Segurança em nuvem não combina com silos de criptografia

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Os riscos para a segurança aumentaram exponencialmente nos últimos anos, em decorrência da maior quantidade de dados expostos e dos riscos trazidos pelo armazenamento em nuvem. Hoje, com a migração das cargas de trabalho para múltiplas nuvens, de vários provedores, há maior dispersão dos dados, o que gera maior exposição ao risco e mais desafios à cibersegurança. Nesse cenário, as empresas precisam ter claro que a segurança do perímetro é insuficiente para proteger os dados.

Com a nuvem, a linha do perímetro de segurança se torna menos definida. A mobilidade permitida pelo trabalho remoto cria inúmeros pontos de acesso que podem ser explorados por cibercriminosos para comprometer ou vazar dados importantes. Por isso, é preciso pensar a segurança de dados de acordo com uma escala de valor. Ou seja, identificar aqueles que são altamente sensíveis ou regulados, o quanto estão vulneráveis, e estabelecer políticas adequadas para mitigar o risco.

A primeira delas é eliminar os silos de criptografia, sejam de bancos de dados, sejam de disco ou de mascaramento de dados, e substituí-los por serviços nativos de criptografia de nuvem pública, serviços de nuvem pública com BYOK (bring your own key), HYOK (hold your own key), CSEK (Customer-Supplied Encryption Key), ou BYOE, traga sua própria criptografia, com o gerenciamento de chaves centralizado.

Outro ponto é a visibilidade, já que toda estratégia de segurança de dados começa por esse item. “O principal obstáculo a uma estratégia de criptografia bem-sucedida é a capacidade de descobrir onde residem os dados confidenciais da empresa” observa Abilio Branco, gerente da Área de Proteção de Dados da Thales no Brasil. A visibilidade, segundo ele, permite encontrar qualquer tipo de dado confidencial, em qualquer lugar, avaliar os riscos, classificar os dados e fazer correções automáticas de acordo com riscos e políticas.

Como toda estratégia de segurança de dados necessita de uma plataforma de segurança, Branco cita a CipherTrust, da Thales. De acordo com ele, trata-se de uma plataforma que cobre todos os requisitos de segurança na nuvem, incluindo a busca e classificação de dados, gerenciamento de chaves multinuvem, segurança da base de dados e de big data, até a segurança das aplicações.

CONFIANÇA DIGITAL

O estudo sobre ameaças a dados 2020 Thales Data Threat Report – Latin American Edition, patrocinado pela Thales e produzido pela IDC, mostra que as organizações estão em processo de construção da confiança digital como reflexo da aceleração de seus projetos de digitalização e da migração cada vez maior para os serviços de nuvem. E esse conceito tem ganhado ainda mais relevância em razão dos desafios impostos pela pandemia de covid-19, principalmente no que diz respeito à segurança de dados. Com a necessidade de colocar boa parte dos funcionários para trabalhar de casa, as empresas agora estão tendo que reforçar a proteção ao acesso remoto desses funcionários.

O estudo mostra ainda que, conforme aumentam os desafios à segurança de dados, as empresas se deparam com a necessidade de adotar medidas mais inteligentes para tratar do tema. A proposta de solução é adotar uma abordagem multidimensional para a segurança de dados, na qual as empresas assumam na nuvem responsabilidades de segurança compartilhadas, com a adoção de um modelo de gerenciamento de acesso de confiança zero (zero trust), que autentique e valide usuários e dispositivos que acessam aplicativos e a rede corporativa.

O modelo de responsabilidade compartilhada é aquele em que tanto o provedor de nuvem quanto o cliente são responsáveis pela segurança na nuvem. Enquanto o provedor de nuvem responde pela operação, gerenciamento até a segurança física das instalações em que o serviço opera, o cliente assume a gestão e a responsabilidade pelo sistema operacional e aplicativos, inclusive atualizações e patches de segurança. 

A IDC define “confiança” como a condição que permite a tomada de decisões entre duas ou mais entidades e que reflete o nível de confiança (risco e reputação) entre as partes. A confiança introduz novas variáveis que vão além da ideia tradicional de segurança, para incluir risco, conformidade, privacidade e ética nos negócios.

O estudo chama a atenção para o fato de que a segurança de dados não deve, no entanto, prejudicar os esforços empresariais para realizar a transformação digital através do uso de estruturas flexíveis que conduzam à implementação discricionária do modelo de confiança.

O primeiro passo nesse sentido, segundo a IDC, é identificar onde estão os dados que suportam os negócios. A pesquisa informa que, atualmente, 49% dos dados nas organizações da América Latina estão armazenados em nuvem, o total continua aumentando e 45% deles são confidenciais. Como grande parte dessas organizações opera com ecossistemas híbridos, de múltiplas nuvens e vários provedores, a dispersão de dados está gerando maior exposição ao risco e mais desafios para cibersegurança. Por isso, a consultoria recomenda que as organizações mudem e ampliem sua estratégia de segurança.

SEGURANÇA DE DADOS

O estudo da IDC indica que a segurança de dados na América Latina ainda representa uma pequena parte do orçamento total em segurança das empresas — em média, responde por apenas 15% do orçamento total de TI. Por outro lado, as empresas latino-americanas dizem que 37% do seu interesse em soluções de segurança está focado na proteção de dados, o que é uma porcentagem elevada na comparação com outras regiões do planeta.

Além disso, em relação ao modelo de responsabilidade compartilhada, 32% afirmam que não têm clareza de como uma estratégia de nuvem pode impactar sua postura de segurança.

O fato é que, independentemente de qual seja o grau de maturidade em segurança de cada empresa, todas terão de enfrentar os riscos aos quais estão expostas. A pesquisa da IDC mostra que quase metade das organizações latino-americanas (49%) tiveram incidentes em algum ponto, sendo que 21% tiveram incidentes no ano passado. Portanto, precisam trabalhar em uma estratégia de segurança focada nos dados, mesmo porque terão de se adequar e ficar em conformidade com as novas leis de proteção de dados e privacidade, como a LGPD (Lei Geral de Proteção de Dados Pessoais) no Brasil, ou a GDPR (General Data Protection Regulation) na União Europeia.

Com as novas leis de proteção de dados, o estudo da IDC enfatiza que tanto os dados de negócio propriamente ditos, sejam de processos operacionais ou comerciais, como os dados pessoais de clientes precisam ser identificados, mapeados e protegidos, considerando suas próprias capacidades e agregando serviços de parceiros especializados em segurança. Além disso, a necessidade de focar na experiência do cliente, fortalecendo o canal digital e considerando aspectos como trabalho remoto e migração para a nuvem, exige o reforço da segurança de TI, inclusive como facilitador de negócios.

Para mostrar como adotar uma estratégia adequada para proteger esses ativos, não perca o webinar “Aplicando um enfoque multidimensional para a segurança de dados sob a estratégia zero trust”, organizado pela IDC e patrocinado pela Thales, com a participação de Abilio Branco, gerente da Área de Proteção de Dados da Thales no Brasil, e de Luciano Ramos, gerente de pesquisas da IDC Brasil. Esse bate-papo on demand estará disponível para os assinantes e leitores do site CISO Advisor dia 30 às 10h00. Inscreva-se!

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório