Por Brian Robertson da Imperva
Em 2019, a maioria das organizações já tinha planos de transformação digital em andamento. Esses planos incluíam a migração de cargas de trabalho para arquiteturas modernas em nuvem. No entanto, a pandemia de Covid-19 forçou as empresas a acelerar esses esforços de modernização por razões práticas.
Por exemplo, configurar um kit (ou pod) para uma aplicação usando um sistema legado exige um processo complexo, envolvendo servidores físicos, instalação de software, provisionamento de hardware, configuração de data center e rede. Esse processo pode ser demorado. Por outro lado, implantar um novo kit para dar suporte a uma aplicação em um ambiente de nuvem leva apenas cinco minutos, sem a necessidade de intervenção humana.
Com tantas pessoas trabalhando de casa e ninguém querendo ficar para trás no cronograma, acelerar a migração para a nuvem tornou-se uma escolha fácil.
A corrida para modernizar a infraestrutura não garantiu uma modernização paralela da segurança. À medida que a infraestrutura avançava rapidamente para manter as operações e garantir a segurança dos funcionários, tornou-se ainda mais desafiador para a segurança acompanhar o ritmo. Mesmo anos após o fechamento causado pela pandemia. Por exemplo, tenho um cliente com um projeto de modernização. Em sua empresa, todo investimento em aplicações pode ir para uma plataforma legada ou moderna (nuvem). Embora haja orçamento para ambas as plataformas, a urgência criada pela pandemia tornou impraticável o desenvolvimento na plataforma legada. Para atender ao cronograma acelerado, meu cliente prontamente realocou o orçamento da plataforma legada para a moderna para suportar o desenvolvimento de novas aplicações.
A rápida modernização levou as organizações a adotarem rapidamente a tecnologia em nuvem, tornando a “nuvem em primeiro lugar” a arquitetura principal para grandes corporações e organizações globais. No entanto, essa transição acelerada resultou em um atraso nas medidas de segurança. Embora os ambientes modernos atendam aos desenvolvedores, as preocupações com segurança não foram adequadamente tratadas. As equipes de segurança devem envolver equipes adicionais e facilitar a interação entre elas – uma tarefa desafiadora. As organizações que aceleraram a modernização sem atualizações correspondentes de segurança agora enfrentam lacunas nos controles de segurança e um déficit em habilidades essenciais. Para lidar com essas lacunas de segurança, controles, conformidade e questões de privacidade, as equipes de segurança precisam colaborar assertivamente com a equipe de arquitetura de nuvem para obter os privilégios necessários.
Novas plataformas exigem novos métodos
As organizações enfrentam dois riscos principais. O primeiro é a ameaça de vazamento ou violação de dados, que, considerando as investigações e correções subsequentes, pode ter repercussões negativas duradouras para a organização. O outro risco é a não conformidade, que pode resultar em uma advertência severa ou uma multa monetária substancial, lembrando que a conformidade com dados não é negociável. A não conformidade persistente resultará em consequências cada vez mais severas.
As organizações devem priorizar as práticas de segurança de dados para enfrentar as lacunas de segurança que acompanham a modernização rápida. Um problema comum é perder o controle de dados sensíveis quando as cargas de trabalho são movidas rapidamente. Para proteger os dados sensíveis, é importante ter um bom catálogo de dados e manter o controle de cópias e instantâneos. Além disso, as organizações precisam implementar políticas de controle de acesso para dados sensíveis, manter trilhas de auditoria, ser capazes de realizar perícia de dados e verificar e minimizar privilégios enquanto verificam vulnerabilidades. Embora essas práticas não sejam novas, aplicá-las em ambientes modernos é um desafio, e a lacuna de habilidades nessa área contribui para os problemas de segurança contínuos.
Visibilidade é fundamental
As exigências de conformidade giram em torno da visibilidade e de controles de segurança rigorosos. Estabelecer uma base sólida de visibilidade dos dados é absolutamente necessário, pois isso direciona todo o resto. Priorizar a visibilidade é fundamental, pois trata diretamente da maioria dos seus requisitos de conformidade. A visibilidade insuficiente deixará você sem saber onde estão os dados e quais atividades estão em andamento, tornando impossível mitigar efetivamente os riscos de segurança. Estabelecer um comportamento de base exige conhecer os “6 Ws” dos seus dados: Quem está acessando, o que estão fazendo com eles, por que precisam, de onde estão acessando, quando estão acessando e quais servidores estão usando. Sem essas informações, criar uma política de controle de acesso torna-se uma tarefa fútil.
No entanto, mergulhar na verdadeira visibilidade dos dados libera uma enxurrada de informações. Para evitar a fadiga de alertas e discernir os dados que merecem atenção, análises robustas de comportamento de usuários e entidades (UEBA) e outras ferramentas são indispensáveis para manter as equipes de segurança informadas sobre atividades acionáveis.
Outro elemento crítico da visibilidade é a classificação rigorosa dos dados. Para a conformidade com a regulamentação de privacidade, uma abordagem consistente e escalável para descobrir e catalogar dados sensíveis, como dados de funcionários ou consumidores, é inegociável. Isso é essencial para preparar os dados para responder a solicitações de direitos de titulares. Falhar em fazer isso pode levar a consequências graves decorrentes da não conformidade com os regulamentos de privacidade.
Um framework de cibersegurança para proteger dados na nuvem para a transformação digital
Este whitepaper propõe um framework de segurança e conformidade para dados na nuvem, baseado no framework de Cibersegurança do Instituto Nacional de Padrões e Tecnologia (NIST). O framework abrangente inclui:
- As duas etapas da infraestrutura de TI durante uma migração para a nuvem
- Controles e processos inerentes versus adquiridos de DBaaS
- Uma visão detalhada das regulamentações de conformidade e privacidade que se aplicam à sua gestão e segurança de dados
- Os passos para estabelecer o framework em sua organização
Baixe este whitepaper hoje.
Esse artigo tem informações retiradas do blog da Imperva. A Neotel é parceira da Imperva e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.