Uma infraestrutura de TI segura é essencial para o sucesso nos negócios. Porém, com a complexidade crescente dos sistemas de TI e o grande volume de dados gerados, o armazenamento e a proteção das cargas de trabalho se tornaram ainda mais complicados, caros e inseguros.
Como outros líderes de TI, você pode estar pensando em como elevar a segurança em sua estratégia de nuvem híbrida. Não há dúvida de que a nuvem híbrida veio para ficar. De acordo com um relatório recente da Forrester Consulting, aproximadamente oito em cada dez líderes de TI esperam que as suas empresas invistam mais na nuvem pública do que nos próximos dois anos.
Porém, dados sensíveis e cargas de trabalho antes guardados no data center agora estão espalhados por ambientes de nuvem híbrida, o que amplia a superfície de ataque de forma significativa.
O uso de mais provedores de nuvem – com mais movimentação de dados e cargas de trabalho de alto valor – coloca a segurança no topo das preocupações. Segundo o levantamento da Forrester, 40% dos entrevistados acham que a nuvem pública não atende às suas necessidades de segurança.
Este artigo tem por objetivo ajudar a incorporar mais segurança em sua infraestrutura de nuvem híbrida, a começar pelo data center, e também a obter suporte nos negócios para isso.
Aumentar a segurança do data center ou apostar na nuvem híbrida?
Se a nuvem o fez reconsiderar a segurança, a sua solução poderia estar no data center. Ainda segundo o relatório da Forrester, 90% dos líderes de TI concordaram que a infraestrutura local é uma parte crítica de sua estratégia de nuvem híbrida.
Mas quando os tomadores de decisão da empresa atrasam o investimento em infraestrutura de TI, a segurança se torna ainda mais prioritária. A mesma pesquisa revela que 61% das organizações atrasaram a atualização das suas infraestruturas nos últimos cinco anos.
Um comitê de compra de TI geralmente tem vários membros atualmente. Então você provavelmente está familiarizado com diferentes vozes pesando em torno da mesa. Para cortar custos, talvez os executivos de alto nível de sua organização tenham se convencido de que a nuvem é o caminho a ser percorrido. Nesse caso, as necessidades de negócios deles devem vir em primeiro lugar.
Essa situação dá a você uma oportunidade: fazer investimentos em infraestrutura de TI com base na segurança. Para isso, é importante provar que investir no data center não é apenas um custo adicional, mas uma medida necessária para o crescimento do negócio.
Como convencer a direção a investir em infraestrutura
Você pode iniciar a conversa mostrando a realidade da segurança corporativa. De acordo com o relatório “The Sliding Scale of Cyber Security”, do SANS Institute, cerca de 60% dos negócios sofreram violações de segurança nos últimos três anos. Além disso, 64% deles dizem que as violações de dados são a causa principal do tempo de inatividade.
Mesmo com esses números, você pode enfrentar resistência de seus colegas. Eles podem dizer que construir uma infraestrutura local segura em um mundo de nuvem híbrida exige muito tempo, esforço e dinheiro. Porém, de acordo com um artigo do SANS Institute, investir em arquitetura – planejar, estabelecer e manter os sistemas – custa o mínimo e oferece um valor máximo para reforçar a segurança.
Além do mais, o investimento em arquitetura possibilita que os outros quatro níveis de segurança cibernética – defesa passiva, defesa ativa, inteligência e ofensiva – possam alcançar os seus resultados ideais.
Construindo uma infraestrutura mais segura
Imagine uma casa de dois andares. No andar de cima, todas as janelas de todos os cômodos estão trancadas e seguras. Lá embaixo, a porta da frente está aberta. Essa casa funciona como uma estratégia de nuvem híbrida que não leva em conta a segurança local.
Os provedores de nuvem têm protocolos de segurança proprietários para proteger os seus dados e cargas de trabalho. E eles oferecem Segurança da Informação e Gerenciamento de Eventos (SIEM) para visibilidade em suas respectivas nuvens.
Para insights coletivos desses diferentes conjuntos de informações e para responder a eventos de segurança, as suas equipes de segurança provavelmente adicionaram recursos como Orquestração, Automação e Resposta de Processos de Segurança (SOAR). Desse modo, o seu sistema pode parecer seguro e protegido – pelo menos do ponto de vista do segundo andar.
Porém, lá embaixo, no primeiro andar, há muito trabalho a ser feito. Para acompanhar as ameaças que você enfrenta, a segurança do data center precisa ser integrada do chip ao hardware e ao sistema operacional.
A regra de ouro em segurança hoje em dia é: “Esteja preparado em todos os momentos”. E as estatísticas do relatório Cost of a Data Breach 2020, do Instituto Ponemon, confirmam isso. Segundo o levantamento, o tempo necessário para identificar uma violação de dados devido a ataques maliciosos é de 230 dias, enquanto o tempo necessário para contê-la é de 315 dias.
Como resposta, as empresas estão implementando várias camadas de ferramentas para explicar o quê, onde, quando e como as ameaças surgem em todo o cenário digital – e como responder a elas.
Princípios para orientar a segurança da infraestrutura de TI
Vamos voltar à nossa analogia com a casa. A segurança moderna para o data center é mais do que bloquear a porta da frente. Ela precisa proteger todos os itens da casa com um sistema que os segue onde quer que eles vão.
Em repouso ou em voo, a criptografia difusa protege os dados e as cargas de trabalho em sua arquitetura de nuvem híbrida. Essa inteligência de segurança baseada em software é construída no mecanismo de criptografia de soluções de hardware. O resultado é uma criptografia generalizada no banco de dados, com um conjunto de dados ou nível de disco que não requer que os clientes alterem ou ajustem os aplicativos. Em vez disso, cada aplicativo tem o seu próprio mecanismo de criptografia-descriptografia, para que você possa aplicar criptografia sem alterar o aplicativo.
Mas e os residentes e visitantes da casa? Com milhares de usuários interagindo com dados locais, o data center também precisa de uma camada de base integrada de identidade e gerenciamento de acesso. Essa camada pode reduzir o risco por meio de políticas de segurança e práticas recomendadas, enquanto fornece loop fechado, inteligência de segurança automatizada e correção de ameaças.
Usuários, grupos e recursos estão sempre em fluxo, tornando a governança de identidade e acesso também cruciais. Os sistemas automatizados podem simplificar o provisionamento, a governança e a autorização para proteger os dados e cargas de trabalho para experiências mais seguras e contínuas.
Gerenciando o elemento humano
Ao criar uma estratégia de nuvem híbrida segura, é preciso contabilizar todos os fatores envolvidos – incluindo pessoas, processos e tecnologia.
Como líder de TI, você pode instituir processos e influenciar decisões sobre tecnologia. Porém, embora a maioria das pessoas dentro da empresa seja bem-intencionada, também pode haver pessoas maliciosas. E esse fator sempre será o mais desafiador de gerenciar. Segundo pesquisa do Ponemon Institute, 52% das violações de dados resultam de ataques maliciosos, enquanto 23% delas se originam de erros humanos.
A construção de uma cultura de segurança começa com o investimento no data center. Mesmo assim, investir na gestão do elemento humano também é vital. Esta é a sua oportunidade de trabalhar com líderes em todo a empresa em um esforço coletivo para abordar:
- Ameaças internas. Os seus colaboradores são alguns dos seus ativos mais importantes. Porém, mesmo funcionários bem-intencionados podem representar ameaças significativas quando usam senhas fáceis de hackear, soluções alternativas não autorizadas, conexão com roteadores domésticos não seguros ou até mesmo cometem erros simples.
- Ameaças externas. Os cibercriminosos continuam os seus esforços para lucrar com dados roubados. De 2005 até 2019, houve um aumento de 692% no número de ataques cibernéticos nos EUA.
- Ameaças de onboarding / offboarding. Muitas discussões sobre integração e desativação de talentos concentram o seu foco em RH e custos para o negócio. Mas com a taxa de rotatividade anual de funcionários em aproximadamente 15%, a segurança também é uma preocupação significativa. Até 87% dos funcionários deixam as empresas com os dados que criaram lá, e outros 28% pegam os dados criados por outras pessoas.
- Ameaças interconectadas. A sua empresa se estende muito além de suas quatro paredes. Parceiros, fornecedores, clientes, provedores de nuvem – cada um tem uma série de ameaças humanas para gerenciar também. Uma estratégia de nuvem híbrida segura que começa no local faz mais do que proteger seus dados e cargas de trabalho. Ela promove segurança em todas as interações digitais.
Como lidar com questões de compliance
A empresa deseja viajar a 160 km/h. Mas a conformidade diz que o limite de velocidade é 65 km/h.
Você está na equipe que dá as notícias. Ninguém está ansioso para lidar com a conformidade. Esse processo pode ser caro, demorado e drenar recursos. No entanto, a sua importância não pode ser subestimada. Cerca de 66% das empresas dizem que questões de conformidade determinam a prioridade dos gastos com segurança, segundo levantamento do IDG.
Conforme a superfície de ataques cresce com a nuvem híbrida, o mesmo acontece com a arena de conformidade. Afinal, as exigências com relação ao uso de dados privados dos reguladores continuam a se expandir. Informações de dados pessoais trazem requisitos rigorosos para o tratamento de dados. Nesse cenário, acompanhar as demandas pela privacidade de dados por parte da equipe de segurança e jurídica pode ser uma tarefa desafiadora.
Muitas vezes, ouvimos alguém sugerir que “conformidade não é segurança”. Mas a segurança e a conformidade podem andar de mãos dadas com a infraestrutura local certa – do chip ao hardware e sistema operacional.
À medida que dados locais e cargas de trabalho se movem para ambientes em nuvem, criptografia em todos os lugares torna-se a chave. A criptografia integrada no nível do chip protege os dados em repouso e em trânsito, mesmo quando sai da plataforma. O acesso de controle fora da plataforma e a revogação continuam essa proteção em qualquer lugar da viagem de dados.
Uma estratégia de armazenamento integrada também aumenta a segurança e a conformidade. Criptografia digital de alta performance e gap tradicional de fita adicionam camadas de segurança e ajudam a atender os requisitos de residência de dados.
As ferramentas de conformidade incorporadas ao sistema operacional ajudam ainda mais. Você pode melhorar o desempenho da auditoria e diminuir custos com visibilidade de conformidade em toda a empresa, padrões aplicáveis, análise automatizada e ferramentas administrativas simplificadas.
E no horizonte está a computação confidencial, uma nova era de segurança que pode melhorar a conformidade. Apoiada pelo Consórcio de Computação Confidencial da Linux Foundation, essa nova tecnologia estende a criptografia aos dados usados no nível do aplicativo. Dados que podem permanecer criptografados em uso podem ser uma virada de jogo para ajudar a atender aos requisitos de conformidade.
A Consultoria da IT TCS pode ajudar a sua empresa a entender as suas necessidades de infraestrutura e desenhar as alternativas de solução, de acordo com as suas necessidades. Entre em contato conosco e faça a sua avaliação para encontrar as soluções certas para o seu negócio.
