ciberseguranca nuvem

Cibersegurança: para uma jornada na nuvem sem turbulências

6 minutos de leitura

A importância do investimento contínuo em projetos de segurança e inovação tecnológica foi tema de painel na Rio Oil & Gas, maior evento de óleo e gás da América Latina



Por Redação em 21/11/2022

Parceria Editorial

O Brasil é um dos países com maior índice de ataques cibernéticos do mundo e esse número não para de crescer. De acordo com dados da Checkpoint Research – divisão de Inteligência em Ameaças da Check Point Software Technologies– houve 46% mais ataques no segundo trimestre de 2022 do que no mesmo período do ano passado. O número também é 14% maior do que a média global, que é de 32%. Segundo o relatório, o país tem uma média de 1.540 ataques por semana e, só na América Latina – a região que lidera o ranking de casos -, uma em cada 23 organizações são atacadas semanalmente. 

E neste cenário, a cibersegurança em nuvem vem ganhando cada vez mais relevância no mundo corporativo e não só entre profissionais de Tecnologia da Informação. Esse foi o tema discutido em um painel da Embratel na Rio Oil & Gas, maior evento de óleo e gás da América Latina. A apresentação foi mediada pelo CEO e Editor-chefe da MIT Technology Review Brasil, André Miceli, e contou com a participação de Diuliana França, diretora de Serviços Cloud B2B na Embratel, Mario Rachid, diretor executivo de soluçōes digitais da Embratel, e Andréa Fodor, gerente de vendas da Amazon Web Services (AWS).

Usuários lideram causas de incidentes cibernéticos

ciberseguranca nuvem

A diretora de Serviços Cloud B2B na Embratel iniciou mostrando alguns dados sobre os ataques cibernéticos. Entre eles, o de que boa parte dos incidentes vem de brechas deixadas pelos próprios usuários dos sistemas. O Gartner estima que, até 2025, 99% das falhas de segurança na nuvem serão culpa do próprio usuário. Essas falhas podem ocorrer por questões como o mau uso dos sistemas – nem sempre intencionais -, senhas fracas e phishing (fraude virtual para enganar as pessoas para que compartilhem informações confidenciais).

Existem, ainda, situações comuns e facilmente evitáveis que ajudam a deteriorar a segurança desses ambientes. “São credenciais sem a autenticação multifator habilitadas, sistemas sem backups atualizados ou que nunca tiveram backups ou snapshots (cópia instantânea de volume), softwares sem atualização e sem suporte, gerenciadores de repositório de software (GitLab) abertos para acessos externos, chaves armazenadas no GitLab e falta de documentação/inventário das aplicações”, explicou Diuliana.

Por isso, um dos pilares fundamentais da segurança na nuvem é o modelo de responsabilidade compartilhada. Nela, o provedor é o responsável por proteger a infraestrutura que executa todos os serviços oferecidos na plataforma. Ou seja: hardware, software, redes e instalações. Já o usuário é responsável pela segurança de tudo que é colocado lá. Se um dos lados não faz a sua parte adequadamente, o ambiente se torna um alvo fácil para ações criminosas. 

De acordo com padrões internacionais de segurança, fundamentos básicos ajudam a tornar as plataformas mais seguras. Entre eles, estão a gestão de identidade e acessos, a detecção – com análises de vulnerabilidade e testes de penetração -, a proteção da infraestrutura e de dados e  a resposta a incidentes. 

O assunto se tornou ainda mais relevante nos últimos dois anos. Com a pandemia do Covid-19, muitas empresas – principalmente as de pequeno e médio portes – precisaram passar por uma verdadeira transformação digital em um curto período, sem o tempo de amadurecimento e para obter recursos necessários para fazer essa virada de forma segura. Com isso, portas para incidentes criminosos foram abertas e agora precisam de ações efetivas para que sejam fechadas. 

A Avast, empresa global em segurança digital e privacidade, apontou, por exemplo, que os ataques de ransomware (malware de sequestro de dados, feito por meio de criptografia) aumentaram em 50% no Brasil no segundo semestre em relação aos três primeiros meses do ano.

O caminho da segurança na nuvem

ciberseguranca nuvem

Para uma jornada segura na nuvem, a empresa precisa antes de tudo entender o seu caso de negócio, as suas necessidades em termos de infraestrutura e os seus objetivos ao buscar esse ambiente. É preciso fazer uma avaliação de todo o perímetro e identificar quem são as pessoas que realmente precisam acessar o sistema e, a partir daí, criar entre elas uma cultura de segurança. É algo que não ocorre de uma hora para a outra, mas sim com um trabalho contínuo desenvolvido por meio de ações e exemplos. 

E essa segurança deve ser pensada em camadas. A primeira delas é a prevenção,  feita por meio de ferramentas e processos de treinamento de equipe. Há também a detecção, realizada por meio de monitoramento, e a reação. Mesmo com todo o investimento prévio, é preciso estar preparado para agir caso ocorra um incidente criminoso bem-sucedido. Uma reação inapropriada pode causar mais estragos do que o próprio ataque em si. 

A correria do dia a dia e a pressão por resultados também pode ser uma das portas para esses eventuais incidentes. Ao mesmo tempo em que a nuvem possibilita agilidade nos processos, isso pode acabar fazendo com que cuidados básicos sejam preteridos. É fundamental que todos que naveguem nesse contexto tenham em mente que a prioridade é a segurança. 

Justamente por isso o monitoramento é outro ponto imprescindível. Não adianta disponibilizar o ambiente sem gestão, análise de comportamento e resultados. Só assim o sistema poderá, por meio de ações automatizadas, fazer processos de ajustes técnicos ou de segurança. A automação é, aliás, uma palavra-chave ao abordar o tema, seja para a segurança ou para a própria aplicação do negócio. 

Segurança requer investimento contínuo

O diretor executivo de soluções digitais da Embratel, Mário Rachid, destacou que é preciso, ainda, ter sempre a consciência da importância do investimento contínuo para que um sistema funcione bem em umprimeiro momento, mas continue assim com o passar do tempo. Os ataques mudam e o desenho das infraestruturas também precisa mudar. A chegada do 5G ao país, por exemplo, terá como efeito colateral a ampliação das possibilidades de incidentes do tipo. “Não adianta criar uma base altamente eficiente e, no fim das contas, um colaborador da empresa clicar em um e-mail malicioso e contaminar todo o ambiente. Neste sentido, é necessário trabalhar e adaptar constantemente o Security by Design (conceito que envolve testes para encontrar vulnerabilidades desde os primeiros estágios de desenvolvimento de uma solução)”, disse Rachid. 

Ao mesmo tempo em que a segurança tem deser tratada quase como uma paranoia, ela não pode se tornar um fator que impeça o andamento dos processos. Por isso, é indispensável ter parceiros de confiança e especializados para compartilhar os receios e responsabilidades e, ao mesmo tempo, ter liberdade para se dedicar efetivamente ao negócio.

Apesar de se tratar de uma questão elementarmente tecnológica, a cibersegurança atualmente é um tema de preocupação dos mais variados setores e níveis hierárquicos das organizações no mundo todo, inclusive no Brasil. As empresas estão focadas no tema e trabalhando, inclusive, em ações conjuntas na criação de comitês. E o motivo para isso é bem simples: a importância dos dados, algo que muita gente considera como o petróleo da nova era. A indisponibilidade deles pode trazer impactos desastrosos para uma empresa e até mesmo parar o seu funcionamento. 

E o dado hoje não é mais centralizado. As soluções de Internet das coisas (IoT), por exemplo, fazem com que ele esteja distribuído em diferentes pontas. A distribuição cria inevitavelmente novas possibilidades de ofensivas maliciosas. É um cenário que demanda, mais uma vez, atenção contínua na proteção. 

Nesse contexto, os riscos que antes eram totalmente virtuais acabam extrapolando para o mundo físico. Imagine, por exemplo, soluções em IoT voltadas para o sistema de transporte ou veículos autônomos. Qualquer eventual problema pode trazer riscos concretos à vida das pessoas. O ataque cibernético ganhou, ainda, a característica de não afetar apenas o usuário final, mas também toda uma cadeia de organizações ligadas ao alvo. Basta imaginar, por exemplo, uma indústria energética que seja atingida.   

A gerente de vendas da AWS, Andréa Fodor, frisou que, ao mesmo tempo em que o ecossistema se torna cada vez mais complexo, as soluções protetivas vão ficando mais amplas, fazendo com que o auxílio de inovações tecnológicas como a Inteligência Artificial e Digital Twin sejam indispensáveis. Mas, para que essas ferramentas funcionem adequadamente, é preciso antes de tudo superar uma barreira tão desafiadora quanto a proteção em si: captar adequadamente as informações. 

Muitas organizações ainda perdem boa parte dos subsídios que produzem por não ter condições de captação. Sem a reunião desses dados, não é possível, por exemplo, que o sistema detecte eventuais fragilidades técnicas ou simule prevenções. 

“A nuvem oferece aos usuários mecanismos que permitem a proteção confiável dos seus dados, garantindo inclusive que eles se tornem imutáveis”, comentou Andréa. “Mesmo no caso de uma investida criminosa bem-sucedida, o negócio consegue ter a tranquilidade de que a sua base de informações não será modificada. É importante ter em mente que todos estão sujeitos a um ataque, mas garantir que, ao ser vítima de um, o acesso aos dados seja feito o mais rápido possível”, completou. 

Ela acrescentou que os líderes e gestores da atualidade precisam ter a clareza da importância do investimento contínuo em projetos de segurança e inovação tecnológica. Os prejuízos causados por ataques, tanto para a imagem quanto para o funcionamento efetivo de uma organização, podem ser desastrosos e em alguns casos, irreversíveis. São riscos reais e quantificados nos mais confiáveis relatórios e estatísticas do segmento.


E-book gratuito: saiba como implementar uma cultura de cibersegurança na sua empresa

Saiba mais


Matérias relacionadas

Gustavo Loyola gov.br Estratégia

Gov.br avança em integração e segurança digital

Com níveis de segurança digital e implementação de inteligência artificial para personalizar serviços, plataforma coloca o Brasil no alto do ranking do Bird

seguranca digital Estratégia

Brasileiros melhoram segurança digital, mas vulnerabilidades ainda são grandes

Pesquisa bienal da Mobile Time com a Opinion Box mostra que segurança digital evoluiu, mas há vulnerabilidades em todas as faixas etárias

golpes digitais Estratégia

Fraudes e golpes digitais avançam globalmente

Criminosos fazem uso de engenharia social na maioria dos casos, e a proteção contra eles depende da atuação e letramento de toda a sociedade

hackers do bem Estratégia

Programa Hackers do Bem forma profissionais de cibersegurança

Iniciativa capacita mão de obra qualificada para reduzir o hiato existente no setor de segurança da informação