<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=633097343493783&amp;ev=PageView&amp;noscript=1">
canal-comstor-logo
O blog dos negócios de TI.
Comstor Americas
  • Partner Portal
  • 14 dicas de marketing para revendas de TI
  • Baixar agora
  • Baixar E-book grátis
  • Serviços Gerenciados Cisco Meraki
  • Partner Portal
  • 14 dicas de marketing para revendas de TI
  • Baixar agora
  • Baixar E-book grátis
  • Serviços Gerenciados Cisco Meraki

As empresas não tomam o devido cuidado com os dados armazenados na Nuvem

Publicado em 13/mar/2017 5:00:00

Entenda por que isso acontece e como é possível modificar as estratégias para aumentar a proteção.

As empresas não tomam o devido cuidado com os dados armazenados na Nuvem

 

Os discos rígidos, pen drives e outros dispositivos físicos de armazenamento são um alvo atraente para os cibercriminosos que querem roubar informações confidenciais das empresas, e isso é algo que os CIOs de corporações de  todos os tamanhos estão bem cientes. Na verdade, eles tentam educar seus funcionários sobre a necessidade de usar essas ferramentas corretamente.

 

No entanto, a agora popular Nuvem digital, usada pelas empresas para armazenar quantidades crescentes de informações confidenciais, também deve ser levada em consideração ao projetar uma estratégia de segurança cibernética da empresa. A migração para a Nuvem tem benefícios poderosos - economia de custos, acesso fácil a arquivos de qualquer lugar, conveniência, etc.- mas também apresenta alguns riscos que devem ser identificados e controlados.

 

De acordo com um estudo recente publicado pelo Ponemon Institute, a maioria das empresas não tem ou não sabe se elas inspecionam seus serviços em Nuvem para identificar malwares. Enquanto 49% dos aplicativos de negócios estão agora armazenados na cloud, menos da metade deles são conhecidos, oficialmente sancionados ou aprovados pelo departamento de TI.

 

Embora os entrevistados compreendessem o risco de violações de dados, quase ¼ não pode determinar se eles haviam sido violados, e quase ⅓ não pôde determinar que tipos de dados foram perdidos nas violações, tampouco sabem como ocorreram as violações.

 

Este e outros estudos semelhantes parecem indicar que as empresas dependem muito das medidas de segurança adotadas pelos próprios prestadores de serviços em Nuvem e que, muitas vezes, elas deixam a proteção dos seus segredos e ativos mais valiosos quase que exclusivamente nas mãos de terceiros.

 

Para resolver esta situação, a CISPE, uma coalizão de prestadores de serviços em Nuvem operando na Europa, publicou o primeiro código de conduta do setor, com o objetivo de garantir a segurança dos dados e a confidencialidade. Os provedores de infraestrutura em Nuvem compatíveis poderão identificar-se com uma "marca de confiança" que fornecerá garantia de segurança adicional para os clientes, especialmente os corporativos.

 

No entanto, apesar das medidas tomadas por esses gigantes da Internet para garantir a integridade da informação armazenada em seus servidores, as empresas e seus colaboradores não podem ignorar a sua própria responsabilidade de manter dados corporativos e documentos seguros. Assim como eles cuidam bem de seus discos rígidos e pen drives, eles também devem cuidar da Nuvem para evitar que seus dados acabem em mãos erradas.

 

Preocupações de Segurança SaaS

 

SaaS, às vezes referido como software sob demanda, é um modelo no qual o software é licenciado em uma base de assinatura e é hospedado centralmente. Os hackers estão cada vez mais interessados não só entrar em sua rede, mas no valor dos dados que podem encontrar lá. Se o provedor SaaS estiver comprometido, a criptografia de dados é uma boa ideia para ajudar a protegê-los. No entanto, ele não oferecerá proteção contra ataques de phishing e malware lançados para roubar credenciais de acesso de usuário individual. A criptografia deve ser considerada uma tecnologia essencial, mas as organizações devem se lembrar que, por si só, esta não é a solução completa.

 

Embora os provedores de SaaS devam fornecer garantia de que estão tomando medidas para mitigar os riscos de violação, a responsabilidade pela segurança não pode parar por aí. As organizações que selecionam soluções SaaS também devem compartilhar a responsabilidade de segurança e implementar procedimentos e processos internos. Isso inclui estratégias de educação corporativa e treinamento para ensinar aos colaboradores como identificar e responder à campanhas de phishing, bem como definir políticas da empresa em torno de quais dados devem ser colocados na Nuvem e o que é melhor ser mantido dentro do firewall.

 

Só porque uma organização pode armazenar seus dados na Nuvem não significa que eles deveriam ser armazenados. As organizações precisam ter uma conversa com um parceiro confiável e qualificado para entender quais dados devem ser armazenados no local, em um ambiente híbrido, ou totalmente na Nuvem para entender as consequências de negócios e segurança. Definir políticas e práticas recomendadas em torno de quais dados podem ou não precisar ser armazenados na Nuvem pode evitar várias dores de cabeça e possíveis exposições e perdas de dados posteriormente.

 

Cloud Computing: o futuro chegou ao mercado de TI

 

Preocupações de Segurança PaaS

 

O PaaS permite que as empresas construam, executem e gerenciem aplicativos da Web sem a infraestrutura que normalmente é necessária. Como o PaaS se baseia na noção de usar recursos compartilhados (como hardware, rede e segurança), as preocupações de segurança geralmente são focadas em informações de missão crítica que os hackers podem obter durante uma violação de dados. Se os locatários PaaS tiverem Administrador/raiz ou acesso de cartucho aos servidores que executam suas instâncias, problemas de segurança adicionais poderão surgir se hackers forem capazes de obter acesso não autorizado e alterar configurações. Além disso, os controles de segurança e os direitos de autoatendimento oferecidos pelas plataformas PaaS podem representar um problema se não estiverem configurados corretamente. Os provedores devem ser capazes de fornecer políticas claras, diretrizes e aderir às melhores práticas aceitas pela indústria.

 

Mais uma vez, a segurança não pode ser apenas a responsabilidade do provedor PaaS. Ao selecionar um fornecedor PaaS, considere essas questões cruciais antes da seleção final:

 

- Quais são os tipos de criptografia usados?

- Qual é a independência e disponibilidade dos dados (você pode mover suas máquinas virtuais e todos os seus dados para outro provedor? Quem tem acesso a ele? O que acontece se uma instância de nuvem migrar para outro país?).

- Quais são os protocolos de recuperação de desastre / continuidade de negócios?

 

Preocupações de Segurança IaaS

 

O IaaS fornece recursos de computação virtualizados na Internet hospedados por terceiros.

As preocupações de segurança do IaaS são semelhantes às preocupações de seu próprio Data Center. A empresa está protegendo dados confidenciais ou propriedade intelectual? Existem padrões de conformidade que precisam ser atendidos e como esses padrões são avaliados? É necessário ter a capacidade de auditar o provedor de Nuvem para atender a esses requisitos de conformidade? Qual é a abordagem do fornecedor da Nuvem no monitoramento?

 

Com ambientes IaaS, o controle é a principal preocupação que a empresa precisa resolver. Como a organização está usando um ambiente virtualizado e recursos que não são tecnicamente dela, os pontos fracos na segurança do fornecedor podem afetar a companhia dramaticamente.

 

Fontes:

http://www.pandasecurity.com/mediacenter/news/danger-companies-data-cloud/

http://ecsnamagazine.arrow.com/saas-paas-and-iaas-what-you-and-your-customers-need-to-know-about-the-risks/

 


Categorias: Cloud Computing