Segurança na nuvem: 6 desafios na jornada das empresas

Ganhos em eficiência, redução de custos, otimização de processos, monitoramento e escalabilidade são algumas das vantagens que têm levado um número cada vez maior de empresas a transferirem aplicações e dados para o ambiente da nuvem. Mas aproveitar ao máximo todos esses benefícios envolve também enfrentar preocupações importantes relacionadas à conformidade e segurança, principalmente dentro de um contexto de crescentes ataques a organizações de todos os segmentos.

Ao lidar com a complexidade da gestão de segurança no ambiente cloud, as empresas precisam se preparar para alguns desafios comuns:

1. Escolher um parceiro com pacote integrado de segurança

O primeiro passo é buscar por parceiros de solução Cloud de grande relevância, que possam garantir um pacote de recursos de segurança integrados a toda arquitetura de nuvem oferecida como serviço. Nessa avaliação, também é imprescindível considerar o tipo de suporte oferecido, assim como o treinamento para correta utilização das soluções.

2. Realizar uma análise de investimentos baseada em riscos

Uma solução completa, adequada à prevenção, tratativa e com processo de cyber recovery nativo em caso de sinistro pode elevar consideravelmente o custo de implantação. Por isso, é necessário realizar uma análise de risco versus impacto, para delimitar o real apetite de risco que a empresa está disposta a aceitar.

3. Garantir que haja sinergia com o sistema legado

A necessidade de migração ou convivência com um ambiente híbrido costuma trazer sérias dificuldades, pois nem sempre existe uma sinergia natural entre as soluções de nuvem e as soluções de um Data Center físico convencional. Sem suporte especializado, isso pode se tornar um verdadeiro pesadelo para o time técnico.

4. Contar com profissionais especializados na administração do ambiente

É fundamental que as equipes técnicas envolvidas com a gestão do ambiente na nuvem tenham conhecimentos e habilidades específicas para isso, o que demanda investimentos em capacitação e certificações para contar com profissionais realmente qualificados. No mercado, existe uma grande escassez de talentos na área, o que torna um enorme desafio atrair profissionais de segurança multi-skill, que conheçam técnicas de prevenção a ataques e tenham um perfil analítico e curioso para investigar qualquer comportamento anormal.

5. Ter uma governança sólida

Utilizar soluções e serviços terceirizados, baseados em contratos que preveem todos os potenciais riscos, certificações e regulamentações pode oferecer tranquilidade, porém jamais eliminará a responsabilidade do contratante na questão da segurança. Desse modo, a empresa precisa ter uma equipe de governança atuante, avaliações periódicas do SLA – Service Level Agreement (ou Acordo de Nível de Serviço), fluxos e procedimentos de auditorias internas e externas. Isso se tornou ainda mais indispensável com o advento da Lei Geral de Proteção de Dados (LGPD), que definiu que o controlador não pode repassar as responsabilidades para o contratado.

6. Capacitar o público interno para minimizar riscos de segurança

Por incrível que pareça, o fator humano ainda é o maior risco a qualquer arquitetura de segurança da informação. Sendo assim, a equipe de TI deve atuar de maneira integrada com as áreas de Recursos Humanos e Comunicação para realizar treinamentos, informando e conscientizando os colaboradores. Sem o apoio da liderança e o engajamento interno, as equipes de segurança enfrentarão ainda mais dificuldades.

A jornada das empresas na nuvem inevitavelmente passa, portanto, por alguns pontos fundamentais: escolher um parceiro relevante; desenhar um contrato que não o deixe exposto, sem suporte ou serviço; implantar uma solução devidamente balanceada, em sinergia com os sistemas legados; e investir na qualificação e treinamento de todos os profissionais da empresa.

Ainda iremos conviver com ambientes híbridos por um tempo, mas a migração para a nuvem já é uma realidade e um caminho sem volta. No entanto, para se proteger e colher todos os benefícios da Cloud, as empresas precisarão entender que segurança não é uma atribuição apenas da equipe de TI ou de um terceirizado, e sim uma responsabilidade de todos.

* Riemann Cesar é diretor de TI (CIO) da Algar Tech