Os serviços em nuvem – e os riscos associados a eles – só se tornarão mais críticos com o tempo. Veja como gerenciar esses riscos sem perder os benefícios da nuvem

Por : Bruce Harpham

Os serviços de nuvem estão assumindo mais funções empresariais todos os anos. E com uma ampla gama de serviços essenciais migrando para a nuvem, os líderes de TI devem ficar de olho nos riscos inerentes ao ambiente de nuvem atual e tomar medidas preventivas para mitigá-los.

Aqui está uma olhada no que sua organização deve fazer para avaliar e mitigar os riscos da computação em nuvem.

1 – Avalie seu apetite por risco

No setor bancário, é comum estabelecer um apetite ao risco para orientar as decisões organizacionais. Por exemplo, um apetite pelo risco conservador levaria a pessoa a recusar empréstimos lucrativos, mas altamente incertos. Um apetite por risco mais intenso pode gerar retornos mais altos durante os booms. A desvantagem? Seu banco pode ter  problemas durante a próxima crise.

Do ponto de vista de gerenciamento de TI, seu apetite de risco informará sua diligência, monitoramento contínuo e disposição para investir na redução de riscos. Por exemplo, você pode configurar uma abordagem em camadas para mitigação de riscos para aproveitar ao máximo seus recursos limitados. O risco de falha de um serviço de nuvem “Tier 1” pode ser reduzido por meio de pessoal (por exemplo, com um gerente de relacionamento dedicado), testes regulares e pagamento de suporte de fornecedores de primeira linha.

2 – Revisite sua cultura de uso da nuvem

Provedores de nuvem gostam de enfatizar a facilidade de uso e flexibilidade. E uma vez que as organizações experimentem a facilidade da nuvem, poucas têm o desejo de voltar a manter sua própria infraestrutura legada. Mas uma atitude casual em relação aos serviços em nuvem pode levar os funcionários a assumir riscos tolos.

“Os serviços na nuvem geralmente incentivam o uso casual de dados. Eu posso coletar, pesquisar e armazenar qualquer coisa em qualquer lugar ”, diz John Hodges, vice-presidente de estratégia de produtos da AvePoint. “Muitas vezes vemos isso em sistemas como Box, DropBox ou OneDrive, onde há um perigo real de uso misto em como o conteúdo é armazenado e compartilhado.” A solução simples? Proibir serviços nos quais o uso misto provavelmente seja um problema.

A proibição de serviços em nuvem de alto risco ajuda, mas não elimina totalmente o problema. “Com contas fornecidas pela empresa, como canais Slack ou Microsoft Teams ou outros sistemas, os usuários sempre seguem a rota mais conveniente para compartilhar dados. Esse comportamento pode não se alinhar às políticas de retenção de registros ou restrições ao compartilhamento de dados ”, explica Hodges. A aplicação inconsistente de políticas de retenção de registros pode causar dores de cabeça se sua empresa estiver sujeita a litígios ou a uma investigação semelhante.

3 – Use modelos de confiança zero para reduzir o risco

A confiança zero é uma estratégia de segurança de TI em que uma organização exige que todos os usuários, sistemas ou dispositivos, dentro ou fora de seu perímetro, sejam verificados e validados antes de se conectarem a seus sistemas. Como você pode usar um modelo de confiança zero para reduzir o risco de nuvem? Para a empresa de seguros Insurity uma abordagem de confiança zero significa restringir o acesso de maneira rígida.

“Fornecemos acesso lógico ao conjunto mínimo de usuários com um conjunto mínimo de direitos e privilégios, de acordo com os requisitos da função de trabalho. Este controle é auditado internamente pela nossa equipe de Segurança Corporativa e externamente como parte de nossa auditoria anual”, afirma Jonathan Victor, CIO da Insurity.

Examine regularmente os níveis de acesso dos usuários e pergunte a si mesmo se eles fazem sentido. Você precisa de dezenas de usuários com acesso administrativo? Cada super usuário adiciona risco adicional.

4 – Aprenda com as falhas de TI 

Ter tempo para estudar as notificações do setor para falhas relacionadas à nuvem ajudará a reduzir o risco. A natureza complexa e evolutiva do uso da nuvem nas empresas de hoje significa que sempre há algo para aprender com os incidentes de alto perfil que deram errado.

“Nosso foco está na perda de dados, por isso vemos importantes lições em incidentes como a perda de dados como o da Cisco Meraki em agosto de 2017, quando os sistemas locais falharam em fazer o backup de dados para o serviço em nuvem como deveriam”, diz Rich Petersen, co-fundador e presidente da JetStream Software.

A Cisco admitiu que o erro na configuração da nuvem causou perda de dados e perda de produtividade. Como The Register informou, “o incidente é um grande problema para a Cisco, porque o Meraki é vendido com base no fato de que o serviço de nuvem de suporte remove grande parte do trabalho pesado necessário para executar redes e sistemas de voz. O fato de a equipe do Meraki ter cometido um erro tão grande – e aparentemente não possuir ferramentas de proteção de dados para cobrir tal eventualidade – é uma marca negra muito grande em sua reputação ”.

5 – Repense sua combinação de estratégias de gerenciamento de nuvem manuais vs. as automatizadas

Automação, assistentes virtuais e processamento de dados podem ajudar as empresas não apenas a vender mais produtos, mas também a gerenciar seus serviços em nuvem. Para a Barracuda Networks, a escala do trabalho de segurança manual diminuiu significativamente desde que começou a automatizar processos para a nuvem.

“Nós abandonamos a execução de verificações manuais de segurança e migramos para verificações automatizadas porque as ameaças contínuas e crescentes exigem vigilância 24x7x365 para garantir a integridade do sistema, a proteção de dados e os requisitos de controle de conformidade”, diz Greg Arnette, diretor de estratégia de plataforma de proteção de dados da Barracuda Networks.

Se você usar mais ferramentas automatizadas para detectar problemas e padronizar a configuração na nuvem, poderá concentrar mais tempo da equipe em questões complexas, como treinamento e gerenciamento de seus relacionamentos com provedores de nuvem.

6 – Impulsione os direitos de auditoria para seus fornecedores mais sensíveis

Ter o direito de auditar seus fornecedores de nuvem é um tópico muito importante. Se seus contratos não tiverem esta provisão, suas mãos podem estar amarradas se houver um incidente.

“Muitas empresas de nuvem estão pressionando as organizações e não permitindo que elas auditem seus centros de dados e seus processos, procedimentos e medidas de segurança”, diz Ted Rogers, líder em práticas de execução de projetos na UpperEdge. “Por quê? Eles estão hesitantes em ter um terceiro aparecendo e realizando uma auditoria. Em vez disso, o fornecedor diz que eles estão em conformidade, ou eles dizem não se preocupar com isso, porque se eles não fizerem isso, eles estarão em apuros por outras razões sob o contrato, como um evento de violação.

Uma solução é avaliar criticamente a metodologia de auditoria desenvolvida pelo provedor de nuvem. Se um provedor de nuvem resistir em dar direitos de auditoria à sua empresa, ainda existem maneiras de atenuar esse risco. Você pode solicitar relatórios mais robustos e enfatizar os principais indicadores de risco. Você também pode pedir ao departamento de auditoria interna que forneça informações durante as discussões do contrato.