A batalha entre a migração para nuvem X proteção dos dados

com Willem van Dinteren

Este artigo, escrito pelo especialista em cybersecurity, Willem van Dinteren, traz recomendações de como iniciar um processo de segurança eficiente para os dados que estão na nuvem.

Antes de começar, aqui vai uma informação: CASB (Cloud Access Security Broker) é a nomenclatura criada pelo Gartner para definir soluções de segurança dos dados que estão na Cloud, assim como CSG (cloud security gateway) que é a nomenclatura utilizada pela Forrester, portanto, se quiser fazer buscas mais amplas, de outros institutos de pesquisa, o recomendável é pesquisar por “segurança de dados na nuvem”. Aqui vamos utilizar CASB por ser a nomenclatura mais popular e porque muitos fabricantes já adotaram este nome em suas soluções.

Boa leitura. Espero que você goste.

O uso da nuvem pelas corporações vem crescendo exponencialmente nos últimos anos. O que começou de forma tímida e desconfiada, por parte dos gestores, vem ganhando adeptos a cada dia que passa, seja pela possibilidade de escalabilidade, seja pela facilidade de trabalho colaborativo e compartilhamento das informações, seja pela agilidade que propicia para os negócios, entre outras necessidades.

A verdade é uma só: estamos vivendo uma mudança conceitual no uso da tecnologia, talvez muito similar, (guardadas as proporções) ao início da era dos Mainframes.

Após a era dos mainframes vieram os PC´s e a baixa Plataformas. Os computadores passaram a estar sobre todas as mesas e a informação começava a se multiplicar e assim, muitas ondas vieram e as corporações acabaram investindo nesta ou naquela tecnologia que, com o passar do tempo, se deram conta que investiram tempo e dinheiro em tecnologias equivocadas e que não estavam alinhadas às necessidades da corporação.

O mesmo vem acontecendo com a adoção das soluções baseadas em cloud, muitas empresas estão descobrindo que seus negócios não são totalmente aderentes ao uso da nuvem, ou ainda, se deram conta de que os benefícios dessas tecnologias embora inegáveis, tem um custo alto e por vezes as corporações descobrem da pior forma possível que a utilização das tecnologias em CLOUD inviabilizam financeiramente sua adoção.

Entretanto, existe ainda uma outra característica – muito importante – sobre a nuvem e que as corporações vêm se dando conta aos poucos: A cybersecurity.

Atualmente, o cenário de ameaças à informação nunca foi tão diversificado. Lidamos com ameaças relacionadas a insiders, hackers, ataques de spam (phishing), campanhas de APT´s, engenharia social, entre outras. Além do aumento das ameaças e da complexidade com que esses ataques acontecem, temos que lidar com os diversos níveis de usuários com os mais variados níveis de conscientização, ou a falta dela, infelizmente.

Apenas para ilustrar, a Cybersecurity Ventures estima que até 2021 o mercado de segurança irá investir cerca de 1 trilhão de dólares, enquanto que o cibercrime terá investimentos em torno de 15 trilhões de dólares!

Ou seja, o mercado do cibercrime possui uma imensa vantagem financeira sobre as corporações e, por mais que seja impossível ter 100% de segurança em tudo, não podemos, por outro lado, deixar de realizar os investimentos necessários, especialmente quando adotamos as tecnologias em Cloud. As ameaças estão aí, estão crescendo e estão cada mais avançadas. Temos que estar atentos a tudo, o tempo todo. Mas como proteger aquilo que não está dentro do nosso ambiente?

É necessário alterar o modelo de implantação da segurança.

Tradicionalmente, se implementa tecnologia de segurança com a arquitetura desenhada para a segurança da Infraestrutura, porém com a adoção das tecnologias baseadas em nuvem se faz necessário pensar em uma topologia ou arquitetura de segurança baseada nos DADOS! O que muda sensivelmente a forma de se implementar a segurança, uma vez que será necessário conhecer mais profundamente os dados que estão sendo migrados.

Uma boa forma de se realizar esta análise é a utilização de materiais já desenvolvidos para essa finalidade, como o Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem v3.0 (Desenvolvido pela CSA – Cloud Security Aliance) e já traduzido para o português. Seu uso e download são públicos e essa documentação está disponível no site do capítulo Brasil dessa instituição. Para facilitar, o link está disponível no final do artigo.

Outra fonte importante é o guia oficial do ISC2 para segurança em Cloud (The Official (ISC)2 Guide to the CCSP CBK), que é o material de estudo para a certificação CCSP*. Este não é público, nem gratuito. Já está disponível na Amazon Brasil e custa em torno de R$ 250,00 a versão para kindle e, R$ 490,00 o impresso, ambos em inglês.

*A inlearn, instituição de treinamentos e certificações de tecnologia, disponibiliza o treinamento oficial e a certificação CCSP,e o custo  aproximado é  de U$ 2,300.00 por aluno.

Ambos os materiais possuem a metodologia necessária para que as corporações estruturem a segurança dos dados na nuvem, porém é necessário por vezes a adoção de tecnologia para a proteção desses dados e uma das tecnologias mais difundidas atualmente são as tecnologias de CASB (Cloud Access Security Broker).

O CASB na verdade é uma topologia de segurança desenvolvido pelo Gartner que é baseado em 4 pilares:

– Visibilidade

– Compliance

– Data Security

– Threat Protection

Há diversas formas de se implementar soluções de CASB, como utilização agentes, sistemas de proxy reverso, API´s, entre outros modelos. São temas mais técnicos e que devem ser abordados e debatidos com os times internos das corporações, para adequação do modelo de negócio de cada companhia.

Outro ponto relevante quando falamos de CASB, é que muitos clientes confundem o CASB, com outras tecnologias de proteção, tais como DLP (Data Loss Prevention) ou ainda com aplicações de UBA (User Behavior Analitics) e o UEBA (User and Entity Behavior Analitics). Essas tecnologias são complementares ao CASB e, dependendo do fabricante, podem até conter módulos relacionados as mesmas, porém CASB pode conter essas tecnologias, já o contrário, não.

O mais importante quando falamos de CASB é que esta solução seja capaz de atender os requisitos da corporação e que seja capaz de atender todos os pilares referentes a proteção do dado. O apoio de seu parceiro tecnológico de segurança para auxiliar na implantação e customização da solução é essencial e sempre deverá considerar as demandas do negócio, o desenvolvimento de políticas e configurações da solução (baseando-se nas melhores práticas de mercado e metodologias de segurança, para a operação dessas plataformas).

Também se faz necessário, após a implantação e customização da solução, uma operação minuciosa, pois ao longo do tempo novas necessidades de negócios e aplicações serão adotadas e assim, a solução deve refletir essas necessidades através dos ajustes necessários da plataforma.

É recomendável a contratação de um fornecedor especializado em serviços gerenciados para apoiar o time interno de TI, reduzindo sua carga de trabalho e colaborando com Know How para a operação dessa tecnologia.

Finalizo dizendo que o segredo da utilização do CASB está na customização da ferramenta, pois quanto mais aderente estiver ao negócio, maior será a proteção das informações da sua empresa.