Por: Ian Massingham (*)

Não foi preciso muito tempo para que a tecnologia em nuvem se consolidasse como um pilar fundamental do mundo de negócios. Em apenas cinco anos, a nuvem evoluiu para se tornar uma necessidade para o crescimento na era digital. Seja pela sua capacidade de reinventar as funções de TI, potenciar novos serviços, proporcionar uma maior flexibilidade de rede ou conduzir a inovação, está claro que esta tecnologia está a suportar a nova geração de serviços das empresas.

Mas ainda que a nuvem apresente alguns benefícios cruciais indubitáveis, também abre caminho para uma nova onda de risco na forma de ameaças à cibersegurança, cujos impactos podem ter consequências prejudiciais para o negócio. Por exemplo, um relatório do Instituto Ponemon revelou que a média de custo total de ataques varia entre os $ 2,2 milhões para incidentes com menos de 10.000 registos comprometidos e os $ 6,9 milhões para incidentes com mais de 50.000 registos comprometidos. O impacto financeiro é claramente uma enorme preocupação para as empresas, mas é apenas um dos fatores de risco a ter em consideração. As empresas podem enfrentar danos irreparáveis na sua reputação e na confiança do cliente.

A par e passo com o crescente número de ataques, a indústria também está a ver uma série de novas regulações, como o RGDP e o CLOUD Act, implementadas para proteger tanto as empresas como os consumidores. Nunca foi tão importante ter a postura de segurança correta.

Mas por onde deve começar? O que devemos considerar para garantir que temos a cibersegurança correta para os dados armazenados em nuvem?

Acredito que a segurança deve ser integrada na estrutura de qualquer oferta em nuvem, independentemente da dimensão da empresa. Partilho algumas considerações fundamentais que trabalhamos durante a implementação:

  • Classificação de dados – crie regras e políticas claras para os dados

Em primeiro lugar, é preciso classificar os ativos de dados com base na política de segurança e privacidade da empresa, regulações compliance do país e outras regulações e leis, como o RGPD. Um processo de classificação de dados eficaz é importante porque pode ajudar a determinar o nível necessário de controlos na rede e manter a confidencialidade e integridade dos dados.

Seguindo esta classificação e integrando-a quando é criado o Sistema de Gestão de Segurança de Informação (SGSI) garante que se tem a tecnologia de segurança capaz de responder aos controlos de compliance, incluindo recursos como encriptação em toda a rede, e defesa contra ameaças iminentes.

  • Usar um modelo de privilégio mínimo

Compreender e restringir quem tem acesso aos dados é vital para mitigar o risco e minimizar o impacto de erros humanos. Ao introduzir um modelo de privilégio e ser rigoroso com os direitos de acesso e “privilégios” sobre os ativos, é possível manter o controlo sobre a rede e proteger a empresa contra ameaças cada vez mais predominantes.  Para fazê-lo, basta aplicar uma política que garanta sempre o acesso mínimo absoluto, dependendo do nível de privilégio do utilizador. Seguir as práticas recomendadas de Gestão de Identidade de Acesso do fornecedor de nuvem e exigir recursos flexíveis e políticas de segurança rigorosas que respondam às necessidades.

  • Usar as ferramentas disponíveis para monitorizar e seguir o acesso e utilização

Utilizar as ferramentas do fornecedor de nuvem para entrar e monitorizar continuamente o acesso e compreender a atividade e utilização da plataforma. Certificar-se que tem as ferramentas para monitorizar o histórico de logins e guardar todos estes registos, para fins de auditoria. Ao fazê-lo, pode identificar ameaças internas e alterações no comportamento antes que aconteçam e que originem uma violação grave.

Existem várias ferramentas para ajudar a definir e seguir métricas que sejam capazes de criar o alerta quando alguém acede ou altera os ativos de dados armazenados na nuvem. Se tiver uma ferramenta para descobrir dados sensíveis nos seus ativos de dados, utilize-a!

  • Aplicar regras para proteger conteúdo

Trabalhar com o fornecedor de nuvem e equipas de encriptação para proteger o conteúdo. Por exemplo, a encriptação pré-definida do Amazon S3 estabelece um comportamento de encriptação padrão para o seu bucket S3. É importante destacar que quando utiliza encriptação do servidor, o Amazon S3 encripta um objeto antes de o guardar nos centros de dados e desencripta-o quando faz o download do mesmo, protegendo os ativos tanto no ambiente on-premises como em trânsito. Ao instalar estas regras e ao trabalhar com o fornecedor de nuvem para implementar a encriptação necessária, independentemente do movimento dos dados, consegue-se proteger o conteúdo contra as ameaças mais sofisticadas.

Proteger os seus dados em nuvem

Não há como negar que as capacidades da nuvem em todos os negócios é o futuro, uma vez que criarão oportunidades para inovar em todo o mundo. Contudo, proteger dados armazenados na nuvem implica uma consideração e colaboração meticulosas com os parceiros adequados, assim como um investimento nas soluções que melhor se adeqúem ao negócio.

De uma forma geral, há que ter em conta as necessidades dos negócios, a compreensão e classificação dos dados que circulam na rede e finalmente a sensibilização dos colaboradores sobre os benefícios e desafios da nuvem.

Ao ter a segurança integrada, seguindo estes passos simples e tendo o parceiro de nuvem ideal para escalar de acordo com as suas necessidades, é possível monitorizar e mitigar as ameaças mais prevalecentes.

(*) AWS Technical Evangelist