Quando falamos em segurança na nuvem, a primeira preocupação que vem a mente são os Cibercriminosos, e isso pode parecer bem sensato, afinal quem proporcionaria mais risco do que aqueles que se dedicam em tempo integral a descobrir novas formas de contornar controles de segurança, obter acesso ilegal, roubar informações ou abusar de recursos?
Sim, o cibercrime representa uma ameaça significativa a qualquer ambiente que precisa ser combatida constantemente. Em termos de controles de segurança, a nuvem fornece um leque de opções tecnológicas que pode proteger muito bem até mesmo os ambientes que demandam o mais alto nível de cibersegurança, a grande questão é que seguimos deixando de lado um fator essencial a segurança da informação: como o componente humano tem facilitado a vida do cibercrime.
Os números são estarrecedores: Em uma pesquisa realizada pela Netskope junto aos seus clientes que utilizam serviços da AWS (Amazon Web Services) nas modalidades IaaS ou PaaS, foi descoberto que 71,5% das violações de segurança são relacionadas com a gestão de acesso e identidade. De acordo com o relatório, isso pode indicar que, embora muitas organizações já tenham controles de segurança para seus serviços em nuvem como, por exemplo, autenticação multifator (MFA) e soluções de logon único, as políticas de gestão de acesso e identidade para IaaS e PaaS ainda precisam ser melhoradas.
O fato é que, independentemente dos controles de segurança aplicados ao ambiente da nuvem, hackers e crackers já descobriram que explorar o fator humano é muito mais simples:
Boa parte das violações relacionadas com a gestão de acesso e identidade pode ser atribuída ao roubo de senhas, muitas vezes resultados de ataques como phishing, ou praticas inseguras como, por exemplo, usar a mesma senha em múltiplos sites/serviços ou até o velho (e péssimo) hábito de anotar senhas em um post-it e colar no monitor (acredite, isso acontece como bem mais frequência do que o esperado).
Enquanto a pesquisa da Netskope aponta que muitos desses incidentes foram considerados críticos, é necessário entendermos que a maioria poderia ter sido facilmente evitada usando uma combinação dos recursos de proteção fornecidos pela própria AWS e educação/conscientização dos usuários e, especialmente, administradores dos serviços de IaaS ou PaaS.
Estamos vivendo um momento onde cada vez mais empresas caminham rumo a troposfera digital, e sem dúvida a nuvem vai ser o grande habilitador da inovação e transformação digital que viveremos nas próximas décadas. Entretanto, precisamos deixar de lado velhos hábitos e adotar uma postura mais pragmática em relação a cibersegurança, entendendo que proteger uma organização é bem mais do que simplesmente dispor de controles técnicos: sem tratar o fator humano, nenhum ambiente estará adequadamente protegido.
Um céu tranquilo ou tempestade: Tudo depende de ter uma boa cibersegurança.
