Quanto você realmente sabe sobre a exposição da sua organização na nuvem? Você sabe dizer com alguma certeza quantos aplicativos de nuvem seus funcionários utilizam, que dados estão sendo compartilhados e armazenados nela e quem tem acesso a eles?
Se sua resposta a algumas dessas perguntas ou a todas elas for “não”, você não está sozinho. Mas isso não deve de maneira alguma amenizar a situação. Uma recente pesquisa da SANS descobriu que, embora 40% das empresas admitirem que processam ou compartilham dados confidenciais na nuvem, uma proporção um pouco preocupante de 13% informa que não sabe se sua organização tem dados confidenciais na nuvem.
Esse problema tende a aumentar uma vez que a adoção da nuvem pelas empresas está em alta: 80% dos gastos com TI serão dedicados a serviços de nuvem nos próximos 16 meses, segundo uma pesquisa da Intel Security. Todos sabemos a importância da segurança na nuvem, mas, antes de mais nada, como é possível proteger uma coisa da qual não se tem nenhuma visibilidade?
Antes mesmo de chegar aos dados e aplicativos, essa necessidade de visibilidade começa com a infraestrutura de nuvem. Na pesquisa da SANS, 58% das organizações afirmaram que a falta de visibilidade da infraestrutura dos provedores de nuvem é o seu maior problema operacional. Atualmente, com a nuvem pública, é muito fácil para as organizações alugarem espaço de processamento e iniciarem novas máquinas virtuais. As organizações podem ligar apenas algumas vezes essas máquinas na nuvem, uma vez por mês ou uma vez por trimestre, quando necessário. Enquanto isso, elas ficam paradas e esquecidas, sem que o departamento de TI tenha visibilidade ou controle sobre suas configurações de segurança.
As empresas precisam garantir que possuem uma conexão de gerenciamento de segurança com o seu fornecedor de infraestrutura de nuvem, para realizar uma varredura de avaliação de recursos. Isso permite que o departamento de TI veja quantas imagens há na nuvem e o que está on-line ou off-line, para impor políticas de segurança e verificar se recursos como antivírus e sistemas de detecção de intrusões estão atualizados. Esse é um primeiro passo importante da segurança na nuvem, porque, se você não puder gerenciar sua infraestrutura para utilizar a nuvem, ficará completamente sem controle: não terá visibilidade.
A Shadow IT é outro grande problema para a visibilidade e o controle na nuvem. Relatório da Intel Security revelou uma alarmante falta de visibilidade quanto à exposição da Shadow IT na nuvem entre as empresas. Menos da metade (45%) dos entrevistados afirmou que tinham visibilidade da sua Shadow IT no modelo SaaS, enquanto apenas 42% disseram o mesmo sobre a Shadow IT no modelo IaaS.
Talvez não seja surpreendente que os níveis mais altos da Shadow IT se encontrem nos departamentos de Vendas, P&D e Marketing, onde as equipes usam taticamente os serviços de nuvem quando precisam reagir rapidamente às mais recentes necessidades de negócios e tendências dos clientes. Vejamos o exemplo de uma equipe de vendas que ignora o departamento de TI e abre uma conta do Salesforce para realizar uma campanha de curto prazo. O departamento de TI praticamente não tem controle nem visibilidade sobre os tipos de dados que saem da organização para esse aplicativo Salesforce na nuvem.
Porém, o maior ponto de interrogação quando se trata da Shadow IT paira sobre o departamento jurídico, onde aproximadamente 37% dos entrevistados disseram não saber se esse departamento está adquirindo serviços de nuvem sem o conhecimento do departamento de TI.
A TI precisa recuperar o controle sobre a Shadow IT. A questão não é tentar impedila. Ao contrário, o departamento de TI precisa ser o educador e intermediário que pode capacitar as equipes dos departamentos a acessar as ferramentas e os serviços de que precisam, utilizando alternativas mais seguras.
Um dos maiores medos dos CISOs é o vazamento de informações corporativas confidenciais por meio de serviços de baixa segurança na nuvem que os funcionários utilizam. Uma tecnologia que é cada vez mais utilizada pelas empresas para proteger os dados na nuvem é o intermediário de serviço de acesso à nuvem (CASB). Os CASBs permitem centralizar o controle e a imposição das políticas de segurança. Eles proporcionam controle e visibilidade aos CISOs, aplicando políticas de segurança uniformes sempre que os dados forem armazenados, compartilhados e de qualquer maneira acessados. Os CASBs fornecem o contexto para decidir se os dados terão autorização para ir da organização para a nuvem e se eles precisarão ser criptografados.
O departamento de TI, os CIOs e os CISOs precisam ser os facilitadores que apóiam os negócios, procurando aproveitar os benefícios de redução de custos, flexibilidade, inovação e ganhos de produtividade através do uso mais amplo da nuvem. Entretanto, isso precisa ser feito de forma segura e a única maneira de conseguir isso é aumentar a visibilidade do uso e dos dados na nuvem. Rolf Haas é especialista em segurança corporativa na Intel Security