Segurança deve ser encarada como uma questão de cultura empresarial, onde a proteção começa em cada indivíduo
Liberdade está associada a confiança completa. Entretanto, a medida mais eficaz de segurança está na permissão. Causa estranheza dizer que ao conceder acesso aos colaboradores de uma organização, o time de tecnologia da informação (TI) terá maiores chances de proteger o ambiente interno.
Mas não é o que acontece. E te explico que isso acontece porque a TI tem conhecimento e gerencia apenas 5% de todo o tráfego e serviços internos. Os outros 95% ficam à mercê, sem visibilidade e nenhum controle. A pergunta mais recorrente nestes casos é: “bloqueamos com ferramentas ultrapassadas ou liberamos o acesso”?
Há dois caminhos possíveis, é óbvio. Porém, é preciso ir um pouco mais fundo para chegar ao mínimo comum – e menos provável – a permissão.
O que acontece se você bloquear? São milhares de aplicações em nuvem em uma empresa de médio/grande porte. As mais utilizadas são verificadas pela equipe, o restante fica acessível aos vazamentos dos dados corporativos confidenciais. Te mostro quatro motivos:
1. 98% do uso da nuvem não será visível: é alarmante, diversas ferramentas não são projetadas para atender os usuários móveis e remotos. Além disso, os colaboradores tendem a utilizar caminhos alternativos como instâncias pessoais de O365 ou G-Suite, o que causa maior risco ao ambiente.
2. Dispersão excessiva de firewall: ainda que seja feito um mapeamento completo de bloqueio dos serviços em nuvem, alguns usuários e departamentos com necessidades específicas requisitarão serviços fora da área de cobertura, o que sobrecarregará o gerenciamento do next-generation firewall por completo.
3. Pontos cegos nas políticas de segurança: ao mesmo tempo em que as ferramentas legadas compreendem o que permitir e o que bloquear, o time de TI recebe uma missão – quase impossível – de restringir a movimentação de aplicativos SaaS ou IaaS, uma vez que não são suportados pela automação e devem ser liberados um a um mediante a solicitação.
4. Impacto na inovação: ao limitar as escolhas dos usuários para os aplicativos em nuvem, a corporação assume que o movimento interno pode implicar na produtividade dos colaboradores. Uma vez que nuvem permite que haja rápida movimentação e inovação nos negócios.
O que a permissão proporciona? A questão não é a combinação da tecnologia em si. Há milhares de aplicações e gerenciadores, mas poucos profissionais dedicados, treinados e capacitados para olhar para segurança por completo da companhia. Outro fator primordial é o fator cultural: a segurança acontece, em primeiro lugar, em cada colaborador.
É uma questão de cultura empresarial. Em três passos vou te fazer pensar em permitir os acessos internos:
1. Perda de dados confidenciais por meio de serviços em nuvem não sancionados: a transferência interna e externa de arquivos revela que as informações são sensíveis e confidenciais em suma parte. Se a prevenção contra perda de dados se concentrar apenas nos serviços sancionados, há uma grande lacuna. Assim como no retrovisor de um carro, este é um ponto cego que culmina em outros riscos de perda de dados, como a exfiltração, que acontece de um serviço de nuvem sancionado para outro não-sancionado.
2. Sem compliance: apoiar a TI requer alinhar o negócio com as normas de conformidade para além das regras estabelecidas por normas-mestre, como PCI, HIPAA, GLBA, SOX, FINRA, GDPR. É preciso criar o regime de práticas internas para guiar as equipes.
3. Infecção de malware e ransomware através de serviços de nuvem não-sancionados: ao combinar arquivos compartilhados e sincronização com usuários externos, um artefato malicioso pode se esconder e alastrarpelos ambientes internos. Dados mostram que mais de 50% dos malwares na nuvem são compartilhados e têm sido direcionados para nuvens públicas, como AWS, Microsoft Azure e GCP.
Ao mostrar as implicações para a segurança da sua companhia quando se bloqueia os serviços em nuvem, bem como se permite, fica evidente que a questão não está na capacitação das equipes de TI ou das ferramentas dealerta.
É muito mais o entendimento do que a questão segurança, um tema tangente para e de todos. Por isso, campanhas de conscientização, boa utilização e mordomia dos serviços disponíveis são fundamentais para criar um ambiente em que a proteção começa em cada indivíduo.
FONTE: Portal CIO por *Vinicius Mendes, diretor regional da Netskope
