Fundamentos da segurança e proteção de dados na nuvem

A segurança de dados na nuvem é uma prioridade máxima para qualquer organização habilitada para a nuvem. A execução adequada requer conhecimento especializado da nuvem, treinamento comportamental organizacional e transformação digital contínua da stack de tecnologia e da estratégia.

Conheça a Hyland Cloud

O que é proteção de dados na nuvem?

A proteção de dados na nuvem é o conjunto de políticas, processos e controles técnicos estabelecidos que protegem os dados e a privacidade durante a interação com recursos baseados na nuvem.

Isso inclui, entre outros:

  • Controles de acesso baseados em função
  • Criptografia em movimento
  • Criptografia na gravação
  • Criptografia em repouso
  • Avaliações de segurança de terceiros/fornecedores
  • Registro detalhado em um sistema de gerenciamento de eventos e informações de segurança (SIEM)
  • E outros

Por que a segurança de dados é importante na computação em nuvem

As ameaças à segurança de dados são contínuas e estão sempre mudando. Como a computação em nuvem é agora a abordagem de infraestrutura dominante para grandes empresas, a quantidade de dados na nuvem é maior do que nunca. Consequentemente, a segurança na nuvem e a proteção dos dados armazenados nela são críticas para o sucesso dos negócios.

Até 2026, o Gartner prevê que os gastos com a nuvem pública ultrapassarão 45% de todos os gastos com TI empresarial, subindo em relação a menos de 17% em 2021.

— Gartner

As organizações permanecem vulneráveis a violações

O Relatório de Investigações de Violação de Dados de 2022 da Verizon é um tesouro de informações sobre violações de dados. Ele identifica quatro vias principais que levam a violações: credenciais roubadas, phishing, exploração de vulnerabilidades e botnets.

Tipos de ataque notáveis:

  • Ransomware: apresentou uma tendência de alta com um aumento que superou sua prevalência nos últimos cinco anos somados.
  • Ataques à cadeia de suprimentos: quer seja por motivos financeiros ou por um ataque de um estado-nação, um único parceiro comprometido pode ter efeitos duradouros em cascata.
  • Erro: Com o armazenamento em nuvem mal configurado influenciando fortemente esta categoria, a Verizon observa que “a falibilidade dos funcionários não deve ser subestimada.”
  • Elemento humano: esse é um ponto fraco contínuo, com credenciais roubadas e phishing desempenhando um papel importante. 

Risco financeiro

O custo financeiro de uma violação de dados foi em média de US$ 9,44 milhões para organizações sediadas nos EUA, mas para a área de saúde, o custo ultrapassou US$ 10 milhões, de acordo com o Ponemon Institute.

Reputação

Quando uma empresa faz parceria com uma solução implantada na nuvem, ela transfere pelo menos parte da responsabilidade de proteger seus dados para o provedor de nuvem. No entanto, se o provedor de nuvem não cumprir a segurança de dados na nuvem no nível prometido e ocorrerem violações, o dano à reputação não se restringirá apenas ao provedor de nuvem. Os danos (tanto em termos de reputação quanto em outros aspectos) provavelmente terão repercussões para os fornecedores de soluções e empresas que armazenaram seus ativos nesse ambiente de nuvem, sem mencionar os consumidores afetados.

Conformidade

Além das necessidades de conformidade dos prestadores de serviços na nuvem, as empresas geralmente têm suas próprias ordens de conformidade exigidas pelo setor ou geograficamente. Normalmente, a conformidade é uma abordagem dupla:

  1. Política, procedimentos e operações
  2. O lado técnico da segurança na nuvem, como a imposição de controles ou o monitoramento desses controles 

Certificações

A segurança dos dados na nuvem é crucial para conquistar e manter os tipos de certificações dos quais as empresas frequentemente necessitam. Se as certificações são exigidas pelo setor, como para saúde, governo, serviços financeiros ou outra área, ou se os clientes exigem certificação como parte dos negócios, medidas adequadas de segurança na nuvem são essenciais. Do seguro de cibersegurança às melhores práticas de processamento de dados, as certificações e a solidez de sua segurança na nuvem estão frequentemente entrelaçadas.

Universidade privada alcança 114% de ROI com o Hyland Cloud

A Nucleus Research estuda o impacto da Hyland Cloud

Descubra como uma importante universidade privada transformou suas operações com o Hyland Cloud, obtendo um impressionante retorno sobre o investimento de 114% em pouco mais de um ano. A instituição economizou US$ 275.000 anualmente, simplificou processos e adotou uma abordagem com ênfase no digital. Explore esta história de sucesso para ver como a inovação impulsionou resultados mensuráveis e transformou o ensino superior.

Baixe o estudo de caso

Melhores práticas de segurança de dados na nuvem

As melhores práticas de segurança de dados na nuvem exigem uma abordagem de defesa que sobreponha múltiplos tipos de táticas de defesa uns sobre os outros. Essa abordagem multicamadas oferece a maior probabilidade de sucesso em segurança contra as ameaças dinâmicas que uma organização enfrenta.

Veja como é uma abordagem em camadas: imagine sua organização como um castelo na época medieval. Para máxima segurança, seu castelo deve ser protegido com múltiplas camadas de defesa variadas:

  • Localização estratégica com barreiras naturais, como um topo de colina ou um penhasco
  • Manutenção contínua da estrutura
  • Arqueiros para conter os avanços
  • Fossos para impedir grandes ataques
  • Pontes levadiças e portas levadiças para bloquear o fácil acesso
  • Alcatrão para violações de invasão
  • Oculto mantém dentro

Quanto mais as coisas mudam, mais elas permanecem as mesmas. As melhores práticas para proteger seus dados na nuvem são baseadas nos mesmos princípios de segurança de antigamente — mas com um foco digital aprimorado e evidente.

Defesa em profundidade na nuvem

Uma estratégia de segurança em nuvem de defesa em profundidade utiliza várias camadas de proteção de dados e privacidade para proteger suas informações na nuvem. Para diferentes tipos de ameaças (phishing versus credenciais roubadas, por exemplo), é necessário um tipo diferente de camada de proteção. Com várias camadas, mais ameaças são cobertas e, caso uma camada falhe, outra poderá frustrar o ataque.

A tríade CIA

Não, não é daquela CIA.

A tríade CIA descreve um modelo que prioriza esses três tipos de segurança:
  • Confidencialidade: as pessoas certas podem acessar o nível adequado de informações
  • Integridade: Os dados são consistentes e precisos
  • Disponibilidade: A confiabilidade do acesso à informação correta

No final das contas, esses três princípios são o que constituem a segurança dos dados na nuvem.

Tipos de proteção de dados na nuvem

Uma empresa que aproveita a computação em nuvem deve ter camadas de defesa, incluindo:

Políticas e procedimentos

  • Segurança de senha forte e login único (SSO)
  • Autenticação multifator (MFA)
  • Treinamento de segurança e revisões anuais das políticas

Segurança física

  • Agentes de segurança
  • MFA, armadilhas, biometria
  • Listas de controle de acesso
  • Redundância de energia
  • Supressão de incêndio
  • Desembolso geográfico

Defesa de perímetro

  • Testes de penetração e vulnerabilidade
  • SIEM
  • Prevenção precoce de ataques de negação de serviço (DoS)
  • Firewalls de última geração (NGFW)

Segurança de rede interna

  • Segmentos de rede e firewalls internos
  • Criptografia em movimento
  • Acesso baseado em funções
  • Filtragem de saída da web
  • Alta disponibilidade

Segurança de host

  • Detecção e correção de endpoint
  • Implementação reforçada
  • Patching adequado e responsável

Segurança de aplicativos

  • Ciclo de desenvolvimento de aplicações seguro
  • Gerenciamento da chave de criptografia
  • Controles de acesso
  • Log de aplicativo
  • Credenciais de aplicativo exclusivas

Segurança de dados

  • Criptografia em repouso
  • Redundância e replicação de dados
  • Separação de dados
  • Acesso com menos privilégios

É importante notar que nenhuma estratégia de segurança é infalível — as melhores práticas de segurança de dados na nuvem exigem manutenção, evolução, inovação e investimento constantes.

O que a segurança de dados na nuvem alcança?

Um registro perfeito de proteção de dados na nuvem pode impedir um fluxo interminável de ameaças por meses e anos, economizando bilhões de dólares para sua organização.

Mas apenas uma falha de segurança pode custar caro a uma organização — quer seja em repercussões diretas de dados comprometidos ou em impactos de longo prazo decorrentes da violação, como multas pagas ou danos à reputação.

Como você garante a segurança dos dados na computação em nuvem?

As organizações devem ter tanto uma cultura de segurança quanto uma cultura que compreenda a segurança. Isso inclui todos, desde equipes de manutenção, fornecedores e trabalhadores terceirizados até CEOs, líderes de TI e parceiros tecnológicos.

Criar uma cultura de segurança de dados na nuvem

A segurança bem-sucedida é, de fato, um jogo de gato e rato. O que você testar neste mês pode ser completamente diferente no próximo mês, porque esses ataques evoluem constantemente, e sua organização também precisa evoluir. Para estar atualizadas, as organizações devem:

Envolva todos

Cada pessoa em uma organização é uma parte essencial da estratégia de defesa em camadas. Sua segurança é tão forte quanto o elo mais fraco; portanto, envolva todos os membros da equipe em toda a empresa na manutenção e perpetuação da segurança de seus dados na nuvem.

Oriente ativamente sua equipe com treinamento contínuo

Realize treinamentos regulares e obrigatórios para cada membro da equipe. Forme uma equipe que implemente tipos ativos de engajamento para testar e educar os membros da equipe e observar como eles podem reagir a ameaças reais. Esses testes devem se assemelhar às ameaças reais que hackers utilizariam para atacar ou verificar vulnerabilidades. Esses resultados informarão à sua equipe de segurança sobre o que pode ser eficaz contra você e ajudarão a definir melhor quais treinamentos de segurança devem ser priorizados daqui para frente.

Contrate especialistas em nuvem para atuar na nuvem

Violações de segurança autoinfligidas podem ocorrer quando os membros da equipe de segurança na nuvem não têm o conhecimento especializado necessário da nuvem para realizar o trabalho corretamente. O Relatório de Investigações de Violação de Dados de 2022 da Verizon constatou que os erros causados por configurações incorretas de armazenamento na nuvem continuam a ser uma tendência predominante.

A segurança bem-sucedida é, de fato, um jogo de gato e rato. O que você testar neste mês pode ser completamente diferente no próximo mês, porque esses ataques evoluem constantemente, e sua organização também precisa evoluir.

— Dylan Border, Diretor de Cibersegurança, Hyland

Métodos de proteção de dados na nuvem

Além das melhores práticas listadas acima, a proteção de dados na nuvem pode ser bem servida com esses métodos.

Automatize a nuvem

Reduzir a interação humana com os recursos na nuvem por meio da automação pode ajudar a proteger os dados na nuvem. Isso auxilia tanto na detecção de ameaças quanto de anomalias, assim como na resposta. Quando a automação é integrada à infraestrutura na nuvem, as alterações e atualizações podem ser iniciadas e concluídas em segundos, em vez de dias, semanas ou meses.

Por exemplo, a AWS pode interagir com APIs e enviar um único comando de linha para iniciar uma série de scripts que lançam as instâncias e contêineres relevantes necessários para todo o ambiente de nuvem. Além da eficiência de tempo, a automação na nuvem também elimina erros humanos e configurações incorretas na nuvem.

Colabore com uma equipe terceirizada de gerenciamento de riscos de cibersegurança

Avalie e empregue uma ferramenta independente e neutra que analise e relate sobre a prontidão de segurança da sua organização. O BitSight, por exemplo, ajuda a monitorar a presença pública online de uma entidade.

Tanto os provedores de nuvem quanto as empresas que utilizam os serviços de um provedor de nuvem podem se beneficiar dessas ferramentas de avaliação de terceiros. O feedback pode ser utilizado tanto de forma proativa quanto reativa:

  • Monitoramento proativo: valida se as ações de sua equipe de segurança na nuvem internamente não estão se refletindo de maneira diferente externamente.
  • Monitoramento reativo: valida se a equipe de segurança na nuvem está cumprindo o que foi prometido.

Os provedores de serviços na nuvem de alto nível usarão esses avaliadores terceirizados para monitorar suas pontuações, assim como as dos clientes, fornecedores e processadores de pagamentos.

Infraestrutura como código (IaC)

Ao gerenciar e implantar sua infraestrutura de nuvem como código, em vez de por meio de processos manuais, você reduz o erro humano e a intrusão de agentes mal-intencionados — tanto internos quanto externos. A IaC obriga a administração da nuvem a seguir o mesmo processo de desenvolvimento do ciclo de vida de segurança que a codificação de aplicações seguiria para assegurar que não seja malicioso.

Questões e desafios de segurança de dados na nuvem

A infraestrutura na nuvem acelera os negócios e permite que as organizações operem em tempo real, em qualquer lugar. Ela promove economia de custos, libera espaço físico, apoia as formas modernas e remotas de trabalho e contribui para a preparação para recuperação de desastres.

No entanto, a computação em nuvem enfrenta problemas e desafios, incluindo:

Controle de acesso

Saber quem pode acessar quais dados no seu ambiente de nuvem é importante para a segurança dos dados. Os clientes de serviços na nuvem devem saber quem está validando o acesso e exigir precauções rigorosas em relação ao acesso em nível de dados e às chaves criptográficas, além de garantir que seus provedores de serviços, prestadores de serviços sigam as melhores práticas que discutimos acima, desde a cultura até as camadas de defesa.

Infelizmente, a baixa visibilidade do controle de acesso pode permitir que agentes maliciosos (frequentemente, ameaças internas) acessem sua configuração na nuvem.

Ataques à cadeia de suprimentos

Esses ataques são orquestrados, originalmente, contra o software de um parceiro menor de uma organização maior. À medida que as grandes empresas se tornaram mais experientes no jogo de proteção de dados, os agentes mal-intencionados aumentaram seus ataques a fornecedores menores que podem vender seus produtos para uma entidade maior. Após o software do parceiro infectado e não detectado é liberado no ambiente de nuvem da empresa-alvo, ele infecta todos os usuários da aplicação.

Esses ataques à cadeia de suprimentos podem impactar os fornecedores e, em seguida, os fornecedores de seus fornecedores, criando uma infecção em cadeia de código malicioso. Eles também podem ser difíceis de rastrear por causa das longas cadeias.

Inventário de ativos

As organizações com protocolos de gestão de ativos ineficazes podem não saber quais ativos e dados possuem na nuvem. Ou porque a natureza da nuvem dinâmica de hoje é que componentes são criados e destruídos rapidamente, as equipes de segurança da nuvem podem não conseguir acompanhar o que está acontecendo no ambiente.

Para combater essa vulnerabilidade, as organizações devem saber o que está na nuvem, por que está lá e quem está gerenciando. Isso também auxiliará nas análises forenses, de modo que, caso ocorra uma violação, sua equipe de segurança na nuvem possa rastrear sistemas efêmeros.

Resumindo: você não pode proteger o que não sabe que está lá.

Escassez de conhecimento especializado na nuvem

O setor enfrenta uma escassez de conhecimento especializado na nuvem, e alguns dos maiores desafios de segurança acompanham essa situação. Se funcionários sem o conhecimento especializado crítico na nuvem tentarem implantar ativos na nuvem da mesma forma que fazem em seus data centers tradicionais, as coisas podem dar muito errado do ponto de vista da segurança. Embora os dois conjuntos de habilidades possam se complementar, eles não são uma correspondência exata.

Adicione a velocidade da nuvem e a rapidez com que os provedores de nuvem podem modificar e substituir seus próprios serviços, tornando excepcionalmente desafiador para não especialistas na nuvem (e especialistas na nuvem) acompanhar.


> Leia mais | Os profissionais de tecnologia de que você precisa estão em lugar nenhum, em qualquer lugar e em todos os lugares

Segurança da nuvem versus segurança de bancos de dados

A diferença na segurança entre a computação na nuvem e os data centers locais é essencialmente quem possui a responsabilidade.

Um data center local que não utiliza a nuvem possui servidores que são de propriedade e gerenciados pela empresa. Nesse cenário, a organização é totalmente responsável pela segurança.

Quando uma empresa faz parceria com uma solução habilitada para a nuvem que utiliza um provedor de nuvem, a responsabilidade pela segurança do data center é transferida para o provedor de nuvem.

No entanto, a organização deve fazer a devida diligência ao examinar todos os fornecedores, vendedores e prestadores que tenham alguma participação na infraestrutura da nuvem, nas aplicações usadas e nos serviços adquiridos. Idealmente, isso significa que uma empresa seleciona um grande provedor, como a AWS, que teria os mais altos níveis de talento em segurança na nuvem trabalhando para ela e um histórico comprovado de sucesso em segurança.

A nuvem substituirá os data centers?

Não, a nuvem não substitui os data centers. Uma solução na nuvem ainda utiliza um data center para armazenamento de dados. No entanto, a maioria das empresas está se afastando do gerenciamento de seus próprios data centers locais. Os provedores de nuvem possuem e gerenciam seus próprios data centers e, basicamente, "alugam" espaço de armazenamento para parceiros.

Por exemplo, a AWS é um provedor de nuvem que gerencia seus próprios data centers, usados para armazenar os dados na nuvem de seus parceiros. A AWS é responsável pela segurança e manutenção desses data centers, e é lá que ela armazenam os dados dos clientes de sua infraestrutura na nuvem.

Segurança de dados na nuvem para serviços de conteúdo

A Hyland é um provedor líder de serviços de conteúdo, com uma gama de tecnologias, soluções e serviços habilitados e nativos da nuvem. Levamos a segurança dos dados na nuvem muito a sério porque nossos clientes exigem isso, e porque é a coisa certa a fazer.

Hyland e computação em nuvem

Saiba mais sobre a Hyland na nuvem:

  • Hyland no AWS Marketplace
  • A Hyland Cloud
  • Plataforma como serviço Alfresco Business da Hyland

Hyland na AWS

A Hyland está listada no AWS Marketplace. Saiba mais sobre os benefícios de comprar no site, incluindo a capacidade de:

  • Simplificar a aquisição
  • Implementar controles e automatizar o provisionamento
  • Gerenciar orçamentos de software com transparência de custo

Você também pode gostar

Entendendo cloud computing para profissionais não-técnicos
Um guia prático para a migração para nuvem
No local versus na nuvem: como fazer a escolha certa