À medida que as empresas migram cada vez mais para a nuvem, os diretores de segurança da informação (CISOs) enfrentam vários desafios críticos para garantir uma segurança robusta na nuvem. Não acredite em mim? Os especialistas destacaram isso no recente Gartner Security & Risk Management Summit. O Gartner projeta um aumento significativo de 24% nos gastos com segurança na nuvem, posicionando-o como o segmento de crescimento mais rápido no mercado global de segurança e gestão de riscos.
Adaptar, ajustar, executar
O resultado final é que a mudança para a computação em nuvem exige repensar fundamentalmente a segurança. As organizações se esforçam para integrar a nuvem nas operações comerciais padrão; no entanto, essa transição apresenta mais armadilhas do que a maioria dos CISOs entende. Vi isso em minha pesquisa e em minha experiência como consultor por 20 anos, na nuvem e anteriores.
Problemas que estiveram presentes em ambientes de TI tradicionais persistem na nuvem, como governança, configuração incorreta, cadeias de suprimentos e pipelines inseguros, perda ou exfiltração de dados e falhas no gerenciamento de segredos e chaves. A nuvem apresenta riscos únicos, incluindo visibilidade limitada, superfícies de ataque dinâmicas, proliferação de identidade e mal-entendidos em torno de responsabilidade compartilhada, conformidade, regulamentação e soberania. E isso é só o topo do iceberg.
A maioria dos CISOs me diz que ainda não entendeu exatamente o que deveria mudar. Muitos se sentem enganados pelo provedor de nuvem em relação ao trabalho necessário para proteger suas implantações na nuvem. Já escrevi muitos conselhos em contrário, mas nunca é uma boa ideia dizer “eu avisei” a alguém que está com dificuldades, por isso precisamos descobrir como fazer melhor.
O modelo de responsabilidade compartilhada
Muitos CISOs e equipes de segurança precisam de esclarecimentos sobre o modelo de responsabilidade compartilhada usado pelos principais provedores de nuvem pública, como Amazon Web Services (AWS) e Microsoft Azure. Este modelo delineia as responsabilidades de segurança do fornecedor de nuvem e do cliente e normalmente aparece no primeiro slide de qualquer apresentação de segurança na nuvem desde 2008.
Os desafios surgem frequentemente de suposições relacionadas com a tecnologia e a extensão das obrigações de segurança dos fornecedores de nuvem. Conformidade, visibilidade de dados confidenciais, continuidade de negócios e acordos de nível de serviço (SLAs) confusos tornam-se problemas que os CISOs não previram. Como disse um CISO amigo meu, após 12 anos lidando com segurança na nuvem: “Nunca se tratou de 'responsabilidade compartilhada', sempre foi toda minha responsabilidade, ponto final.”
Os CISOs frequentemente encontram várias armadilhas importantes no gerenciamento da segurança na nuvem:
- As linhas de negócios não abordaram adequadamente as necessidades de segurança.
- A nuvem é mais complexa do que se imagina inicialmente.
- As iniciativas de estratégia, arquitetura ou transformação da nuvem muitas vezes prosseguem sem a contribuição do CISO, que deverá então tornar tudo seguro.
- A falha na colaboração com os CIOs para integrar a segurança na engenharia da plataforma e no Devops gera gargalos nos pipelines de desenvolvimento com processos de segurança desatualizados.
- Antigos padrões de segurança são aplicados a novas tecnologias.
Não há substituto para o trabalho árduo (chato)
Recomendo diversas estratégias para enfrentar esses desafios. A utilização de ferramentas automatizadas para gerenciar a segurança do ambiente em nuvem é crucial. A automação é sua amiga. Além disso, estabelecer uma governança robusta de segurança na nuvem pode ajudar a priorizar alertas e proteger as bordas dos serviços. Correr em círculos em busca de cada anomalia não aumenta, e o risco de ser “o garoto que gritou lobo” provavelmente causará uma violação.
Consolidar os esforços de segurança e trabalhar em prol da imutabilidade também são práticas recomendadas essenciais. Além disso, requalificar e aprimorar a força de trabalho de segurança é fundamental para a adaptação ao cenário em evolução da segurança na nuvem. A maioria das violações é causada por falta de treinamento e não por falta de tecnologia. Os CISOs entendem que podem ter a melhor tecnologia de segurança em nuvem disponível, mas não podem consertar coisas estúpidas. Configurações incorretas são a principal causa de violações na nuvem.
É claro que questões específicas devem ser abordadas de acordo com suas necessidades específicas. Os CISOs muitas vezes adotam boas ideias de analistas e empresas de consultoria que não são adequadas para eles. A segurança na nuvem nunca é uma solução “tamanho único” e precisa ser sistêmica para todos os sistemas, e não instalada durante a última etapa da implantação. As empresas muitas vezes enfrentam problemas porque a segurança é fracamente acoplada e, portanto, ineficaz.
Eu gostaria de ter uma fórmula mágica para dar aos CISOs que buscam melhor segurança na nuvem, mas trata-se de fazer as coisas de maneira inteligente e proposital para vencer o jogo. As pessoas odeiam ouvir isso – significa planejamento e pesquisa mais enfadonhos. Mas não há substituto.