Debates aprofundados ressaltam a importância da responsabilidade compartilhada, da maturidade em segurança em nuvem e da implementação da inteligência artificial para a proteção dos recursos na nuvem.
Durante o painel de aquecimento do CISO Forum 2023, realizado no último dia 22 de junho, especialistas em cibersegurança se uniram para discutir as ameaças emergentes e a forma como a nuvem está revolucionando o cenário digital.
Entre os participantes estavam Marcos Nehme, Head Latin America & Caribbean | Prisma Cloud da Palo Alto Networks, Rafael Venancio, Senior Director, Cloudbusiness Latam & Canada da Fortinet, Roberto Cavalcanti, Cloud Security Senior Manager da Deloitte, sob a mediação de Marcello Zillo, Latam Security Leader Cloud Acceleration Team da AWS.
No início do painel, uma questão crucial abordada foi o modelo de responsabilidade compartilhada na segurança em nuvem. “A segurança na nuvem é uma responsabilidade compartilhada entre o provedor de serviços em nuvem e o cliente”, destacou Nehme. Zillo reforçou a importância do entendimento dessa responsabilidade: “Se o cliente tem acesso a um servidor virtual ou a uma configuração de rede na nuvem, ele também tem responsabilidade sobre sua segurança.”
Venancio sublinhou a necessidade de esclarecer esse modelo de responsabilidade compartilhada, indicando que muitos clientes ainda estão confusos sobre como essa divisão se dá na prática. Ele citou dados de um relatório do IDC que mostrou que, apesar do crescente entendimento do modelo, ainda existe uma lacuna entre o conhecimento e a ação efetiva.
Os participantes concordaram que a segurança na nuvem é um “esporte em equipe”, envolvendo várias equipes de uma organização. “É essencial que essas equipes trabalhem de maneira harmoniosa, alinhadas às melhores práticas de segurança”, ressaltou Cavalcanti.
Zillo apontou que é possível ser tão ou mais seguro na nuvem do que em ambientes tradicionais, contanto que as práticas e controles de segurança corretos sejam implementados e mantidos. Nehme complementou, sublinhando a importância do conhecimento técnico para configurar corretamente os recursos de segurança na nuvem.
Cavalcanti também abordou a questão dos erros comuns de configuração na nuvem e a necessidade de desenvolver a maturidade em segurança em nuvem. “A falta de conhecimento sobre as configurações e recursos disponíveis pode levar a erros de configuração, como não utilizar a autenticação de múltiplos fatores (MFA) ou conceder permissões excessivas”, alertou Cavalcanti.
Finalmente, os especialistas destacaram a relevância da inteligência artificial e do machine learning na segurança em nuvem. Venancio afirmou que “a utilização de inteligência artificial não é uma opção, mas uma necessidade no ambiente de nuvem devido à escala e volume de demanda existentes”. Zillo concordou, ressaltando que “a nuvem permite escala, o que possibilita treinar modelos melhores e obter respostas mais eficientes.”
No geral, durante o painel, também se abordou a questão das disparidades entre as posturas de segurança em ambientes on-premise e na nuvem. Rafael Venancio questionou a lógica por trás de uma segurança robusta em um ambiente on-premise e uma postura menos rigorosa na nuvem, especialmente considerando a complexidade e a ampliada superfície de ataque nesse último ambiente.
Segurança na nuvem é um esporte coletivo
“A segurança na nuvem é um esporte coletivo”, reiterou Nehme, sublinhando o papel de diferentes equipes – infraestrutura, segurança, DevOps, engenheiros de centros de operações – trabalhando harmoniosamente para garantir a segurança efetiva das cargas de trabalho na nuvem.
Enfatizando os erros comuns e soluções potenciais para a segurança na nuvem, Marcello Zillo expressou que é completamente viável ser tão ou até mais seguro na nuvem do que em ambientes tradicionais. “É crucial traduzir os controles existentes para o ambiente em nuvem ou replicar controles já estabelecidos para estender o modelo de segurança”, defendeu.
Roberto Cavalcanti, por sua vez, comentou sobre sua experiência com clientes em processo de migração para a nuvem, citando que muitos aderem rigorosamente ao modelo de responsabilidade compartilhada. Contudo, salientou que a capacidade e conhecimento técnico podem apresentar desafios para uma implementação adequada das medidas de segurança necessárias na nuvem. “Aproveitar arquiteturas de referência homologadas pelos provedores de nuvem e fornecedores de soluções de segurança pode ajudar a desenvolver a maturidade em segurança em nuvem”, recomendou Cavalcanti.
Rafael Venancio abordou os erros mais comuns encontrados em clientes, que incluem configurações incorretas, vazamentos de dados confidenciais, vulnerabilidades nas APIs e acessos não autorizados. “A necessidade de aumentar a maturidade em segurança na nuvem é indiscutível, com a criação de processos internos e capacitação de equipes em todos os níveis da organização como medidas essenciais”, assegurou Venancio.
Foi ainda abordada a importância da proteção em tempo real, com Marcos Nehme destacando dados de um relatório da Palo Alto Networks, que indicava que 90% das organizações enfrentam dificuldades em detectar, conter e resolver ameaças cibernéticas em até uma hora na nuvem.
No geral, os participantes do painel concordaram que a inteligência artificial é essencial no ambiente de nuvem, apesar de sua implementação total ainda estar em estágios iniciais. Eles também destacaram a importância da visibilidade, controle de acesso, correção de configurações incorretas, análise de vulnerabilidades e treinamento de equipes de segurança.
O painel encerrou com uma mensagem poderosa: é crucial alinhar as estratégias de segurança cibernética com a jornada para a nuvem e buscar soluções integradas para enfrentar os desafios atuais e futuros na era digital. Como os especialistas ressaltaram, a responsabilidade pela segurança na nuvem é compartilhada, exigindo ações conscientes e colaborativas de várias equipes dentro de uma organização.
A importância de uma cultura de segurança também foi destacada, com os participantes insistindo que a segurança não deve ser uma reflexão tardia, mas sim integrada desde o início de qualquer projeto ou implementação. Essa abordagem requer o envolvimento de todos, desde o CEO até o desenvolvedor júnior.
O painel trouxe à tona discussões importantes sobre o atual cenário de segurança cibernética e seus desafios, bem como as oportunidades que a nuvem e a IA podem oferecer. Ficou claro que, embora a segurança na nuvem possa apresentar desafios, ela também oferece a oportunidade de melhorar a segurança geral dos dados e das operações.
“Segurança é uma jornada, não um destino”, afirmou Venancio, resumindo o tom geral da discussão. A mudança para a nuvem é inevitável e, com a abordagem correta, é possível criar um ambiente seguro e resistente.
A conversa concluiu com a ideia de que a segurança na nuvem não é apenas sobre tecnologia, mas também sobre pessoas, processos e cultura. Para alcançar a segurança na nuvem, as organizações devem buscar não apenas soluções tecnológicas avançadas, mas também investir no desenvolvimento de habilidades e na capacitação de suas equipes.
Este painel de aquecimento foi apenas uma amostra das discussões e do conhecimento aprofundado que serão compartilhados na segunda edição do CISO Forum 2023. O evento, que se consolidou como uma das principais convenções de segurança cibernética do país, acontecerá nos dias 17 e 18 de agosto, em São Paulo. Para aqueles que não podem comparecer pessoalmente, o evento também será transmitido ao vivo através de uma plataforma conference exclusiva, garantindo que ninguém perca a oportunidade de aprender com alguns dos principais especialistas do setor. As palestras e discussões do fórum abordarão uma variedade de tópicos, incluindo, mas não se limitando a, segurança na nuvem, com o objetivo de informar, educar e fortalecer a comunidade de segurança cibernética no Brasil e além.
CISO Forum Brazil 2023 confirma agenda com especialistas da CPFL, Sodexo, Petz e Prodesp
CISO Forum 2023- 17 e 18 de agosto
Confirmado no CISO Forum Brazil 2023, Longinus Timochenco vira embaixador do evento
Confirmado no CISO Forum Brazil, Marcos Semola ganha prêmio IAPP Vanguard Award Latin America
