PortuguêsEnglish

Notícias Área de sombra abre espaço para os ataques

Publicado em 23 de Fevereiro de 2017

A contratação de serviços em nuvem pública por diferentes departamentos, sem o controle da área de tecnologia, é uma dor de cabeça para os gestores, colocando em risco a segurança das informações e até a sobrevivência das empresas

A cada ano a nuvem recebe sistemas de relacionamento com clientes, softwares como serviço, mídias sociais e os mais variados bancos de dados com informações estratégicas.

Um estudo da Intel Security aponta que 66% dos profissionais de tecnologia acreditam que esses serviços formam uma sombra, a chamada “shadow IT”, que torna os dados ainda mais vulneráveis a ataques e roubos de informações.

A existência de uma área de sombra na estrutura de tecnologia das empresas é um fenômeno antigo, intrínseco ao desejo de liberdade do usuário. Existia na época dos velhos disquetes, aumentou com o pendrive e as conexões web, e agora caminha para o descontrole, devido à complexidade da chamada “terceira plataforma”, que é o cruzamento da computação em nuvem com a mobilidade e o “big data”, aponta Rodrigo Fragola, CEO da Aker Security Solutions.

Embora parte da estrutura possa estar à mercê dos funcionários, ou até em mãos de terceiros, a visibilidade da rede e os mecanismos de controle têm de ficar com os gestores internos. Outro cuidado é analisar a reputação dos fornecedores de infraestrutura, softwares e serviços.

Pesquisa atual da Intel Security também mostrou que 88% dos entrevistados no Brasil concordam que a “shadow IT”, ou tecnologia da informação (TI) invisível, prejudica a capacidade da empresa em manter os serviços em nuvem seguros. O mesmo estudo mostra que a visibilidade das aplicações na nuvem que são contratadas por diversos departamentos caiu de aproximadamente 50% no ano passado para menos de 47% neste ano. “A área de TI deve mapear o que está na nuvem, fazer uma análise de risco e se a aplicação não for essencial e estiver em desacordo com a segurança, deve ser bloqueada”, afirma Bruno Zani, gerente de engenharia de sistemas da Intel Security.

Políticas de autenticação, com senhas distintas para cada serviço, biometria e token, além do controle sobre as senhas provisórias e de funcionários que deixaram a empresa são iniciativas importantes. “Soluções de segurança integradas com sistemas que permitem a visibilidade de todos os serviços da companhia podem ser a melhor defesa contra os ataques na nuvem”, avalia Zani.

O gerenciamento de identidades é a chave para não perder o controle, de acordo com o Victor Barris, CEO da Identropy. Como não se sabe de tudo o que está na nuvem, também fica indefinido quem é o autorizado a acessar os dados. Por meio da governança de identidade – ou seja, o controle sobre essas autorizações – é possível bloquear quem entra no sistema assim que o risco for detectado.

O gerenciamento de senhas e o uso de autenticação de dois fatores (token e biomentria, por exemplo), somados a sistemas de prevenção de vazamentos, inibem a cópia de dados corporativos para contas pessoais, evitando perdas de informações, explica Roberto Rebouças, country manager Brasil da Kaspersky Lab.

Com a diversidade de dispositivos e a conectividade total, a melhor arma das empresas, na opinião de André Magno, diretor da data center da Level3 Brasil, é a chamada arquitetura de segurança de rede em camadas, com indicadores de risco e ferramentas de monitoramento.

Outro recurso, segundo João Alfredo Andrade Pimentel, sócio fundador da CorpFlex, é a análise e correlação de eventos gerados pelas diversas aplicações para ter respostas rápidas aos incidentes.

Fonte: Valor Econômico