No dia 29/10 aconteceu na Futurecom 2019 o painel “Segurança em Redes Corporatvias aliando Tecnologia e Cultura em toda Cadeia” no qual tive a oportunidade de moderar e muito foi explorado sobre essa nova fase das empresas onde o perímetro deixou de existir e os provedores de serviços em Cloud estão tão presentes.
Por Eder Souza
Conversamos muito sobre esse novo cenário que muitas empresas já embarcaram, onde tanto o trabalho remoto quanto os escritórios compartilhados estão tão presentes e quando olhamos para a infraestrutura tecnológica, os fornecedores de serviços e infraestrutura em Cloud também estão com posição bem sólida, trazendo grandes benefícios relativos ao custo e velocidade na entrega de recursos.
Se esse novo cenário trás agilidade e redução de custos às empresas, para os profissionais de Segurança da Informação pode se tornar um grande desafio, já que as novidades não são poucas e exigem uma reciclagem profunda com o objetivo de entender os riscos inerente a essa nova fase.
A mídia especializada há algum tempo já vem relatando vazamentos de dados decorrentes do uso inadequado dos recursos em Cloud, como por exemplo, serviços de armazenamento de dados que estão indevidamente configurados para permitir o acesso público e em alguns trabalhos de consultoria destinados a avaliar a infraestrutura na Cloud encontramos situações onde servidores de aplicações ou de banco de dados estão com regras que permitem o acesso de qualquer parte do mundo, servidores de banco de dados usando credenciais frágeis ou até áreas de armazenamento de dados sensíveis completamente expostas.
Provavelmente essas situações são decorrentes de um modelo de fornecimento mais flexível e ágil, onde em alguns cliques é possível provisionar serviços e infraestruturas que antes exigiam diversas pessoas e muita conversa, inclusive com os profissionais de Segurança da Informação e hoje um colaborador pode fazer todo o trabalho sem exigir a colaboração de outro profissional.
Outro ponto que gera um grande desafio para os profissionais de Segurança é a adoção dos escritórios compartilhados onde a adesão ao modelo cresce fortemente, já que ao invés de investir em salas comerciais e reformas muitas vezes demoradas e custosas é possível ter o espaço para alocar o time disponível em dias ou até horas.
O ponto crítico aqui está relacionado ao uso de redes de comunicação compartilhadas e até o desafio de manter o sigilo de informações estratégias, já que o ambiente é frequentado por diversas pessoas que são estranhas ao negócio da empresa.
Salas de convivência, elevadores e outros espaços são frequentados por indivíduos que não estão ligados ao negócio da empresa e a própria infraestrutura tecnológica é administrada por terceiros e compartilhada com diversas pessoas e empresas, chegando ao momento onde é possível afirmar que o perímetro corporativo desapareceu e assim os dados sensíveis estão mais expostos e vulneráveis.
Com tudo isso ficou claro que agora precisamos tratar cada dispositivo como um perímetro e proteger as informações nesses dispositivos ao invés de tentar criar uma área segura. Assim, a atenção aos dispositivos dos usuários precisa ser repensada e investimentos em equipamentos de proteção de perímetro precisam migrar para soluções de proteção que garantam a segurança do dispositivo carregado pelo usuário.
Além deste ponto, buscar soluções que monitorem o comportamento os usuários em serviços na Cloud, além de ações e configurações executadas é essencial para se antecipar a um evento que pode ser desastroso. Existem ainda consultorias e soluções que podem analisar a infraestrutura na Cloud e sugerir adequações importantes para prevenir vazamentos que muitas vezes acabam impactando de forma relevante na imagem das empresas.
Com isso, está claro que os profissionais de Segurança da Informação precisarão deixar as ferramentas que já utiliza a mais de 20 anos e buscar soluções que realmente se encaixem nessa nova realidade corporativo e assim dê condições para as empresas ficarem mais competitivas sem colocar em risco seu ativo mais importante, a informação.
Bom é isso, e até a próxima!
- Mestre em Engenharia de Software pelo IPT-SP, com MBA em Gestão Empresarial pela FGV e especialização em Segurança da Informação pelo IBTA e bacharel em Ciências da Computação pela FAC-FITO.
- Professor do curso de Segurança da Informação do Instituto Brasileiro de Tecnologia Avançada e responsável pelo tema Criptografia e Certificação Digital.
- Atua há 18 anos na área de Tecnologia e Segurança da Informação e atualmente é Diretor Técnico na e-Safer Consultoria.
- Vivência no desenvolvimento de produtos e implantação de soluções de Segurança e Certificação Digital em empresas de grande porte.
- Eder é Cofundador e Diretor Técnico da e-Safer Consultoria e colunista e membro do conselho editorial do Crypto ID.
Leia outros artigos do Colunista Eder Souza. Aqui!
Chegou a LGPD e agora, o que fazer? Por Eder Souza
Os desafios em operacionalizar uma Central de Operação de Segurança (SOC)
