Práticas recomendadas de segurança na nuvem

Agora, mais do que nunca, as organizações precisam priorizar uma abordagem “cloud first” para permitir que seus negócios se transformem com agilidade, em escala. Mas cada nova instância de nuvem pública tem o potencial de criar uma tempestade de segurança. É improvável que as configurações padrão para uma nova instância de nuvem satisfaçam até mesmo os requisitos mais básicos de segurança de qualquer operação de negócios.

De acordo com a Accenture, embora a nuvem ofereça novas oportunidades para modernizar serviços e transformar operações, menos de 40% das empresas estão alcançando o valor total esperado em seus investimentos em nuvem.

Os riscos de segurança e conformidade continuam sendo as maiores barreiras para a adoção da nuvem. Combinados com as dificuldades em lidar proativamente com a complexidade da configuração segura e com a falta de habilidades, esses desafios podem ser obstáculos importantes para uma jornada que prioriza a nuvem.

O que as lideranças empresariais devem fazer? 

1. Projetar e implantar controles de segurança básicos para criar uma landing zone segura na plataforma do provedor de soluções em nuvem;
   
   
2. Projetar modelos de PaaS seguros para fornecedores de soluções em nuvem reutilizáveis ​​com controles de segurança integrados;
   
   
3. Combinar a plataforma e os serviços para reunir as ferramentas existentes de segurança corporativa do cliente com processos e procedimentos operacionais.

Como?

1. Especificando as funções que estão autorizadas a operar no ambiente e o que estão autorizadas a fazer;
   
   
2. Investindo em conectividade segura para data centers locais, usando um modelo de segurança de rede “hub and spoke”;
   
   
3. Protegendo as políticas de configuração da landing zone, aplicando os controles de segurança da plataforma do provedor de serviços em nuvem.

A segurança na nuvem pode permitir melhores resultados de negócios ao ser:

1. Rápida: usar aceleradores nativos do provedor de serviços de nuvem que permitem que recursos e controles de segurança sejam implantados em minutos ou horas, em vez de meses.
   
   
2. Sem atrito: incorporar a segurança às soluções, processos de negócios e equipes operacionais existentes.
   
   
3. Escalável: aplicar processos de automação e autocorreção para reduzir as etapas manuais e quebrar o modelo de recursos de aumento de funcionários para permitir que as organizações tenham escala.
   
   
4. Proativa: Estabelecer controles preventivos para bloquear a ocorrência de incidentes de segurança acidentais ou maliciosos.
   
   
5. Eficaz na redução de custos: segurança interna desde o início para evitar os custos adicionais decorrentes da necessidade de refazer o trabalho.

“Certamente, todos desejam estar seguros e as empresas devem sempre errar por excesso, não por omissão”, comenta Ryan Wickham, diretor administrativo de Serviços de Infraestrutura da consultoria.  “Mas ‘e importante tentar fazer isso de uma maneira que não afete o desempenho das aplicações e, em última análise, a experiência dos usuários’, completa.

O Gartner projeta que, em 2025, 99% das falhas de segurança na nuvem serão culpa dos clientes, não dos fornecedores – erros que geralmente podem ser atribuídos a configurações incorretas. Com o custo médio de uma violação na nuvem aumentando, está claro que a segurança cibernética na nuvem deve ser abordada com rigor e rapidamente.

Muitas empresas não entendem o modelo de responsabilidade compartilhada da nuvem. Além disso, as variações de ferramentas, recursos e políticas entre os provedores de nuvem podem complicar as coisas.

De acordo com um relatório recente sobre o estado da segurança nativa da nuvem, 73% das empresas ainda lutam para definir corretamente as responsabilidades de segurança de seu provedor de segurança em nuvem e as suas. O mesmo relatório também observou que três quartos das empresas pesquisadas têm ferramentas e soluções de segurança em nuvem sendo superadas por ameaças.

Na opinião da equipe da Accenture, os profissionais de segurança devem fazer as perguntas certas desde o início: Comprar versus construir? Quanto nativo? Como escolher os modelos e parceiros certos? Como garantir a interoperabilidade segura entre as nuvens e o legado? Quando replicar os controles de segurança em vez de abstração, e como conduzir a consistência nas operações de segurança?

Todas essas são questões precisam considerar antecipadamente a jornada para a nuvem. E embora mitigar riscos e proteger os dados na nuvem seja uma prioridade, a segurança deve ser incorporada de forma consistente. Muitas vezes, ela é adicionada só no final da jornada e acaba impactando os resultados de negócios.

Não se engane, a migração para a nuvem é complexa. Precisa de uma estratégia formal e governança forte. Mas as recompensas são muitas e valem a pena: sua empresa pode habilitar recursos e controles de segurança em minutos, em vez de horas, e agir sem atrito. É possível ser mais proativo para evitar incidentes de segurança maliciosos. E escalar rapidamente, aplicando processos de automação e autocorreção para reduzir as etapas manuais.

Ainda na opinião da equipe da Accenture, as quatro etapas a seguir podem orientar qualquer jornada que priorize a nuvem e introduzir segurança em velocidade e escala desde o início.

1. Conheça a postura de segurança na nuvem correta para a empresa. Identifique rapidamente as lacunas e estabeleça uma arquitetura alinhada ao risco e um roteiro para a segurança básica da nuvem que otimize os investimentos atuais em tecnologia.
   
   
2. Automatize a segurança nativa. Automatize a implantação de proteções de segurança com aceleradores pré-construídos para serviços nativos da nuvem, incluindo AWS, Microsoft Azure e Google Cloud.
   
   
3. Seja proativo com conformidade. Otimize a detecção e agilize as operações de segurança na nuvem. Mitigue o risco com provedores de serviços em nuvem (CSPs) para se alinhar com os requisitos regulatórios.
   
   
4. Empregue monitoramento e resposta de segurança. Monitore a nuvem pública de maneira econômica e em escala, usando ferramentas de segurança e casos de uso para lidar com ameaças em evolução e requisitos regulamentares complexos.