A S21sec, a maior empresa Pure Player de serviços de cibersegurança da Península Ibérica, e um dos maiores grupos de managed services da Europa, elaborou uma lista onde enumera os riscos concretos associados aos ambientes de serviços na cloud: um conjunto de ameaças que deve ser tido em conta no momento de considerar a estratégia.

“As tecnologias cloud proporcionam sem dúvida muitos benefícios às empresas de hoje, seja em termos de investimento como no que se refere à sua manutenção”, afirma Jorge Hurtado, vice-presidente de Serviços Geridos da S21sec. “Não obstante, falamos de ambientes sempre disponíveis e ‘abertos’, como tal suscetíveis de serem atacados em qualquer momento e a que não se pode deixar de somar também um conjunto de riscos associados ao seu próprio ecossistema”.

Os especialistas dividem em três os tipos as ameaças vinculadas à cloud: ameaças internas, ameaças externas – ambas comuns a outros ambientes tecnológicos - e os riscos associados especificamente à cloud. Estes últimos, que são habitualmente os menos considerados, podem estar diretamente relacionados com o próprio fornecedor do ambiente cloud ou com os serviços oferecidos.

Segue-se a lista dos 10 principais riscos identificados nos ambientes de serviços cloud:

  1. Ameaças internas: insiders, erros de uso, falta de consciencialização e conhecimento.
  2. Ameaças externas: campanhas dirigidas, malware, grupos de ameaças persistentes avançadas (APTs) ou hacktivistas.

E, entre as ameaças específicas da cloud, os identificam-se:

  1. Serviços de suporte: os serviços cloud estão sempre disponíveis – estará o service desk preparado para os controlar?
  2. Ritmo de evolução: a cloud é um ambiente em constante mudança e transformação. É possível acompanhar este ritmo?
  3. Novos elementos: as aplicações cloud usam novos elementos de comunicação. Conseguirá a empresa controlá-los?
  4. Cloud diferentes: É possível ter serviços de diferentes clouds na mesma infraestrutura e saberá a empresa como estas podem interagir?
  5. Uso de recursos: Nestes ambientes paga-se por recurso – como prevenir uma má utilização?
  6. Microsserviços: a cloud proporciona acesso a contentores e microsserviços. É possível proteger esta tecnologia?
  7. Alterações normativas: Estas variações ocorrem com frequência. É possível adaptar os processos para uma atualização tão rápida quanto possível?
  8. Controlo de políticas: A existência de diferentes políticas pode afetar as aplicações. Como ter controlo sobre tudo isto?

Os especialistas da S21sec consideram que todos estes riscos devem ser considerados ao desenhar-se uma estratégia de adoção de soluções cloud. Neste processo, é necessário apoiar-se em workframes (como os controlos CIS ou o workframe internacional NIST), assim como em elementos de segurança (tanto nativos da cloud como de terceiros) e em táticas específicas.

Numa segunda fase do desenho, os especialistas alertam que abordar 100% dos vetores de segurança é muito dispendioso e pode afetar a operação do negócio quando, na realidade, não é necessário fazê-lo para cobrir os requisitos. É, portanto, essencial considerar a especificidade do negócio nesta fase de desenho e implementar ferramentas para auditar a conformidade normativa e de políticas e confirmar que todos os requisitos estabelecidos são cumpridos.

Por último, destacam que, ao existir tantos elementos a ter em conta, a monitorização é um pilar fundamental: ter uma visibilidade global sobre os ambientes cloud minimizará os tempos de deteção e resposta.

A mudança de paradigma que a cloud representa aumenta a superfície de exposição dos ativos digitais com valor de negócio às ameaças e adiciona novos desafios à tecnologia. “Ter um parceiro sólido pode ajudar a superar o desafio da falta de experiência na gestão de todo este conjunto de riscos e permitir que a empresa se concentre apenas na sua atividade”, defende Jorge Hurtado.

Classifique este item
(0 votos)
Ler 2320 vezes
Tagged em
Top