Cláudio Martinelli (*)
A pandemia acelerou a transformação digital de forma inimaginável. Neste momento, empresas que ainda não haviam iniciado operações na nuvem estão realizando esta migração. E diante desse cenário, o cibercrime emerge como uma das principais ameaças. Ainda que não seja uma questão nova, ela nunca esteve tão forte quanto neste período de transição.
Levantamento da Kaspersky mostra, por exemplo, que, em 2020, os ataques de força bruta ao protocolo de acesso remoto RDP cresceram 235% no Brasil. Apesar do nome complicado, a mecânica é simples: criminosos testam infinitas combinações de senhas até conseguir acesso à rede corporativa.
Ataques de ransomware que paralisaram empresas no último ano usam este golpe para iniciar a infecção dos sistemas, Riuky e Egregor são dois exemplos. Por isso, ressalto o quão crítico se tornou o cuidado com as máquinas e servidores conectados à internet, sejam eles na nuvem ou não.
Um erro muito comum é apostar na segurança por obscuridade, que é basicamente realizar a migração sem nenhuma proteção no ambiente de nuvem e torcer para que nada de ruim aconteça. Pode parecer uma atitude irracional, mas é algo ao qual empresas têm se arriscado para evitar um investimento extra para realizar a migração – e, em alguns casos, pode até inviabilizar o projeto.
Um dos argumentos para assegurar a sucesso de uma migração com segurança é o aumento na eficiência operacional que uma solução correta para trazer para a equipe de TI. As tecnologias desenhadas para ambientes em nuvem irão automatizar todo o processo de proteção sempre que o profissional criar um ambiente novo, seja uma máquina, um servidor de aplicação ou de armazenamento.
Sem isto, o profissional tem que realizar a instalação do endpoint um a um, o que consome tempo que poderia ser usado de outra forma. Essa eficiência deve ser usada para justificar o investimento já que a equipe terá mais tempo para projetos de transformação digital e de geração de valor para o negócio.
A segunda preocupação mais comum de uma migração dependerá do fornecedor de segurança com o qual a empresa trabalhará. Algumas tecnologias de proteção em nuvem trabalham com ambientes híbridos e permitem a transferência automática de políticas de segurança presentes nas máquinas físicas para o ambiente em nuvem, o que gera uma economia de tempo importante para o processo como um todo e garante o mesmo nível de proteção, independente do ambiente em que a empresa está operando.
Outro momento importante é quando transferimos dados para a nuvem. Engana-se quem pensa que a segurança do fornecedor se aplica a eles. As tecnologias e certificações garantem a proteção da infraestrutura do serviço, caso um vazamento de informações ocorra sem o comprometimento desta infraestrutura, a responsabilidade recai integralmente para a contratante.
As empresas podem não reconhecer ainda sua responsabilidade na proteção dos dados armazenados na nuvem, mas a LGPD está valendo e já definiu claramente esta responsabilidade. Devemos levar em conta que cerca de nove em dez incidentes de segurança na nuvem ocorrem por erro humano – e não por falha do provedor do serviço, segundo nossa pesquisa. A causa: uso da engenharia social para roubar credenciais de acesso ao serviço.
Já deixo claro que somos contra a criação de regras complexas para a criação de senhas, pois o funcionário não vai lembrar delas e isso gera ineficiência. O adequado é realizar treinamentos de conscientização constantes (duas vezes por ano) para que o funcionário aprenda a criar e gerenciar suas senhas de forma segura.
Por fim, destaco um recurso fundamental nos dias de hoje, em que os dados são uma das maiores bem-valias das organizações.
Falo da aplicação de bloqueio com criptografia no acesso aos dados mais sensíveis, que é a melhor forma de se prevenir contra vazamento de dados. Isso, porque, mesmo que um criminoso consiga ter acesso ao local onde estão armazenados, não será possível acessar essas informações.
Além disso, em caso de incidente que resulte em exposição de dados, a LGPD prevê uma diminuição ou até mesmo a anulação da multa quando comprovado que a empresa usou o recurso de criptografia.
(*) – É diretor-geral da Kaspersky para a América Latina (www.kaspersky.com.br).
