Dados sensíveis para sua empresa estão localizados em vários lugares, dentro e fora de seus firewalls, e estão sendo manipulados de alguma forma, por pessoas da sua folha de pagamento, assim como por terceiros. Você não pode mais proteger seus dados confidenciais simplesmente bloqueando o acesso à rede. Na verdade, você depende da rede para acessar e compartilhar esses dados.
Isso deixa a segurança dos dados, em grande parte, nas mãos de muito mais pessoas do que no passado, incluindo pessoas que não trabalham mais diretamente para sua empresa. Geralmente, em ambientes de nuvem, os provedores de serviços de nuvem (Cloud Service Providers ou CSPs) têm a capacidade de acessar seus dados confidenciais, o que torna os CSPs um novo desafio no que se refere a ameaças internas.
Além disso, os cibercriminosos sabem que os CSPs armazenam grandes quantidades de dados importantes. Esses dois riscos tornam recursos como a criptografia de dados e o monitoramento de atividades de dados partes especialmente valiosas da sua estratégia de segurança.
A nuvem exige medidas ativas e passivas
A portabilidade de dados é uma das primeiras razões pelas quais o armazenamento em nuvem é uma opção econômica. As despesas de infraestrutura (de imóveis a custos de energia) variam imensamente por geografia e até por hora do dia. Da mesma forma, os custos de armazenamento e o desempenho entre os tipos de mídia se alteram. O armazenamento em unidades de fita, discos rígidos e discos ópticos estão avançando em capacidade, velocidade e confiabilidade, e a combinação mais econômica de tecnologias de armazenamento para uma determinada empresa pode mudar rapidamente.
Com o armazenamento na nuvem, portanto, seus dados podem estar amanhã em um lugar diferente e em mídias diferentes de sua localização atual. O mesmo acontece com a virtualização. Não apenas dados baseados em nuvem, mas também recursos de computação baseados em nuvem podem mudar, de forma transparente e rápida, tanto de localização quanto de hardware.
A natureza móvel da nuvem significa que as abordagens de segurança para armazenamento baseado em nuvem precisam adotar diferentes tipos de armazenamento. Também se deve levar em conta cópias, sejam backups de longo prazo ou cópias temporárias, criadas durante a movimentação dos dados. Para resolver esses desafios, selecione soluções que podem ser usadas em diferentes tipos de hardware e diferentes pacotes de software, e use criptografia forte.
Mesmo que seus dados não sejam armazenados principalmente na nuvem, tanto a forma com que os dados saem e retornam para sua empresa e qual a rota que os dados percorrem são importantes. Mesmo para os dados mantidos primariamente criptografados e protegidos por firewall no local, se partes deles forem expostas quando transmitidas a um backup externo ou a um processamento por terceiros, os dados confidenciais serão tão seguros quanto o elo mais fraco da cadeia de processamento desses dados.
A proteção efetiva dos dados quando estão na nuvem exige tanto medidas passivas e preventivas (como bloquear o acesso a portas não autorizadas), quanto atividades ativas, como a verificação contínua de acessos suspeitos a dados. A medida principal que você pode tomar é empregar criptografia para seus dados confidenciais.
Embora a detecção de malware ou a análise comportamental projetada para detectar o acesso suspeito possa ajudar a impedir uma violação de dados interna ou externa e representem funções valiosas, a criptografia ajuda a proteger os dados onde quer que estejam, seja em repouso ou em movimento.
Implicações administrativas e de regulamentação
A realidade do armazenamento e da computação baseados em nuvem mostra que a proteção de dados confidenciais em nuvem e em sistemas de nuvem híbrida raramente é tão simples quanto os administradores desejariam.
As ferramentas de segurança que oferecem interfaces unificadas em todos os endpoints da nuvem, desde um conjunto dedicado de servidores off-site até máquinas virtuais em uma infraestrutura de nuvem pública, são um bom começo para concretizar o compromisso de uma administração remota eficiente.
Igualmente importantes são os requisitos regulamentares e a sensibilidade dos dados. Em outras palavras, as regras que tratam da segurança e a proteção de dados quando dados confidenciais são armazenados fisicamente em um determinado local.
O armazenamento de dados na nuvem pode resultar em dados confidenciais que são armazenados em locais em que vigoram leis mais rigorosas do que as do território de origem dos dados. Por exemplo: a Lei Geral de Proteção de Dados brasileira (LGPD) e o Regulamento Geral de Proteção de Dados da UE (GDPR) exigem uma proteção mais rigorosa para os dados pessoais de indivíduos dentro dos países sob sua jurisdição. Esses requisitos aplicam-se também a empresas localizadas em outras regiões do mundo.
Desafios organizacionais
Os desafios para as organizações são grandes, quando tentam proteger seus dados confidenciais, e as regulamentações complexas são uma das razões.
A maioria dos arquitetos de soluções corporativas e profissionais de segurança luta para melhorar a segurança dos dados ou atender aos requisitos de conformidade, devido ao crescimento dos silos de dados e ao aumento dos volumes de dados. A aplicação de políticas uniformes de controle de acesso a bancos de dados, data warehouses, Hadoop, NoSQL e arquivos se tornou extremamente desafiadora.
A virtualização tem o potencial de facilitar a aplicação de controles de segurança e mecanismos de conformidade, mas somente se o ambiente de nuvem virtual ou privada for capaz de proteger dados confidenciais, abordando uniformemente os requisitos de conformidade, controle de acesso, requisitos de privacidade, requisitos de vulnerabilidade e necessidades de produtividade.
Conformidade
Pense onde os dados confidenciais residem em um ambiente de nuvem. É importante identificar e classificar tipos de dados confidenciais e estabelecer políticas para seu uso, seja na nuvem pública ou em um ambiente de nuvem privada. Se os dados estiverem em uma nuvem pública, você precisará entender como o provedor da infraestrutura em nuvem planeja proteger seus dados confidenciais.
Em ambos os casos, entender onde os dados residem, quais domínios de informação existem e como eles se relacionam na empresa ajudarão as organizações a definir as políticas corretas para proteger e criptografar esses dados e demonstrar a conformidade com as regulamentações pertinentes. Os regulamentos de conformidade continuam e continuarão a surgir e as organizações permanecem responsáveis mesmo quando os dados são transferidos para a nuvem.
Privacidade
Outro desafio para os profissionais que administram o acesso a dados é garantir que apenas aqueles com um motivo válido para o negócio tenham acesso a informações sensíveis. Por exemplo, os médicos precisam ver informações confidenciais, como os sintomas e os dados de prognóstico de um paciente, enquanto um atendente de uma clínica ou laboratório precisa apenas do número da carteira de assistência médica do paciente e do seu documento de identificação.
Controle de acesso
Os cibercriminosos sempre têm intenções inescrupulosas e disruptivas. Eles podem ser especialistas em computação desonestos tentando se exibir ou fazer uma declaração política, ou podem ser intrusos organizados e duros.
As origens e as motivações de um ataque podem ser muito variadas. Nações estrangeiras patrocinam hackers para coletar informações confidenciais de organizações governamentais. Os atacantes podem até ser funcionários insatisfeitos. Violações também podem ser acidentais, por exemplo, quando as permissões são definidas incorretamente em uma tabela de banco de dados ou quando as credenciais de um funcionário são comprometidas.
As melhores práticas sugerem a autorização de usuários finais privilegiados e comuns com “o menor privilégio possível” para minimizar o abuso de privilégios e erros. As organizações devem proteger os dados contra ataques internos e externos em ambientes de nuvem física, virtual e privada.
As defesas de perímetro são importantes, mas é igualmente importante proteger os dados confidenciais em si. Se o perímetro for violado, os dados confidenciais precisam estar seguros (e inutilizáveis para um ladrão), para minimizar o impacto da violação e garantir que o hacker não tenha rédea solta. As defesas devem incluir uma solução de segurança de dados em camadas, para que os administradores possam entender o que está acontecendo na nuvem privada, por exemplo, ao identificar padrões de acesso a dados e comportamentos de usuários com privilégios.
O desafio é fornecer as proteções adequadas de acesso e dos próprios dados, atendendo as necessidades de negócios e garantindo que os dados sejam acessados por quem realmente precisam deles, onde quer que eles residam.
Produtividade
As políticas de segurança e privacidade devem facilitar e aprimorar, não interferir nas operações comerciais. Elas devem ser incorporadas às operações cotidianas e funcionar perfeitamente dentro e fora de todos os ambientes, em ambientes de nuvem privada, ambientes de nuvem pública, ambientes locais e ambientes híbridos, sem afetar a produtividade do usuário. Por exemplo, quando nuvens privadas são implantadas para facilitar o teste de aplicativos, considere o uso de criptografia ou “tokenização” para reduzir o risco de expor esses dados confidenciais.
Vulnerabilidade
Atualmente, as organizações possuem diversas tecnologias de segurança para proteger os dados corporativos e oferecer suporte à conformidade, mas o número de vulnerabilidades de um repositório de dados é vasto e os criminosos podem explorar até mesmo a menor janela de oportunidade.
É importante entender as vulnerabilidades de todos os ângulos e desenvolver uma abordagem para resolvê-las. Vulnerabilidades comuns incluem patches ausentes, configurações incorretas e configurações padrão do sistema. Essa complexidade é cada vez mais difícil de controlar e gerenciar à medida que os repositórios de dados se tornam virtualizados.
À medida que as organizações avançam em direção a nuvens privadas e públicas, é preciso considerar que essas soluções nem sempre são escaláveis. Além disso, algumas abordagens de criptografia estão vinculadas a um hardware ou a um recurso de rede específico. Em um ambiente de nuvem, os administradores não podem depender do acesso à infraestrutura de hardware de baixo nível.
Outro problema geralmente surge quando uma nuvem privada é usada para teste ou desenvolvimento de aplicativos. Novos bancos de dados são regularmente criados e desativados. Os dados precisam ser protegidos, pois esses bancos de dados são criados dinamicamente para oferecer suporte a testes e desenvolvimento. Uma abordagem de segurança de dados escalonável para esse ambiente de nuvem privada significa que, à medida que esses novos bancos de dados são criados, eles são descobertos automaticamente e os dados que residem neles são automaticamente classificados, monitorados e protegidos.
Por fim, reflita sobre o uso de ferramentas desenvolvidas internamente para a segurança de dados, por exemplo, rotinas de mascaramento de dados ou scripts de monitoramento de atividades do banco de dados. Existem alterações de codificação necessárias para fazê-las funcionar em um banco de dados virtual? A chance de que um investimento significativo será necessário para atualizar essas soluções domésticas é grande e então você ainda enfrentará desafios significativos.
Idealmente, à medida que novos bancos de dados ou outras fontes de dados são adicionados, os processos e procedimentos de segurança devem ser executados sem intervenção manual. Em suma, as estratégias de segurança devem ser incorporadas à estrutura de qualquer ambiente de nuvem.
Escolha as melhores soluções
Ao escolher soluções de segurança e proteção de dados, selecione as que são escaláveis e extensíveis a toda a infraestrutura de TI, protegendo ambientes físicos, virtuais e em nuvem contra ataques externos mal-intencionados, fraude, acesso não autorizado e violações internas. Essas soluções devem funcionar em um ambiente de nuvem sem qualquer configuração especial, configuração ou despesa adicional.
Essa abordagem fornecerá uma plataforma eficiente para segurança de dados e entrega de privacidade, ajudará a gerenciar custos, reduzindo os recursos de segurança de dados e proporcionando maior agilidade e flexibilidade com serviços de autoatendimento para segurança e privacidade.