0
0
A nuvem é o futuro da arquitetura corporativa. É econômico (até certo ponto), é escalável, é flexível e – o melhor de tudo – é responsabilidade de outra pessoa. Mais uma vez, até certo ponto. Isso porque a nuvem vem com seu próprio conjunto de desafios de segurança e governança.
1. Controlar a expansão
Um funcionário médio usa cerca de 36 serviços baseados em nuvem diariamente, enquanto as empresas armazenam cerca de 60% de seus dados na nuvem. Controlar essa explosão repentina, muitas vezes não intencional, do uso da nuvem pode representar um grande desafio. O uso incontrolável geralmente se traduz em custos mais altos, eficiência reduzida e maiores problemas de segurança.
Sempre que um terceiro estiver envolvido no processamento de dados ou na manutenção da infraestrutura, ele sempre adicionará uma camada extra de risco. Além disso, à medida que as empresas crescem e evoluem, se não investirem o suficiente em gerenciar, monitorar e garantir essa expansão, esses riscos tendem a ser amplificados. Como uma gaveta de lixo onde as coisas são jogadas aleatoriamente, eventualmente as coisas se tornam incontroláveis.
2. Manutenção do controle e da propriedade
À medida que a adoção da nuvem permeia, um dos maiores desafios de segurança e privacidade para os clientes de serviços de nuvem é ter que abrir mão de uma quantidade significativa de controle e propriedade de seus dados e infraestrutura para provedores de serviços em nuvem (CSPs).
Cada CSP implementará a segurança de forma diferente e cada modelo de nuvem (software como serviço, infraestrutura como serviço, plataforma como serviço, etc.) terá diferentes graus de propriedade de controle de segurança, e é por isso que pode ser difícil para eles atender a todos os requisitos de segurança. Os CSPs podem não ter uma compreensão profunda de todos os casos de uso de segurança exigidos pelas empresas, o que pode representar um obstáculo adicional.
3. Falta de clareza sobre a responsabilidade em matéria de segurança
Muitas organizações entram diretamente no SaaS sem fazer uma verificação completa de quais protocolos de segurança estão em vigor ou estabelecer regras de engajamento para seus recursos internos, bem como para o provedor terceirizado. Ao lidar com a nuvem, os clientes precisam estar cientes do modelo de responsabilidade compartilhada e devem entender o que está por baixo da plataforma de nuvem – quais controles de segurança existem e se proteções adicionais são necessárias para serem criadas.
Em outras palavras, as organizações não podem mais ignorar, abdicar ou assumir que todos os controles estão sendo gerenciados pelo CSP. As organizações devem fazer sua própria diligência, selecionando os controles certos depois de serem claras sobre o contexto de segurança, caso contrário, podem falhar em abordar o perfil de risco da maneira correta.
Como uma estrutura de segurança cibernética na nuvem ajuda?
Uma estrutura de controle de segurança cibernética na nuvem fornece uma abordagem sistemática para identificar, avaliar e mitigar riscos de segurança. Ele fornece orientação passo a passo sobre quais controles de segurança devem ser implementados por quais partes em toda a cadeia de suprimentos de nuvem.
Há uma série de diferentes estruturas de controle de segurança cibernética em nuvem disponíveis, incluindo a Matriz de Controles em Nuvem (CCM) proposta pela Cloud Security Alliance, o Padrão de Boas Práticas (SOGP) do Fórum de Segurança da Informação, a Estrutura de Cibersegurança do National Institute of Standards and Technology (NIST) e a ISO/IEC 27002. Vamos entender algumas das vantagens mais óbvias de adotar uma dessas.
1. Ele fornece uma visão robusta de controle e capacidades
As estruturas ajudam a estabelecer práticas recomendadas para o gerenciamento de riscos na nuvem. Eles ajudam as organizações a manter um registro dos serviços de nuvem, seu uso, controles de segurança e recursos em nuvem local, externa, privada e pública. Isso, por sua vez, fornece uma visão holística da segurança e ajuda a empresa a acompanhar a evolução dos requisitos de segurança. As estruturas não apenas ajudam a ajustar as táticas de segurança de acordo com os objetivos de negócios, mas também ajudam a identificar ou esclarecer quais objetivos a empresa precisa priorizar.
2. Agiliza a conformidade, reduz a duplicação e o caos
A maioria das empresas deve cumprir vários padrões — isso pode ser complexo e caótico para as equipes de conformidade. Em alguns dias você terá que executar uma pesquisa NIST, alguns dias PCI, outros dias ISO, e assim por diante. No final, você acabará duplicando cargas de trabalho, colocando o sistema em papelada redundante. Para superar essa redundância, os padrões modernos oferecem mapeamento e cruzamento com outros padrões líderes.
3. Estabelece regras e expectativas claras
A segurança vai além dos controles técnicos. Muitos processos precisam ser engajados para limitar a exposição potencial de serviços SaaS. Onde residem os dados? A CSP terceiriza para outros fornecedores? As notificações de violação estão sendo relatadas em tempo hábil? Do ponto de vista da governança, há muitos requisitos de conformidade, e é aqui que uma estrutura brilha. As estruturas ajudam a definir claramente as ferramentas e processos, as regras e expectativas de linha de base, os indivíduos responsáveis pela manutenção desses serviços de nuvem e segurança.
4. Ajuda a priorizar e justificar melhor os investimentos em segurança
As equipes de liderança têm um papel importante a desempenhar na governança e na formulação de políticas. Eles devem ter confiança na equipe de segurança, uma ideia clara das prioridades de segurança e como eles se alinham com a trajetória do negócio. As equipes de segurança que aproveitam as estruturas podem evitar gastos excessivos com segurança que não são essenciais.
Nenhuma estrutura é perfeita, então escolha sua estrutura de segurança na nuvem com cuidado.
FONTE: HELPNET SECURITY