Os novos desafios da segurança fora da sua empresa

Como tratar da cibersegurança, quando as fronteiras das empresas estão fora do perímetro com a cloud e a mobilidade. A opinião de Daniel Vilabril, da Cilnet.

Daniel Vilabril, consultor de soluções pré-venda, Cilnet

Durante muito tempo todos ouvimos frases como: “a segurança é uma questão de percepção” ou até, “só há dois tipos de empresas: as que já foram atacadas e as que ainda não sabem que foram atacadas”. Contudo, a maioria dos executivos (CEO, CIO, CTO) achavam que ter uma ou duas firewalls era suficiente, e mesmo que o ataque fosse bem-sucedido, que mal lhes poderia acontecer? Quem é que se vai dar ao trabalho de atacar os meus dados?

Nos últimos anos, temos assistido a várias notícias vindas do mundo do cibercrime. Malware como o Wannacry, NotPetya, Bad Rabbit e o leak da Equifax, deixaram em alerta a maioria dos executivos de topo. De acordo com a IBM, o custo médio relacionado com falhas de segurança ascendeu aos quatro milhões de dólares norte-americanos, representando um aumento de 30% em poucos anos.

O custo médio relacionado com falhas de segurança ascendeu aos quatro milhões de dólares norte-americanos, representando um aumento de 30% em poucos anos, diz a IBM.

A protecção de dados – tanto pessoais como corporativos – tem um custo elevado. De acordo com um estudo levado a cabo pelo TRUSTe/National Cyber Security Alliance (NCSA) Consumer Privacy Index os cidadãos americanos estão mais preocupados com a privacidade e proteção dos seus dados do que perder a sua principal fonte de rendimento (emprego).

O fenómeno digital está inevitavelmente presente em toda a economia mundial. As gerações futuras vão-se questionar como era possível passar grande parte do dia num centro comercial, a escolher as nossas compras quando tudo isto agora se pode fazer com um clique num site ou através de uma App. Essas Apps vão incorporar algoritmos de Aprendizagem Automática (Machine Learning – ML) e Inteligência Artificial (Artificial Inteligence – AI) disponibilizados por um fornecedores de soluções cloud (Cloud Solution Provider – CSP), com a nossa informação sensível a navegar na Internet.

A segurança desempenha um papel determinante, sendo esta área muito abrangente e segmentada. Este artigo irá abordar as áreas que acredito que vão sofrer maior desenvolvimento nos próximos anos e que serão o principal acelerador da transformação digital: mobilidade e cloud.

Mobilidade

Às empresas é-lhes exigida cada vez maior agilidade, o que implica mobilidade, pelo que as empresas devem garantir o fácil e rápido acesso a dados relevantes e em qualquer local. Se antes bastava proteger a rede e os PC, bloqueando grande parte das aplicações e quase todos os sites, hoje isso seria impossível.

O acesso imediato a aplicações corporativas é determinante no mundo empresarial, pois evitam que se percam oportunidades de negócio. Contudo, se as empresas não protegerem os equipamentos, muitas vezes propriedade dos colaboradores, perdem o controlo sobre o acesso às suas aplicações de negócio e informação sensível.

A maioria das aplicações disponíveis para equipamentos móveis actualmente desenvolvidas ainda são para uso pessoal. Contudo, nota-se uma cada vez maior necessidade de desenvolver aplicações corporativas para dispositivos móveis e assim preparar as empresas para a era da mobilidade. O malware destinado a sistemas operativos para dispositivos móveis tem aumentado significativamente.

A intenção é aceder e controlar os equipamentos de forma a torná-los vulneráveis e interceptar as comunicações. Apesar do aumento de ataques de malware cada vez mais sofisticados (através de serviços de Malware-as-a-Service), a adopção de software anti-malware para dispositivos móveis não é significativa, a taxa de adopção mundial é ainda inferior a 5%.

A adopção de software anti-malware para dispositivos móveis não é significativa, a taxa de adopção mundial é ainda inferior a 5%.

Como cada vez mais informação sensível das empresas e do negócio está guardada num ou mais dispositivos móveis, são necessárias medidas adicionais de segurança para impedir que dados pessoais e informação sensível ao negócio caia nas mãos erradas. É por isso que as organizações necessitam cada vez mais de plataformas de gestão e segurança de dispositivos móveis que disponham de mecanismos de forte encriptação, e que permitam aos IT Managers, nos casos em que se justifique, apagar (fazer o wipe) os equipamentos ou determinadas aplicações, eliminar o shadow IT e prevenir a transferência de dados (data exfiltration) para serviços de cloud não autorizados, sem por em causa a produtividade e a boa experiência de utilização.

Os requisitos de segurança dos sistemas operativos que correm em dispositivos móveis são muito diferentes dos que temos nos PC. Os sistemas operativos móveis tem por base uma arquitetura distinta, sandboxed architecture, que proporciona maior estabilidade, melhora a produtividade dos utilizadores, facilita os updates e a gestão das aplicações. Esta nova arquitetura permite eliminar as tradicionais ameaças de malware, e incorpora de forma nativa segurança e API de gestão.

Hoje em dia, os dados corporativos estão dispersos por várias aplicações (corporativas e não só) e por várias soluções de cloud (box, dropbox, gdrive, onedrive, etc…). O objextivo das políticas de segurança aplicadas aos dispositivos móveis é proteger os dados corporativos independentemente onde estejam alojados. Em mobilidade, as políticas de segurança recomendadas atribuem maior responsabilidade aos colaboradores.

Outro ponto fulcral da segurança é a privacidade. A grande maioria dos dispositivos móveis são pessoais, contendo grande parte das vezes informação pessoal e corporativa. Os departamentos de IT devem ser capazes de assegurar e gerir essa informação, sem aceder a informação pessoal que esteja aí guardada. Este aspecto é crítico quer em termos pessoais quer em termos regulatórios.

Segundo alguns fabricantes de soluções de Enterprise Mobile Management (EMM), uma em cada 10 empresas tem pelo menos um equipamento comprometido e mais de 53% tem pelo menos um dispositivo que não está em conformidade com as políticas de segurança definidas pela empresa. Estes são números globais, no entanto em Portugal a realidade ficará muito aquém destes valores, sobretudo nas PME’s.

Aplicações e equipamentos móveis quando combinados com plataformas de EMM e Mobile Security, tornam-se elementos que melhoram a segurança dos dados e a produtividade dos colaboradores.

Cloud

O termo Cloud Security irá ganhar grande significado à medida que a maior parte das empresas vão transferindo os seus workloads para a cloud, aliás, para várias clouds (multicloud) e por fases, ou seja, clouds híbridas.

Uma inevitabilidade, mudar para a cloud, leva a outra: garantir a segurança no acesso a essa cloud independentemente do Cloud Service Provider (CSP) onde está implementada. Se a cloud tem vindo a revolucionar o mundo empresarial (Digital Transformation) e das próprias entidades governamentais, também é certo que nos apresenta novos desafios ao nível da segurança.

No caso da cloud, a segurança é uma área que deverá ser partilhada entre o CSP e o cliente. O CSP tem a responsabilidade de proteger a infraestrutura (Security of the Cloud) onde estão a correr todos os serviços oferecidos pelo cloud provider. Esta infraestrutura é composta por hardware (Servers, Storage), software, networking (Load Balancers) e as próprias instalações (data centers) onde os serviços de cloud são disponibilizados (Regions e Availability Zones).

Por sua vez o cliente tem a responsabilidade da segurança do que está na cloud, “Security in the Cloud”, que será determinada pelo tipo de serviço contratado, isto é, IaaS, PaaS ou SaaS. O serviço contratado irá determinar o nível e as políticas de segurança que o cliente terá que implementar para garantir a segurança da sua cloud.

Uma vez em produção, a solução necessita ser monitorizada, gerida e ter políticas bem definidas em termos de funcionalidades, operação e comportamento das aplicações.

Tendo em conta todo este interesse que se tem criado em torno da cloud e dos riscos que lhe estão associados, a Cloud Security Alliance (CSA), organismo que se dedica a investigar e a promover best practices para a segurança de aplicações disponibilizadas na cloud, decidiu criar os guidelines para toda a indústria.

Nos últimos anos, a CSA publicou “The Security Guidance for Critical Areas on Cloud Computing” e o “Security as a Service Implementation Guidance”. Estes documentos tornaram-se rapidamente as “best practices” do sector para proteger os workloads transferidos para a cloud. Esta temática é abordada de forma abrangente nos treze domínios do CSA Guidance e nas dez categorias de serviço associados à Secutiry as a Service (SecaaS). Actualmente muitas empresas e organismos governamentais já incorporam estas recomendações na sua estratégia de cloud.

A natureza da actividade de muitas empresas não obriga para já a ter resposta a todas estas questões de segurança, mas é certo que vão ter que começar a pensar e a trabalhar no sentido de garantir que situações de ataques informáticos causem o menor impacto possível no negócio e na sua reputação digital. Não há, nem nunca irá existir um sistema que seja totalmente seguro e nesta área só há uma forma de ser bem-sucedido: antecipar futuros ataques (“Stay Ahead of Your Game”).

Daniel Vilabril, consultor de soluções pré-venda, Cilnet




Deixe um comentário

O seu email não será publicado