A maioria dos problemas de segurança na nuvem respira

Um estudo da Ponemon e da IBM indica que servidores em nuvem mal configurados causam 19% das violações de dados. Este é um problema caro, com um custo médio de meio milhão de dólares por violação. Este número não considera o pesadelo potencial de relações públicas que poderia derrubar a empresa.

Hoje, a pandemia nos faz trabalhar em casa, o que nos torna mais dependentes da computação em nuvem. Além de seus outros benefícios, a nuvem oferece medidas de segurança mais modernas do que as plataformas locais, portanto, o Global 2000 fez um rápido impulso para as nuvens públicas. Essa rápida migração resultou em erros ou omissões que ainda precisam ser corrigidos, pois a velocidade de conversão se tornou mais uma prioridade do que cautela.

Este não é um problema novo ou raro, pré ou pós-pandêmico.

Qual é a causa raiz desse problema de “pressa”? Como podemos reduzir o número de configurações incorretas? Eu gostaria de poder culpar alguma característica particular ou identificar um erro comum, mas a realidade é que os humanos são imperfeitos e imprevisíveis em suas falhas. Embora possamos reduzir o número de erros ou omissões que ocorrem, eles nunca podem ser totalmente eliminados.

A noção de confiança zero pode conter a resposta. O resultado final da confiança zero é apenas isso – não confie em nada nem em ninguém. Todos e tudo devem ser verificados, incluindo serviços em nuvem que muitas vezes estão mal configurados. Como tudo é verificado constantemente, o risco de uma violação diminui à medida que a segurança se torna mais rigorosa.

Se confiarmos em humanos para configurar os recursos e serviços da nuvem corretamente, o que remove o máximo de risco que pode ser removido, cerca de 20% dessas configurações de segurança ainda estarão mal configuradas. A noção de aplicar o conceito de confiança para lidar com humanos é definir os humanos como quase nunca confiáveis.

Estamos em um ponto em que podemos automatizar toda a segurança. Isso inclui verificar as configurações e revisá-las com frequência, além de ser proativo em relação ao uso de identidades, criptografia, gerenciamento de chaves e autenticação multifator.

A maioria das pessoas que gerencia a segurança desconfia um pouco desse tipo de rigor, talvez porque abrir mão do controle da segurança da nuvem para a automação seja assustador. O que é mais assustador é o número de configurações incorretas causadas por humanos que provavelmente aumentarão à medida que nossas implantações de nuvem se tornarem mais complexas e heterogêneas. Em comparação com US$ 500.000 por incidente, a justificativa para gastar o dinheiro com rigor de segurança nos permite sair barato.

O apelo à ação? Remova humanos dos processos de segurança e automatize o máximo possível. No mínimo, valide e verifique todo o trabalho manual e faça-o com frequência. No longo prazo, mudar de “confiar, mas verificar” para confiança zero é melhor para as pessoas, já que todos podem manter seus empregos.