(In)segurança na Cloud

(In)segurança na Cloud

A adoção de serviços na cloud em geral e de software como serviço em particular, conhecido pelo acrónimo inglês SaaS (software as a service), é uma realidade para cada vez mais empresas

Com taxas de crescimento anual composta esperada na ordem dos 20% a 25%* nos próximos 5 anos, é a escolha de todas as startups para business software, uma opção clara para as PMEs, mas também cada vez mais uma realidade para as empresas maiores.

Segundo a Gartner*, os serviços de cloud como o Microsoft Office 365 e o Google Apps for Work já detêm 13% da quota de mercado das ferramentas de escritório, onde se inserem as ferramentas de e-mail com uma quota de mercado de 8%.

Em termos de segurança, para uma PME ou startup, pode até ser considerada uma melhoria. Face a custos elevados com especialistas de segurança de modo a garantir: a atualização de software e sistemas; mecanismos de auditoria e controlo e processos de backup; e a delegação destas responsabilidades no fornecedor de SaaS aparenta ser uma solução mais realista.

Mas, a adoção da cloud acarreta muitos desafios em termos de segurança. De repente o “negócio” da empresa, a sua propriedade intelectual, os dados de vendas, os dados de clientes, etc. ficam espalhadas pela internet, esperando que a próxima falha de segurança não tenha impacto no seu negócio.

O e-mail em particular é reconhecidamente o meio mais corrente de “entrar” numa organização, via tipicamente mecanismos como: spam, e-mails com origem falsa, phishing, e-mails infetados com malware, etc.  A utilização de um destes mecanismos para roubar credenciais de serviços cloud pode comprometer de forma ímpar a segurança de uma empresa.

Aquilo que o Microsoft Office 365 e o Google Apps for Work oferecem é um pacote de ferramentas muito conveniente e com um custo operacional competitivo. Em certa medida são como um canivete suíço para as ferramentas de escritório, e-mail inclusive. Não passaria pela cabeça de ninguém cortar uma árvore com um canivete suíço, mas em certa medida é isso que se faz ao delegar a responsabilidade da segurança de uma empresa num serviço desses.

A segurança e a funcionalidade estão intrinsecamente e inversamente relacionadas. Quanto mais funcionalidade e conveniência, maior o risco para a segurança. A adoção da cloud deve de ser acompanhada por uma estratégia de mitigação via orçamento de segurança de IT.

Todos os dias estes fornecedores de serviços cloud tomam decisões de segurança, sem consultar os seus clientes, pelo bem maior. Vejamos um exemplo: há anos que a Microsoft sabe que a funcionalidade das macros é explorada para fins nefastos. Mais recentemente usando código mutante que impede a geração de assinaturas de padrão de ataque e deteção, muitas empresas foram alvo de Cryptolocker**, vendo os seus ficheiros raptados até que seja pago um resgate. Ganhou a funcionalidade de dispor de macros nos documentos, perderam todas as empresas que conscientemente evitam usar macros.

Existem produtos no mercado que trabalhando em conjunto com estas ferramentas e o cliente, dotam as empresas da capacidade de tomar as decisões que considerem mais adequadas às necessidades da empresa em termos de segurança.

A pergunta que persiste é: deve uma empresa delegar o balanceamento entre segurança e funcionalidade em terceiros? Ou munir-se de ferramentas que permitam uma maior granularidade nas decisões importantes que devem de ser tomadas.

 

Fonte: *Gartner, 2016: https://www.gartner.com/doc/reprints?id=1-2W1YDPO&ct=160112&st=sb

** Uma nova família de ransonware, que tem como objetivo extorquir dinheiro às vítimas destes ataques.

Tags

REVISTA DIGITAL

IT INSIGHT Nº 6 Março 2017

IT INSIGHT Nº 6 Março 2017

NEWSLETTER

Receba todas as novidades na sua caixa de correio!