O desafio de segurança na migração de softwares para a nuvem
Por Lauro de Lauro, COO da Sky One Solutions e Conselheiro da ABES
Com a evolução e a consagração da computação em nuvem, acelerada fortemente pela pandemia, possibilitou que diversas dificuldades enfrentadas pelas empresas para se adaptar às mudanças tecnológicas como a flexibilização de acesso os seus sistemas de gerenciamento de recursos empresariais (ERP) se tornaram acessíveis.
Para pequenas e médias empresas, o que é mais procurado em sistemas a ERP é a possibilidade de expandir as operações de negócios por meio da automação, o uso remoto e ao mesmo tempo reduzir custos e aumentar de alguma forma a segurança física e lógica do ambiente computacional.
Em 2020 e 2021 vivenciamos uma adoção exponencial migração de sistemas ERP para a nuvem e os principais problemas enfrentados durante a migração estavam particularmente em torno de garantir que os sistemas permaneçam em conformidade com os regulamentos de dados e segurança e quase dois terços das empresas afirmaram que mover dados confidenciais para a nuvem era sua a principal preocupação.
Mover sistemas ERP para a nuvem não é um processo complexo, mas necessita de alta especialização e muita governança do ambiente, algumas das melhores práticas adotadas são:
Ter processos (Playbooks) – Ter processos e práticas enxutas e bem definidas com resultados mensuráveis e previsíveis, usando tecnologia para maximizar e aumentar a visibilidade dos riscos é fundamental.
Gerenciamento de mudanças – Com o gerenciamento integrado de mudanças, as equipes podem trabalhar com um fluxo claro e bem definido visando entender as implicações que quaisquer mudanças implicam na estabilidade e segurança do ambiente
Planejamento de implantação – Uma ótima abordagem no planejamento de implantação de qualquer aplicação ou alteração é fundamental a integração e cooperação entre as equipes de operações e de desenvolvimento.
Envolvimento unificado das partes interessadas – Para um controle efetivo da governança do ambiente, os desenvolvedores, a equipe de operações, os testadores e a equipe de suporte devem trabalhar juntos regularmente.
Testes contínuos – Isso é comum em projetos ágeis e se estende a abordagens de segurança cibernética. Essa abordagem de validações contínuas permite garantir de vulnerabilidades e/ou erros de configuração possam ser descobertos rapidamente. É comum um invasor de um ambiente estar de posse de credenciais de acesso privilegiados por semas ou meses sem que ninguém o tenha descoberto, testes contínuos garante a visibilidade e/ou fragilidade do ambiente.
Painéis claros – Definir papeis claros em casos de crises, como vão atuar e quais os procedimentos de mitigação são fundamentais para atuar durante uma crise.
Com um processo de governança bem implementados certamente o maior risco à segurança em nuvem é minimizado e possibilitará controles rígidos das políticas de acesso, das configurações e das tecnologias de antimalware e da aplicação de patch que uma vez implementados no ambiente certamente minimizará o risco da empresa.
Diversos produtos e soluções podem ser empregados para proteger os ambientes de sistemas ERP em nuvem, cuja maior ordem de adoção são gerenciamento de identidade e acesso, firewalls, avaliações de vulnerabilidade, sistemas de prevenção de intrusão e detecção.
Por fim, embora a migração do ERP para a nuvem seja benéfica para as empresas e, de certa forma, inevitável, as empresas precisam evoluir fortemente na governança de seus ambientes, garantindo que o impacto de prováveis riscos na função de negócios seja mínimo.