Proteção da cloud: uma necessidade para todas as organizações

Não há volta a dar: a cloud é cada vez mais importante para todas as organizações e a necessidade de fazer avançar o negócio obriga a que as empresas coloquem, pelo menos, parte dos seus workloads fora do on-premises e utilizem uma ou mais clouds.

Um estudo da IDC indica que 55% das empresas europeias vão migrar para a cloud até ao final deste ano e os gastos com cloud pública vão aumentar para 291 mil milhões de dólares até 2027. Este investimento representa uma taxa composta de crescimento anual (CAGR) de 20% entre 2022 e 2027.

A Gartner refere que, também até 2027, 50% das aplicações empresariais vão residir fora de locais centralizados de cloud pública, com as organizações a procurarem serviços de infraestrutura para as suas cargas de trabalho que agora residem no local, desde ofertas de virtualização de servidores até a um conjunto completo de serviços de fornecedores de cloud pública. Diz a Gartner que, “à medida que os mercados de computação cloud e a infraestrutura de data center evoluem (…), muitas empresas lutam para identificar os Parceiros e soluções certos”.

Problema: segurança

Se é certo que a cloud é essencial para os negócios, também é certo que proteger estas infraestruturas é essencial para qualquer organização. No entanto, o ‘Cloud Threat Landscape’ da X-Force aponta que a falta de ciberhigiene das empresas continua a ser um fator crítico para a segurança das mesmas e que as credenciais válidas e comprometidas representam quase 90% dos ativos à venda na dark web.

O mesmo relatório indica que mais de 35% dos incidentes de segurança na cloud ocorreram devido à utilização de credenciais válidas comprometidas e que as credenciais do Microsoft Outlook Cloud são os acessos mais populares à venda na dark web, com cinco milhões de menções nestes mercados.

No Relatório de Segurança na Cloud 2023, a Check Point aponta que, apesar dos inúmeros benefícios que as organizações obtêm destes ambientes, “a sua proteção eficaz continua a ser um desafio”. O relatório indica que as configurações incorretas são a principal preocupação de 59% dos inquiridos. Estas configurações incorretas impedem a organização de aproveitar em pleno o potencial da cloud como, também, deixam as organizações vulneráveis. A Frost & Sullivan considera que, à medida que as organizações operam em ambientes de várias clouds, enfrentam escassez de mão de obra qualificada que resulta no aumento da fadiga de alertas e sobrecarga operacional das equipas. A natureza dinâmica da cloud dificulta a deteção e resposta a ameaças críticas em tempo real pelas equipas de segurança.

Mas apesar de todos estes constrangimentos, de todas as preocupações, a cloud veio para ficar. Seja em cloud pública, privada, multicloud ou hybrid cloud, as organizações precisam da cloud para evoluir e fazer evoluir o seu negócio.

Solução: Parceiros

Com a escassez de talento que a indústria enfrenta e com os ambientes cada vez mais complexos, a resposta passa pelos Parceiros. A maioria das organizações não tem capacidade interna para responder a todos os desafios de segurança e fazer uma gestão eficaz dos variados problemas de segurança que vão aparecendo.

Os Managed Security Service Providers (MSSP) podem fornecer serviços de cibersegurança às organizações. Monitorização contínua da segurança, threat intelligence, gestão de intrusões, controlos de acesso e análise de risco de vulnerabilidades são apenas alguns dos serviços que os MSSP podem fornecer às empresas à medida que estas procuram melhorar a sua postura de cibersegurança.

O acesso a competências especializadas em segurança é algo que é de particular importância para as empresas e organizações. Como referido, a escassez de talento leva as organizações a terem de procurar nos Parceiros especializados essas competências que são cada vez mais difíceis de encontrar.

Ao mesmo tempo, os MSSP podem (e devem) ajudar na correta configuração e gestão das ferramentas. Comprar e implementar uma ferramenta – seja ou não de cibersegurança – é apenas o primeiro passo e as ferramentas de cibersegurança, devido à sua criticidade para a vida da empresa, devem ser configuradas e mantidas por um especialista. Ao trabalhar com um MSSP, as organizações não precisam de manter tantos especialistas e profissionais in-house para obter o máximo benefício das soluções de cibersegurança adquiridas. Os MSSP vão configurar e manter as soluções de cibersegurança implementadas nos ambientes das organizações e assegurar o seu correto funcionamento para proteger os seus clientes.

Cloud: proteção

Se as clouds, na maioria das organizações, representam um possível problema de segurança, a sua proteção é extremamente importante. Assim, há um conjunto de pontos, sugeridos pela Microsoft, que devem ser verificados pelas organizações – em conjunto com os seus Parceiros – para assegurar a proteção dos seus ambientes e workloads na cloud.

O primeiro ponto passa por escolher um fornecedor de cloud fiável. O fornecedor deve conseguir assegurar armazenamento de dados, encriptação e controlos de acesso. Depois, as organizações devem perceber as suas responsabilidades de segurança, uma vez que o fornecedor não é responsável pela segurança da informação e dos dados ali armazenados; o fornecedor é responsável por assegurar a infraestrutura.

As organizações e os seus Parceiros devem utilizar autenticação forte, até porque, como referido, as credenciais de acesso à cloud estão entre as mais vendidas na dark web. Passwords fortes e, principalmente, múltiplos fatores de autenticação são obrigatórios para manter os ambientes cloud mais seguros. Também são as organizações e os seus Parceiros que devem implementar encriptação, uma componente crucial da segurança na cloud. Assim, apenas os utilizadores autorizados podem aceder aos dados respetivos e garante que dados em trânsito estão protegidos de acessos não autorizados e data breaches.

Os Parceiros e as organizações também devem procurar implementar controlos de acesso que limitam o tempo de acesso a dados sensíveis na cloud. Estes controlos de acesso devem ser baseados em princípios de least privilege, onde os utilizadores têm acesso apenas à informação e aos dados necessários para realizar as suas tarefas.

Depois, é preciso monitorizar a atividade na cloud; só assim é que as organizações vão conhecer a sua postura de segurança. A monitorização da atividade na cloud ajuda a detetar e a prevenir acessos não autorizados aos dados. Vários fornecedores de cloud fornecem serviços de monitorização que podem alertar os administradores quando são detetadas atividades suspeitas.

Também é necessário pensar na proteção das API, que facilitam o acesso a dados na cloud. As API são vulneráveis a ataques caso não sejam corretamente configuradas e seguras. Estas API devem ser implementadas com encriptação e autenticação forte.

Realizar assessments de segurança regulares ajuda a identificar vulnerabilidades de segurança e a efetividade das medidas de segurança já colocadas em prática. Estes assessments podem ser realizados pelos Parceiros de IT das organizações.

Devem ser implementados princípios de zero- -trust que não devem ficar apenas pela cloud, mas sim em todo o tipo de acesso a informação. Os utilizadores devem ser sempre autenticados e autorizados com base nos data points disponíveis, limitar o acesso dos utilizadores ao mínimo necessário e segmentar o acesso.

Por fim, é importante educar os colaboradores. A ciberhigiene é necessária e não pode ser uma simples formação anual sobre as melhores práticas. Ensinar os colaboradores sobre os riscos de segurança associados ao armazenamento de dados em serviços cloud e as melhores práticas de segurança permite tornar a empresa mais segura e ter uma primeira linha de defesa mais forte.