0
0
Quando os provedores de nuvem vendem seus serviços, eles sabem que seus clientes estão pensando em segurança cibernética – é por isso que os provedores tendem a divulgar suas impressionantes credenciamentos e certificados.
Aqueles que não sabem melhor, consequentemente, assumem que o serviço vem com alguma garantia de segurança que elimina qualquer preocupação com a segurança na nuvem, mas isso não poderia estar mais longe da verdade.
Na impressão fina de qualquer plataforma de computação ou colaboração em nuvem está uma disposição que estabelece a responsabilidade compartilhada do comprador. Embora os detalhes variem de acordo com o serviço, o conceito é basicamente o mesmo: você permanece responsável por manter a higiene geral da segurança, garantir que os controles de segurança na nuvem estejam configurados corretamente e proteger seus dados no sistema.
Quer você goste ou não, somos todos responsáveis por nossa própria segurança, não importa o quão dependentes sejamos dos outros pelas ferramentas que nos mantêm funcionando.
Responsabilidade compartilhada une tudo
Ao longo de duas décadas, a computação em nuvem transformou a maneira como as pessoas usam a internet para trabalhar e jogar. Agora, qualquer organização, não importa o quão limitados seus recursos possam ser, pode enfrentar concorrentes maiores, melhor equipados e bem financiados. E esses concorrentes bem financiados podem, por sua vez, usar as mesmas inovações para reduzir seus custos e melhorar suas eficiências globais.
Um relatório recente descobriu que as empresas agora gastam o dobro em serviços de nuvem do que em seus próprios data centers. Esse enorme grau de adoção requer qualquer organização que utilize a nuvem de qualquer forma para enfrentar algumas verdades duras sobre o que a nuvem significa para a segurança. Isso começa com uma compreensão de como a natureza interconectada da computação em nuvem muda tanto as expectativas quanto os requisitos de bloqueio de dados privados.
Se você leu até aqui, provavelmente está ciente de que a nuvem significa muitas coisas diferentes para muitas pessoas diferentes. Existem as ofertas de Infraestrutura como serviço (IaaS) e Plataforma como Serviço (PaaS) que a maioria usa sem perceber. E há as ferramentas software-as-a-service (SaaS) — incluindo a Microsoft 365 e o Salesforce — que muitos de nós utilizamos dezenas, se não centenas, de vezes por dia.
O que une todos esses sabores de nuvem são essas duas palavras mágicas: responsabilidade compartilhada.
Quando se trata de segurança, os clientes são responsáveis por tudo que os provedores de nuvem excluem de seus controles de segurança incorporados.
Higiene é mais do que limpeza
Uma das promessas da nuvem é que você pode se preocupar menos com como e onde suas informações são armazenadas. Mas os dados são um ativo extremamente valioso para qualquer organização. Para algumas organizações, pode ser o ativo mais valioso.
É por isso que mover esses dados para a nuvem requer uma deliberação cuidadosa.
Mesmo que você confie no provedor de nuvem que está usando, você ainda deve garantir que você mantenha o controle e a visibilidade adequados de seus dados. É por isso que a higiene básica da segurança é uma parte essencial do modelo de responsabilidade compartilhada.
Você precisa estar ciente do tipo de dados que você tem. Você precisa saber como é confidencial. O mais importante é saber de onde vêm os dados, quem pode acessá-los ou para onde eles vão. Se os dados vêm de fontes externas e não confiáveis, incluindo e-mail, você precisa bloquear conteúdo nocivo e suspeito antes que chegue a usuários internos ou externos.
Conformidade, complexidade e compromissos
Se o desejo de proteger os dados de uma organização não é motivador o suficiente, pense na conformidade. Em muitas regiões, as empresas precisam monitorar o acesso a todos os dados confidenciais e manter trilhas de auditoria, quer esses dados sejam objeto de uma exigência de conformidade ou não. Isso exige que todas as organizações considerem dois riscos constantes: insiders maliciosos e acesso não autorizado aos dados.
Os serviços de nuvem SaaS podem facilmente se tornar muito complexos com vários funcionários acessando através de vários pontos de contato, muitas vezes sem coordenação ou documentação. Isso pode facilmente levar a uma configuração errada ou controles de acesso fracos – e configurações erradas podem resultar em violações de dados.
Outro risco significativo é que os dados possam ser acessados por outros aplicativos e serviços que estão conectados à nuvem SaaS via APIs. Se estes forem mal configurados ou derem mais permissões do que deveriam, eles também podem potencialmente ser a fonte de uma violação. Mesmo que configuradas corretamente, é importante considerar que as próprias APIs podem ser comprometidas.
O uso explosivo da nuvem SaaS, como Salesforce, Microsoft 365, Google Workspace e outros, torna-os alvos confiáveis e lucrativos para atacantes. E roubar dados valiosos armazenados na nuvem pode nem sempre ser o objetivo final.
Adversários avançados inevitavelmente tentarão usar os serviços de nuvem como trampolim para entrar nas redes das organizações e atacar outros sistemas internos e externos. E os ataques de phishing e ransomware realizados via serviços de nuvem são riscos reais que só aumentarão à medida que os serviços de nuvem se tornarem cada vez mais arraigados em nossas vidas.
Estamos todos juntos nisso.
O que você deve admirar sobre os provedores de nuvem é a sua honestidade. Não importa quantas credenciamentos eles possam se gabar, eles dirão exatamente onde terminam suas obrigações de segurança e as de seus clientes começam.
Essas linhas podem não ser tão claras para a vaga rede de empresas conhecida como “cadeia de suprimentos”. As inúmeras vulnerabilidades, problemas de integridade e outras potenciais explorações nos processos e ambientes de software dos fornecedores tornaram essa chamada cadeia um alvo para um número crescente de ataques.
Em troca da conveniência e possíveis benefícios financeiros da nuvem, você ainda tem muitas das mesmas responsabilidades de proteger suas próprias redes.
Felizmente, quando você se lembra dessas duas palavras cruciais “responsabilidade compartilhada” demonstrando a higiene básica da segurança — que inclui controlar quem acessa seus dados e digitalizar todo o conteúdo para determinar se é malicioso — você estará bem no caminho para cuidar da sua parte do acordo.
FONTE: HELPNET SECURITY