Parceria Editorial
O Brasil é um dos países com maior índice de ataques cibernéticos do mundo e esse número não para de crescer. De acordo com dados da Checkpoint Research – divisão de Inteligência em Ameaças da Check Point Software Technologies– houve 46% mais ataques no segundo trimestre de 2022 do que no mesmo período do ano passado. O número também é 14% maior do que a média global, que é de 32%. Segundo o relatório, o país tem uma média de 1.540 ataques por semana e, só na América Latina – a região que lidera o ranking de casos -, uma em cada 23 organizações são atacadas semanalmente.
E neste cenário, a cibersegurança em nuvem vem ganhando cada vez mais relevância no mundo corporativo e não só entre profissionais de Tecnologia da Informação. Esse foi o tema discutido em um painel da Embratel na Rio Oil & Gas, maior evento de óleo e gás da América Latina. A apresentação foi mediada pelo CEO e Editor-chefe da MIT Technology Review Brasil, André Miceli, e contou com a participação de Diuliana França, diretora de Serviços Cloud B2B na Embratel, Mario Rachid, diretor executivo de soluçōes digitais da Embratel, e Andréa Fodor, gerente de vendas da Amazon Web Services (AWS).
Usuários lideram causas de incidentes cibernéticos
A diretora de Serviços Cloud B2B na Embratel iniciou mostrando alguns dados sobre os ataques cibernéticos. Entre eles, o de que boa parte dos incidentes vem de brechas deixadas pelos próprios usuários dos sistemas. O Gartner estima que, até 2025, 99% das falhas de segurança na nuvem serão culpa do próprio usuário. Essas falhas podem ocorrer por questões como o mau uso dos sistemas – nem sempre intencionais -, senhas fracas e phishing (fraude virtual para enganar as pessoas para que compartilhem informações confidenciais).
Existem, ainda, situações comuns e facilmente evitáveis que ajudam a deteriorar a segurança desses ambientes. “São credenciais sem a autenticação multifator habilitadas, sistemas sem backups atualizados ou que nunca tiveram backups ou snapshots (cópia instantânea de volume), softwares sem atualização e sem suporte, gerenciadores de repositório de software (GitLab) abertos para acessos externos, chaves armazenadas no GitLab e falta de documentação/inventário das aplicações”, explicou Diuliana.
Por isso, um dos pilares fundamentais da segurança na nuvem é o modelo de responsabilidade compartilhada. Nela, o provedor é o responsável por proteger a infraestrutura que executa todos os serviços oferecidos na plataforma. Ou seja: hardware, software, redes e instalações. Já o usuário é responsável pela segurança de tudo que é colocado lá. Se um dos lados não faz a sua parte adequadamente, o ambiente se torna um alvo fácil para ações criminosas.
De acordo com padrões internacionais de segurança, fundamentos básicos ajudam a tornar as plataformas mais seguras. Entre eles, estão a gestão de identidade e acessos, a detecção – com análises de vulnerabilidade e testes de penetração -, a proteção da infraestrutura e de dados e a resposta a incidentes.
O assunto se tornou ainda mais relevante nos últimos dois anos. Com a pandemia do Covid-19, muitas empresas – principalmente as de pequeno e médio portes – precisaram passar por uma verdadeira transformação digital em um curto período, sem o tempo de amadurecimento e para obter recursos necessários para fazer essa virada de forma segura. Com isso, portas para incidentes criminosos foram abertas e agora precisam de ações efetivas para que sejam fechadas.
A Avast, empresa global em segurança digital e privacidade, apontou, por exemplo, que os ataques de ransomware (malware de sequestro de dados, feito por meio de criptografia) aumentaram em 50% no Brasil no segundo semestre em relação aos três primeiros meses do ano.
O caminho da segurança na nuvem
Para uma jornada segura na nuvem, a empresa precisa antes de tudo entender o seu caso de negócio, as suas necessidades em termos de infraestrutura e os seus objetivos ao buscar esse ambiente. É preciso fazer uma avaliação de todo o perímetro e identificar quem são as pessoas que realmente precisam acessar o sistema e, a partir daí, criar entre elas uma cultura de segurança. É algo que não ocorre de uma hora para a outra, mas sim com um trabalho contínuo desenvolvido por meio de ações e exemplos.
E essa segurança deve ser pensada em camadas. A primeira delas é a prevenção, feita por meio de ferramentas e processos de treinamento de equipe. Há também a detecção, realizada por meio de monitoramento, e a reação. Mesmo com todo o investimento prévio, é preciso estar preparado para agir caso ocorra um incidente criminoso bem-sucedido. Uma reação inapropriada pode causar mais estragos do que o próprio ataque em si.
A correria do dia a dia e a pressão por resultados também pode ser uma das portas para esses eventuais incidentes. Ao mesmo tempo em que a nuvem possibilita agilidade nos processos, isso pode acabar fazendo com que cuidados básicos sejam preteridos. É fundamental que todos que naveguem nesse contexto tenham em mente que a prioridade é a segurança.
Justamente por isso o monitoramento é outro ponto imprescindível. Não adianta disponibilizar o ambiente sem gestão, análise de comportamento e resultados. Só assim o sistema poderá, por meio de ações automatizadas, fazer processos de ajustes técnicos ou de segurança. A automação é, aliás, uma palavra-chave ao abordar o tema, seja para a segurança ou para a própria aplicação do negócio.
Segurança requer investimento contínuo
O diretor executivo de soluções digitais da Embratel, Mário Rachid, destacou que é preciso, ainda, ter sempre a consciência da importância do investimento contínuo para que um sistema funcione bem em umprimeiro momento, mas continue assim com o passar do tempo. Os ataques mudam e o desenho das infraestruturas também precisa mudar. A chegada do 5G ao país, por exemplo, terá como efeito colateral a ampliação das possibilidades de incidentes do tipo. “Não adianta criar uma base altamente eficiente e, no fim das contas, um colaborador da empresa clicar em um e-mail malicioso e contaminar todo o ambiente. Neste sentido, é necessário trabalhar e adaptar constantemente o Security by Design (conceito que envolve testes para encontrar vulnerabilidades desde os primeiros estágios de desenvolvimento de uma solução)”, disse Rachid.
Ao mesmo tempo em que a segurança tem deser tratada quase como uma paranoia, ela não pode se tornar um fator que impeça o andamento dos processos. Por isso, é indispensável ter parceiros de confiança e especializados para compartilhar os receios e responsabilidades e, ao mesmo tempo, ter liberdade para se dedicar efetivamente ao negócio.
Apesar de se tratar de uma questão elementarmente tecnológica, a cibersegurança atualmente é um tema de preocupação dos mais variados setores e níveis hierárquicos das organizações no mundo todo, inclusive no Brasil. As empresas estão focadas no tema e trabalhando, inclusive, em ações conjuntas na criação de comitês. E o motivo para isso é bem simples: a importância dos dados, algo que muita gente considera como o petróleo da nova era. A indisponibilidade deles pode trazer impactos desastrosos para uma empresa e até mesmo parar o seu funcionamento.
E o dado hoje não é mais centralizado. As soluções de Internet das coisas (IoT), por exemplo, fazem com que ele esteja distribuído em diferentes pontas. A distribuição cria inevitavelmente novas possibilidades de ofensivas maliciosas. É um cenário que demanda, mais uma vez, atenção contínua na proteção.
Nesse contexto, os riscos que antes eram totalmente virtuais acabam extrapolando para o mundo físico. Imagine, por exemplo, soluções em IoT voltadas para o sistema de transporte ou veículos autônomos. Qualquer eventual problema pode trazer riscos concretos à vida das pessoas. O ataque cibernético ganhou, ainda, a característica de não afetar apenas o usuário final, mas também toda uma cadeia de organizações ligadas ao alvo. Basta imaginar, por exemplo, uma indústria energética que seja atingida.
A gerente de vendas da AWS, Andréa Fodor, frisou que, ao mesmo tempo em que o ecossistema se torna cada vez mais complexo, as soluções protetivas vão ficando mais amplas, fazendo com que o auxílio de inovações tecnológicas como a Inteligência Artificial e Digital Twin sejam indispensáveis. Mas, para que essas ferramentas funcionem adequadamente, é preciso antes de tudo superar uma barreira tão desafiadora quanto a proteção em si: captar adequadamente as informações.
Muitas organizações ainda perdem boa parte dos subsídios que produzem por não ter condições de captação. Sem a reunião desses dados, não é possível, por exemplo, que o sistema detecte eventuais fragilidades técnicas ou simule prevenções.
“A nuvem oferece aos usuários mecanismos que permitem a proteção confiável dos seus dados, garantindo inclusive que eles se tornem imutáveis”, comentou Andréa. “Mesmo no caso de uma investida criminosa bem-sucedida, o negócio consegue ter a tranquilidade de que a sua base de informações não será modificada. É importante ter em mente que todos estão sujeitos a um ataque, mas garantir que, ao ser vítima de um, o acesso aos dados seja feito o mais rápido possível”, completou.
Ela acrescentou que os líderes e gestores da atualidade precisam ter a clareza da importância do investimento contínuo em projetos de segurança e inovação tecnológica. Os prejuízos causados por ataques, tanto para a imagem quanto para o funcionamento efetivo de uma organização, podem ser desastrosos e em alguns casos, irreversíveis. São riscos reais e quantificados nos mais confiáveis relatórios e estatísticas do segmento.