Migrar para a nuvem não significa garantir a segurança dos negócios
Israel é conhecido por ter uma forte ênfase em tecnologia e inovação, principalmente no tocante à cibersegurança. Trata-se de uma relação significativa, que faz com que o país desempenhe um papel proeminente no desenvolvimento de soluções avançadas neste campo. As discussões sobre a segurança da computação em nuvem, segurança cibernética e segurança da informação são prevalentes no mundo corporativo em nível global. No entanto, existe uma concepção amplamente difundida de que migrar para a nuvem automaticamente garante a segurança dos negócios. Este é um cenário em que um olhar compreensivo entre colegas pode levar à pergunta não dita: “Quem deveria revelar a verdade?”.
Embora um negócio possa estar mais seguro na nuvem, considerações críticas surgem. Uma delas é entender o Modelo de Responsabilidade Compartilhada (MRC), que define os limites entre as responsabilidades de um negócio e as de um provedor. Este modelo é crucial para abordar dois aspectos vitais para uma avaliação abrangente: “segurança na nuvem” e “segurança da nuvem”. É importante ressaltar que o MRC não é um modelo proprietário, mas sim um framework amplamente aceito na indústria, que se baseia nas melhores práticas/diretrizes dos principais provedores de serviços, como Amazon Web Services, Microsoft Azure e Google Cloud Platform. Este modelo enfatiza a responsabilidade compartilhada que tanto o provedor quanto o cliente devem garantir para a segurança dessa plataforma tecnológica.
O MRC é um princípio fundamental que delineia os deveres colaborativos de provedores de serviços de nuvem (CSPs) e usuários, de modo a garantir uma segurança robusta neste ambiente. Examinando o modelo em profundidade, identificamos dois componentes: a “segurança na nuvem” e a “segurança da nuvem”, que fundamentam a compreensão dessa interação complexa entre usuários e provedores, enfatizando seus esforços conjuntos para fortalecer serviços e proteger dados no âmbito da nuvem. A “segurança na nuvem” refere-se às medidas e práticas implementadas pelos usuários para proteger seus dados, aplicativos e interações na nuvem. No entanto, a “segurança da nuvem” coloca a responsabilidade sobre o provedor de serviços de nuvem, que deve garantir a segurança da infraestrutura subjacente. Este modelo abrangente assegura que as partes contribuam com papéis distintos, porém interdependentes, fomentando uma abordagem colaborativa essencial para a segurança e integridade global do ecossistema.
Ao aprofundarmos no domínio intrincado da “segurança da nuvem”, emerge uma compreensão profunda, revelando as responsabilidades que estão sob a alçada dos CSPs. Nessa esfera crítica, o CSP assume um papel fundamental ao garantir a segurança da infraestrutura. Isso envolve a implementação de medidas avançadas de segurança, incluindo, mas não se limitando a, criptografia, controles de acesso rigorosos, protocolos robustos de segurança de rede e um compromisso firme com requisitos regulatórios. Por meio dessas medidas proativas, o CSP estabelece uma base fortificada, galgando os princípios fundamentais para a operação segura dos serviços.
É importante destacar que os usuários se beneficiam significativamente da provisão de serviços de segurança e infraestrutura pela nuvem. No entanto, a colaboração entre o CSP e os usuários é enfatizada pelo framework de responsabilidade compartilhada: enquanto a responsabilidade principal de assegurar a infraestrutura repousa sobre o CSP, os usuários são participantes integrais na equação de segurança, contribuindo ativamente na implementação e na adesão a medidas de segurança recomendadas, fomentando um ambiente cooperativo que é fundamental para manter a integridade e resiliência do ecossistema.
Esta relação simbiótica entre CSPs e usuários é a pedra angular de medidas eficazes e robustas de segurança em nuvem. Ao nos aproximarmos do domínio da “segurança na nuvem”, o foco se volta ao papel que os usuários desempenham na preservação da integridade e estabilidade de seus dados e aplicativos. Esta transição implica responsabilidades e ações específicas que devem ser adotadas de forma consciente. Na prática, os usuários se tornam custódios de seus ativos digitais, implementando ativamente uma variedade de medidas de segurança. Isso envolve o uso prudente de criptografia, a gestão de identidade e acesso, a adesão a padrões de conformidade e a adoção proativa de protocolos de segurança.
Neste cenário usercentric, os usuários atuam como a primeira linha de defesa contra vulnerabilidades, exigindo uma compreensão profunda do cenário dinâmico de ameaças e proatividade em relação à segurança. A colaboração entre práticas de segurança impulsionadas pelos usuários e as medidas tomadas pelos CSPs formam a base de uma postura robusta. Nessa cooperação, os usuários não apenas protegem seus interesses, mas também contribuem coletivamente para o fortalecimento de todo o ecossistema, garantindo um ambiente digital seguro e confiável para todas as partes envolvidas.
A busca por segurança na nuvem exige uma estratégia que vá além de medidas isoladas, envolvendo a integração de estruturas de governança robustas, práticas meticulosas de gerenciamento de riscos e uma colaboração contínua entre CSPs e usuários. O reconhecimento crítico do MRC torna-se crucial, enfatizando os papéis distintos (e interdependentes) desempenhados pelas partes na manutenção da segurança e integridade global da nuvem.
Ao navegarmos pela paisagem complexa da segurança na nuvem, é imperativo reconhecer que a busca pela segurança dos negócios transcende o escopo técnico, se estendendo à essência fundamental de salvaguardar não apenas redes, dados e aplicativos, mas, mais fundamentalmente, os próprios negócios que dependem desses ativos digitais. Esta perspectiva destaca a interconexão das medidas de segurança com a sustentabilidade e prosperidade dos negócios. Através dessa lente, a colaboração emerge como um alicerce, fomentando a responsabilidade coletiva para criar um ecossistema digital resiliente, seguro e confiável que assegura a longevidade e o sucesso dos negócios no cenário dinâmico e em constante evolução da computação em nuvem.
Carlos Sampaio é líder do Grupo de Trabalho Cybersecurity da Associação Brasileira das Empresas de Software (ABES), CISO da Bidweb, Professor e Conselheiro.
*Artigo originalmente publicado no ITForum em 31 de maio de 2024.
