Muitas organizações afirmam ter uma estratégia para a nuvem. Porém, quando perguntamos a seus executivos qual é a estratégia, a resposta é: “Bem, estamos na nuvem.”
Infelizmente, estar na nuvem não é uma estratégia — especialmente quando se trata de proteger os ativos cibernéticos sendo migrados.
Há uma relação entre segurança e o plano em pauta. Por exemplo, quando guardamos dinheiro para a faculdade ou para comprar uma casa, é necessário ter uma abordagem estratégica e estruturada para garantir o sucesso. Vale o mesmo para a migração para a nuvem. Sem uma estratégia adequada, as organizações que usam a nuvem estão mais expostas a risco, em vez de fazer uma gestão de risco eficaz.
Estamos entrando em um momento crítico no uso da nuvem: no próximo ano, metade das organizações executará mais de 40% de suas cargas de trabalho na nuvem pública, e quase um terço executará mais de 60% de suas cargas de trabalho neste ambiente, segundo pesquisa da Cloud Security Alliance (CSA).
Além disso, essas organizações estão adotando arquiteturas de nuvem cada vez mais complexas, com 66% se comprometendo com um ambiente multi-cloud (e 35% usando pelo menos três fornecedores de plataforma de nuvem) e 55% operando em um ambiente de nuvem híbrida.
Entre os que adotam plataformas na nuvem, no entanto, a segurança continua a ser a principal preocupação, conforme citado por 81% dos participantes da pesquisa da CSA. Segundo este grupo, vazamentos de dados confidenciais, pessoais ou de clientes; acesso não autorizado; infiltração em áreas confidenciais da rede, e corrupção de dados atualmente são as maiores preocupações dos departamentos de TI.
Para melhor enfrentar esses e outros riscos ligados à nuvem, elaboramos algumas perguntas que as organizações devem responder ao desenvolver uma estratégia de gestão de risco na nuvem — e porque são importantes.
Quais departamentos em sua organização utilizam a nuvem? Como a nuvem é utilizada por estes departamentos?
Por que isso é importante: à medida que as organizações buscam a implantação de ambientes de nuvem híbrida e multi-cloud, há um aumento exponencial da complexidade para manter a segurança e garantir compliance e governança. Para gerenciar cenários nos quais há cargas de trabalho tanto no ambiente físico quanto na nuvem, é imperativo entender quem está usando a nuvem e quais tipos de cargas de trabalho estão sendo migradas para este ambiente. No entanto, muitas organizações consideram isso problemático, pois as cargas de trabalho podem ser dinâmicas e as unidades de negócios que utilizam a nuvem podem não ser evidentes, ou podem ter requisitos que mudam o tempo todo — portanto, difíceis de controlar.
Neste sentido, os diretores de segurança da informação (CISOs) e suas equipes devem investir em ferramentas modernas de segurança e compliance que ofereçam, de forma automática, uma visão abrangente sobre o que está sendo movido para a nuvem, como estes conteúdos estão mudando e como podem estar sujeitos às vulnerabilidades e ameaças mais recentes.
Quem supervisiona a aquisição e utilização da nuvem nesses departamentos?
Por que isso é importante: as empresas que estão passando por uma transformação digital e adotando uma estratégia de nuvem híbrida enfrentam o desafio exclusivo de proteger quantidades de dados cada vez maiores, ao mesmo tempo em que devem permanecer em compliance com requisitos regulatórios e do setor. A natureza dinâmica e de self-provisioning dos ambientes de nuvem pública e privada de hoje cria desafios de shadow IT — uso de sistemas, dispositivos, software, applicativos e serviços de tecnologia da informação sem aprovação explícita do departamento de TI — que podem levar a riscos cibernéticos e de compliance.
Os CISOs devem trabalhar em estreita colaboração com líderes e executivos de alto escalão (C-suite) para avaliar quem vai liderar a transformação digital e quem vai supervisionar sua implementação no dia a dia. Em algumas organizações, pode ser o CIO ou o CDO — diretor de TI e de transformação digital, respectivamente. Em ambos os casos, a segurança na nuvem é uma responsabilidade compartilhada. Os CISOs devem colaborar para nutrir uma cultura que acredita — coloca em prática — a segurança na nuvem.
Quais são as tarefas essenciais da gestão de risco? Quais as especificidades, e quem faz o quê?
Por que isso é importante: é fundamental incluir todos os “ingredientes” da gestão de risco cibernético e de compliance para o ambiente de nuvem híbrida. Estes incluem gestão de vulnerabilidade, segurança e operações, auditoria interna, governança/compliance e gestão de configuração. Um CISO deve ter operações de segurança dedicadas e equipes de analistas, auditores internos, compliance e governança para cobrir essas áreas.
Como garantir que a estratégia de gestão de risco na nuvem seja executada de maneira adequada — tanto pelos departamentos quanto pela empresa como um todo?
Por que isso é importante: o C-suite deve estar envolvido em discussões e desenvolvimentos contínuos de estratégias de gestão de risco, especialmente quando falamos de ambientes híbridos e multi-cloud. As empresas também devem implementar uma abordagem comum com base na estrutura de gestão de risco para garantir que todos trabalhem sob uma estrutura comum para avaliar a eficácia da estratégia de gestão de risco por meio de métricas comuns.
Para manter líderes e executivos do C-suite informados e engajados no que tange à segurança e compliance ideais, os CISOs e suas equipes devem fornecer métricas em tempo real com monitoramento contínuo para gestão cibernética e de compliance, fornecendo dashboards executivos que retratem o risco cibernético e postura sobre risco de compliance para o ambiente de núvem híbrida e multi-cloud como um todo.
Entretanto, a migração para a nuvem não é estritamente responsabilidade de um departamento específico. Não está restrita a TI ou ao CISO, ou mesmo ao C-suite. É um movimento crítico enquanto missão, que exige o input e o envolvimento constante de todos esses componentes organizacionais.
Quando todos se reúnem para determinar quem está migrando o quê — e para onde — juntamente com a atribuição de papéis relacionados a investimento/supervisão na nuvem, segurança, riscos comuns e estrutura de gestão de governança/compliance, não estão mais “voando às cegas” rumo à transformação digital. Em vez disso, avançam estrategicamente, para maximizar o valor da nuvem, enquanto minimizam o risco — um plano vencedor e duradouro.
Artigo escrito por Kaus Phaltankar para Information Management e licenciado pela Bloomberg. Originalmente publicado em 11 de fevereiro de 2020.