Início » Blog » Segurança na nuvem e trabalho remoto: o que será preciso mudar?

Segurança na nuvem e trabalho remoto: o que será preciso mudar?

Diante da recomendação de distanciamento social, muitas empresas quebraram paradigmas ao migrarem para o trabalho remoto, o que lhes gerou diversas lições sobre segurança da informação.

Algumas companhias estavam preparadas, outras nem tanto. No nosso entender, esse modelo de trabalho veio para ficar e, por isso, a estrutura de TI merece atenção especial, começando pela segurança na nuvem.

  1. Priorizar a configuração da nuvem

    Nuvem mal configurada é uma das principais ameaças aos dados de uma organização, sendo responsável por muitas das notícias que vemos na imprensa sobre vazamento de informações. Com a crise gerada pelo coronavírus, muitas companhias precisaram acelerar a jornada digital de maneira bastante brusca para liberar as ferramentas com rapidez para atender as urgências do negócio, deixando o tema segurança em segundo plano.

    Um dos problemas desse cenário é que, por contrato, o provedor de cloud computing é responsável apenas por garantir a estabilidade e disponibilidade do ambiente, enquanto a privacidade e proteção de dados e das aplicações deve ficar por conta de quem contratou o serviço, ou seja, a sua empresa. Para o bem da companhia, a indicação é que essa migração seja feita respeitando as regras de compliance e alinhada às recomendações da equipe de segurança.

  2. Identificar que o custo não é a única vantagem do ambiente cloud

    Por algum tempo, no entendimento dos líderes de negócio os benefícios de cloud computing foram limitados a otimização de custos financeiros, se comparado a uma estrutura física. Porém, as dinâmicas de negócios e, até mesmo, a pandemia, têm nos ajudado a evidenciar para os nossos clientes que o ambiente de cloud computing, com sua fonte inesgotável de recursos, também agrega escalabilidade, otimização, controle de acesso, disponibilidade e segurança.

  3. Definir uma postura de segurança e praticar

    Invista tempo e recursos na definição e documentação padrões de boas práticas, com tradução dos idiomas de cloud, alianças estratégicas com especialistas e aquisição de ferramentas. Depois, trabalhe a conscientização de todo o time para que esse projeto efetivamente saia do papel, com soluções multi cloud e monitoramento dos dados e da infraestrutura de TI.

  4. Aproximar a equipe de desenvolvimento do time de segurança

    O ambiente de cloud computing precisa ser visto como um perímetro sujeito ao cibercrime. Por isso, é importante que tanto a ação de adesão quanto a de desenvolvimento de aplicações que irão operar no ambiente sejam realizadas com base na parceria entre as equipes de desenvolvimento e de segurança da informação da organização. Mantenha atenção também à idoneidade dos desenvolvedores das soluções que adquire.

  5. Lidar com a complexidade multi cloud de maneira estruturada e automatizada

    Para empresas que contam com ambiente multi cloud nossa recomendação é aderir a uma ferramenta que ofereça visibilidade – inclusive quanto a exposição dos dados de maneira incorreta -, estabeleça baselines de segurança padrão e tenha níveis de automação para desfazer ações que estejam em desacordo com essas diretrizes. Essa é a forma mais segura de integrar esse ambiente multi cloud, principalmente tendo em vista a dificuldade de encontrar um especialista em segurança que conheça todos os provedores de nuvem. Além disso, quanto maior for o porte da organização, mais inviável é fazer esse controle manualmente.

  6. Capacitar a equipe

    A área de segurança digital é uma das que exigem constante atualização dos profissionais. Os criminosos se aperfeiçoam em velocidade superior ao surgimento de soluções de prevenção. Por isso, é importante que a organização invista em certificações para minimizar os riscos de ameaças. Entre elas, destacamos sete: Certified Ethical Hacker (CEH); Council Certified Security Analyst (ECSA); Check Point Security Administration R80.10 (CCSA); Check Point Security Engineering R80.10 (CCSE); Certified Cloud Security Professional (CCSP); Certified Information Systems Security Professional (CISSP); e Systems Security Certified Practitioner (SSCP).

    Sem dúvidas, o ambiente cloud é onde as empresas devem estar. Porém, mesmo as nativas da nuvem precisam reservar um tempo para revisar ferramentas e processos para ter certeza de que a segurança não está em segundo plano, do ponto de vista da adesão ou migração. Isso, por todos os motivos que citamos e pela Lei Geral de Proteção de Dados (LGPD), que cedo ou tarde entrará em vigor.

Se a sua empresa tem dúvidas sobre quais estratégias de segurança da informação adotar nesse momento disruptivo, fale conosco.

Tópicos