Com um olho no risco e outro no compliance, o maior perigo hoje não é causado por uma informação que sai da rede corporativa. Até porque muitas vezes ela já reside inteiramente fora da empresa. A ameaça é muito mais ampla.
Num mundo de cloud, é fundamental reconhecer que prevenção de perda de dados (DLP, na sigla em inglês) e proteção de dados não são sinônimos.
São abordagens diferentes. Afinal, o foco precisa estar na proteção e atender a complexidade do ambiente atual.
A nuvem trouxe mudanças transformadoras para a tecnologia da informação (TI) corporativa. E a segurança precisa de uma abordagem completamente nova.
Muitos executivos tentam resolver problemas nesse ambiente com dispositivos projetados para um mundo muito diferente. Mas, na verdade, é preciso pensar de forma diferente sobre o problema.
Mudanças
Não é possível obter a visibilidade e o controle dos dados na nuvem com abordagens tradicionais. Eles precisam ser protegidos pela segurança na nuvem.
Muitos Chief Information Security Officers (CISOs), inclusive, admitem não estar preparados para inspecionar os dados adequadamente e avaliar os riscos nos modelos de software, plataforma e infraestrutura como serviço (SaaS, PaaS e IaaS, nas siglas em inglês).
Como já se sabe, existe uma regulamentação a ser cumprida, que entrará em vigor em 2020 com a Lei Geral de Proteção de Dados (LGPD).
Então a mudança na abordagem de segurança na nuvem deve ser uma estratégia prioritária agora. Até porque, a mitigação de risco é responsabilidade da empresa e não do provedor de nuvem.
Inclusive, o Gartner deixou bem claro em um de seus recentes relatórios que “até 2022, pelo menos 95% das falhas de segurança na nuvem serão culpa do usuário final”.
Ainda assim, os CISOs estão se saindo bem em relação à visibilidade dos dados. Embora ainda exista uma batalha constante com a shadow IT (projetos tocados sem o conhecimento da área de TI).
As empresas podem não estar adotando completamente a nuvem, mas a realidade é que os usuários finais, principalmente as equipes de marketing e de recursos humanos (RH), já utilizam esses serviços para executar projetos, independentemente do aval da TI.
Ou seja, é inegável que os dados confidenciais estão sendo movidos para fora do perímetro permitido. Ainda impulsionados pela necessidade de serviços que suportam as cargas de determinadas áreas.
Proteção de dados interna
Em outubro de 2018, uma pesquisa revelou que as empresas usavam uma média de 1.246 serviços na nuvem. A maior parte deles não era autorizada pela TI.
E, ainda, 92,7% desses serviços não atingem pontuações “prontas para a empresa”. O alarmante é que essa prática acelera os riscos, de forma muito mais rápida do que as equipes de segurança são capazes de agir para bloquear as ameaças. Mesmo que consigam identificar o que está acontecendo.
Hoje, independentemente de uma organização ter aderido com entusiasmo na nuvem ou estar sendo arrastada contra suas próprias políticas, estamos todos na nuvem.
E vamos nos envolver ainda mais. Falar sobre prevenção de perda de dados parece não incluir o fato que, em primeiro lugar, hoje não estamos mais mantendo os dados.
Eles estão em constante movimento entre vários serviços. Hospedados em diferentes geografias, sendo utilizados e analisados por várias partes, tanto dentro da organização como entre parceiros. E potencialmente até mesmo em sistemas de aprendizado de máquina de terceiros.
Soluções
Então, se quisermos parar de nos concentrar em evitar perdas, procurando buracos nas paredes e, em vez disso, nos concentrarmos em proteger os dados, o que precisamos saber?
Mantenha-se atualizado
O processo de permissão individual de aplicações na nuvem não é tão automático como parece. Em muitos casos, leva-se dias investigando protocolos e compatibilidade com o compliance. Inclusive, que podem alterar a qualquer momento. As novas tecnologias de proteção de dados precisam estar emparelhadas com as informações sobre ameaças – como as divulgadas pelo CTA. E as parcerias entre equipes internas e provedores de serviços especializados se tornarão cada vez mais necessárias.
Políticas personalizadas
Determinar se um serviço de nuvem está apto para o corporativo não é suficiente para liberar o uso indiscriminado em toda a empresa. Por exemplo, não dá para garantir que funcionários não estejam usando contas pessoais de aplicativos de compartilhamento online, como o Box, para dados internos. É preciso considerar que os usuários podem ter várias contas em provedores de serviços na nuvem. Incluindo pessoais. E então planejar como acompanhar e impor políticas de proteção de dados entre contas diferentes.
Dados móveis e remotos
O foco da proteção não está apenas em quem está acessando quais dados, mas onde e como. Atualmente, 50% do acesso a serviços na nuvem é proveniente de dispositivos móveis. Portanto, muitas empresas podem optar por diferentes políticas de segurança na nuvem para dispositivos corporativos e pessoais. Ou conexões de rede ou localização de IP.
Ambientes SaaS, IaaS, PaaS e web
O risco e segurança de serviços na nuvem representam muito mais do que apenas SaaS, que tendem a invadir organizações como shadow IT. O uso de soluções de IaaS, como o Amazon Web Services (AWS), Google Cloud Platform e o Microsoft Azure, explodem à medida que as equipes de devops criam apps e recursos para apoiar as metas estratégicas. A postura adequada deve permitir que uma organização projete políticas granulares a nível de usuário, dispositivo ou atividade, que possam ser facilmente aplicadas e gerenciadas em todas as plataformas e serviços da web.
- Neil Thacker é CISO da Netskope para EMEA
