Os Chief Information Security Officers (CISOs) continuam enfrentando obstáculos devido a pressupostos inadequados e estratégias obsoletas. É crucial que eles participem desde o início nas tomadas de decisão para atender às demandas específicas de cada negócio.
Imagem: MaxWdhs/ShutterStockÀ medida que as empresas se movem cada vez mais em direção à computação em nuvem, os líderes de segurança da informação enfrentam vários desafios importantes para garantir uma segurança eficaz na nuvem. Este cenário foi destacado por especialistas durante a mais recente Gartner Security & Risk Management Summit. De acordo com a Gartner, espera-se um aumento expressivo de 24% nos investimentos em segurança na nuvem, tornando-o o setor de crescimento mais acelerado no mercado global de segurança e gestão de riscos.
Modificar, adequar, realizar
Resumindo, a transição para a computação em nuvem exige uma revisão essencial da segurança. Muitas organizações enfrentam desafios ao incorporar a nuvem em suas operações padrão, e essa mudança apresenta mais dificuldades do que muitos diretores de segurança da informação percebem, conforme observado em pesquisas e experiências de consultoria ao longo de duas décadas.
Questões presentes em ambientes de TI tradicionais continuam sendo relevantes na nuvem, como questões relativas a governança, configurações erradas, cadeias de suprimentos vulneráveis, perda de dados ou vazamento de informações, e falhas no gerenciamento de segredos e chaves. A migração para a nuvem traz consigo riscos específicos, como falta de visibilidade, superfícies de ataque em constante mudança, aumento da complexidade na gestão de identidades e confusão sobre responsabilidade compartilhada, conformidade, regulamentações e soberania dos dados. Estes são apenas alguns exemplos dos desafios enfrentados nesse ambiente.
A maioria dos diretores de segurança da informação afirma que ainda precisam compreender claramente as mudanças necessárias. Muitos se sentem frustrados com o provedor de nuvem devido à falta de clareza sobre as responsabilidades necessárias para garantir a segurança de suas implementações na nuvem. Embora tenha dado muitos conselhos sobre o assunto, nunca é produtivo apontar o dedo para alguém que está enfrentando dificuldades, então é essencial encontrar maneiras de melhorar a situação.
O conceito de responsabilidade dividida
Muitos chefes de segurança de informação (CISOs) e equipes de segurança necessitam de orientação sobre o modelo de responsabilidade compartilhada adotado pelos principais provedores de nuvem pública, como a Amazon Web Services (AWS) e a Microsoft Azure. Esse modelo define as responsabilidades de segurança tanto do provedor de nuvem quanto do cliente e é uma informação básica presente no início de qualquer apresentação sobre segurança na nuvem desde 2008.
Desafios frequentemente surgem de pressupostos relacionados à tecnologia e ao alcance das responsabilidades de segurança dos provedores de serviços em nuvem. Questões de conformidade, proteção de dados sensíveis, continuidade operacional e acordos de nível de serviço (SLAs) ambíguos se tornam problemas inesperados para os CISOs. Conforme relatado por um colega do CISO com vasta experiência em segurança na nuvem, a questão nunca foi sobre “responsabilidade compartilhada”, mas sim sobre a responsabilidade total do indivíduo.
Os executivos de segurança da informação frequentemente se deparam com diversos desafios importantes ao gerenciar a segurança na nuvem.
- As áreas de atuação não atenderam de forma adequada às exigências de segurança.
- A nuvem apresenta maior complexidade do que se pensava inicialmente.
- Projetos de estratégia, arquitetura ou transformação na nuvem frequentemente avançam sem a participação do CISO, cuja presença é fundamental para garantir a segurança.
- Não colaborar com os CIOs para incorporar a segurança na engenharia de plataforma e nos pipelines de desenvolvimento pode causar atrasos nos processos devido a práticas de segurança obsoletas.
- Novas tecnologias são submetidas a padrões de segurança tradicionais.
Não há alternativa para o esforço árduo.
Eu sugiro diferentes abordagens para lidar com esses obstáculos. É fundamental utilizar recursos automatizados para controlar a segurança de um ambiente em nuvem. A automação é uma aliada importante. Além disso, implementar uma governança sólida de segurança na nuvem pode auxiliar na priorização de alertas e na garantia da continuidade do serviço. Responder a cada anomalia de forma repetitiva não é eficiente, e o risco de perder credibilidade ao exagerar nos avisos é real, podendo resultar em uma violação de segurança.
É crucial unir os esforços de segurança e buscar a imutabilidade como práticas fundamentais. Além disso, capacitar e fortalecer a equipe de segurança é essencial para se ajustar às mudanças na segurança em ambientes de nuvem. A falta de treinamento, e não de tecnologia, é a principal responsável pela maioria das violações. Os CISOs reconhecem que, mesmo com a melhor tecnologia de segurança em nuvem disponível, é necessário lidar com erros humanos. As configurações incorretas são a principal causa de violações em ambientes de nuvem.
É importante abordar questões específicas de acordo com as necessidades individuais. Muitas vezes, os CISOs adotam ideias de consultorias que podem não ser adequadas para suas situações. A segurança na nuvem não é uma solução universal e deve ser integrada sistemicamente em todos os sistemas, não apenas no último estágio de implementação. Problemas surgem quando a segurança é adicionada de forma desconexa, tornando-a ineficaz.
Eu desejaria ter um segredo infalível para orientar os CISOs que buscam aprimorar a segurança na nuvem, porém, trata-se de agir de maneira estratégica e intencional para obter sucesso. Muitos não apreciam essa abordagem – ela requer planejamento e pesquisa minuciosos. No entanto, não há alternativa.