A segurança dos ambientes de TI tem sido uma preocupação crescente das empresas e com razão. De um lado, temos o crescimento das ameaças virtuais e, de outro, há regulações como a Lei Geral de Proteção de Dados (LGPD), que determina quais dados podem ser armazenados e de que forma. Só estes dois fatores mostram que um eventual vazamento – além de grandes prejuízos – podem trazer também penalidades pesadas.
O que ocorre é que garantir a segurança tem se tornado uma tarefa cada vez mais complexa, principalmente em função da adoção de ambientes híbridos. Hoje, quando uma empresa começa a trabalhar com um ambiente assim, ela pode contar com variáveis como seu próprio data center, um ambiente de virtualização, um ou mais ambientes de nuvem, uma nuvem dentro de seu data center etc. E, em todas estas combinações, existe a necessidade de expor serviço de uma forma ou de outra.
Não é por acaso que a função de CISO (Chief Information Security Officer) tem se tornado cada dia mais necessária e, claro, tem carência de profissionais. Além de buscar profissionais, as empresas também estão criando mais e mais camadas de segurança para evitar a exposição de dados, o que muitas vezes não pode ser feito da mesma forma que em data centers próprios, com distribuidores de conteúdo, camadas de firewall, load balancing, entre outros.
As empresas quando adotam este modelo, começam a trabalhar a segurança na nuvem de forma errônea, tratando-a como um mero ambiente virtualizado. É sempre bom lembrar que existem dois tipos de segurança, sendo uma responsabilidade do provedor, que envolve a proteção de hardware, sistema operacional e serviços na nuvem; e a do cliente, que deve assumir a segurança na nuvem que abrange tudo o que ele oferece aos seus usuários finais.
Algumas empresas já estão compreendendo isso e têm mostrado preocupação sobre como cuidar da identidade das pessoas que vão utilizar o ambiente em nuvem, utilizando a governança para trabalhar com o menor privilégio possível para pessoas, máquinas e sistemas. É assim que começam a nascer as estratégias de segurança e compliance como código, que vão garantir que todos os ambientes em nuvem sigam as mesmas regras. Na prática, é a substituição do tradicional script que faz um hardening (processo de mitigação de riscos e execução de atividades corretivas) no servidor por sistemas complexos que cuidam e avaliam a segurança da empresa.
Parte da complexidade vem do fato de que este tipo de estratégia exige melhorias contínuas, realizadas por meio de fluxos de avaliações e correções. Isso deve ser feito porque a nuvem é um ambiente dinâmico, com instâncias de serviços que nascem e morrem constantemente e precisam seguir regras de segurança. Ao mesmo tempo, o ambiente on-premises precisa falar com a nuvem e fazer isso via internet pode não ser o melhor caminho, o que demanda a criação de mecanismos de conexão exclusivos. Outro ponto importante é a centralização do tráfego de rede da nuvem, que vai permitir que qualquer coisa que entre ou saia da nuvem, mesmo vindo do data center da empresa, tenha seus pacotes inspecionados.
E aqui não podemos deixar de lado o fator humano: ao adotar estas práticas, a empresa precisa treinar seus usuários. Eles precisam entender por que, em algum momento, eles terão suas ações limitadas em seus próprios computadores, não podendo instalar softwares não homologados, por exemplo; ou mesmo porque devem respeitar estruturas de segurança, não podendo acessar determinados sites naquele equipamento.
Este também é um processo que ganhou complexidade depois da pandemia, já que as empresas passaram a se preocupar com o nível de segurança dos computadores dos funcionários. Para isso existem estratégias de antivírus e firewall que valem também para acessar a nuvem, respeitando diferentes níveis. O desenvolvedor, por exemplo, precisa mais acesso que um usuário comum, e aqui temos que ter metodologias de qualidade de código, como a esteira de segurança, que testa o código e garante que ele vá para a nuvem sem nenhuma falha de segurança.
Basicamente esse é o universo de segurança da informação em um modelo híbrido de trabalho. É preciso entender que não se trata apenas de infraestrutura, mas da implementação de processos de análise e correção e de alternativas que garantam a continuidade do serviço. Por exemplo, se há um problema, a empresa deve ser capaz de recuperar o serviço de maneira rápida.
Quanto mais tecnologicamente madura é a empresa, melhor ela tem estes processos definidos. Isso inclui também definir se eles serão executados internamente ou por um terceiro (fornecedor) capaz de oferecer serviços para assessment de segurança para identificar gaps e que conte com uma unidade de negócios focada em segurança capaz de falar sobre governança e entregar produtos.
Fato é que as empresas têm que investir em segurança e, dada a atual situação do mercado, devem contar com projetos claros de capacitação para isso. Dentre os temas de atenção, as companhias precisam: definir políticas de segurança, instruir todo o time sobre segurança da informação e capacitar, cada vez mais, os profissionais dessa área. Além disso, as instituições devem preparar-se para a mudança cultural necessária para conseguir implementar as melhores práticas para ambientes híbridos, onde não necessariamente a empresa possui controle de todos os recursos utilizados por um determinado sistema ou ambiente.
*Por Diogo Fernandes, Sr Cloud Expert da Logicalis.
