. Perda da Governança
  3. Vazamento de dados
  4. Lock-In
  5. Falha de Isolamento e comprometimento do Management Plane
  6. Hospedagem de softwares maliciosos
  7. Sequestro de credenciais de acesso
  8. Usuários internos maliciosos
  9. Destruição incorreta de dados ou de forma insegura
  10. Uso de softwares inseguros ou vulneráveis

 

Principais incidentes relacionados à perda da Governança da Segurança:

  • Comprometimento de chaves de acesso, permitindo que agentes maliciosos criem instâncias sem controle, para uso em ações de criptomining, por exemplo.
  • Problemas de erro de configuração, expondo instâncias e serviços de forma indevida para a internet.
  • Gestão de vulnerabilidades, permitindo o uso de instâncias vulneráveis de forma não monitorada e sem o devido hardening.
  • Falha em classificação de dados, permitindo que dados sensíveis se misturem com dados públicos, dificultando o controle e a devida monitoração.

Não por acaso, o Gartner afirma que, em 2020, 80% das brechas relacionadas ao ambiente de nuvem estarão relacionadas a problemas de configuração em clientes devido a perda da Governança de Segurança e não atrelados aos provedores de nuvem.

Quais são os desafios para uma Governança de Segurança eficaz?

  • Cloud Visibility – Ter visibilidade de todos os ambientes de nuvem, independentemente do provedor, de forma consolidada, integrada e prática.
  • Cloud Discovery – As companhias devem ser capazes de gerar inventários do seu ambiente de cloud e ter a capacidade de visualizar de forma ágil qualquer transformação no seu ambiente, de maneira integrada, independentemente de qual serviço de nuvem utiliza.
  • Conformidade com Leis e Regulamentações – O nível de conformidade com regulamentações (como PCI-DSS, GDPR e LGPD, HIPPA, ISO27001 e leis regionais) deve ser claro e visível.
  • Automação de processos e rotinas de forma ágil – Uso de machine learning e Inteligência Artificial para automação do ciclo de vida de instâncias para customização de custos, verificações periódicas de segurança, proatividade para identificação de comportamentos anômalos, e monitoração contínua.

 

Artigo elaborado por Evandi Manoel, especialista em segurança da informação.

TAGS: #ciberataques #seguranca #seguranca-digital

Gostou da solução? Nós podemos ajudar!

Conheça nossos conteúdos gratuitos, direcionados aos assuntos de sua preferência!

Enviar

Veja outros posts

Segurança

Desafios de implementar um SGSI em uma empresa que utiliza Modelo Ágil
Segurança

CSIRT: A Equipe de Resposta a Incidentes de Segurança da Informação
Segurança

Cibersegurança em 2023: foco em IA, Segurança na Nuvem, Ransomware e Leis de Privacidade de Dados

Receba nosso conteúdo

Gostaria de receber de forma gratuita mais conteúdos sobre este ou outros assuntos? Preencha o formulário abaixo e receba nosso conteúdo gratuito!

Parabéns!

Você receberá nosso conteúdo em breve!

Atenção

Tivemos um problema com seu formulário, tente novamente.

Faça sua busca