A computação em nuvem é um componente essencial do cenário digital atual. Hoje, é mais provável que a infraestrutura, as plataformas e o software digitais sejam oferecidos como serviço (daí os acrônimos IaaS, PaaS e SaaS, respectivamente) do que em uma configuração tradicional no local.
Isso atrai mais as pequenas e médias empresas (PMEs) do que a maioria, pois permite que elas concorram em igualdade de condições com concorrentes maiores, com mais agilidade nos negócios e rápida escalabilidade, sem precisar gastar muito. Talvez seja por isso que 53% das PMEs questionadas em um relatório publicado recentemente afirmam que gastam mais de US$ 1,2 milhão por ano na nuvem, em comparação com 38% no ano passado.
No entanto, a transformação digital também traz riscos. A segurança (72%) e a conformidade (71%) são o segundo e o terceiro desafios mais citados pelas PMEs que participaram do relatório. O primeiro passo para enfrentar esses desafios é entender os principais erros que as pequenas empresas cometem com suas implementações da nuvem.
Os sete principais erros de segurança na nuvem que as PMEs cometem
Vamos deixar claro que os erros a seguir não são apenas falhas que as PMEs cometem na nuvem; empresas maiores e com mais recursos às vezes são culpadas de esquecer o básico. Ao eliminar esses erros, sua organização pode dar grandes passos para otimizar o uso da nuvem, sem se expor a riscos financeiros ou de reputação potencialmente graves.
1. Ausência de autenticação multifator (MFA)
As senhas estáticas são inerentemente inseguras e nem todas as empresas seguem uma política robusta de criação de senhas. As senhas podem ser roubadas de várias maneiras, por exemplo, por phishing, métodos de força bruta ou simplesmente adivinhadas. Por isso, é necessário acrescentar uma camada adicional de autenticação. A MFA dificultará muito mais o acesso dos invasores aos aplicativos de conta SaaS, IaaS ou PaaS dos seus usuários, reduzindo assim o risco de ransomware, roubo de dados e outros possíveis resultados. Outra opção é mudar, sempre que possível, para métodos de autenticação alternativos, como a autenticação sem senha.
2. Confiar demais no provedor da nuvem
Muitos gerentes de TI acreditam que investir na nuvem significa efetivamente terceirizar tudo para um terceiro confiável. Isso é apenas parcialmente verdadeiro: há um modelo de responsabilidade compartilhada entre o provedor e o cliente para proteger a nuvem. O que precisa ser levado em conta dependerá do tipo de serviço - SaaS, IaaS ou PaaS - e do provedor. Embora a maior parte da responsabilidade seja do provedor, vale a pena investir em controles adicionais de terceiros.
3. Não fazer backup
Nunca presuma que o seu provedor de serviços em nuvem (por exemplo, para serviços de armazenamento/compartilhamento de arquivos) está protegendo você. Você precisa pensar no pior cenário possível: uma falha no sistema ou um ataque cibernético ao seu provedor. Não é apenas a perda de dados que afetará sua organização, mas também o tempo de inatividade e o impacto na produtividade que podem ocorrer após um incidente.
4. Não aplicar patches regularmente
Se não aplicar patches, você expõe seus sistemas da nuvem à exploração de vulnerabilidades. Isso, por sua vez, pode levar a infecções por malware, vazamentos de dados e muito mais. O gerenciamento de patches é uma prática recomendada de segurança que é tão importante na nuvem quanto em outros sistemas.
5. Configuração incorreta da nuvem
Os provedores de serviços da nuvem são um grupo inovador, mas o grande volume de novos recursos e capacidades que eles lançam em resposta ao feedback dos clientes pode acabar criando um ambiente de nuvem incrivelmente complexo para muitas PMEs. Isso torna muito mais difícil saber qual configuração é a mais segura. Os erros mais comuns são configurar o armazenamento em nuvem de modo que qualquer terceiro possa acessá-lo e não bloquear portas abertas.
6. Não monitorar o tráfego da nuvem
A detecção e a resposta rápidas são essenciais se você quiser detectar sinais antecipadamente, para conter um ataque antes que ele tenha a chance de afetar a sua organização. Isso torna o monitoramento contínuo uma necessidade. Vale a pena pensar que não se trata de uma questão de "se" o ambiente de nuvem será atacado, mas de "quando".
7. Não criptografar as joias da coroa da empresa
Nenhum ambiente é 100% à prova de ataques. Então, o que acontece se uma pessoa mal-intencionada obtiver acesso aos seus dados internos confidenciais ou a informações pessoais de funcionários/clientes altamente regulamentadas? Criptografando-as em repouso e em trânsito, você garante que elas não poderão ser usadas, mesmo que sejam obtidas.
Como garantir a segurança na nuvem
A primeira etapa para lidar com esses riscos de segurança na nuvem é entender quais são as suas responsabilidades e por quais áreas o provedor será responsável. É uma questão de decidir se você depende de controles de segurança nativos da nuvem ou se prefere aprimorá-los com produtos adicionais de terceiros.
Considere o seguinte:
- Invista em soluções de segurança de terceiros para aprimorar a segurança e a proteção da nuvem para aplicativos de e-mail, armazenamento e colaboração, além dos recursos de segurança incorporados aos serviços em nuvem oferecidos pelos principais provedores de serviços em nuvem do mundo;
- Adicione ferramentas de detecção e resposta estendidas ou gerenciadas (XDR/MDR) para impulsionar a resposta rápida a incidentes e a contenção/remediação de ataques;
- Desenvolva e implemente um programa contínuo de aplicação de patches com base em riscos e no gerenciamento robusto de ativos (ou seja, saiba quais ativos de nuvem você tem e garanta que eles estejam sempre atualizados);c
- Criptografe os dados em repouso (no nível do banco de dados) e em trânsito para garantir sua proteção. Isso também exigirá a descoberta e a classificação eficazes e contínuas dos dados;
- Defina uma política clara de controle de acesso; exija senhas fortes, MFA, princípios de privilégio mínimo e restrições baseadas em IP/listas de acesso permitidas para IPs específicos;
- Considere adotar uma abordagem de zero trust, que incorporará muitos dos elementos acima (MFA, XDR, criptografia) juntamente com a segmentação da rede e outros controles.
Muitas das medidas acima são as mesmas práticas recomendadas que você esperaria implantar também em sistemas locais, com alguns detalhes que serão diferentes. O mais importante a ser lembrado é que a segurança na nuvem não é responsabilidade apenas do provedor e que você deve assumir o controle para evitar riscos cibernéticos.