Segurança, um imperativo na era da cloud

A digitalização tem sido implacável com as empresas, que tiveram de recorrer à cloud para lidar com ela e ter serviços de ligação, processamento e armazenamento cuja segurança já não está nas suas mãos. Quando a regulação e o cibercrime ditam, a segurança na cloud é um dos maiores imperativos para fornecedores e organizações.

O paradigma da computação nativa em cloud é uma resposta às necessidades digitais das empresas, que devem responder rapidamente à mudança de gostos dos consumidores, a novas oportunidades de mercado e ao surgimento de tecnologias disruptivas. Devem também abordar preocupações crescentes sobre fiabilidade, segurança e gestão de dados de software.

A computação em cloud é um dos paradigmas tecnológicos que se infiltrou no nosso público e na nossa vida profissional pela necessidade de aumentar as capacidades de processamento e armazenamento de sistemas informáticos. Mas, enquanto a cloud melhora a segurança, porque as empresas e os fornecedores colocam uma centena de olhos nela, não é livre de riscos.

A cloud permite novos modelos de negócio baseados na oferta de uma grande variedade de serviços tecnológicos numa descentralizada, otimizada e contratada a pedido, utilizando a infraestrutura da Internet. O crescimento da capacidade de processamento e cálculo, a eficiência dos sistemas de armazenamento com maior capacidade e velocidade de transferência, a extensão e menor custo do acesso à Internet, que tem uma conectividade alargada, são os marcos tecnológicos que conduziram à sua implementação massiva. Os seus serviços incluem armazenamento, backup, aplicações de escritório, serviço de correio, hospedagem web, gestão de contacto.

A cloud; ser ou não ser mais seguro

Assim, a cloud é considerada a quinta revolução no mundo das TIC. Permite que as PME e os freelancers adquiram as mais recentes tecnologias a um custo reduzido e com um aumento da produtividade. Também oferece agilidade e mobilidade, uma vez que oferece acesso a serviços a partir de qualquer lugar, além de flexibilidade e escalabilidade; os serviços crescem de acordo com as necessidades. E isto pode acontecer permitindo a redução de investimentos em hardware e software, que são substituídos por despesas em serviços com esquema de “pay per use”. Além disto, oferece uma estrutura ideal de possibilidades para trabalho colaborativo, teletrabalho e trabalho híbrido. . Até agora tudo parece cor-de-rosa. Mas temos de pôr portas no campo para que não venham roubar-nos os sorrisos.

Neste sentido, Ignacio Cobisa, analista sénior da IDC Research é contundente, os serviços na cloud são agora tão ou mais seguros do que os modelos tradicionais. ” O paradigma de que a cloud é menos segura do que as arquiteturas no local  está a ficar antiquado na indústria.

O primeiro aspeto-chave para um navio seguro é o estabelecimento de acordos de nível de serviço entre o prestador e o cliente (Service Level Agreements, SLA). Definem os compromissos de ambas as partes e devem conter cláusulas que definem a responsabilidade do fornecedor por alguns atos relacionados com a segurança, bem como questões como manutenção, atualizações, incidentes, disponibilidade de dados e recuperação. Segundo Ignacio Cobisa, no SLA ” o mais importante é definir até que ponto a responsabilidade do cliente e do prestador de serviços se estende, porque se deixarmos os ‘campos’ pouco claros são geralmente fontes de problemas quando os incidentes ocorrem “.

Marco Lozano, responsável pela Cibersegurança para as Empresas da Incibe, considera o paradigma da cloud “muito interessante porque, além de democratizar os serviços da empresa que não estavam anteriormente disponíveis porque são mais caros, permite que estes serviços sejam lançados de forma súper ágeis, o que é muito positivo”. Também entende que a cibersegurança está a ser democratizada, graças aos serviços na cloud. “Isto comporta riscos, explica, mas também soluções com as quais não se pode contar a esse nível ou com essa possibilidade. É uma das partes mais positivas da cloud; é gerido por especialistas, para que, como empresários, possamos esquecer, até mesmo a administração dos próprios serviços.”

Da Incibe dão-nos um exemplo do porquê da cloud aumentar a segurança. “Quando contratamos serviços à chave na mão, por exemplo, o Office 365 Suite, e temos uma suite de escritório, serviços de armazenamento, podemos incorporar backups, todos integrados nesta cloud a baixo custo em comparação com o que significaria ter esses serviços nos nossos próprios servidores. Esta redução de custos foi o que permitiu que todo aquele serviço quase infinito estivesse disponível para empresas com níveis de segurança muito elevados.”

Ameaças, riscos e o fator humano

No entanto, as falhas de segurança na cloud continuam a ocorrer muito semelhantes às que ocorrem nas próprias arquiteturas das organizações. Embora haja uma maior consciencialização, acesso não autorizado, ameaças internas, interfaces inseguras, acesso através de tecnologias partilhadas, fugas de informação, implantação de identidade, ignorância do ambiente dos funcionários e ataques de hackers continuam a ocorrer porque, como garante Cobisa, “Infelizmente, os dados indicam que estas ameaças aumentaram e na maioria dos casos têm a ver com erros humanos.” 

Na verdade, a ingenuidade, a ignorância, o descuido, a falta de consciência e os recursos são fatores que comprometem a segurança da cloud. Lozano concorda com Cobisa: “É um pouco de tudo, mas acima de tudo o fator de utilizador. Quando contrata um serviço que acredita que é seguro, já se esquece de tudo, mas há questões sobre as quais uma empresa mantém a sua responsabilidade, como o uso de senhas, o estabelecimento de permissões para os recursos que compara e acesso seguro. A culpa é que ao delegarmos pensamos que a tecnologia tem respostas para tudo e estamos errados. O utilizador tem uma grande responsabilidade a este respeito. Em suma, a segurança é diminuída pelo fator humano, no qual todos os fatores de risco possíveis se misturam.”

Da Incibe salientam que o paradigma do Zero Trust pode ser uma segurança abrangente que facilita em muito a tarefa, mas resta saber se é capaz de abordar estas questões relacionadas com o fator humano. A segurança na cloud apresenta riscos como o acesso privilegiado do utilizador, o incumprimento regulamentar, a localização de dados desconhecida e a falta de isolamento ou capacidade de recuperação de dados. Segundo Ignacio Cobisa, “um dos riscos mais recorrentes tem a ver com a autenticação do utilizador. A cloud deve combinar a agilidade e flexibilidade que oferece (por exemplo, em novos ambientes híbridos) com a segurança necessária, mas sem que os trabalhadores sofram das suas experiências de utilização.”

A segurança na cloud envolve todos

A gestão do nosso alojamento em cloud implica uma perda de controlo ao sair nas mãos do fornecedor, ou seja, de terceiros, das instalações onde as nossas aplicações funcionam, os nossos dados, etc. Marcos Lozano entende que a segurança nunca é absoluta, não obstante de como o serviço é, porque “independentemente de termos um contrato ou acordo específico, pode sempre haver o risco de um fornecedor ter um problema, sofrendo um ataque que coloca em risco a nossa informação que está nas suas mãos. Neste sentido, as empresas, em geral, lembram-se de Santa Bárbara quando troveja.”

Cobisa acredita que os profissionais devem ser confiáveis porque “em geral, a confiança digital oferecida pelos fornecedores de mercado em termos de recuperação de desastres, confidencialidade e segurança de dados é igual ou superior ao que uma organização consegue no seu próprio CPD”. Lozano também nota que os fornecedores são mais seguros do que as empresas. “É necessário avaliar a dimensão da empresa e qual é a sua dependência tecnológica. No mais recente equilíbrio de vulnerabilidades que publicamos, encontramos uma que se repete há muitos anos, que é a falta de implementação de atualizações. As empresas ainda não atualizam os seus sistemas, as suas aplicações, e temos esta falha na terceira posição. E é algo em que insistimos desde 2006, além de ter cuidado com senhas e implementar políticas de segurança, backups para evitar os efeitos do ransomware.”

Dezasseis anos depois, continuam a descobrir que estas recomendações não estão a ser seguidas. Os incidentes para este tipo de causa são reduzidos, mas continuam a ocorrer e ainda há um longo caminho a percorrer. A Incibe identificou que há dois anos, mais ou menos o início da pandemia, as empresas têm investido mais em serviços na cloud e cibersegurança, talvez porque já era um problema com que tinham de lidar. Têm-se preocupado mais com o tipo de medidas, as consultas com as suas linhas específicas para tal aumentaram, perguntaram sobre os serviços de proteção dos seus ativos, sobre instrumentos que os pudessem proteger e sobre soluções concretas; “Coisas que parecem estar a chegar.”, avisa Lozano.

No entanto, segundo Lozano, o aspeto da segurança na cloud   que mais diz respeito às organizações é o cumprimento regulamentar, “porque todos os serviços na cloud devem cumprir o RGPD ou a Lei portuguesa de Proteção de Dados Orgânicos”. Em segundo lugar, a preocupação são os preços, isto é, o custo do serviço, e em terceiro lugar seriam questões de cibersegurança.

Mas isso não significa que haja uma tendência para relaxar a responsabilidade das organizações para que todo o trabalho recaia sobre o fornecedor devido à “forma como pago”. Segundo Cobisa “em geral, as organizações estão cada vez mais envolvidas na definição destas políticas de segurança em conjunto com o fornecedor”. Para o analista, a segurança na cloud nada tem a ver com os serviços contratados, nem com o nível de delegação de responsabilidade. “A arquitetura que oferece uma fronteira de ataque mais ampla e mais fraca é menos segura, mas isso não tem de estar ligada à escolha de Infraestruturas como Serviço (IaaS), Plataforma como Serviço (PaaS) ou Software As A Service (SaaS). Os critérios que as organizações usam para optar por um ou outro tipo de cloud não se baseiam apenas na segurança. Em muitos casos, têm mais a ver com a tecnologia que têm ou com aspetos regulatórios ou internos que querem cobrir”, diz.

Como alcançar a segurança dos sonhos

Para alcançar a segurança exigida pela cloud, você precisa implementar uma arquitetura específica que os profissionais com Certified Cloud Security Professional (CCSP) conhecem de cor. O especialista em cibersegurança e instrutor ccSP Juan Blázquez Martín, membro do ISACA MadridChapter, revela como chaves para estabelecer a segurança na cloud que os regulamentos e o bom senso indicam. “Para atingir pleno o nível de segurança que uma organização e os seus ativos exigem, é necessário selecionar duas orientações: o tipo de serviço que se adequa às suas necessidades e compreender as suas obrigações no âmbito do modelo de responsabilidade de serviço partilhado.”

Uma vez esclarecidos estes termos que definem o modelo de responsabilidade partilhada, devemos começar a trabalhar para estabelecer os diferentes níveis de segurança:

  1. Segurança Física: O fornecedor de cloud precisa de um centro de dados para prestar serviços aos seus clientes. A partir destas instalações, abordará a  segurança dos componentes de hardware e da gestão da configuração de hardware. Para isso, deve criar um modelo para a configuração segura de cada dispositivo e deve ser replicado sempre que um novo dispositivo é adicionado ao ambiente. A configuração básica do hardware deve ser armazenada e mantida atualizada de forma segura através do processo formal de mudança, reparação e gestão de upgrade. Tratará também de registos e eventos de auditoria (garantindo que são guardados dados terminais relacionados com a atividade em cada máquina para uma eventual utilização futura para determinar que aconteceu e a identidade dos utilitários), para proteger o acesso à gestão remota (controlos específicos para garantir que apenas os utilizadores autorizados podem aceder e operar), e se o cliente precisar, estabelecer o isolamento de clientes específicos.

Segurança lógica : refere-se à titularização do uso de software e processos executados nos anfitriões do provedor para minimizar os riscos de segurança associados às operações do cliente. O provedor deve estabelecer regras claras indicando o que os clientes podem e não podem fazer ao operar com os seus sistemas de computador. Além disso, deve garantir que o software, sistema operacional e programas não apresentem falhas que possam causar incidentes de segurança. A segurança lógica lida com a titularização de sistemas operacionais virtuais, todos os ativos virtualizados e a deteção de vulnerabilidades através de varreduras de rede periódicas e automatizadas. Apenas vulnerabilidades são detetadas e qualquer outra que não faça parte de um padrão reconhecido passará despercebida. Segundo Blázquez, “não podem impedir que invasores explorem vulnerabilidades desconhecidas em sistemas (ataques chamados de explorações de dia zero), mas ao detetar e corrigir vulnerabilidades conhecidas, os invasores são impedidos de usá-las”.

Segurança da rede: O fornecedor deve garantir que arquitetura da rede e os componentes de interconexão que a composição são seguros. Muitas das mesmas táticas e controlos utilizados no ambiente local aplicam-se à proteção das ligas de rede. Além de outros específicos do ambiente cloud. Incluindo todas as atividades destinadas a proteger o acesso à rede, o uso e a integridade, bem como os dados que circulam através dele: inclui hardware e software, visa várias ameaças e tem como objetivo impedir que se espalhem por rede. “Uma micro segmentação é cada vez mais comum”, explica Blázquez. É prática dividir o centro de dados em zonas seguras, para um controlo maior sobre a comunicação lateral que ocorre entre servidores.

Segurança das Comunicações: Como linhas de comunicação e de ligações entre os diferentes centros de dados geograficamente dispersos do fornecedor e entre eles e os clientes que os acedem devem ser protegidos. A segurança das comunicações deve centrar-se na prevenção da interceção de dados transmitidos e no acesso às linhas de comunicação. Encriptação, Redes Privadas Virtuais (VPN) e autenticação forte são usadas para isso.

Perante a teoria muito clara, da Incibe, Lozano insiste em lembrar que “como organizações devem ter em conta que os problemas de segurança na cloud, como acontece quando a arquitetura nas suas instalações próprias, requere um processo que tem de ser, com um ciclo de melhoria contínua. Não é algo que já foi implementado uma vez, e onde fica. Tecnologias, sistemas, ameaças, invasores… O Evoluir. Temos de estar a par da prevenção e ter essas soluções e tecnologias que nos inamem destes ataques, ou permitir-nos levant e funcionar o mais rapidamente possível se concretizarem.”

De acordo com o seu conselho, tudo o que contrata como serviços na cloud relacionados com a cibersegurança deve cobrir como nossas necessidades e ter opções de reclamação ou alguns tipos de compensação.