Seidor
Contato
  • Talento
  • Home >
  • Blog >
  • Melhores práticas para proteger seus dados em um ambiente Cloud
Cloud

24 de agosto de 2023

Melhores práticas para proteger seus dados em um ambiente Cloud

As infraestruturas em nuvem estão em constante mudança, por isso, sem a visibilidade adequada, as organizações podem ver seus ambientes expostos a possíveis ataques. Ao migrar dados e aplicativos para a nuvem, muitos processos de segurança e melhores práticas serão praticamente os mesmos que nas instalações, mas também se abre um novo conjunto de desafios que devem ser superados.

A seguir, detalhamos uma série de melhores práticas ao proteger as informações na nuvem, que começam com o que deve ser considerado ao selecionar o provedor de nuvem, para continuar com os aspectos a serem levados em conta para garantir a segurança desde a organização. Por fim, mostramos algumas tendências que estão se estabelecendo rapidamente.

SEIDOR

Sobre o fornecedor

A seleção do fornecedor de serviços será um dos fatores mais importantes a considerar, já que falamos da implantação de um produto, mas sim da prestação de um tipo de serviços que afetam diretamente as partes mais sensíveis da organização, como sua eficiência, sua segurança e seu cumprimento.

Existem numerosos fatores a considerar, entre eles os seguintes.

  • Contar com um fornecedor certificado. É recomendável contar com um fornecedor de nuvem que ofereça os melhores protocolos de segurança e que se ajuste às melhores práticas da indústria. Não se contente com menos; da mesma forma que os grandes (Amazon, Google, Microsoft) oferecem acesso transparente aos detalhes de sua estratégia de conformidade e suas certificações, assim deverá ser com qualquer outro fornecedor.
  • Compreender o modelo de responsabilidade compartilhada. Os principais provedores de serviços em nuvem, como AWS, Azure, Google Cloud ou Alibaba Cloud publicam o que é conhecido como "modelo de responsabilidade compartilhada para a segurança". Qualquer provedor confiável terá um documento semelhante. Analise-o e verifique quais tarefas permanecerão na organização e quais serão gerenciadas pelo provedor. A fórmula ideal variará dependendo se é um modelo as a Service (SaaS, PaaS, IaaS) ou on-premises.
  • Revisar os acordos de nível de serviço. Os SLA e contratos de serviços em nuvem não são apenas uma garantia de serviço e recursos em caso de incidentes. Eles também devem detalhar claramente quem é o proprietário e quem é responsável por quais dados. E este é um assunto crucial, porque muitos provedores não especificam que os dados dos clientes são propriedade do cliente, o que poderia eventualmente levar o provedor a reivindicar a propriedade dos dados.
  • Visibilidade e controle. Embora você já tenha ouvido isso mil vezes, não deixa de ser atual: “Você não pode proteger o que não pode ver”. Qualquer bom provedor de serviços deve oferecer uma visibilidade total dos dados e de quem está acessando-os, independentemente de onde residam. O provedor deve oferecer, também, uma monitorização contínua da atividade para descobrir mudanças de configuração e segurança em toda a infraestrutura, bem como garantir o cumprimento normativo.
  • Proteção de ativos. A obrigação de saber onde os dados da organização são armazenados, processados e gerenciados sempre foi importante, mas tornou-se obrigatória com regulamentações como o RGPD. Para garantir que os ativos estejam protegidos, o fornecedor deve contar em seu centro de dados com medidas avançadas de proteção física para proteger todos os ativos de informação.
  • Segurança operacional. Ao selecionar um serviço de nuvem, é fundamental buscar um provedor que implemente um plano sólido de segurança operacional, informando sempre de imediato sobre qualquer mudança que possa afetar a segurança. Também deve contar com um sistema de gestão de vulnerabilidades, ferramentas avançadas de monitoramento; e, claro, um processo de gestão de incidentes pronto para implementar uma resposta rápida e eficaz a qualquer ataque.
  • Conformidade. O fornecedor deve seguir as melhores práticas da indústria em matéria de Segurança na Nuvem e, se for um fornecedor sólido, terá uma ou várias certificações reconhecidas, como por exemplo STAR, HIPPA ou PCI. Também é recomendável identificar um fornecedor com certificações específicas para o setor em que a organização opera.
Segurança de aplicativos em nuvem

Como garantir a segurança da infraestrutura e das aplicações Cloud?

Na medida em que as empresas estão cientes de todas as vantagens da computação em nuvem, seu uso se expande e se populariza cada vez mais. Algo que também abre novos cenários no que diz respeito à segurança, já que o número de vetores de ataque aumenta drasticamente e se diversifica.

No âmbito das operações

Uma vez selecionado o fornecedor e constituído o plano de Cloud Security da organização, será necessário manter e alimentar uma política de inteligência de negócios que permita automatizar na medida do possível as tarefas de prevenção, proteção e resposta. Para isso, a seguir são apresentados uma série de aspectos que podem ajudar.

  • Visibilidade. A maioria das grandes organizações utiliza múltiplos serviços de nuvem, com uma ampla variedade de fornecedores e em diferentes geografias. Uma estratégia adequada de Cloud Security proporcionará visibilidade de todo o ecossistema, incluindo recursos, projetos e regiões de nuvem a partir de um único centro de controle. Isso, além disso, permitirá implementar políticas de segurança granulares.
  • Proteção de dados tanto em trânsito quanto em repouso. Um exemplo perfeito de responsabilidade compartilhada. Em nível operacional, você precisará de proteção para evitar a interceptação ou a criptografia de dados. O provedor, é claro, terá ferramentas para criptografar facilmente seus dados em trânsito e em repouso, a fim de garantir o mesmo nível de proteção em ambos os casos.
  • Gestão de usuários. Controle de acessos. É recomendável começar a partir de um site Zero Trust, que dê aos usuários acesso apenas aos sistemas e dados que necessitam. Para evitar a complexidade na aplicação das políticas, é possível definir grupos com funções específicas com diferentes privilégios de acesso para depois adicionar novos usuários, em vez de ter que personalizar o acesso para cada usuário.
  • Proteção de dispositivos. A maioria dos usuários acessará seus serviços na nuvem através de navegadores web, por isso será essencial contar com segurança avançada a nível cliente, assim como manter o software atualizado com os últimos patches de segurança. Mas igualmente importante será implementar uma solução de segurança endpoint para proteger os dispositivos móveis.
  • Criptografia. Ao utilizar serviços na nuvem, os dados são expostos a um maior risco ao armazená-los em uma plataforma de terceiros e movê-los entre a rede e o serviço na nuvem. Portanto, será necessário garantir a implementação de criptografia para todos os dados, tanto em repouso quanto em trânsito. O provedor de nuvem pode oferecer serviços de criptografia incorporados para proteger seus dados de terceiros, mas com isso você está permitindo que um terceiro acesse as chaves de criptografia da empresa.
  • Gestão de senhas. A aplicação de uma política rigorosa de senhas será fundamental para evitar acessos não autorizados. Por exemplo, estabelecer requisitos mínimos para que uma senha seja válida, ou obrigar os usuários a atualizar sua senha periodicamente... Como camada adicional de segurança e proteção, também deve implementar autenticação multifatorial.
Nuvem

Vantagens e desvantagens da proteção de dados na nuvem

Visto que cada vez mais as organizações são geridas por dados (data driven), as empresas devem garantir que essas informações estejam sempre acessíveis, seguras e bem guardadas.

Agentes de acesso seguro (CASB)

O uso dos CASB está se tornando rapidamente uma ferramenta central para implementar as melhores práticas de Cloud Security. É um software que se encontra entre o usuário e o provedor de serviços de nuvem que oferece um sofisticado conjunto de ferramentas para proporcionar visibilidade do ecossistema cloud, aplicar as políticas de segurança de dados, implementar proteção contra ameaças e manter a conformidade.

Os CASB fornecem visibilidade em todas as aplicações da nuvem, tanto as autorizadas quanto as não autorizadas, pois oferecem uma imagem completa da atividade na nuvem para tomar as medidas de segurança necessárias. Dessa forma, a organização pode limitar ou permitir o acesso com base no estado ou na localização.

Outro elemento chave dos CASB é a aplicação de políticas para evitar o compartilhamento não autorizado dos dados. Isso permite proteger informações confidenciais como dados financeiros, dados de propriedade, números de cartão de crédito ou registros de saúde.

Por fim, os agentes de segurança de acesso à nuvem são uma boa ferramenta de prevenção de ameaças, detectando o comportamento incomum nas aplicações cloud para identificar ransomware, usuários em risco ou aplicações não autorizadas, e até mesmo remediar automaticamente ameaças.

Avaliação da postura de segurança na nuvem

Com o modelo de responsabilidade compartilhada, o provedor de nuvem fica encarregado da proteção da camada de infraestrutura, mas é o usuário quem deve fazer a configuração dos serviços. E não se trata apenas de estabelecer as configurações adequadas, as equipes devem abordar qualquer desvio o mais rápido possível. Segundo dados da Gartner, 80% das brechas de segurança são causadas por configurações incorretas.

Uma boa solução são as ferramentas de gestão da postura de segurança na nuvem (CSPM), que fornecem visibilidade sobre os ativos cloud para preservar a conformidade evitando as configurações incorretas (patches de segurança não atualizados, permissões incorretas, dados não criptografados, etc.). Também integram ferramentas digitais que permitem avaliar as medidas de segurança, as políticas e outras soluções implementadas.

As ferramentas CSPM são muito utilizadas em todo tipo de ambientes: infraestruturas e ambientes híbridos, multicloud, contêineres... Também permitem a gestão das políticas de segurança em todas as contas, projetos, regiões ou redes através de um único console.

Autor

SEIDOR

A SEIDOR é uma consultora tecnológica que oferece um portefólio completo de soluções e serviços que abrangem Inteligência Artificial, Edge, Experiência do Cliente, Experiência do Colaborador, ERP, Dados, Modernização de Aplicações, Cloud, Conectividade e Cibersegurança. Com um volume de negócios de 894 milhões de euros em 2023 e uma equipa composta por mais de 10.000 profissionais altamente qualificados, a SEIDOR está presente em 45 países na Europa, América Latina, Estados Unidos, Médio Oriente, África e Ásia. A consultora é parceira dos principais líderes tecnológicos.

Talvez você possa se interessar

segurança na nuvem
24 de agosto de 2023

Segurança na Nuvem: estratégia integral imprescindível para a proteção de dados na nuvem

Segundo a última pesquisa da Cybersecurity Insiders, 95% das organizações estão preocupadas com a segurança de seus ambientes na nuvem (Cloud Security), enquanto uma em cada quatro confirma um incidente de segurança na nuvem nos últimos 12 meses. De fato, segundo dados da Gartner, este setor será o que mais crescerá em investimento para 2023.

SEIDOR
Homem feliz usando o laptop
24 de agosto de 2023

A segurança nos dispositivos e o trabalho remoto

O teletrabalho tornou-se atualmente uma prática confortável, eficiente e até mesmo necessária para muitas empresas. Mas há regras de cibersegurança que devem ser implementadas para evitar colocar em risco informações sensíveis, próprias ou dos clientes.

A seguir, são apresentados os aspectos mais importantes a serem considerados, tanto do ponto de vista da organização quanto no que se refere aos usuários.

SEIDOR
trabalho híbrido
23 de agosto de 2023

O futuro do trabalho híbrido

Como deve ser o futuro do trabalho? Gostaríamos de ter uma bola de cristal que nos ajudasse a responder com certeza a essa pergunta.

SEIDOR