A cloud é um recurso de valioso, mas pode também pode ser um pesadelo de segurança. Os infortúnios de falhas de segurança na cloud têm recentemente feito notícia, e no entanto na maioria dos casos, a falha recai no cliente e não no provedor de serviços. As empresas necessitam de reestruturar a sua abordagem de segurança antes de fazer a transição para a cloud, algo que muitas não fazem.

Considere estas falhas de segurança:
No Verão de 2017, a Dow Jones revelou os detalhes de 2,2 milhões de clientes (os especialistas em segurança dizem que poderá ser mais), simplesmente devido a uma desconfiguração de um repositório da Amazon Web Services™ (AWS®). Um administrador de sistemas infeliz configurou o servidor para que qualquer pessoa com uma conta no serviço, pudesse aceder aos nomes dos assinantes, IDs de clientes e aos números de cartão de crédito parciais.

Se 2,2 milhões não são bastante assustadores, que tal cerca de 198 milhões? A empresa de análise de dados Deep Root, descobriu que muitos registos de eleitores dos EUA foram colocados num servidor de armazenamento S3 que ficou acessível por engano, tornando-os efetivamente disponíveis para o público em geral. Essa é a maior exposição já conhecida da informação do eleitor até à data, e um erro de segurança baseado na nuvem tornou-o possível.

A Cloud é recomendada por muita gente, no entanto como podem as empresas garantir que se evitem este tipo de problemas de segurança?

Não corte na segurança para poupar dinheiro

Em primeiro lugar, precisa de entender que você pode contratar uma empresa externa para o processamento e o armazenamento dos seus dados, mas não a pode contratar para a responsabilidade de falhas cometidas pela sua empresa.

Apesar de muitos serviços anunciarem que são muitos fáceis de administrar e gerir, contrate um profissional para lhe configurar, fazer a gestão destes serviços e lhe retirar todas as dúvidas que tiver.

Alinhar os riscos do negócio e a tecnologia

Para assumir o controlo de sua própria segurança num ambiente na cloud, você deve entender os riscos da tecnologia. Por exemplo, se uma falha expor os seus dados, qual seria o impacto para sua empresa? Que danos reputacionais e legais podem incorrer, e qual a sua responsabilidade regulatória?

Você deve realizar uma análise de risco completa antes de tornar o armazenamento na nuvem uma parte estratégica do que você faz. Ao ter ficheiros com informações confidencias dos seus clientes, você fica legalmente vinculado à sua proteção e tem de ter em conta os riscos que essa responsabilidade lhe trás.
Para garantir a segurança dos dados e do seu negócio, a implementação e gestão destes serviços deverá ser feita por profissionais no setor de tecnologias de informação e os riscos legais por profissionais de aconselhamentos jurídico.

Faça com que a privacidade seja um elemento central

Erros de segurança de empresas com informação na cloud sempre envolvem dados. Para evitar que os seus dados sejam roubados, ou simplesmente tornados públicos por engano, você deve colocar a segurança e privacidade no topo da prioridade na gestão da sua empresa.
A segurança da sua empresa deve ser focada em torno dos dados. O pensamento antigo focado em sistemas de segurança de perímetro já não é adequado.

Descobrir quais são seus dados confidenciais, qual o nível de sensibilidade que possui e quais medidas de segurança que são apropriadas para os proteger no contexto de risco da sua empresa.
A criptografia pode parecer uma escolha óbvia, mas nem sempre é evidente. Quando a Kromtech descobriu três milhões de dados pessoais dos fãs da WWE publicamente disponíveis num servidor S3 em julho deste ano, tudo foi armazenado em texto simples. Você não iria conseguir cometer uma falha maior que esta, mesmo se você tentasse.

Compreender a tecnologia

Não foi a Amazon que colocou os dados Dow Jones publicamente online. O erro foi dos respetivos administradores de sistemas que configuraram mal as permissões para o repositório de dados da AWS S3 que as empresas estavam a usar.

Estes problemas ocorrem quase sempre porque muitos administradores de sistemas e desenvolvedores de software passam por vezes para ambientes baseados na cloud e não receberam a respetiva formação para entender as tecnologias envolvidas. Uma pequena configuração errada pode levar a grandes consequências. Adicionalmente, no passado alguns produtos vinham sem qualquer tipo de configurações de segurança ativadas por defeito.
Tudo isto é uma receita para o desastre.

Quanto mais poderosos sejam este tipo de plataformas e serviços, mais cuidadosos deveremos ser com eles.
O envio de dados importantes para a cloud sem uma segurança adequada é como usar uma serra circular sem uma proteção na lâmina. Pode fazer o trabalho, mas você pode ter danos permanentes no processo.
Ao adotar uma abordagem de “segurança primeiro”, você tornará a sua informação muito mais segura – e a dos seus clientes também.