248 views 12 mins

Como estabelecer segurança quando não existe mais perímetro?

em Manchete Principal
segunda-feira, 14 de setembro de 2020

José Ricardo Maia Moraes (*)

Bons tempos aqueles em que todos os recursos computacionais estavam sob controle. Data Centers, matriz e filiais, estações de trabalho e até dispositivos móveis estavam sob total controle e era fácil definir como, por quem, quando e onde as aplicações poderiam ser acessadas. Usuários eram treinados para usar apenas os aplicativos padrões para editar textos, planilhas, apresentações, e-mail, Intranet e sistemas corporativos (ERP).

E por incrível que pareça, esses usuários usavam apenas o que lhes era apresentado, da forma como foram treinados. Os incidentes de segurança estavam restritos em sua maioria à engenharia social e erros de operação. Fazendo uma analogia, era como se tudo estivesse dentro do castelo. O castelo estava fortificado com uma robusta muralha, existia uma guarda patrulhando a muralha, um fosso separando o castelo do resto do mundo e uma ponte levadiça era a única porta de entrada.

Dentro do castelo tudo estava sob controle e a entrada e saída do castelo era ostensivamente controlada. Mas, novos fatos começaram a fazer esse modelo se dissolver pouco a pouco. Em primeiro lugar, a Internet se tornou um ambiente de negócios extremamente rápido e ágil, e isso exigiu que alguns paradigmas fossem quebrados. Em primeiro lugar, a empresa foi obrigada a criar meios de se comunicar institucionalmente e comercialmente com os clientes e outra empresas.

Imagem: Freepik

Isso deixou a muralha um pouco mais vulnerável, pois além do fluxo de entrada e saída ter aumentado significativamente, foi necessário criar canais de comunicação. Ou seja, foram adicionadas novas janelas e portas menores à muralha. Outro ponto de grande impacto é que os funcionários começaram a usar a Internet ativamente consumindo uma série de serviços pelos seus dispositivos pessoais. Além disso, eles começaram a fazer uso desses serviços a partir de suas casas e nos locais de trabalho.

Agora, os sempre bem-comportados e treinados usuários possuíam comportamento imprevisível utilizando dispositivos que a empresa nem imaginava, muito menos controlava. Esses dispositivos pessoais no ambiente corporativo se tornaram um pesadelo do ponto de vista de segurança, mas que muitos embalaram de uma forma positiva com o BYOD (Bring Your Own Device – traga seu próprio dispositivo). Na verdade, era como ter agora uma rede de espiões dentro do castelo.

O tempo passou e se iniciou uma nova era com os serviços em Nuvem (IaaS, SaaS, PaaS) tanto do ponto de vista corporativo, quanto pessoal. Agora, todo mundo tem uma conta no Google, Microsoft, Box, DropBox e outras tantas sem a mesma reputação. Mais que isso, as pessoas começaram a consumir e a usar esses recursos sem pedir a ninguém (TI e Segurança). Para um usuário regular o Google Drive e o OneDrive (Microsoft) pessoal e corporativo é a mesma coisa, quando sabemos que o serviço é o mesmo, mas a política de uso e controle é totalmente diferente. A muralha e o fosso do castelo foram pouco a pouco se dissolvendo.

Imagine a seguinte situação: um funcionário usando o desktop da empresa no escritório acessou dados corporativos através do ERP que agora está na Nuvem. Esse usuário pegou dados e exportou para uma planilha no seu OneDrive corporativo. Durante o fim de semana esse mesmo usuário acessou seu OneDrive corporativo do seu notebook pessoal, sim, aquele mesmo que os filhos usam para jogos online e acesso à sites nem sempre confiáveis.

Depois de trabalhar na sua planilha, ele precisou compartilhar esses dados com um terceiro fora da empresa e, para tal, transferiu a planilha para seu Google Drive pessoal e criou um compartilhamento através de uma simples URL. Pode ser ainda que esse arquivo tenha sido enviado por um simples e-mail. Outro exemplo simples, uma área da empresa precisa disponibilizar novas informações para clientes ou parceiros através de um novo website.

A área de negócios solicita então a criação desse recurso nos domínios (Data Center ou Nuvem) da empresa. Contudo, existem regras e processos que precisam ser executados, então é informado que tudo estará funcional em 15 dias. O gestor pressionado pelo negócio e com orçamento para tal contrata uma empresa na Nuvem, que disponibiliza tudo o que é necessário em apenas dois dias!

Imagem: Freepik

Agora temos um nome para isso, chama-se “Shadow IT”, ou seja, soluções, sistemas, recursos que são disponibilizados por áreas de negócio sem nenhum conhecimento e controle de TI, Segurança e Compliance. Pegaram os tesouros do castelo (informações) e espalharam pelo reino sem nenhum controle e critério.

Some-se a isso o fato das necessidades das novas gerações de trabalhadores. Eles querem usar qualquer dispositivo, de qualquer lugar, a qualquer momento para acessar qualquer serviço e aplicações (internas e externas) sem nenhum controle ou limitação.

Perceba que agora não existe mais perímetro. Não existe mais o conceito do que está dentro é seguro e o que está fora é inseguro. Não existe mais a confiança total no funcionário e os dispositivos que ele usa. As ameaças estão em todos os lugares e todos são suspeitos! Pesquisas recentes demonstram que as empresas estão usando em média mais de 1.200 serviços em Nuvem, sendo que 30% são de uso pessoal, 68% de negócios e menos de 2% estão sob o controle de TI, Segurança e Compliance.

Adicione a isso o fato de que a chamada “Transformação Digital” juntamente com todos os benefícios, trouxe também grandes ameaças – acesso não autorizado (46%), erros de configuração (48%) e interfaces e API’s inseguras (57%).

O castelo ruiu, precisamos de um novo modelo

Agora que o castelo está totalmente exposto, como proteger os tesouros (informação)? Com as informações fluindo livremente pela Nuvem entre instâncias corporativas e pessoais, com usuários usando serviços seguros e outros nem tanto, com usuários e clientes se expondo cada vez mais e com o chamado “novo normal” de trabalho remoto é necessária uma nova abordagem onde a proteção seja em torno da informação, esteja ela no Data Center ou em plataformas na Nuvem.

Imagem: Freepik

A seguir serão pontuadas tecnologias que se propõe a endereçar essas novas questões, além das regulações de mercado (BACEN, PCI, etc.) e leis de privacidade (LGPD, GDPR, etc.) de forma a garantir a confidencialidade, integridade, sigilo, rastreabilidade e acesso.

  • Acesso remoto – é necessário garantir que o acesso seja realizado com o menor impacto possível para o usuário, com inteligência para segregar aplicações e serviços corporativos dos pessoais. Além disso, é importante detectar e impedir a troca indesejada de informações, bloquear os serviços considerados inseguros pela empresa e monitorar tudo continuamente;
  • Criptografia – dados podem vazar, e eventualmente vazarão, mas, informação não pode vazar de nenhuma forma. Ou seja, se o dado vazar, mas estiver criptografado, pouca ou nenhuma utilidade terá. Muitas plataformas promovem criptografia, mas poucas promovem gestão de chaves criptográficas de forma adequada. A informação efetivamente pertence àquele que é o dono das chaves criptográficas. Se as suas informações estão criptografadas e não é você quem gerencia essas chaves, você está com uma questão séria que precisa ser endereçada;
  • Gestão de Credenciais – credenciais (nome de usuário e senha) privilegiadas oferecem acessos e irrestritos aos sistemas operacionais, aplicações e bancos de dados. Elas são o alvo principal dos criminosos pois é através delas que se obtém o acesso às informações. Essas credenciais, além de impessoais (não há uma forma de criar um vínculo entre uma pessoa e o uso de uma credencial), são difíceis de gerenciar;
  • Governança de Dados – também conhecida como Data Discovery é uma tecnologia que vai efetivamente monitorar as informações da sua empresa onde quer que elas estejam. Uma vez descobertas, podem ser classificadas e ações de remediação podem ser tomadas em função do risco;
  • Prevenção contra evasão de dados – os usuários muitas vezes não têm a dimensão do valor das informações que estão manipulando. Dessa forma, assumem comportamentos de risco ao compartilhar dados através de serviços em nuvem fora dos domínios da empresa, anexos de -mail pen drives, etc. Uma tecnologia de prevenção contra evasão de dados identifica o conteúdo de arquivos, e-mails, aplicações, etc. e bloqueia o compartilhamento indevido dessas informações;
  • Controle de Acesso – os usuários sempre serão a parte mais vulnerável de qualquer ambiente e, portanto, é necessário estabelecer mecanismos sólidos de identificação e rastreamento do acesso dos usuários através de mecanismos que dificultem ao máximo a ação de criminosos.

(*) – É Executivo de Desenvolvimento de Negócios da Neotel (https://neotel.com.br/).