5 desafios de segurança multicloud para CISOs

A máxima de que as nuvens são seguras nem sempre é totalmente verdadeira. Assim como quando as aplicações estavam em um data center, são necessárias camadas de segurança e que, inclusive, podem ser mais desafiadoras por não estarem “dentro de casa” e estarem espalhadas em ambientes múltiplos (ou multicloud).

Para Rafael Venancio, diretor de negócios em nuvem para a América Latina e Caribe da Fortinet, o mercado de cibersegurança na nuvem no Brasil ainda é muito segmentado e disperso. Ainda são muito players pequenos ou startups, sendo um indicativo de que não há uma consolidação.

“Ao visitar eventos de cloud, por exemplo, muitos dos patrocinadores são empresas pequenas da Europa ou dos Estados Unidos que estão tentando buscar clientes e aumentar o valor da companhia para um IPO ou venda. Cada uma delas faz um pedaço da segurança, mas se o cliente quer uma proteção ponta a ponta, tem poucas opções. É um mercado que ainda não teve tempo de ter uma consolidação”, comentou o executivo durante o Xperts Summit, evento realizado pela Fortinet realizado em Cancún*, no México.

Leia também: Cibersegurança é sobre operações, não TI, mostram casos reais

O diretor citou alguns dos desafios que os CISOs das empresas enfrentam na área de segurança na nuvem:

Desafios de arquiteturas

É muito difícil que uma empresa tenha apenas uma nuvem. Mais de 80% dos clientes têm cloud híbridas. Com isso, a superfície de ataque é maior. Antes, era possível proteger o data center, agora é necessário proteger uma ou mais nuvens e isso se torna mais difícil e complexo. a ou as nuvens e isso é muito difícil. Com isso, aumenta a complexidade.

O cliente pensa: qual solução vou usar para proteger a nuvem? Se utilizadas aplicações diferentes na nuvem e no on-premise, há regras e funções diferentes. A primeira recomendação é que as aplicações tenham alguma integração entre o que é on-premise e o que é na nuvem.

Falta de pessoas

Há uma falta de profissionais de tecnologia em geral. Mas, ao comentar sobre cibersegurança na nuvem, isso é ainda pior, porque tem um gap nos dois temas: nuvem e segurança.

Ambientes complexos

Como fazer para gerenciar ou operar um ambiente mais complexo com menos pessoas: é preciso automatizar e, por isso, as empresas precisam de soluções integradas e que se falem entre elas. Para isso, são necessárias soluções mais amplas.

O ponto de partida é o modelo de responsabilidade compartilhada. Se a nuvem é segura, está disponível. E a segurança física existe, mas não a segurança nos dados. O modelo de responsabilidade compartilhada permite entender até onde é obrigação do provedor e onde começa a responsabilidade do cliente, que são os dados, as informações e o acesso aos dados.

Perigos da automatização

A automação pode gerar mais vulnerabilidade porque se está orquestrando não se sabe o que passa por trás. Se automatizamos o caos, temos um caos maior. Se o ambiente não está adequado, não tem as proteções básicas, vai ser pior.

Para ter a automação, precisa primeiro ter um ambiente controlado e que esteja estável e com as mínimas camadas de segurança.

Segurança em três pilares

É necessário pensar em três fundamentos: segurança de rede, que é bastante similar ao que tem no on-premise. O segundo pilar é a segurança das aplicações e das APIs. Por último, a proteção da plataforma que precisa ter as ferramentas de segurança de nuvem.

* a jornalista viajou para Cancún a convite da Fortinet