Utilizar, mover e armazenar milhões de informações sensíveis (como dados pessoais de clientes, movimentações financeiras e estratégicas) requer altíssimo nível de segurança e enorme capacidade de proteção contra roubos e invasões em todos os tamanhos de empresas. Mas apenas 17% estão conseguindo lidar com os ataques de maneira eficiente, segundo o levantamento divulgado em fevereiro pela Accenture, que ouviu mais de 4 mil profissionais de segurança em todo o mundo. Segundo Thiago Araki, outro ganho da nuvem híbrida é a possibilidade de poder manter dados mais sensíveis em ambientes privados ou apenas nas nuvens públicas que atendam os padrões de segurança exigidos pela empresa, gerente dos especialistas de produto da Red Hat na América Latina
O cibercrime vem sofisticando sua atuação ao mesmo tempo em que os vazamentos podem ter consequências catastróficas. Para confiabilidade total, na cloud híbrida são empregadas modernas técnicas e softwares de proteção e segurança dos dados, uso de inteligência analítica para monitorar tentativas de ataques, invasões e roubos, proteção dos dispositivos em todas as camadas, e flexibilidade para manter conteúdos mais sensíveis em ambientes totalmente privados.
Thiago Araki, gerente dos especialistas de produto da Red Hat na América Latina
Um dos diferenciais da Red Hat é usar apenas software open source de qualidade empresarial, o que adiciona ainda mais confiabilidade ao modelo. Além de contar com uma imensa comunidade de desenvolvedores constantemente vasculhando códigos em busca de falhas, equipes de qualidade e de engenheiros responsáveis por gerenciar a segurança dos produtos garantem que os problemas encontrados sejam totalmente resolvidos de forma muito rápida. “Acreditamos num modelo de segurança implementado em todas as camadas da TI, desde a proteção física de dispositivos, redes e armazenamento de dados, passando pelo sistema operacional, até as camadas mais altas de gestão e orquestração de aplicativos e das APIs expostas na internet”, diz Araki. Segundo ele, os softwares da Red Hat passam pelas mais exigentes certificações de segurança, para que possam ser usados em ambientes de missão crítica de bancos, órgãos públicos, empresas de varejo, telecomunicações e saúde, indústrias que invariavelmente lidam com informações sensíveis e confidenciais.
DADO NA NUVEM É MAIS SEGURO DO QUE NA EMPRESA
Existe um mito em TI que diz que os dados de uma empresa estão mais seguros quando armazenados em seu datacenter local, dentro da própria companhia. Afinal, isso é verdade ou não?
Na prática, os provedores de nuvem avançaram muito nos últimos anos, e contam com tecnologias, processos, especialistas e estruturas físicas e lógicas, além de ferramentas e políticas de backup muito sofisticadas. Em muitos dos casos, seus ambientes de nuvem são mais seguros do que um datacenter tradicional. “Esse investimento foi feito, principalmente, para poder oferecer seus serviços às indústrias e ambientes mais críticos. Entretanto, essas mesmas tecnologias também estão disponíveis para uso em datacenters privados”, afirma Araki.
De acordo com o CEO da Red Hat no Brasil, Gilson Magalhães, uma das técnicas mais modernas e seguras de abrigar dados na nuvem consiste na proteção dos chamados “containers” - uma espécie de caminho para colocar programas na cloud. Funciona como se a aplicação ficasse guardada em uma caixa. “Ali dentro, coloca-se o que precisa ser executado em algum lugar, seja na sua nuvem privada seja na pública. Você manda o container, alguém abre e executa”, explica Magalhães. “Onde se investe mais, hoje, é na garantia de que esse container é absolutamente protegido, e ele só vai ser aberto por quem tem de fato acesso, criptografia e chaves corretas”, diz.
Araki concorda e afirma que a solução de proteção oferecida pela empresa é uma das mais avançadas do mercado. “Nos últimos anos, a tecnologia de containers se tornou muito popular porque facilita e agiliza a criação, o empacotamento e a promoção de aplicativos, durante todo o ciclo de vida e em diferentes ambientes, e a Red Hat possui a solução líder de mercado para a gestão de containers, chamada OpenShift Container Platform”, aponta.
Tal solução automatiza todo o ciclo de vida dos containers, integra a segurança de forma nativa e é projetada com as equipes de segurança em mente. Além disso, diferentemente dos catálogos públicos de containers, que funcionam de forma similar a uma “loja de aplicativos”, o da Red Hat fornece acesso a um grande número de frameworks, linguagens de programação, bancos de dados e middleware, só que certificados e com garantia de proveniência. Ao mesmo tempo, os provedores que mantêm suas estruturas de cloud pública aprimoram a todo tempo seus sistemas de segurança, até mesmo por exigência do mercado e de certificações de compliance com as boas práticas de dados.
Diferentes organizações têm necessidades e preocupações distintas sobre segurança, conformidade, governança e SLAs (Service Level Agreements), portanto não existe solução única. “No caso de recursos compartilhados, como uma nuvem pública, é fundamental ter clareza sobre os SLAs estabelecidos com o provedor da nuvem, pois eles definem quais padrões de segurança serão atendidos”, diz Araki. Ele explica que alguns provedores de nuvem pública têm acordos com clientes governamentais para restringir certas pessoas de acessar o hardware físico. Já no caso de instituições financeiras, existe uma resolução do Banco Central que estabelece os requisitos mínimos para a contratação de serviços de armazenamento e processamento de dados e computação em nuvem.
E NO FUTURO?
Atualmente, o ataque do tipo ransomware (sequestro de dados) é um dos mais comuns, com um crescimento de quase 75% no último ano, segundo estudo da companhia de segurança Bitdefender. O interessante é que os alvos estão se diversificando e não são mais apenas os grandes bancos e o comércio online. Há uma nova tendência de ataques virtuais a hospitais, instituições de ensino e áreas da sociedade mais vulneráveis e cujos dados são muito sensíveis. Infelizmente, a maioria dessas organizações não têm recursos para enfrentar um ataque deste estilo e acabam pagando para recuperar seus dados. Outro tipo de ataque popular é o bitcoin hack, a exploração de servidores das empresas para minerar bitcoins e ganhar dinheiro à custa da capacidade de processamento dos alvos.
Ao mesmo tipo em que o crime virtual se sofistica, impondo normas mais rígidas de segurança, leis de proteção de dados como o Regulamento Geral sobre a Proteção de Dados (GDPR) na Europa e a Lei Geral de Proteção de Dados (LGPD), que passa a valer em agosto no Brasil, vêm fazendo com que muitas organizações se preocupem com práticas de detecção e prevenção contra perda de dados para se proteger de violações, sequestro ou destruição indesejada de informações confidenciais. Essas práticas consistem em proteger dados em movimento e em repouso, através de diversas técnicas de análise do tráfego na rede e no mascaramento e criptografia de dados.
Ainda estão começando a surgir soluções de segurança mais avançadas que empregam algoritmos de inteligência artificial para detectar acesso anormal a um banco de dados, uma troca de e-mails suspeita ou até mesmo intenções maliciosas através do padrão de digitação no teclado. “Estas técnicas sem dúvida farão parte do arsenal de segurança de boa parte das empresas e dos provedores de nuvem pública nos próximos anos”, explica Araki. Desta forma, treinar as pessoas e conscientizá-las sobre a importância de preservar os dados também é fundamental, destaca o executivo.
É possível afirmar que existe cloud 100% segura? De acordo com Araki, a resposta é não. “Embora os níveis de segurança da informação sejam elevados e costumem atender os exigentes requisitos do mercado, infelizmente nunca podemos dizer que a segurança é total”. O que pode afirmar, porém, é que essa batalha vem sendo vencida por empresas e provedores.
