De quem é a responsabilidade de segurança na nuvem?

É geral o sentimento de frustração diante dos constantes relatórios de vazamentos de dados da nuvem. É como um balde com um furo minúsculo, mas que está constantemente pingando água. A impressão é que não há um dia sequer sem algum relato de incidente e, no entanto, esse cenário ainda parece insuficiente para que, de fato, as empresas tomem novos rumos por mudanças na abordagem de cibersegurança.

Aumenta cada vez mais também a escala de vazamentos e o impacto sobre os afetados – sejam organizações ou os proprietários desses dados. Outro agravante é que tanto a mídia tradicional quanto as mídias sociais usam o nome da marca em questão para determinar se o incidente merece atenção de publicações, quando, na verdade, o destaque da pauta deveriam ser os números e os tipos de dados envolvidos.

São diversos exemplos, mas o ponto principal é a pergunta em torno disso tudo: Por que esses incidentes continuam ocorrendo?

Um relatório recente da Cloud Security Alliance (CSA) revela que a maioria das pessoas não enxergam de fato os riscos. Os 241 especialistas de TI entrevistados apontaram que violações de dados, configuração incorreta da infraestrutura e falta de arquitetura e estratégia de segurança são os três principais riscos de uso da nuvem.

É certo que nem todos os usuários corporativos da nuvem são especialistas, mas, os responsáveis pela infraestrutura do ambiente cloud é, pelo menos, especialista. Dessa forma, partindo do princípio que as ameaças na nuvem são compreendidas pelos profissionais que a monitoram, a única conclusão é que as empresas ainda não compreenderam a “responsabilidade compartilhada”. Esse modelo estabelece onde termina a responsabilidade do provedor (segurança da nuvem) e onde começa a responsabilidade do cliente (segurança na nuvem). Uma preposição que faz toda a diferença, e muitas empresas ainda ignoram seus deveres relacionados à segurança dos dados nesse ambiente. Inclusive, uma pesquisa realizada em parceria com o Instituto Ponemon, mostra que apenas 32% das organizações acreditam ser responsáveis pela proteção dos próprios dados na nuvem.

A segurança da cadeia de suprimentos deve ser um elemento central da estratégia de cibersegurança corporativa, e a nuvem precisa estar incluída nesse plano. A educação do usuário também tem um papel importante, mas existem várias ferramentas capazes de automatizar o monitoramento do uso da nuvem, para ajudar a educar a esses usuários conforme a utilizam. O conceito dessas ferramentas é basicamente criar regras pré-definidas, integradas com alertas para a equipe de segurança para que, em caso de violações, executar ações reparadoras em tempo real.

A conclusão é que o amadurecimento das estratégias de segurança corporativa é o ponto principal para acompanhar a velocidade com que as organizações estão migrando para a nuvem. Os executivos de TI precisam compreender que o perímetro não se limita mais à sua própria rede – agora trata-se da segurança centrada em dados, independentemente de onde estejam. Os controles de segurança precisam ser configurados de forma correta e inteligente, para não impactar os níveis de produtividade e garantir que os dados armazenados na nuvem não estejam acessíveis e desprotegidos.

*Por Paolo Passeri, especialista em cibersegurança na Netskope