As violações de dados estão em alta por conta dos anúncios de massivos vazamentos de informações e a nova regulamentação europeia (GDPR) de proteção de privacidade e a versão brasileira, chamada Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020. Embora as histórias de grandes casos ganhem maior destaque, é importante saber que a apropriação de dados alheios é comum e que erros aparentemente simples podem deixar as empresas expostas.
Roberta Cadastro (*)
Especialistas identificaram as raízes da vulnerabilidade de dados como, por exemplo, servidores mal configurados na nuvem, o que pode parecer estranho, mas é bastante comum. No relatório Cloud Adoção da Nuvem e Risco 2019, a McAfee aponta que “as organizações têm, em média, pelo menos 14 instâncias de IaaS (Infraestrutura como Serviço) mal configuradas em algum momento”, além de apontar uma média de 2.200 incidentes de configuração por mês, colocando toda organização em risco. Por isso, a Pegasystems, empresa de software que impulsiona a transformação digital nas principais companhias do mundo, listou três dicas para ajudar a manter os dados seguros:
- Entenda o seu papel de “responsabilidade compartilhada”
A responsabilidade compartilhada é o ponto principal dentro do modelo de negócios “Software as a Service” (SaaS) e a função que sua organização desempenha na proteção de aplicações baseadas em nuvem é altamente dependente dos tipos de serviço que você usa para a implementação na nuvem. O SaaS tem menor impacto no cliente, mas sua equipe é responsável pelo acesso ao sistema e pelo nível de permissão.
Já ao migrar para a plataforma como serviço (PaaS), você está gerenciando os usuários e desenvolvedores. Finalmente, com Infraestrutura como Serviço (IaaS), sua responsabilidade se estenderá à segurança de rede e à plataforma. Essa é a arena em que os servidores mal configurados são de responsabilidade direta de seus proprietários, e não do seu provedor de serviços. Compreender esses modelos permitirá confirmar se os seus provedores de serviços estão provisionando novos servidores e adicionando escala, enquanto limitam o risco de uma instância mal configurada.
Se você estiver gerenciando a infraestrutura por conta própria, revise seus processos de automação para não cometer os erros mais comuns:
• A criptografia de dados do serviço de armazenamento não está ativada
• Acesso de saída irrestrito
• O acesso aos recursos não está provisionado, usando funções de gerenciamento de identidade e acesso (IAM)
• A porta do grupo de segurança de computação está configurada incorretamente
• O acesso de entrada do grupo de segurança de computação está configurado incorretamente
• Instância de máquina não criptografada
• Grupos de segurança não utilizados
• Os logs de fluxo da nuvem privada virtual estão desativados
• A autenticação multifator não está ativada
• A criptografia de armazenamento de arquivos não está ativada
2. Compreenda como sua arquitetura afeta a vulnerabilidade
A arquitetura em nuvem continua avançando para permitir o uso de recursos sob demanda por meio de tecnologias como contêineres e computação sem servidor. Mas essas ainda são tecnologias relativamente novas e ainda existe uma base significativa de máquinas virtuais em uso no mundo.
Nos próximos anos, continuaremos a operar em ambientes que misturam essas tecnologias de nuvem. Apressar a migração para novas formas de arquitetura em nuvem não elimina o risco de vulnerabilidade por meio de configurações incorretas.
O desenvolvimento de centros de excelência em torno de sua plataforma de infraestrutura de escolha ou a parceria com provedores de serviços que podem documentar controles é fundamental para o emprego seguro de tecnologias em nuvem.
3. Verifique se as ferramentas corretas estão em vigor nos modelos de nuvem que você emprega
As pessoas estão no centro das violações. Para detê-las, a configuração dos controles de segurança que permitem acesso é a primeira linha de defesa. As ferramentas e os procedimentos de gerenciamento de identidade e acesso (IAM) são críticos para esse esforço. Eles não só configuram controles de acesso ao provisionar novos recursos na nuvem, mas também gerenciam acessos durante a vida útil do recurso.
A incorporação de recursos como autenticação multifatorial, fortalece os controles de acesso para manter os sistemas acessíveis apenas a usuários autorizados. Além disso, há várias ferramentas que você pode empregar para gerenciar a escala e serviços que validam a configuração das características da nuvem e acompanhar o desempenho e o acesso.
Verifique se suas ferramentas de monitoramento abrangem as camadas física, de rede e lógica de sua plataforma. Muitas ferramentas para monitorar a vulnerabilidade na camada física procuram problemas na configuração de servidores e redes.
(*) É executiva de Desenvolvimento de Negócios da Pegasystems Brasil.
