Empresas devem focar-se em áreas de segurança na nuvem
A Gartner diz que enquanto muitos profissionais de tecnologia ainda estão a desenhar as suas estratégias de cloud, hesitando em adotar ou definindo fornecedores, os funcionários das organizações já estão a utilizar centenas de aplicações em nuvem. Sobretudo software como serviço (SaaS).
De acordo com a Gartner, a computação em nuvem cria muitos desafios para todas as empresas. Geralmente, nenhuma política corporativa de cloud ou projeto de segurança é suficientemente abrangente.
Um dos principais dilemas em relação à introdução de políticas de computação em nuvem, avaliados pela Gartner, é que ninguém consegue realmente definir o que ela é. “Enquanto os Chief Information Security Officers (CISOs) consideram a nuvem como um estilo de computação, outras partes da empresa a olham apenas como ‘coisas acessíveis pela Internet’”, afirma Jay Heiser, vice-presidente de Pesquisa da Gartner.
Os analistas da Gartner indicam que é essencial ter uma estratégia bem definida, assim como políticas para o uso da nuvem. As empresas devem focar-se em três áreas principais de segurança na nuvem: multilocação, virtualização e software como serviço.
A multilocação proporciona flexibilidade limitada nos serviços para empresas que dividem espaço com outros clientes. Com os dados fora do controle físico da companhia, a segurança acaba por se tornar um problema. Segundo a consultora, de fato, 38% das organizações que não planeiam utilizar a nuvem pública apontaram a segurança e a privacidade como os principais motivos de risco. No entanto, as empresas podem estar a usar a segurança e a privacidade como “desculpa”, tanto pelo medo de abdicar do controlo sobre os dados quanto pela grande mudança no status quo do modo como estão habituados a trabalhar. “Não há correlação entre falha de segurança e o grau de multilocação. Por vezes, tornar-se híbrida pode ser a melhor forma para que algumas empresas ganhem confiança no modelo de nuvem pública”, explica Heiser.
A virtualização requer uma gestão de vulnerabilidade e processos de comparação distintos para o ambiente de nuvem. As empresas podem usar ferramentas diferentes para gerir máquinas virtuais, uma vez que sua natureza complexa, dinâmica e distribuída não permite a indicação física de segurança dos modelos tradicionais.
Os aplicativos de SaaS oferecem um nível cada vez maior de segurança, com inúmeras funcionalidades de controlo. No entanto, as aplicações de SaaS estão, no geral, sob a alçada dos utilizadores finais, oferecendo uma transparência mínima e sem possibilidades de personalização para as empresas. Para aumentar a complexidade, muitas empresas chegam a ter mil aplicativos SaaS em uso.
Conselhos da Gartner: “Priorizar as escolhas de SaaS”
Os profissionais de segurança (CISOs) precisam de definir as prioridades, o tempo e os melhores recursos para lidar com o contexto de risco no uso de SaaS. Desta forma, é necessário dividir os aplicativos de SaaS em três níveis:
Nível 1: Realisticamente, cerca de 80% do mercado está centrado em cem serviços de cloud. Os principais fornecedores têm opções comprovadas, mas as organizações precisam de se debruçar sobre o tema e verificar se realmente estão fora de risco para usar as soluções de forma segura.
Nível 2: São tipicamente grandes marcas que estão a experimentar Cloud Services com uma estratégia vertical de oferta de aplicações e que bloquearam avaliações de terceiros. É nelas que os CISOs devem focar as suas avaliações e os seus recursos.
Nível 3: Os milhares de aplicacões de computação em nuvem, classificados como nível 3, são praticamente irrelevantes, segundo Heiser. Não se pode assumir que um pequeno provedor de serviço em Nuvem (CSP) seja seguro ou financeiramente estável. Apesar de ser um risco aceitável, esses aplicativos devem ser utilizados com cuidado.