banner senha segura
senhasegura

Segurança em nuvem não combina com silos de criptografia

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Os riscos para a segurança aumentaram exponencialmente nos últimos anos, em decorrência da maior quantidade de dados expostos e dos riscos trazidos pelo armazenamento em nuvem. Hoje, com a migração das cargas de trabalho para múltiplas nuvens, de vários provedores, há maior dispersão dos dados, o que gera maior exposição ao risco e mais desafios à cibersegurança. Nesse cenário, as empresas precisam ter claro que a segurança do perímetro é insuficiente para proteger os dados.

Com a nuvem, a linha do perímetro de segurança se torna menos definida. A mobilidade permitida pelo trabalho remoto cria inúmeros pontos de acesso que podem ser explorados por cibercriminosos para comprometer ou vazar dados importantes. Por isso, é preciso pensar a segurança de dados de acordo com uma escala de valor. Ou seja, identificar aqueles que são altamente sensíveis ou regulados, o quanto estão vulneráveis, e estabelecer políticas adequadas para mitigar o risco.

A primeira delas é eliminar os silos de criptografia, sejam de bancos de dados, sejam de disco ou de mascaramento de dados, e substituí-los por serviços nativos de criptografia de nuvem pública, serviços de nuvem pública com BYOK (bring your own key), HYOK (hold your own key), CSEK (Customer-Supplied Encryption Key), ou BYOE, traga sua própria criptografia, com o gerenciamento de chaves centralizado.

Outro ponto é a visibilidade, já que toda estratégia de segurança de dados começa por esse item. “O principal obstáculo a uma estratégia de criptografia bem-sucedida é a capacidade de descobrir onde residem os dados confidenciais da empresa” observa Abilio Branco, gerente da Área de Proteção de Dados da Thales no Brasil. A visibilidade, segundo ele, permite encontrar qualquer tipo de dado confidencial, em qualquer lugar, avaliar os riscos, classificar os dados e fazer correções automáticas de acordo com riscos e políticas.

Como toda estratégia de segurança de dados necessita de uma plataforma de segurança, Branco cita a CipherTrust, da Thales. De acordo com ele, trata-se de uma plataforma que cobre todos os requisitos de segurança na nuvem, incluindo a busca e classificação de dados, gerenciamento de chaves multinuvem, segurança da base de dados e de big data, até a segurança das aplicações.

CONFIANÇA DIGITAL

O estudo sobre ameaças a dados 2020 Thales Data Threat Report – Latin American Edition, patrocinado pela Thales e produzido pela IDC, mostra que as organizações estão em processo de construção da confiança digital como reflexo da aceleração de seus projetos de digitalização e da migração cada vez maior para os serviços de nuvem. E esse conceito tem ganhado ainda mais relevância em razão dos desafios impostos pela pandemia de covid-19, principalmente no que diz respeito à segurança de dados. Com a necessidade de colocar boa parte dos funcionários para trabalhar de casa, as empresas agora estão tendo que reforçar a proteção ao acesso remoto desses funcionários.

O estudo mostra ainda que, conforme aumentam os desafios à segurança de dados, as empresas se deparam com a necessidade de adotar medidas mais inteligentes para tratar do tema. A proposta de solução é adotar uma abordagem multidimensional para a segurança de dados, na qual as empresas assumam na nuvem responsabilidades de segurança compartilhadas, com a adoção de um modelo de gerenciamento de acesso de confiança zero (zero trust), que autentique e valide usuários e dispositivos que acessam aplicativos e a rede corporativa.

O modelo de responsabilidade compartilhada é aquele em que tanto o provedor de nuvem quanto o cliente são responsáveis pela segurança na nuvem. Enquanto o provedor de nuvem responde pela operação, gerenciamento até a segurança física das instalações em que o serviço opera, o cliente assume a gestão e a responsabilidade pelo sistema operacional e aplicativos, inclusive atualizações e patches de segurança. 

A IDC define “confiança” como a condição que permite a tomada de decisões entre duas ou mais entidades e que reflete o nível de confiança (risco e reputação) entre as partes. A confiança introduz novas variáveis que vão além da ideia tradicional de segurança, para incluir risco, conformidade, privacidade e ética nos negócios.

O estudo chama a atenção para o fato de que a segurança de dados não deve, no entanto, prejudicar os esforços empresariais para realizar a transformação digital através do uso de estruturas flexíveis que conduzam à implementação discricionária do modelo de confiança.

O primeiro passo nesse sentido, segundo a IDC, é identificar onde estão os dados que suportam os negócios. A pesquisa informa que, atualmente, 49% dos dados nas organizações da América Latina estão armazenados em nuvem, o total continua aumentando e 45% deles são confidenciais. Como grande parte dessas organizações opera com ecossistemas híbridos, de múltiplas nuvens e vários provedores, a dispersão de dados está gerando maior exposição ao risco e mais desafios para cibersegurança. Por isso, a consultoria recomenda que as organizações mudem e ampliem sua estratégia de segurança.

SEGURANÇA DE DADOS

O estudo da IDC indica que a segurança de dados na América Latina ainda representa uma pequena parte do orçamento total em segurança das empresas — em média, responde por apenas 15% do orçamento total de TI. Por outro lado, as empresas latino-americanas dizem que 37% do seu interesse em soluções de segurança está focado na proteção de dados, o que é uma porcentagem elevada na comparação com outras regiões do planeta.

Além disso, em relação ao modelo de responsabilidade compartilhada, 32% afirmam que não têm clareza de como uma estratégia de nuvem pode impactar sua postura de segurança.

O fato é que, independentemente de qual seja o grau de maturidade em segurança de cada empresa, todas terão de enfrentar os riscos aos quais estão expostas. A pesquisa da IDC mostra que quase metade das organizações latino-americanas (49%) tiveram incidentes em algum ponto, sendo que 21% tiveram incidentes no ano passado. Portanto, precisam trabalhar em uma estratégia de segurança focada nos dados, mesmo porque terão de se adequar e ficar em conformidade com as novas leis de proteção de dados e privacidade, como a LGPD (Lei Geral de Proteção de Dados Pessoais) no Brasil, ou a GDPR (General Data Protection Regulation) na União Europeia.

Com as novas leis de proteção de dados, o estudo da IDC enfatiza que tanto os dados de negócio propriamente ditos, sejam de processos operacionais ou comerciais, como os dados pessoais de clientes precisam ser identificados, mapeados e protegidos, considerando suas próprias capacidades e agregando serviços de parceiros especializados em segurança. Além disso, a necessidade de focar na experiência do cliente, fortalecendo o canal digital e considerando aspectos como trabalho remoto e migração para a nuvem, exige o reforço da segurança de TI, inclusive como facilitador de negócios.

Para mostrar como adotar uma estratégia adequada para proteger esses ativos, não perca o webinar “Aplicando um enfoque multidimensional para a segurança de dados sob a estratégia zero trust”, organizado pela IDC e patrocinado pela Thales, com a participação de Abilio Branco, gerente da Área de Proteção de Dados da Thales no Brasil, e de Luciano Ramos, gerente de pesquisas da IDC Brasil. Esse bate-papo on demand estará disponível para os assinantes e leitores do site CISO Advisor dia 30 às 10h00. Inscreva-se!

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório