Quais são as melhores práticas de segurança da nuvem, e como elas diferem do que as empresas estão fazendo hoje? Para responder a essas perguntas, a McKinsey realizou pesquisas com executivos de segurança cibernética em quase 100 empresas, analisando fatores como barreiras à adoção da nuvem, os passos as empresas estão tomando para proteger seus dados na nuvem pública, e como sua segurança cibernética afeta o ritmo da adoção da nuvem.
Segundo a pesquisa “Making a secure transition to the public cloud”, fazer uma transição segura para a nuvem pública é um desafio multidimensional e compartilhado entre as empresas usuárias e os provedores de serviço.
Os resultados mostram que, desenvolvendo modelos de segurança centrados na nuvem, projetando controles fortes em oito áreas de segurança, clarificando as responsabilidades com CSPs e usando DevOps, as empresas podem deslocar as cargas de trabalho para a nuvem pública com maior certeza que suas os ativos de informações mais críticas estarão protegidos. Claramente, essas tarefas serão prioridades para CISOs bem como para líderes de negócios e tecnologia.
A pesquisa também encontrou duas decisões comuns de segurança que as empresas tomam ao adotar os serviços da nuvem: (1) definir o perímetro e (2) decidir rearquitetar aplicativos para maior capacidade de gerenciamento, desempenho e segurança na nuvem (interessantemente, apenas 27% das empresas pesquisadas realmente fazem isso – a mudança é difícil).
E quatro práticas para a estruturação um programa de segurança cibernética de nuvem pública:
1. Desenvolver um modelo de segurança centrado na nuvem
No mundo da nuvem híbrida/multicloud, ampliar simplesmente os controles de segurança on-premise para a nuvem pública provavelmente não será suficiente. As empresas precisam fazer escolhas sobre como gerencie seu perímetro na nuvem e como reescrever as aplicações de uma maneira alinhada à sua tolerância ao risco, à arquitetura existente, aos recursos disponíveis e à estratégia de cloud computing traçada.
2. Redesenhar o conjunto completo de controle de segurança cibernética para a nuvem pública
A implementação de segurança pode ser definida como uma combinação de oito áreas de controle: gerenciamento de identidade e acesso, segurança de dados, segurança de perímetro, monitoramento e resposta operacional, segurança da aplicação, segurança do hardware, segurança do end-point, e governança. As organizações precisam determinar o nível de segurança necessário para controle em cada uma dessas áreas, o quão rigoroso precisa ser e quem será responsável por fornecê-los.
O estudo descobriu que 60% das empresas estão usando soluções IAM on-premise, hoje, mas esse percentual deve cair para a metade em apenas três anos. A maioria dos entrevistados criptografa dados em repouso e em trânsito. Cerca de 40% das empresas estão usando controles de segurança existentes na rede local, mas isso diminuirá, com apenas 13% esperando usar a mesma abordagem em 3 anos. A maioria (65%) define padrões de configuração de segurança para aplicativos baseados em nuvem e 64% usam ferramentas SIEM existentes para monitorar aplicativos em nuvem.
Além disso, praticamente metade (51%) dos entrevistados tem um alto nível de confiança na abordagem de segurança do provedor de serviços de nuvem.
3. Clarificar as responsabilidades internas para cibersegurança versus o que os provedores já oferece
A nuvem pública requer um um modelo de segurança compartilhado, com fornecedores e seus clientes responsáveis por funções específicas. As empresas precisa entender esta divisão de responsabilidades – que, no início, parecerá muito diferente de um tradicional arranjo de terceirização e redesenho interno de processos. Trabalhando em estreita colaboração com CSPs, as empresas podem ganhar melhor visibilidade e transparência nos modelos operacionais de segurança para projetar e configurar controles para multicloud de forma integrada com outras ferramentas e modelos operacionais.
4. Aplicar DevOps à segurança cibernética
As empresas devem garantir que os processos de segurança suportam o desenvolvimento de aplicativos na velocidade que a nuvem pública oferece. E uma opção para estabelecer uma relação mais ágil entre desenvolvimento e operações de TI, com relação à segurança, é a adoção do DevSecOps. Este modelo transforma a segurança em um componente central de cada etapa do ciclo de desenvolvimento e implantação de aplicativos.
Entretanto, configurar um programa de segurança considerando essas quatro etapas pode ser uma tarefa complicada.
– 10 passos práticos:
Este plano de trabalho com dez passos, criado pela McKinsey com base nos resultados do estudo, ajudará as empresas a desenvolver e implementar seus programas de segurança cibernética na nuvem.
1. Decida quais cargas de trabalho devem migrar para a nuvem pública.
Muitas organizações escolhem iniciar a migração por aplicações menos sensíveis e em ambientes controlados, como ambientes de teste e desenvolvimento. Aí tentam burlar a segurança do sistema até estarem satisfeitas com a proteção do serviço contratado.
2. Identifique pelo menos um CSP capaz de fornecer requisitos de segurança para as cargas de trabalho.
As empresas podem escolher vários fornecedores para diferentes cargas de trabalho, mas essas seleções devem ser consistente com os objetivos das estratégias gerais de nuvem.
3. Atribua um arquétipo de segurança para cada carga de trabalho com base na facilidade de migração, postura de segurança, considerações de custo e experiência interna.
4. Para cada carga de trabalho, determine o nível de segurança para cada uma das oito áreas de controle.
Por exemplo, as empresas devem determine se o IAM deve usar um único fator autenticação, autenticação multifatorial ou uma abordagem mais avançada, como autenticação com base na análise de comportamentais.
5. Decida quais soluções usar para cada uma das oito áreas de controle.
Considerando a capacidades do CSP (ou CSPs) identificadas para cada carga de trabalho, as empresas podem determinar se usarão soluções de segurança on-prenise, fornecidas pelos provedores de serviços de cloud ou soluções de terceiros. Ou ainda se irá combiná-las.
6. Trabalhe em estreita colaboração com o CSP para implementar o controles necessários e integrá-los com outras soluções existentes.
Isso exige que as empresas tenham uma compreensão completa dos recursos de segurança disponibilizados pelo CSP e dos processos de execução de segurança. Os CSPs precisam ser transparentes sobre esses aspectos de suas ofertas.
7. Procure saber se cada controle pode ser padronizado e automatizado.
Isso envolve analisar o conjunto completo de controles decidir quais padronizar e quais para automatizar.
8. Priorize o primeiro conjunto de controles a implementar.
Os controles podem ser priorizados de acordo com sua importância para as aplicações que estão sendo migradas para o ambiente de nuvem pública.
9. Implemente os controles e o modelo de governança.
Para controles que possam ser padronizados, mas não automatizado, as empresas podem desenvolver listas de verificação e treinar desenvolvedores sobre como segui-los. Para controles que podem ser padronizados e automatizados, as empresas podem criar rotinas para implementar os controles e fazer cumprir a padronização usando uma abordagem DevSecOps.
10. Use a experiência adquirida durante a primeiro onda de implementação para escolher o próximo grupo de controles a implementar.
fonte: Computer World