Por David Balaban da AT&T
A computação em nuvem tem se mostrado uma grande aliada das organizações devido à sua flexibilidade, escalabilidade e custo-benefício. No entanto, sem a devida supervisão, pode se transformar em uma coleção desordenada de instâncias, plataformas e recursos, espalhando-se pelo ambiente empresarial. Embora esse crescimento geralmente acompanhe as necessidades operacionais, ele leva a um fenômeno chamado de proliferação na nuvem, uma situação que apresenta riscos tanto econômicos quanto de segurança.
Em muitas empresas, os departamentos implantam serviços de nuvem ou máquinas virtuais de forma independente para otimizar tarefas. Os funcionários também podem optar por instâncias de nuvem não autorizadas (shadow IT) para aumentar a conveniência. De acordo com uma pesquisa da Netskope, um surpreendente 97% das aplicações em nuvem usadas nas empresas são não gerenciadas e livremente adotadas por funcionários e unidades organizacionais.
Isso pode parecer uma pequena infração em nome da produtividade, mas as desvantagens logo se tornam evidentes. As equipes de TI perdem visibilidade sobre o ecossistema de nuvem que está crescendo rapidamente, o que resulta em uma falta de controle centralizado e, potencialmente, em uma caixa de Pandora de problemas.
Andando na Corda Bamba da Segurança
Quando a proliferação na nuvem toma conta, problemas de segurança surgem. Sem uma supervisão unificada, a aplicação de medidas de segurança consistentes se torna uma tarefa difícil. Essa falta de controle pode impactar a segurança da empresa de várias maneiras:
- Lacunas na segurança dos dados: O shadow IT, combinado com muitos ambientes de nuvem isolados, dificulta que as equipes de TI e segurança mantenham um registro eficaz de dados sensíveis, resultando em possíveis vazamentos ou perda de dados.
- Desafios de IAM: Contas de nuvem que não são mais mantidas tendem a ter controles de acesso fracos. Isso complica a gestão de identidades e acessos (IAM), tornando mais difícil proteger credenciais, como chaves de API e tokens.
- Superfície de ataque ampliada: Cada recurso de nuvem não utilizado ou mal gerenciado pode se tornar um ponto cego, deixando o ambiente mais vulnerável a ciberataques. Softwares desatualizados, configurações incorretas e pontos de acesso não autorizados aumentam as possibilidades de exploração por malfeitores.
- Repercussões de conformidade: No que diz respeito à conformidade regulatória, dados fragmentados em várias nuvens complicam o controle. Padrões como o GDPR, HIPAA e PCI DSS exigem controle claro sobre a integridade e rastreabilidade dos dados, e quando as práticas de armazenamento e segurança de dados não são unificadas, demonstrar conformidade torna-se um grande desafio.
Esses riscos geram dificuldades operacionais, enquanto as equipes de TI lutam para gerenciar vulnerabilidades, controles de acesso e monitoramento de segurança. Deixar a situação sem controle cria brechas para ameaças cibernéticas. Uma abordagem centralizada de gerenciamento de nuvem garante que o crescimento não ultrapasse a supervisão.
Impactos Operacionais e Financeiros
A proliferação na nuvem não afeta apenas a segurança; ela também sobrecarrega orçamentos e recursos. Instâncias de nuvem órfãs ou subutilizadas aumentam os custos operacionais e dificultam que as organizações acompanhem e otimizem seus gastos com a nuvem. O resultado é uma conta de nuvem inflada, impulsionada por ineficiências que poderiam ser evitadas.
A proliferação de recursos e dados duplicados em várias plataformas consome poder de processamento, desacelerando aplicativos críticos para os negócios e afetando a experiência dos usuários. Práticas de gestão descentralizadas também podem criar silos, onde as equipes trabalham de forma independente, utilizando ferramentas e dados fragmentados. Isso prejudica a colaboração, sufoca a inovação e resulta em esforços redundantes entre departamentos.
O Que Fazer a Respeito
Lidar com a proliferação na nuvem começa com uma estratégia abrangente que ofereça às organizações visibilidade e controle suficientes sobre todo o território da nuvem. Embora não exista uma solução universal, as seguintes práticas recomendadas podem ajudar a controlar o problema:
- Governança centralizada: Estabeleça regras claras para selecionar, implantar e gerenciar recursos de nuvem. As equipes de TI devem impor políticas sobre criptografia de dados, gerenciamento de acesso, varredura de vulnerabilidades e conformidade para garantir a consistência em toda a organização. Auditorias regulares ajudam a manter a infraestrutura sob controle.
- Aumento da visibilidade: Considere utilizar uma plataforma de proteção de aplicativos nativos de nuvem (CNAPP) que ofereça gerenciamento centralizado, detecção de ameaças em tempo real e resposta a incidentes. Essas soluções ajudam não apenas a identificar e mitigar ataques cibernéticos, mas também a otimizar o gerenciamento de recursos de nuvem, reduzindo os gastos desnecessários.
- Prioritização do controle de acesso: Utilize um serviço de AIM testado e comprovado para gerenciar de forma eficaz as funções e permissões dos usuários. Implemente autenticação multifator e siga o princípio do menor privilégio para minimizar riscos de acesso não autorizado.
- Colaboração entre departamentos: Incentive a interoperabilidade entre as equipes de TI, segurança e as unidades de negócios para alinhar o uso da nuvem aos objetivos organizacionais. A comunicação aberta pode reduzir os riscos associados ao shadow IT e criar uma abordagem mais abrangente para gerenciar os recursos de nuvem.
- Treinamento de funcionários: Educar os colaboradores sobre os riscos potenciais do uso inadequado da nuvem e como evitá-los pode reforçar a postura de segurança de toda a organização. Esse treinamento só é eficaz se for conduzido regularmente, abordando ameaças emergentes e novas tendências de segurança cibernética.
Uma abordagem holística, combinando expertise humana com ferramentas especializadas para automação e governança, é essencial para organizar ambientes de nuvem e evitar a proliferação. Isso deve ser um processo contínuo, e os líderes de TI precisam reforçar políticas e controles regularmente para garantir que a infraestrutura de nuvem da empresa permaneça saudável e segura a longo prazo.
Conclusão
O gerenciamento da nuvem pode ser determinante. Quando feito corretamente, cria um terreno fértil para operações empresariais fluidas. No entanto, se muitos recursos de nuvem escaparem do radar da TI e permanecerem assim, tudo pode sair dos trilhos. Em última análise, uma estratégia de gerenciamento proativa garante que a tecnologia de nuvem continue sendo um ativo comercial em vez de uma vulnerabilidade custosa.
Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.