Nos últimos anos, com a crescente adoção de serviços de nuvem, acompanhamos a transformação digital das empresas e a consequente modernização das interações entre elas e seus clientes, colaboradores e parceiros.
A transição para a nuvem ocorre principalmente pela busca por maior competitividade, diferenciação, otimização de custos, agilidade e menor risco operacional. O que acontece também — ainda em grande escala — são organizações priorizando a agilidade e a velocidade deste processo de transformação em detrimento da segurança.
Quando uma empresa migra para a nuvem, surgem novos desafios de operação e segurança, que se somam aos desafios que já eram conhecidos no ambiente on premises. Isso se resume, inicialmente, a manter ambientes híbridos, com uma ou mais nuvens públicas coexistindo com a infraestrutura tradicional em data centers para suportar as cargas de trabalho e aplicações.
Dessa forma, as empresas precisam administrar equipes com conhecimento amplo destes dois mundos — o que tem sido cada vez mais difícil de alcançar e manter — e empregar controles que precisam ser ajustados para garantir, pelo menos, o mesmo nível de segurança e visibilidade em cloud que já mantinham em seus data centers tradicionais. Isso levou muitas empresas a adicionar novas ferramentas, tecnologias e serviços pontuais de segurança para mitigar riscos e proteger essa nova e dinâmica superfície de ataque resultante, o que gerou um aumento exponencial de complexidade e custos, sem necessariamente apresentar resultados efetivos à segurança ou ao negócio.
Outro aspecto importante é que a adoção de serviços de nuvem e arquiteturas complexas de segurança levaram ao aumento considerável do volume de dados a serem analisados pelas equipes, causando uma sobrecarga e à “fadiga de alertas”, que podem resultar em atrasos fatais nas tratativas de incidentes críticos.
E, por último, as empresas possuem muita dificuldade em compreender os riscos destes novos cenários e de identificar os gaps de segurança, que precisam ser endereçados com controles adicionais sem aumentar a complexidade e sem criar “elos frágeis na corrente” de segurança.
Assim, para que um ambiente com nuvem seja tão ou até mais seguro e controlado do que aquele que se possuía on premises, a recomendação é iniciar por uma análise de risco, seguido por um mapeamento de necessidades, onde a área responsável por segurança em nuvem entenda todas as opções disponíveis antes de adotar serviços e controles que podem não cobrir todos os requisitos do negócio.
Existem tecnologias de segurança para a nuvem, já consagradas on premises por sua maturidade, que permitem uma jornada segura de transformação e, desta forma, reduzem a carga operacional e a complexidade para manter ambientes híbridos, como é o caso de next generation firewalls (NGFW), secure SD-WAN, proteção para APIs e aplicações web, detecção e resposta de endpoints e sandboxing, além do machine learning aplicado à segurança. Dessa forma, é possível padronizar os controles e gerenciar a segurança de forma centralizada com políticas consistentes, reduzindo a exposição a falhas de configuração e agilizando o processo de tratativa de incidentes.
Em resumo, é fundamental que as empresas avaliem os riscos específicos do ambiente de nuvem e a capacidade dos controles nativos disponíveis e comparar com a maturidade, granularidade de configurações, impacto em complexidade e efetividade de segurança, sempre colocando em perspectiva o nível de maturidade já alcançado on premises. Esta estratégia simples e efetiva de proteção pode ajudar muito a manter a visibilidade e o controle do ambiente. E, mais do que isso, permite que o negócio adote e aproveite todo o potencial que a nuvem oferece, com agilidade e segurança.
*Daniel Romio é gerente de negócios em cloud da Fortinet para Brasil e América Latina.
