PMEs: 7 erros comuns ao utilizar serviços em nuvem

Seguinte

São Paulo, Brasil - Hoje em dia, é mais provável que a infraestrutura, as plataformas e o software de computadores sejam oferecidos como serviço do que em uma configuração tradicional no local. Isso é muito atraente para pequenas e médias empresas (PMEs), mais do que para a maioria, pois permite competir em igualdade com concorrentes de maior porte, com agilidade empresarial e escalabilidade rápida, sem a necessidade de gastar em excesso. É por isso que a ESET, empresa líder em detecção proativa de ameaças, alerta que a transformação digital também traz riscos, independentemente do tamanho das empresas, e destaca pontos-chave de segurança a serem considerados para evitar erros.

"53% das PMEs pesquisadas em um relatório recente afirmam gastar mais de 1,2 milhões de dólares por ano na nuvem, em comparação com 38% do ano passado. Além disso, a segurança (72%) e o cumprimento de regulamentos (71%) são o segundo e terceiro desafio mais citado pelas PMEs pesquisadas. O primeiro passo para enfrentar esses desafios é entender os principais erros cometidos pelas empresas menores em suas implementações na nuvem. No entanto, não são apenas erros cometidos pelas PMEs na nuvem; as empresas maiores e mais bem financiadas às vezes são culpadas por esquecer o básico. Ao eliminar esses pontos cegos, sua organização pode dar grandes passos na otimização do uso da nuvem, sem se expor a riscos financeiros ou de reputação potencialmente graves", comenta Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET na América Latina.

Os 7 principais erros de segurança na nuvem cometidos por PMEs (e não tão PMEs), segundo a ESET, são:

1. Sem autenticação multifatorial (MFA): senhas estáticas são intrinsecamente inseguras e nem todas as empresas seguem uma política robusta de criação de senhas. Senhas podem ser roubadas de várias maneiras, por exemplo, por meio de phishing, métodos de força bruta ou simplesmente sendo adivinhadas. Portanto, é necessário adicionar uma camada adicional de autenticação. A MFA tornará muito mais difícil para que os invasores acessem as aplicações nas contas de SaaS, IaaS ou PaaS de seus usuários, mitigando assim o risco de ransomware, roubo de dados e outros possíveis resultados. Outra opção é mudar, sempre que possível, para métodos alternativos de autenticação, como autenticação sem senha.

2. Confiar em excesso no provedor de nuvem: muitos responsáveis de TI acreditam que investir na nuvem significa efetivamente terceirizar tudo para um terceiro de confiança. Isso é verdade apenas em parte: há um modelo de responsabilidade compartilhada entre o provedor e o cliente para garantir a segurança da nuvem. O que deve ser considerado dependerá do tipo de serviço - SaaS, IaaS ou PaaS - e do provedor. Embora a maior parte da responsabilidade recaia sobre o provedor, vale a pena investir em controles adicionais de terceiros.

3. Não fazer backups: nunca considere que o provedor de serviços na nuvem (por exemplo, para serviços de armazenamento/compartilhamento de arquivos) cobre todas as eventualidades. Você deve pensar no pior cenário possível: uma falha no sistema ou um ciberataque ao seu provedor. Não é apenas a perda de dados que afetará a sua organização, mas também o tempo de inatividade e o impacto na produtividade que poderiam seguir a um incidente.

4. Não aplicar patches regularmente: se você não aplicar patches, estará expondo seus sistemas na nuvem à exploração de vulnerabilidades. Isso, por sua vez, pode resultar em infecções por malware, vazamento de dados e muito mais. A gestão de patches é uma das melhores práticas de segurança tão importante na nuvem quanto em outros sistemas.

5. Desconfiguração da nuvem: os provedores de serviços na nuvem são inovadores, mas o enorme volume de novas funções e capacidades que eles lançam em resposta aos feedbacks dos clientes pode acabar criando um ambiente na nuvem incrivelmente complexo para muitas PMEs. Isso torna muito mais difícil saber qual configuração é a mais segura. Os erros mais comuns incluem configurar o armazenamento na nuvem para que qualquer terceiro possa acessá-lo e não bloquear as portas abertas.

6. Não supervisionar o tráfego da nuvem: a detecção e resposta rápidas são críticas se quisermos identificar os sinais a tempo, para conter um ataque antes que tenha a oportunidade de afetar a organização. Isso torna a monitorização contínua indispensável. Vale a pena considerar que não se trata de "se" o ambiente na nuvem será comprometido, mas sim de "quando".

7. Não criptografar os dados sensíveis da empresa: nenhum ambiente é 100% à prova de violações. Então, o que acontece se um invasor conseguir acessar seus dados internos mais sensíveis ou informações pessoais altamente regulamentadas de funcionários/clientes? Se você os criptografar em repouso e em trânsito, garantirá que eles não possam ser utilizados, mesmo se forem obtidos.

Segundo a ESET, o primeiro passo para lidar com esses riscos de segurança na nuvem é compreender quais são as responsabilidades e de quais áreas o provedor será responsável. Isso envolve decidir se confiar nos controles de segurança nativos da nuvem ou se é preferível aprimorá-los com produtos adicionais de terceiros. Por isso, eles aconselham o seguinte:

  • Investir em soluções de segurança de terceiros para aprimorar a segurança na nuvem e a proteção de aplicativos de e-mail, armazenamento e colaboração, além das funcionalidades de segurança integradas nos serviços em nuvem oferecidos pelos principais provedores de serviços em nuvem do mundo.
  • Adicionar ferramentas de detecção e resposta expandidas ou gerenciadas (XDR/MDR) para impulsionar uma resposta rápida a incidentes e a contenção/remediação de violações.
  • Desenvolver e implementar um programa contínuo de aplicação de patches baseado em riscos e em uma gestão sólida de ativos (ou seja, saber quais ativos na nuvem você possui e garantir que estejam sempre atualizados).
  • Criptografar os dados em repouso (no nível do banco de dados) e em trânsito para garantir sua proteção. Isso também exigirá uma detecção e classificação eficaz e contínua de dados.
  • Definir uma política clara de controle de acesso; exigir senhas seguras, MFA, princípios de privilégio mínimo e restrições baseadas em IP/listas de acesso permitido para IPs específicos.
  • Considerar a adoção de uma abordagem de confiança zero, que incorpora muitos dos elementos mencionados anteriormente (MFA, XDR, criptografia) juntamente com a segmentação de rede e outros controles.

"Muitas das medidas mencionadas acima são as mesmas melhores práticas que se esperaria implementar também em sistemas locais, com alguns detalhes que podem ser diferentes. O mais importante é lembrar que a segurança na nuvem não é apenas responsabilidade do provedor e que é necessário assumir o controle para prevenir os riscos cibernéticos", concluí Gutiérrez Amaya da ESET.

Para saber mais sobre segurança da informação, visite o portal de notícias ESET.  A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse este link.