Phil Venables, CISO do Google Cloud, fala sobre o futuro da segurança na nuvem

Em março de 2021, o Google Cloud anunciou uma nova oferta chamada Risk Protection Program [Programa de Proteção de Risco], que foi desenvolvida para ajudar seus clientes em nuvem a reduzir o risco de segurança e se conectar com seguradoras parceiras do Google, como Allianz Global Corporate & Specialty e Munich Re. As seguradoras criaram uma apólice de seguro cibernético especializada exclusivamente para clientes do Google Cloud, chamada Cloud Protection+.

A intenção da oferta, que o Google diz ser a parceria inédita entre um grande provedor de nuvem e empresas líderes de seguro cibernético, é aumentar a confiança das organizações que estão considerando mover cargas de trabalho críticas para a nuvem. O programa inclui uma nova ferramenta de diagnóstico de segurança chamada Risk Manager, que permite aos clientes medir e gerenciar seus riscos no Google Cloud e obter um relatório sobre sua postura de segurança e possivelmente pagar menos por um seguro de segurança cibernética mais direcionado.

Na entrevista a seguir Phil Venables, ex-CISO da Goldman Sachs e agora Vice-Presidente e CISO do Google Cloud, discute as tendências de segurança em nuvem e o impacto de serviços como a nova oferta do Google Cloud.

CSO – O quanto é um problema para os CISOs ter que gastar tempo preenchendo questionários de conformidade para certificar sua própria postura de segurança na nuvem para potenciais parceiros e clientes?

Phil Venables – Responder a consultas de clientes, auditores e reguladores é uma parte necessária da operação de qualquer serviço crítico. Houve muito progresso na padronização de tais estruturas de avaliação, não apenas em termos de certificações disponíveis da ISO, SOC1/2 e mais.

Uma das vantagens de um serviço em nuvem compatível com conformidade é que eles têm uma variedade de certificações disponíveis e ajudam o CISO ou outras equipes em sua resposta, fornecendo todas as informações necessárias como parte do uso do serviço.

CSO – Como novos serviços, como o anunciado recentemente pelo Google Cloud, resolvem esse problema?

Com base no que fazemos para analytics de integridade de segurança e relatórios de conformidade, a ferramenta Risk Manager em nosso Programa de Proteção de Risco permite que nossos clientes avaliem e gerenciem de forma mais eficiente e precisa seus riscos no Google Cloud.

A ferramenta Risk Manager gera um relatório que ajuda as empresas a entender sua postura de risco de segurança em uma base contínua e serve como um indicador de sua linha de base de segurança. O impacto é que as empresas podem gastar menos tempo comunicando suas configurações de segurança e gerenciá-las com mais eficiência por meio da ferramenta. O relatório pode então ser compartilhado com nossos parceiros de seguros Allianz e MunichRe diretamente, para avaliar a elegibilidade para seguro cibernético especializado.

CSO – Que papel a telemetria está desempenhando, ou pode desempenhar, na avaliação da postura de segurança de uma empresa na nuvem?

Maior profundidade, amplitude e frequência de observabilidade da configuração de segurança são cruciais e são uma das muitas vantagens de segurança e controle da nuvem. A importância de melhorar as métricas de segurança e aumentar a precisão na medição de risco é essencial. Temos um papel único como fornecedor de nuvem, onde podemos nos tornar um pouco como um sistema imunológico digital para nossos clientes, uma vez que vemos problemas e podemos fornecer suporte rapidamente aos nossos clientes. Um componente deste trabalho é desenvolver melhores métricas e medições em torno da segurança.

No entanto, acho que corremos o risco de nos tornarmos obcecados demais em encontrar o conjunto perfeito de métricas para todos os contextos. Com o Risk Manager, estamos dando início ao programa examinando as melhores práticas de configuração para recursos de nuvem com base nos padrões do Center for Internet Security.

O que me entusiasma no programa hoje é a capacidade de fechar o ciclo dos resultados. Nossos parceiros, Munich Re e Allianz, irão reunir dados sobre quais indicadores estão correlacionados com perdas e melhorar continuamente a profundidade do feedback que damos aos clientes sobre o risco.

CSO – Quanta visibilidade e garantia extra a telemetria pode realmente fornecer agora, e o que precisa acontecer para que isso continue melhorando?

O Programa de Proteção de Risco é a primeira etapa para permitir que nossos parceiros de seguro acessem dados acionáveis que podem ser aproveitados. Os dados da ferramenta ajudam a otimizar os processos de subscrição de nossos parceiros de seguro e a desenvolver suas apólices de seguro com a tecnologia baseada em dados que seus segurados implementam.

Acredito firmemente que podemos aumentar a linha de base de segurança reduzindo o custo dos controles e, à medida que construímos mais controles em nossa plataforma, nossos clientes se beneficiam. Precisamos que os clientes adotem ativamente a tecnologia de segurança que fornecemos e temos a obrigação de tornar claro o caso de negócios para adoção e facilitar o processo de adoção.

Os melhores recursos de segurança que oferecemos são aqueles nos quais os clientes nunca precisam se preocupar.

CSO – Os provedores de nuvem estão se encaminhando para a automação dos relatórios de conformidade, e o que isso significa para os CISOs e suas organizações?

Uma parte significativa da execução na nuvem é a capacidade de definir, declarativamente, a configuração pretendida e, assim, ser capaz de monitorar sua adesão contínua a essa intenção. Essa abordagem de política, ou controles como código, é uma parte vital do monitoramento contínuo dos controles. Por sua vez, junto com o mapeamento desses controles para riscos e metas de conformidade, esta é uma base para relatórios automatizados que reduzem uma grande quantidade de trabalho que está presente na garantia de conformidade para outros tipos de ambientes.

CSO – Quão significativo é que um provedor de nuvem e seguradoras estejam colaborando em algo assim?

Esta é uma colaboração inédita entre um grande provedor de nuvem e empresas líderes de seguro cibernético. Por muito tempo, os clientes foram responsáveis ​​por criar programas eficazes de segurança em nuvem por conta própria. O resultado é que as empresas viram a nuvem como um risco a ser gerenciado, em vez de uma plataforma de gerenciamento de risco. Com o Programa de Proteção de Risco, estamos [permitindo] aos clientes ir além do modelo legado de responsabilidade compartilhada para um novo modelo de destino compartilhado, que inclui orientação detalhada para otimizar a segurança na nuvem, ferramentas para gerenciar requisitos contínuos de segurança e conformidade, e agora simplificou o acesso ao seguro cibernético com preços diretamente vinculados a uma postura de segurança forte.

No passado, você mencionou “mudanças estruturais” ou avanços no lado defensivo e observou a criação de centros de análise e compartilhamento de informações e a ascensão do papel do CISO como exemplos. Algum desenvolvimento recente atingiu esse nível?

A nuvem em geral é um bom exemplo disso. Em particular, a economia de escala da nuvem está mudando fundamentalmente o jogo da segurança. O ritmo de aprimoramento da segurança e a extensão da adição de recursos de segurança aos produtos – produtos seguros, não produtos de segurança – estão se acelerando. Os outros provedores de nuvem têm, é claro, um progresso semelhante. Essa aceleração maciça em escala global para manter o aumento da segurança em conjunto com agilidade e produtividade é um benefício para todos.

Quaisquer outras tecnologias ou processos emergentes promissores você vê tendo um grande impacto na nuvem e na segurança?

As organizações precisam de contexto de negócios em tempo real para dados de segurança. Mapear problemas de segurança para o contexto de negócios para determinar um nível de risco é um processo demorado. Em última análise, esse atraso deixa as organizações em maior risco de um incidente de segurança.

Com a nuvem, estamos tendendo em uma direção positiva, porque a tecnologia da nuvem torna a transparência de risco mais fácil, desde caminhos de segurança bem iluminados até abordagens declarativas, como configuração como código e inventários e diagnósticos mais precisos.