Revista IPESI – EI – 227
Check Point analisou as seis principais etapas necessárias para operar em nuvem e como é possível evitar os cada vez mais agressivos ciberataques.
Nesses tempos de home office e atividades remotas alimentados pelo surto de coronavírus, muitas empresas acabaram por aderir á tecnologia de nuvem, principalmente pela vasta gama de serviços disponibilizados e pela simplicidade operacional. No entanto, trabalhar na nuvem também tem seus riscos, haja vista o grande número de violações de segurança – algumas delas extremamente agressivas – que vem ocorrendo neste novo ambiente.
Para facilitar a vida dos usuários, a Check Point, fornecedora multinacional de soluções de cibersegurança, montou um pequeno catálogo com as seis principais etapas de uma programa de garantia de conformidade que permite lidar com riscos cibernéticos associados à nuvem. Os aspectos fundamentais são a obtenção de visibilidade dos ativos, a frequente monitoração e a automatização dos reparos.
“Os ciberataques estão se tornando cada vez mais rápidos e sofisticados, a na nuvem este cenário é ainda mais crítico, dado a sua natureza mutável. Por isso, a automação é obrigatória na identificação, resposta e correção de ameaças”. diz Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Brasil.
De acordo com ele, possuir um programa de postura e compliance é essencial para aumentar a segurança, ficar aderente ás normas e ás melhores práticas necessárias para o negócio e avaliar os riscos e as medidas de correções. Ou seja, é preciso usar ferramentas para garantir a segurança da infraestrutura em nuvem e, consequentemente, dos sistemas da clientela.
“É claro que a conformidade e a postura de segurança em nuvem, sozinhas, não são uma garantia de proteção total nesses ambientes”, observa Falchi. “Mas se tratam de um importante apoio para manter o foco na estratégia de cibersegurança”.
Etapas
As seis principais etapas levantadas pela Check Point para implantar com exito qualquer programa de conformidade são as seguintes:
- 1. Obtenção da visibilidade dos ativos: Somente o que é conhecido e mantido pode ser protegido. Com a nuvem, os recursos digitalizados são os ativos, portanto, é essencial que todos os sistemas seja adequadamente organizados, sistematizados e adaptados para evolução futura.
- 2. Escolha do sistema de conformidade apropriado: Os programas de conformidade devem ser escolhidos com base do mercado-alvo. No caso de empresas para as quais não existem padrões regulatórios específicos, as necessidades da base de clientes podem servir como um guia para a escolha. A adoção de padrões comuns, como CIS ou NIST, é um bom ponto de partida.
- 3. Avaliação inicial, exceções e personalização: Ao analisar qualquer programa de conformidade, vale a pena examinar como outros aplicaram determinadas soluções para atender seus requisitos. Isso pode resultar na segmentação de partes do sistema, de modo a focar os controles de conformidade apenas nos sistemas e dados de um determinado escopo.
- 4. Monitoramento, frequência de avaliações contínuas, integração com o fluxo de trabalho: A maioria dos programas de conformidade possui controles que devem estar sempre operacionais, por isso é necessário monitorá-los continuamente. Para facilitar o atendimento desses requisitos, muitas empresas usam ferramentas que automatizam o fluxo de trabalho e garantem a eficiência de seus sistemas. Isso pode ser tão simples quanto automatizar funções de segurança.
- 5. Reparo automatizado: Os sistemas que operam na nuvem são mais complexos que os modelos tradicionais. Controles de alta complexidade, como sistemas de alto volume e detecção de vulnerabilidades, são executados automaticamente para aumentar a eficiência. No entanto, é importante ter cuidado com a automação das atividades de acompanhamento, especialmente no caso de falsos positivos, pois isso pode levar a falhas de segurança em larga escala.
- 6. Relatórios e auditorias: A implantação da tecnologia em nuvem deve ser acompanhada por um sistema ou ferramenta que permita acompanhar tudo o que acontece e, portanto, gerar relatórios periódicos que ajudem a avaliar o desempenho de todos os elementos regulamentados.