Close

Compreender a segurança na nuvem

O que é segurança em nuvem?

Segurança na nuvem é a tecnologia e os processos implementados para proteger sua infraestrutura, dados e aplicativos em nuvem. Onde as medidas de segurança física (como fechaduras de portas seguras, guardas de segurança e processos de check-in em edifícios) mantêm seu prédio de escritórios seguro, as medidas de segurança em nuvem (como segurança de confiança zero ou login único) mantêm você protegido contra violações digitais.

Seja ao escolher a nuvem pública (hospedada em um servidor compartilhado), a nuvem privada (hospedada em um servidor privado) ou a nuvem híbrida (uma combinação de ambas), a segurança é uma prioridade para a maioria das empresas e por um bom motivo. Só no primeiro semestre de 2019, mais de 3.800 violações expuseram 4,1 bilhões de registros. E o custo médio de uma violação de dados é de US$ 3,92 milhões.

Segurança na nuvem vs. segurança local

Para muitas empresas, a grande pergunta é esta: a nuvem é tão segura quanto o ambiente local? Nos primeiros anos da nuvem, a resposta era "ainda não". Mas percorremos um longo caminho desde então e a resposta de hoje pode te surpreender:

De acordo com os dados, a nuvem agora é provavelmente mais segura do que o ambiente local. Na verdade, no geral, 94% das empresas que migraram para a nuvem dizem que a segurança melhorou após a mudança. E aqui na Atlassian, 92% dos clientes dizem que a segurança na nuvem é melhor ou igual à segurança local, de acordo com uma pesquisa da TechValidate com 300 clientes da Atlassian que migraram para a nuvem.

Como Jarrett Prosser, Engenheiro Chefe da Rollercoaster Digital, fala sobre a migração de sua empresa para a nuvem da Atlassian: "A estabilidade e a segurança são muito melhores do que alcançamos no local. Ser capaz de escalar com licenças de usuários individuais é muito econômico".

Principais diferenças entre segurança local e na nuvem

Por que a segurança na nuvem é tão melhor? A resposta está em testes de segurança rigorosos, planos de recuperação de desastres e criptografia em trânsito e em repouso, entre outras práticas recomendadas. Sem mencionar que a nuvem adotou a segurança de confiança zero, o que significa várias verificações de segurança onde o ambiente local geralmente favorece apenas uma.

Ambiente local: segurança com barreiras

Quando dizemos que no local favorece uma única verificação de segurança, o que queremos dizer é que a maioria dos sistemas locais opera como um fosso de castelo. O sistema é o castelo e o fosso é a verificação de segurança (normalmente uma VPN e firewall para toda a empresa). Este sistema funciona bem, desde que não se ultrapasse o fosso. Mas assim que houver uma violação, você está encrencado. Porque o malfeitor não violou apenas o seu sistema, eles agora têm acesso a tudo. Ao castelo todo.

Nuvem: segurança de confiança zero

A segurança de confiança zero é a segurança que favorece a verificação contínua em vez de verificações de segurança únicas. Seus princípios incluem:

  • Autenticação frequente com base em credenciais, dispositivo etc.
  • Limitar o acesso apenas ao que é necessário
  • Criptografar sessões de ponta a ponta

Isso significa que, em vez de presumir que qualquer coisa atrás de seu firewall é automaticamente segura, a confiança zero autentica, autoriza e criptografa todas as solicitações de acesso.

Em outras palavras, com a segurança de confiança zero, a nuvem opera como uma série de ilhas. Ao contrário da abordagem de fosso único do ambiente local, cada uma tem seu próprio fosso. E violar um fosso não dá acesso aos outros. O que significa que uma vulnerabilidade em um sistema ou um problema com um login não coloca em risco todo o ecossistema da ilha.

Nuvem: gerenciamento de identidade

O gerenciamento de identidade na nuvem é o ato de definir e gerenciar as funções e o acesso de usuários individuais em e entre seus sistemas de nuvem. Um bom programa de gerenciamento de identidade deve atribuir uma única identidade a cada usuário e conceder acesso a ferramentas e sistemas com base nas permissões que você atribuiu especificamente a eles.

A funcionalidade principal do gerenciador de identidade em nuvem deve incluir:

  • Login único de SAML, que permite que os usuários naveguem por vários produtos e sistemas com um único login seguro
  • Verificação em duas etapas para autenticar seus usuários
  • Políticas de senha com base em práticas recomendadas de senha
  • Suporte prioritário para ajudar a resolver quaisquer problemas de segurança o mais rápido possível

As chaves para a segurança na nuvem

Se você está planejando uma mudança para a nuvem, aqui estão três dicas para garantir que sua segurança seja a melhor possível:

1. Escolha os fornecedores certos

Aqui na Atlassian, 92% dos clientes dizem que a segurança é melhor ou igual na nuvem, de acordo com uma pesquisa da TechValidate com 300 clientes da Atlassian que migraram para a nuvem. Mas isso pode não ser verdade com todos os fornecedores de nuvem. É por isso que, quando se trata de segurança, a escolha do fornecedor é importante.

A boa notícia é que existem muitas opções de fornecedores de nuvem em conformidade. Com frequência, os fornecedores de nuvem dedicam mais recursos à segurança, privacidade e conformidade do que uma empresa de TI média pode pagar. Sem mencionar que muitos têm equipes com habilidades especializadas que os mantêm na vanguarda das práticas recomendadas de segurança. Afinal, a reputação do fornecedor e de todas as plataformas é construída com base na confiança do cliente.

Como é possível saber se um fornecedor de nuvem vai atender aos requisitos de segurança e privacidade? Ao avaliar os fornecedores de nuvem:

  • Pergunte quais certificações de conformidade eles receberam
  • Considere o tipo de dados que as equipes vão inserir no aplicativo e o risco comercial real de ser exposto (uma vez que nem todos os dados exigem o mesmo nível de gerenciamento de risco)
  • Saiba como seu fornecedor vai gerenciar as permissões e o acesso de cada indivíduo aos dados do sistema

2. Compartilhe a responsabilidade

Seu fornecedor de nuvem deve assumir muitas tarefas de segurança para sua equipe, mas isso não significa que você está isento de responsabilidade. As empresas mais seguras colaboram para manter seus sistemas e dados protegidos.

Um bom fornecedor de nuvem deve ser responsável pela segurança dos aplicativos, dos sistemas em que são executados e dos ambientes onde estão hospedados. Em geral, eles oferecem atualizações automáticas e correções de erros, sem a necessidade de trabalho da equipe.

Do seu lado da equação, sua equipe deve ser responsável por gerenciar as informações em suas contas, os usuários e permissões necessárias e quais aplicativos do Marketplace você instala e confia.

3. Planeje uma governança contínua

A segurança requer governança contínua, tanto de seu fornecedor de nuvem quanto de sua equipe. Sua equipe não deve apenas acompanhar as atualizações e políticas de segurança do seu provedor de nuvem e de quaisquer aplicativos, mas também fazer auditorias regulares, procurando coisas como shadow IT ou armazenamento de dados impróprio fora de seus sistemas que precisam ser incluídos na segurança.

Como identificar e reduzir os riscos de segurança na nuvem

Shadow IT

Shadow IT é o uso de qualquer sistema ou ferramenta sem a aprovação ou supervisão do departamento de TI. Com o rápido crescimento das ferramentas disponíveis, baratas e, às vezes, até gratuitas, a shadow IT está crescendo rapidamente. Na verdade, quando as empresas exploram sua própria shadow IT, em geral, descobrem que é 10 vezes o que inicialmente suspeitavam, de acordo com a McAfee.

Então, o que isso significa para a segurança na nuvem? Nas palavras do Gartner: "Os CIOs devem mudar sua linha de questionamento de 'A nuvem é segura?' para 'Estou usando a nuvem com segurança?'"

Porque os dados nos dizem que todas as empresas, mesmo aquelas que pensam que estão no ambiente local, estão realmente usando ferramentas de nuvem. O Departamento de TI nem sempre sabe disso.

Para reduzir os riscos que a shadow IT representa, a primeira etapa é uma auditoria das ferramentas que estão sendo usadas em sua empresa. Como é a aparência real do seu ecossistema de shadow IT? A partir daí, as próximas etapas incluem:

  • Avaliar a segurança dessas ferramentas
  • Adicionar segurança e trazer essas ferramentas para sua área de TI
  • Eliminar ferramentas inseguras e oferecer alternativas viáveis aos funcionários

Também é importante ter políticas de shadow IT documentadas e garantir que os funcionários estejam informados sobre o que é exigido deles e por quê.

Política de traga seu próprio dispositivo (Bring your own device, BYOD)

Um dos grandes benefícios da nuvem é que ela permite que os funcionários trabalhem de qualquer lugar e em vários dispositivos. Mas isso também significa garantir que todos os dispositivos estejam em conformidade com seus padrões de segurança. Para atenuar o risco de funcionários operando em dispositivos inseguros, muitas empresas têm políticas de BYOD que determinam:

  • O que os funcionários podem e não podem fazer em dispositivos que não sejam da empresa (há certos dados que eles não devem acessar ou baixar? Há aplicativos disponíveis apenas em dispositivos seguros da empresa?)
  • Quaisquer sites, aplicativos ou usos restritos (ou inseguros)
  • O que acontece se um dispositivo de funcionário com dados da empresa for roubado e precisar ser apagado
  • Requisitos de segurança para dispositivos que acessam dados da empresa (requisitos de senha, por exemplo)
  • Políticas de pagamento (se um funcionário estiver usando um dispositivo para trabalhar, sua empresa vai pagar parte ou a totalidade da conta?)

Visibilidade e segurança de dados

Com o GDPR, o California Privacy Act e mais regulamentos surgindo a cada ano, a privacidade dos dados é mais importante do que nunca. Sem mencionar que seus funcionários e clientes têm grandes expectativas sobre como você trata suas informações confidenciais.

Reduzir o risco de violação de dados ou não conformidade com o GDPR significa procurar fornecedores que criptografem dados em trânsito e em repouso, exijam altos padrões de privacidade de dados de qualquer aplicativo de terceiros e tenham produtos em nuvem que estejam em conformidade com a lei de privacidade por padrão.

Segurança do aplicativo

Qualquer fornecedor que se preze também deve ter requisitos de segurança para seus aplicativos de terceiros. Busque fornecedores com fortes requisitos de segurança, conformidade com GDPR e programas de recompensa por bug. E se você optar por usar aplicativos externos ou integrações que não foram avaliadas por seu fornecedor, é aconselhável trazer um especialista para avaliar quaisquer riscos de segurança.

Segurança na Atlassian

Há um motivo pelo qual 92% dos clientes da Atlassian dizem que a segurança é tão boa ou melhor na nuvem. Ela está integrada na estrutura de nossos produtos, infraestrutura e processos em nuvem e é algo que temos o compromisso de melhorar todos os dias.

Transparência é a chave para a filosofia de segurança da Atlassian e é por isso que a gente tem parceria com a Cloud Security Alliance (CSA) para disponibilizar todas as práticas, políticas e muito mais para análise pública.

Para saber mais sobre como a Atlassian protege sistemas e dados, visite o centro de confiabilidade ou explore os recursos de segurança adicionais abaixo:

* De uma pesquisa da TechValidate com mais de 320 clientes da Atlassian.


Acesse o Security Center


A seguir...

Plataforma Cloud

Acesse o Atlassian Trust Center

Tenha as informações mais recentes sobre segurança, confiabilidade, privacidade e conformidade dos produtos e serviços da Atlassian.

Migração para a nuvem

Saiba mais sobre migração na nuvem

Encontre todos os recursos, as ferramentas e o suporte de que precisa para começar a avaliar se a nuvem é ideal para sua empresa.