A automação, redução de custos e redundância de dados preocupam os Chief Information Security Officer (CISO). Eles sabem que há recompensas com a migração para nuvem, mas questionam sobre os erros que a empresa comete com essa mudança.
A seguir você confere sete pecados que os CISOs e profissionais de segurança cometem e que podem minar os benefícios da computação em nuvem:
1. Achar que não é possível verificar IDs
A única maneira segura para se conectar à nuvem é por meio dos sistemas de gestão de identidade. Apesar de muitos serviços em cloud permitem que qualquer pessoa cadastre a própria organização, crie sua própria ID e senha sem registrá-los na companhia empresa e, fornecendo endereços de e-mail pessoais, não quer dizer que a TI ou áreas de negócios devem deixar que isso aconteça.
“Embora seja fácil começar desta maneira, não integrado com a companhia, esse caminho abre brechas para vazamentos e violações de políticas. A organização pode fracassar na migração segura para a nuvem”, disse John Thielens , gerente sênior de segurança da Axway.
Algumas empresas estão implementando infraestrutura como serviços (IaaS) rapidamente com autoatendimento com argumento de que seus departamentos de TI são lentos para responder ou simplesmente ignoram as demandas. Mas esta abordagem, permite acesso a servidores em nuvem sem supervisão.
“As pessoas acessam dados que nunca deveriam ver porque as informações de projetos existentes em máquinas virtuais nunca estão fechadas”, disse Stanton Jones, analista de tecnologia emergente e especialista na nuvem da Information Services Group.
E se for um serviço de nuvem para o cliente? Qual é o modelo de acesso? “Como é que você vai integrar e permitir a entrada de um usuário de forma semelhante, seguindo o modelo interno?”, pergunta Julie Talbot-Hubbard, CISO da Universidade de Ohio.
2. Deixar que as demandas por API seguras caiam em ouvidos surdos
Quando uma empresa migra para a nuvem, os usuários necessitam de API (application programming interfaces) para que possam aproveitar os serviços exclusivamente da empresa. A cloud oferece interação com os clientes que querem ter acesso a eles. A API baseada em integração permite isso.
Desenvolvedores móveis podem usar APIs para criar ecossistemas valiosos com times internos e parceiros de negócios. “Como eles ganham dinheiro com API, a receita pode ser compartilhada com cadeia de valor, explica Thielens.
A API-chave que os desenvolvedores usam para acessar a API Serviços funcionam como as senhas. O que acontece quando você perde sua senha? Os serviços de nuvem precisam de um plano de segurança sólido para proteger essas APIs.
3. Tornar-se dependente dos provedores de nuvem
À medida que a nuvem evolui, surgem novos prestadores de serviços e abordagens. A velha guarda da nuvem, como a Amazon e Facebook estão se tornando padrões de melhores práticas e produtos em menor escala, de acordo com Thielens.
“Isso está revolucionando as abordagens de nuvem, bem como instalações de infraestrutura”, assinala Thielens.
Com as mudanças constantes, a melhor abordagem de nuvem adotada hoje pode não ser a melhor opção no futuro. “A migração para cloud pode ser economicamente mais rentável”, avalia Thielens. Novas normas como Tosca e CAMP (ambos de OASIS, Organization for the Advancement of Structures Information Standards), oferecem ferramentas para as empresas moverem para a nuvem com arquiteturas como serviços, sem que a empresa precise recorrer a determinado provedor.
As empresas devem usar essas ferramentas para manter sua independência e adotar novas abordagens que se adaptam às necessidades da organização. Na área de gestão de risco operacional, a flexibilidade empresarial também é melhor, pois permite mover-se rapidamente para outro provedor.
4. Pensar que está terceirizando riscos e prestação de contas
A empresa pode terceirizar parte de sua infraestrutura para a nuvem, mas não suas obrigações e cumprimento de responsabilidades. As empresas precisam de um certo grau de transparência do provedor de nuvem para adoção de estratégias para mitigar riscos para os negócios.
Essa necessidade sugere que o provedor de nuvem pode ou não ser adequado para sua empresa, já que alguns são mais acessíveis para a avaliação e gestão dos riscos. “Você não quer assinar contrato com o provedor de nuvem assumindo todos os riscos”, diz Thielens. Ele certamente não se preocupa com seus riscos.
Exemplos recentes mostram que colocar todos os serviços em uma única de nuvem é um risco. Prova disso foi o problema ocorrido no ano passado com a falta de disponibilidade da Amazônia E2C. A empresa teve problemas graves com tempo de inatividade. Os que tinham contingência foram foram capazes de recuperar seus dados mais rapidamente.
5. Contratar soluções de nuvem sem o envolvimento da TI e departamento de segurança
É fácil de se registrar e entrar na nuvem de fornecedores grandes e pequenos sem a a necessidade de conhecimento técnico como serviços Dropbox, SharePoint ou com um pouco mais de pressão na cloud da Amazon Web Services. Sua organização pode já estar usando serviços baseados em nuvem, sem o conhecimento ou envolvimento da TI. É tão fácil como digitar um número de cartão de crédito.
“A ideia que passa é que as pessoas ignoram a longa fila de projetos e requisitos de TI, tentando ser produtivas”, constata Jerry Irvine, CIO da Prescient Solutions e membro do National Cyber Security Task Force.
Infelizmente, essa abordagem traz muitos problemas de desempenho, segurança e falha. Implementação de soluções corporativas sem o envolvimento de TI faz com usuários entrem em em conflito com os sistemas, configurações e aplicações. Pessoal não qualificado tem pouco conhecimento das exigências regulamentares e de conformidade, que podem gerar complicações para companhia
“Embora esses aplicativos na nuvem possam oferecer uma solução rápida para necessidades específicas, há riscos de vulnerabilidades, falhas de sistema, violações e penalidades pelo não cumprimento de noras”, adverte Irvine.
Por estas razões, qualquer adoção da nuvem deve ser objeto de uma avaliação de risco, revisão de contratos, aprovação e cumprimento de política interna.
“Muitas organizações estão descobrindo que há necessidade de serviços na nuvem em toda a organização, apesar de não ter uma política corporativa sobre a sua adoção, constata Steve Durbin, presidente do Information Security Forum.
6. Superestimar a segurança na nuvem
Na corrida para adotar os serviços em nuvem e tirar proveito dos ganhos que podem ser obtidos, Durbin observa, que muitas empresas estão se concentrando mais na funcionalidade do modelo. Elas não estão questionando como os provedores oferecem segurança na nuvem por meio de seus serviços ou como a as medidas de proteção podem ser revistas.
Isso acontece quando as empresas assumem serviços de nuvem, sem avaliar que têm um departamento segurança, políticas, processos e procedimentos que devem ser seguidos.
Muitas vezes os provedores de serviços em nuvem oferecem níveis básicos de segurança, dependendo das instalações, aplicações e plataformas automatizadas para atender suas práticas.
Outros provedores de nuvem pode ter níveis mais altos de segurança, que estão fora de sua principal especialidade. No entanto, a segurança desses terceiros não podem ser incluídos nos requisitos contratuais e SLA para as ações do provedor de nuvem com o cliente.
“Temos de exigir que o prestador de serviço mantenha as funções específicas de segurança, documentos, e forneça cópias de todas as políticas e práticas, bem como os relatórios de segurança”, diz Irvine.
7. Não compreender os custos
Quando os provedores de nuvem mostra apresentam seus produtos, muitas vezes mostram comparação de custo básico por clientes potenciais.
“Infelizmente, após a contratação de um provedor de serviços, as empresas costumam determinar que serviços adicionais, incluindo licenças de software e de hardware são necessários para todas as tarefas de TI “, pontua Irvine.
Os custos de segurança e aquelas relacionadas a compliance (e, significativamente, a documentação de tal cumprimento) podem aumentar.
Empresas subestimam os custos de nuvem mais por causa de uma expetativa irrealista para o número de recursos internos de TI que vão precisar depois empurrando aplicações para a cloud.
Sete erros que podem arruinar a migração para a nuvem – Gestão – CIO.