Sábado, Outubro 23
Home>>Cibersegurança>>Nuvem mal configurada é vilã de vazamentos
hacker
Cibersegurança

Nuvem mal configurada é vilã de vazamentos

Foto: Imagem de mohamed Hassan por Pixabay

O serviço de nuvem mal configurado por motivos como desejo de baratear o projeto ou mesmo por falta de gente competente para a tarefa. Essa, na visão de Fabio Assolini, Pesquisador de Segurança Sênior, Equipe de Pesquisa e Análise Global da Kaspersky, é a principal causa dos vazamentos de dados – não só os recentes. Ele compartilhou a visão dele sobre o tema com exclusividade para o blog Danpnobre.com.br.

“Temos a adoção massiva de soluções de nuvem e muitas empresas querem baratear o seu custo de hospedagem de dados simplesmente jogando na nuvem e não se preocupam em tornar esses dados seguros o máximo possível. Elas querem simplesmente baratear seu custo jogando e adotando o serviço em nuvem, mas não se preocupam em tornar esses dados seguros ao máximo possível. Elas querem simplesmente baratear ao máximo o custo”, afirma Assolini.

Segundo o Pesquisador de Segurança Sênior, ao configurar mal um ambiente de nuvem, sem os devidos cuidados de segurança, a empresa deixa os dados expostos facilmente. “Dados que podem ser acessíveis via Google Hacking. A pessoa vai lá, bota alguns comandos específicos no Google e encontra base de dados gigantescas abertas hospedadas nos serviços na nuvem. Por que? Porque quem tomou essa decisão não tem o know-how necessário para saber que esses dados estão na nuvem, mas eu preciso protegê-los. Então essa é a maior causa. E as outras causas estão relacionadas com serviço Web mal configurados que permitem invasões e a invasão ao servidor Web permite que o invasor tenha acesso a base de dados e tem muitos meandros técnicos que deveriam ser seguidos para proteger um serviço que está online ou uma base de dados que está na nuvem”, disse o pesquisador.

De acordo com Assolini, isso, infelizmente, não tem sido seguido nem pelo governo e nem por entidades privadas. “Tem muito vazamento que está sendo ocultado, sendo colocado a sujeira debaixo do tapete para não aparecer e alguns deles estão sendo expostos na mídia que é o que estamos vendo”. 

Sobre o papel da Autoridade Nacional de Proteção de Dados (ANPD), o que a agência tem que fazer é investigar todos os casos, mas Assolini já adianta que não é fácil investigar um incidente de vazamento de dados pois o investigador tem a missão de fazer o correlacionamento de dados. “A bandidagem já aprendeu a fazer isso. É o papel do cientista de dados. O que o cientista de dados irá fazer? Ele tem duas bases de dados distintas e o que ele vai fazer? Ele vai correlacionar isso. A bandidagem já sabe tanto que eles já pegam 2 ou 3 bancos de dados diferentes e fazem um “merge”, colocam tudo em uma única base de dados e vendem. Então a agência vai aprender a fazer isso. Me parece que os quadros que compõem a agência não são quadros técnicos e quando eles precisarem resolver questões técnicas irão fazer requisições à Polícia Federal ou outras entidades do governo para auxiliá-los nisso. E fazer essa correlação de dados não é fácil porque muitas vezes a empresa ou órgão investigado não colabora”, afirmou Assolini. Contactamos a ANPD e estamos aguardando respostas sobre equipe técnica da agência e sobre investigações atuais.

Falta de profissionais de segurança

Infelizmente como também ressaltou Assolini, invasões, vazamentos, tudo isso não é novo. Vai continuar acontecendo, pois, infelizmente, sempre haverá brechas. Aos governos e iniciativa privada cabe lutar para reduzir os ataques e os prejuízos envolvidos. Uma boa solução, a ideal, é ter gente capacitada para gerir e proteger as redes computacionais, sejam elas próprias e/ou na nuvem. O pesquisador da Kaspersky deixa bem claro que, infelizmente, está faltando mão de obra especializada para cuidar da segurança dos nossos dados tanto em âmbito governamental quanto nas empresas privadas. 

Assolini ressalta que, no mundo todo, há carência deste tipo de profissional. Desta forma você pode analisar que há um bom mercado para você tentar se especializar. Os salários lá fora vão de valores suficientes para você sobreviver até grandes somas anuais. Em pesquisa que fiz na manhã de sexta-feira, 12 de março no Linkedin Vagas, achei mais de 1800 resultados de oportunidades só no Brasil.

“Está fazendo (falta) não só no âmbito governamental quanto na iniciativa privada. Bons profissionais são bastante procurados no mercado. Existe uma falta de bons profissionais de segurança a nível global, não é um problema do Brasil. Este tipo de profissional é o que tem o domínio técnico para tornar uma base de dados em Cloud segura e acessível somente por quem deve acessá-los. Ou é um tipo de profissional que vai fazer todo o levantamento de vulnerabilidades e corrigi-las para que esses dados não sejam acessados indevidamente. São poucos profissionais disponíveis no mercado e poucos estão sendo disputados pela iniciativa privada. E nesse ponto o governo perde porque a iniciativa privada paga melhor do que o funcionalismo público”, afirma Assolini. 

Iniciativas para suprir a carência

Há várias iniciativas para tentar atrair mais profissionais para o mundo da segurança da informação. Empresas privadas estão procurando criar soluções para treinamentos massivos gratuitos ou pagos. A Kaspersky tem iniciativas para atrair e ajudar na evolução de futuros profissionais de segurança. “Atuamos especialmente em âmbito universitário, onde identificamos talentos, pessoas muito interessadas na área de segurança e fazemos recrutamento delas. Temos competições estudantis onde eles apresentam suas ideias ou protótipos de soluções de problemas na área de segurança”, disse Assolini. 

Ainda segundo ele, a Kaspersky apoia esses estudantes com bolsas de estudos, com participações em eventos e muitos deles se tornam funcionários da empresa. “Então, essa é a fórmula que temos hoje para diminuir esse gap. Tais iniciativas são comuns na iniciativa privada e são muito bem vindas. Na verdade, o que gostaria de ver, era elas sendo reproduzidas em âmbito governamental”, frisou.

Outra empresa que investe para tentar reduzir a falta de profissionais no setor de segurança da informação é a Cisco. Uma das iniciativas da empresa é através do Networking Academy, um site de cursos virtuais sobre segurança da informação. Eu mesmo fiz, ano passado, dois cursos da empresa. Foi bem interessante, pois há como, inclusive, testar o que se aprende na teoria na prática, em laboratórios. E isso vai dando a você confiança no aprendizado. Nos dois cursos tivemos provas e, felizmente, fui aprovado e recebi os certificados. Agora estou aguardando, inclusive, uma nova fase, onde se eu conseguir me destacar estarei disputando 1.300 bolsas para cursos profissionalizantes na área. É algo realmente interessante, pois os cursos têm bastante qualidade e ajudam no entendimento das regras, necessidades e formas de atuar no setor. 

Agora está, inclusive, acontecendo a maratona de CiberSegurança do Brasil, o Learn-a-Thon 2021, da Cisco, onde os alunos, usando a mesma plataforma Cisco Networking Academy, poderão aprender, fazer os testes e depois aplicar para a prova até 31 de março. O objetivo é eles se juntarem aos que já haviam feito este curso de Fundamentos de Segurança para avançar para a fase final. 

Todas essas iniciativas mostram que há uma profissão carente de pessoal. Que há empresas buscando especialistas para ajudarem a se proteger no mundo virtual. “Pessoas que querem buscar oportunidades na área da segurança da informação têm muita vaga. Eu recebo todo mês de 3 a 4 contatos de headhunters porque há vagas em aberto e eles querem saber da minha disponibilidade. Isso ocorre com outros colegas que trabalham na área”, afirma Assolini. 

Ainda segundo ele, isso impacta na proteção de dados pessoais porque se você tem pessoas qualificadas elas vão saber como tornar aquele serviço seguro. E quando não está seguro é porque a empresa está mal assessorada. “Entendemos que todos nós temos telhado de vidro, todos podemos ser afetados por vazamentos de dados, agora, o que vai determinar o seu sucesso é como você vai responder a esse incidente, visando evitar multas dentro da LGPD e o que você vai evitar internamente para evitar esse tipo de situação. Então, o bom profissional de segurança tem resposta para esse tipo de situação. E quando isso não ocorre é porque a instituição ou entidade governamental está mal assessorada”, encerra.

Google

Convidamos o Google para falar sobre iniciativas que possam dar maior segurança ao serviço de nuvem oferecido aos clientes que escolhem a empresa. Confira abaixo as respostas da empresa:

Danpnobre.com.br – Como o Google tem orientado seus clientes de Cloud a proteger melhor as soluções contratadas para nuvem do Google?

Google – Ao utilizar a nuvem do Google, clientes automaticamente contam com os mais altos padrões de melhores práticas de segurança e de compliance globais, garantindo desde proteção física do ambiente onde os recursos são hospedados assim como controles e aderência a regulamentações de cada país onde operamos.

Ao mesmo tempo, disponibilizamos aos clientes uma série de produtos e soluções de segurança que veem embarcadas na nuvem para que eles possam utilizar e garantir que estão operando a nuvem de maneira segura – ou seja, sempre que falamos de segurança em nuvem abordamos o tema de “responsabilidade compartilhada”, onde o Google Cloud é responsável principalmente pela segurança da infra-estrutura global como um todo e o cliente por toda parte lógica referente a uso dos serviços de computação, controles de acesso etc.

Além disso, contamos com treinamentos periódicos, canais de segurança, eventos de atualização através de parceiros ou mesmo de engenheiros do Google Cloud onde abordamos melhores práticas de segurança para que os clientes sintam-se confortáveis em cada vez mais trazer seus sistemas e operações para a nuvem.

Além disso, o Google Cloud traz diversos produtos para que os clientes possam se modernizar de forma segura, seja na nuvem ou em suas infraestruturas locais, como Chronicle, Security Command Center, BeyondCorp Remote Access, reCAPTCHA Enterprise e muito mais.

Danpnobre.com.br – Como a empresa trabalha para corrigir processos feitos erroneamente ou de forma simplória dentro da nuvem do Google?

Google – A nuvem do Google Cloud tem ferramentas nativas que monitoram constantemente o ambiente buscando por configurações não seguras e possíveis vulnerabilidades. Por meio de painéis, os usuários podem facilmente identificar tais problemas e ver soluções sugeridas. Também é possível termos uma instrumentação configurada que permite a geração de alertas e tomada de ações mais automatizadas para correção dos problemas, sempre visando a aderência às melhores práticas de segurança assim como redução da superfície de ataque.

A segurança digital é um ambiente de alerta constante, onde os times especializados do Google Cloud estão sempre monitorando qualquer coisa que possa colocar os clientes e suas informações em risco. Podemos afirmar que fazemos melhorias contínuas em dispositivos de segurança e contamos com o Programa de Proteção Avançada e a Central de Alertas do Workspace, para conscientizar os usuários sobre ameaças digitais, além dos dispositivos para o bloqueio de ameaças.

Danpnobre.com.br – Na conversa com Assolini outro tema foi colocado: treinamento. Há várias empresas que estão como a Cisco e a própria Kaspersky desenvolvendo treinamento gratuito ou pago para estudantes e interessados em trabalhar na área de cibersegurança visando reduzir o gap de falta de mão de obra qualificada. Como o Google tem agido nesse sentido?

Google – O Google Cloud possui diversos programas de treinamento em seu cronograma, visando a melhoria e a capacitação de profissionais que já possuem conhecimento na tecnologia da nuvem, ou aqueles que querem adentrar nesse mercado, de forma gratuita, guiados pelos nossos especialistas. Dentre os conteúdos oferecidos, são abordadas temáticas como a segurança digital, ponto primordial para a empresa, mostrando a importância desse assunto para os profissionais de TI. Alguns exemplos são:

Cloud Social – Já executado em três regiões brasileiras – Pernambuco, Alagoas e Distrito Federal – o Google Cloud, em parceria com instituições locais, iniciou em 2020 um programa especial de capacitação voltado para pessoas de minorias sociais (população de baixa renda, população negra, mulheres e LGBTQIA+) em fundamentos básicos de computação em nuvem, além de uma visão geral de inteligência artificial e machine learning. Os treinamentos, com cerca de 40h de duração, distribuídos por 20 dias, trouxeram os requisitos básicos para que essas pessoas busquem oportunidades de trabalho na posição de “Analistas de Nuvem nível Jr” ou estágio em áreas de TI que possuem sistemas e informações em nuvem pública.
Cloud Onboard – Em sua 4ª edição anual, agora totalmente on-line, profissionais do Google Cloud realizaram treinamentos semanais gratuitos para profissionais e estudantes de TI que querem iniciar seus conhecimentos na tecnologia da nuvem. Ao todo, foram 15.735 inscritos na América Latina. Detalhes aqui.
Cloud OnAir – Também durante a pandemia, publicamos uma série de webinars na página da iniciativa, abordando temas como o trabalho colaborativo por meio do Workspace, a execução de SAP no Google Cloud e conteúdos sobre aumento de eficiência e escalabilidade com a nuvem, voltados para ajudar os profissionais de TI a entenderem o mercado de tecnologia na nuvem atual.

Amazon

Conversamos com a Amazon Web Services (AWS), uma empresa da Amazon Inc., responsável por Cloud. O porta-voz respondeu sobre várias questões de configuração e segurança. Confira:

Danpnobre – Como a AWS trabalha para tentar evitar problemas de segurança na nuvem para seus clientes?

AWS – Segurança sempre será nossa maior prioridade. A AWS foi desenhada para ser o ambiente em nuvem mais flexível e seguro disponível no mercado. Usamos os mesmos hardwares e softwares na operação de cada região em que estamos presentes e contamos com o suporte de uma grande variedade de ferramentas de segurança na nuvem, com mais de 230 funcionalidades de segurança, compliance e governança.

Seguimos um modelo de responsabilidade compartilhada com nossos clientes. Esse modelo pode auxiliar a reduzir os encargos operacionais do cliente à medida que a AWS opera, gerencia e controla os componentes do sistema operacional do host e a camada de virtualização, até a segurança física das instalações em que o serviço opera. O cliente assume a gestão e a responsabilidade pelo sistema operacional utilizado (inclusive atualizações e patches de segurança), por outros softwares de aplicativos associados e pela configuração do firewall do grupo de segurança fornecido pela AWS.

A AWS oferece diversos serviços dedicados à segurança que podem ajudar os clientes com a sua parte da responsabilidade, uns sem custo e outros com pagamento por consumo (PAYG). Alguns dos serviços gratuitos são o AWS Identity and Access Management (IAM) para gestão de credenciais, e o AWS Single Sign-On para federação de identidades. Entre os serviços pagos estão o Amazon GuardDuty para identificação de ameaças; os firewalls de aplicação AWS Web Application Firewall (WAF) e de rede AWS Network Firewall; AWS Secrets Manager para gestão de segredos de acessos a aplicativos, serviços e recursos de TI; e AWS Key Management Service (KMS) e AWS Certificate Manager para criptografia.

Além disso, nossos parceiros oferecem centenas de ferramentas que ajudam nossos clientes a alcançar seus objetivos de segurança, sejam eles relacionados a gerenciamento de configurações, controle de acesso, criptografia de dados ou segurança de redes.

A escalabilidade da AWS permite mais investimentos em políticas de segurança do que quase todas as grandes companhias. Por exemplo, muitos CIO se preocupam com a possibilidade de haver um DHCP intruso que esteja rodando algo potencialmente destrutivo ou que a empresa não quer rodar. Atualmente, é muito difícil que CIOs saibam quantos usuários órfãos existem e quantos podem existir. Com a AWS, os CIOS podem usar ferramentas como a AWS Config e associação de metadados em cada recurso para ver exatamente quais ativos de nuvem estão em uso a qualquer momento, sem servidores escondidos ou anônimos dentro da rede corporativa.

A AWS possui várias certificações reconhecidas internacionalmente, como a ISO 27017 para segurança na nuvem, ISO 27018 para privacidade na nuvem, e SOC 1, 2 e 3. Temos também a ISO9001, voltada para saúde, ciências biológicas e setores automotivo e aeroespacial. Continuaremos desenvolvendo ferramentas e práticas que ajudem nossos clientes a verificar o status de segurança das customizações feitas por eles nestes ambientes.

Danpnobre – Há treinamentos de melhores práticas para os clientes?

AWS – Os treinamentos e as certificações da AWS ajudam empresas e profissionais a construir e obter reconhecimento por conhecimentos sobre a nuvem. Nosso conteúdo é produzido por especialistas da AWS e atualizado frequentemente para acompanhar as melhorias das nossas ferramentas.

Os treinamentos podem ser virtuais ou presenciais, porém, atualmente, por conta da pandemia, todos estão acontecendo de forma virtual. Nossa biblioteca de treinamento digital possui mais de 500 cursos disponíveis sob demanda a qualquer hora e lugar. Estão inclusos cursos básicos e avançados sobre serviços da AWS e soluções de storage, IoT, e machine learning.

Em segurança, temos três cursos básicos, com duração máxima de três horas. Há também cursos para profissionais de nível intermediário e avançado sobre as tecnologias da AWS, além de uma certificação para a área, a AWS Certified Security – Specialty.

Mais cursos em segurança podem ser encontrados aqui:

https://www.aws.training/LearningLibrary?query=&filters=Domain%3A27&from=0&size=15&sort=_score

https://www.coursera.org/learn/aws-fundamentals-addressing-security-risk?specialization=aws-fundamentals

Danpnobre – Como a empresa rastreia problemas nas configurações feitas pelos clientes? Há algum sistema de pós-verificação?

AWS – Segurança é nossa prioridade na AWS. Por isso, oferecemos diversos recursos, manuais e mecanismos para ajudar nossos clientes a configurar serviços da AWS e desenvolver aplicações usando as melhores práticas de segurança – desenvolvedores são responsáveis por seguir nossas recomendações e utilizar os mecanismos disponíveis.

Oferecemos vários serviços e funcionalidades que podem ajudar os clientes a evitar erros de configuração. Por exemplo, o AWS Config é um serviço que permite acessar, auditar e avaliar as configurações dos recursos da AWS usados pela empresa. O AWS Config monitora e grava continuamente as configurações de recursos da AWS e permite ao cliente automatizar a avaliação desses registros da forma que quiser.

Nossa documentação de gerenciamento de chaves de acesso da AWS reforça que os clientes devem deletar suas chaves de acesso raiz (ou, melhor ainda, nunca gerar uma) de sua conta AWS e usar o AWS Identity Access Management (IAM) para criar credenciais de segurança temporárias para aplicações que interagem com recursos da AWS e então gerenciar essas chaves de acesso. Seu recurso de análise (IAM Access Analyzer) avalia e monitora continuamente as políticas novas ou atualizadas, e analisa as permissões concedidas usando políticas para seus buckets do Amazon S3, chaves do AWS KMS, filas do Amazon SQS, funções do AWS IAM, funções do AWS Lambda e segredos do AWS Secrets Manager.

Além disso, o serviço ajuda a identificar a origem dos problemas operacionais por meio de sua integração com o AWS CloudTrail, um serviço que registra os eventos relacionados a chamadas de API em cada conta. O AWS Trusted Advisor, uma ferramenta online que fornece orientações em tempo real para ajudar a provisionar recursos de acordo com as melhores práticas da AWS.

Já o Amazon Macie é um serviço de segurança que usa machine learning para ajudar clientes a evitar a perda de dados ao automatizar a descoberta, classificação e proteção de informações sensíveis dentro da AWS. Por fim, o AWS Security Hub pode avaliar os recursos nas contas de clientes de forma automatizada seguindo as recomendações de três frameworks de segurança diferentes: CIS AWS Foundations Benchmark, AWS Foundational Security Best Practices e o PCI DSS.

Realizamos processos de monitoramento de fraude continuamente e, quando tomamos ciência da exposição acidental de credenciais, nossa equipe avisa o cliente de forma pró-ativa e o orienta sobre como proteger suas chaves de acesso. Nosso centro de recursos de segurança inclui outras informações valiosas. Mais instruções sobre gerenciamento de chaves de acesso podem ser encontradas aqui.

Danpnobre – Algo mais a comentar?

AWS – No modelo de computação em nuvem, muitos clientes pecam por ignorar as funcionalidades de visibilidade do ambiente. Essa é uma das grandes vantagens da nuvem: ter total visibilidade sobre os processos em andamento. Outro passo importante é automatizar tudo que for conhecido no ambiente. Desta forma, sabendo do padrão de comportamento dos usuários, é possível identificar qualquer ação suspeita. Mais uma boa prática é aplicar o conceito do menor privilégio, que consiste em limitar o acesso a informações sensíveis para que só aqueles que necessitem trabalhar com esses dados possam acessá-los.

IBM

Também conversamos com Wagner Arnaut, CTO de Technology da IBM Brasil, sobre segurança em cloud. Ele falou das ações da empresa para uma configuração, transferência e manutenção segura de empresas na nuvem.

Danpnobre – Como a IBM trabalha para auxiliar as empresas que contratam serviços em nuvem para uma configuração mais segura?

Arnaut – Segurança e compliance são apontados como dois grandes desafios na jornada de nuvem das empresas. Com essa preocupação a IBM projetou a sua nuvem com segurança desde o princípio e em todas as camadas. Atualmente a IBM Cloud é a nuvem pública mais aberta e segura para os negócios. Oferece um amplo conjunto de soluções que suporta até mesmo cargas de trabalho de missão crítica altamente reguladas, tudo isso com segurança de dados, além da escalabilidade, flexibilidade e resiliência necessárias para acelerar a transformação das empresas. A partir de uma arquitetura em constante evolução, fundamentada em código aberto e independente do provedor, a IBM oferece uma abordagem diferenciada, mitigando potenciais riscos ao negócio.

Na área de segurança, somos o único grande provedor de Cloud a possuir certificação FIPS 140-2 Level 4 do NIST. A IBM Cloud fornece a capacidade de KYOK (Keep Your Own Key) que mantém as chaves de criptografia em um módulo de segurança de hardware seguro onde somente o usuário possui o acesso à chave para acessar seus dados. Nem os administradores da IBM Cloud têm acesso a essas chaves de criptografia.

A arquitetura da plataforma de nuvem híbrida da IBM, baseada em Red Hat OpenShift, funciona em uma gama de infraestruturas de TI existentes e permite que você “codifique uma vez e execute em qualquer lugar”.

Além disso, visando potencializar a verificação, monitoração e remediação de segurança em Cloud, a IBM lançou um serviço chamado Security and Compliance Center. Através desse serviço é possível definir os objetivos de segurança e compliance da empresa e continuamente executar verificações dentro do ambiente de nuvem. Após a identificação das não conformidades, é possível ao usuário executar ações para remediar aqueles problemas de segurança e compliance. Como sabemos que o mundo de computação em nuvem cada vez mais é híbrido e multicloud, além da IBM Cloud também é possível fazer a verificação de segurança e compliance nas principais plataformas de nuvem do mercado e no ambiente on-premises.

Temos um portfólio robusto de proteção de dados e soluções de segurança para monitoração e busca federada de ameaças, incluindo Security Operation and Automation Response (SOAR) em nosso CloudPak for Security, além de serviços de segurança, pois sabemos que cada jornada para a nuvem é única, com esforços focados em tarefas de aplicativos especializados, cargas de trabalho, requisitos de segurança e necessidades específicas do setor e do cliente.

Danpnobre – Empresas realmente têm o costume de baratear processos ao invés de atuarem nas melhores práticas de configuração da nuvem, facilitando o avanço de vazamentos por conta de má configuração?

Arnaut – Segurança e compliance em nuvem não é um desafio exclusivo dos provedores de Cloud, mas uma responsabilidade compartilhada entre o provedor de nuvem, a empresa usuária e eventuais parceiros fornecedores de pacotes de aplicação (caso esses sejam utilizados).

A missão da IBM Cloud é fornecer o maior e mais eficaz conjunto de capacidades tecnológicas de segurança e conformidade em nuvem. Todavia, essas capacidades precisam ser utilizadas e integradas às aplicações e sistemas hospedados na nuvem.

Habilitar o máximo possível de recursos de segurança nas aplicações em nuvem pode representar um maior custo total da aplicação na nuvem. Um passo importante é que as empresas desenvolvam um racional balanceado nível de segurança implementado x risco de eventuais problemas/exposições de segurança e avaliarem qual é o ponto de equilíbrio ideal.

Além da utilização dos serviços de segurança em nuvem, é fundamental configurá-los de maneira a extrair o máximo benefício do serviço, potencializando segurança e conformidade. Pensando nisso, no serviço Security & Compliance Center da IBM Cloud implementamos mecanismos para verificação de configurações realizadas pelos usuários confrontando-as com as melhores práticas de segurança e compliance em nuvem, inclusive fornecendo procedimentos para remediação ou correção.

Danpnobre – A IBM tem projetos de formação de mão de obra especializada em segurança da informação no mundo e aqui no Brasil? Como funciona?

Arnaut – A IBM tem mais de 8.000 especialistas em segurança no mundo, que fazem da empresa não apenas uma provedora de cloud, mas também uma empresa líder em segurança. Uma das principais iniciativas locais foi a implementação, no Brasil, do P-TECH, um programa global, mas que aqui foi estabelecido em parceria com o Centro Paula Souza, para formação de mão de obra em tecnologia, abordando entre diversos temas, segurança cibernética, com alunos do ensino técnico e superior. A IBM criou ainda uma plataforma de aprendizagem online gratuita, o Open P-TECH, com conteúdo de cibersegurança que está sendo disponibilizado para milhares de alunos e docentes de todo o país.

A IBM tem o programa IBM Skills Academy, que busca criar sinergia entre negócios e tecnologia, para o qual já estabeleceu algumas parcerias. Junto à IBM e utilizando o IBM Skills Academy, a Escola Nacional de Seguros oferece cursos de inteligência artificial, cibersegurança e ciência de dados utilizando o programa. Já a Faculdade Impacta incorporou a trilha de cibersegurança do IBM Skills Academy como uma disciplina em seus cursos de graduação em tecnologia. Com o programa IBM Academic Initiative, a IBM colabora com as instituições de ensino para oferecer ferramentas da IBM para a academia, sem custo, para auxiliar os professores na criação de aulas que potencializem as habilidades dos estudantes e um dos enfoques é a cibersegurança. Em inglês, a IBM oferece em seu website o Security Learning Academy, com diversos treinamentos de cibersegurança.

A IBM também apoia organizações como a WOMCY (LATAM Women in Cybersecurity), uma organização sem fins lucrativos, composta por mulheres e homens, com foco no desenvolvimento e participação das mulheres em cibersegurança na América Latina.

Danpnobre – Qual o nível de responsabilidade de empresas e servidores de serviços de nuvem em vazamentos de dados e como impedi-los?

Arnaut – O modelo de nuvem é um modelo que preconiza uma responsabilidade compartilhada. Nesse sentido é fundamental cada um fazer a sua parte. Na IBM Cloud nós seguimos os mais rígidos padrões de segurança em Cloud utilizando uma abordagem conhecida como Zero-Trust. A partir desse princípio, trabalhamos com segurança baseada no contexto de utilização dos serviços, seguindo 4 etapas:

1 – Definição do Contexto
2 – Verificação e Cumprimento
3 – Resolução de Incidentes
4 – Análise e Melhoria

As medidas de segurança e privacidade para cada serviço da IBM Cloud são implementadas de acordo com as melhores práticas de segurança e privacidade, com o objetivo de proteger o conteúdo processado por cada um dos serviços.

Além da segurança do provedor de nuvem, recomendamos aos usuários da IBM Cloud sempre trabalharem com os requisitos de segurança e conformidade desde o início do projeto. Não devemos verificar a segurança e a conformidade da aplicação somente na hora de implementar em produção, mas sim ao longo de todo o ciclo de desenvolvimento, utilizando práticas de DevSecOps. É essencial projetar a arquitetura das aplicações em nuvem para segurança e compliance, nesse sentido é muito importante a capacitação dos arquitetos de nuvem em segurança, para garantir que as melhores práticas estão sendo utilizadas ao longo do projeto.

Segurança em Cloud não é algo opcional, mas essencial para qualquer aplicação em nuvem.

Microsoft

Conversamos com Nycholas Szucko, diretor de cibersegurança da Microsoft para a América Latina, sobre nuvem, configuração precisa e segurança dos processos. Confira abaixo:

Danpnobre – Como a Microsoft trabalha com parceiros para dar maior segurança ao processo de carregamento e manutenção de uma nuvem segura e bem configurada?

Szucko – A Microsoft conta com um ecossistema de parceiros que nos auxilia na transformação digital no País, nas empresas privadas, públicas e do terceiro setor. Ao todo, no Brasil, são cerca de 25 mil parceiros que suportam essas companhias junto à Microsoft em suas migrações para a nuvem, por meio das equipes que trabalham junto ao cliente nestas configurações. Dessa forma, todos os nossos clientes recebem o auxílio e as informações necessárias durante a migração ou implementação de qualquer tecnologia. 

Além disso, a Microsoft atua ativamente junto aos clientes para capacitar as equipes de tecnologia na utilização das soluções de nuvem, e também oferecendo, com base na infraestrutura, novas implementações que consideramos importantes para reforçar a segurança e aumentar a capacidade tecnológica da empresa. Ainda, oferecemos suporte constante aos nossos clientes a fim de auxiliá-los em qualquer demanda da maneira mais rápida possível e na manutenção da tecnologia.  
 
É importante ressaltar que a nuvem da Microsoft já conta nativamente com diversos recursos de segurança que apoiam os clientes a estarem em conformidade com leis de privacidade de dados, tais como a Lei Geral de Proteção de Dados, vigente no Brasil, desde o início da implementação das soluções em nuvem. O Microsoft Azure tem 85 ofertas de conformidade que atendem a padrões de conformidade internacionais e específicos do setor, como o Regulamento Geral de Proteção de Dados (RGPD), ISO 27001, HIPAA (Health Insurance Portability and Accountability Act) e FedRAMP (Programa Federal de Gerenciamento de Riscos e Autorizações, dos EUA).  
 
Danpnobre – Há algum treinamento e/ou processo de controle do que está armazenado no Azure? 

Szucko – Todos os nossos clientes têm o total controle sob seus dados, permitindo ou negando acessos de acordo com a necessidade de cada companhia. Portanto, os sistemas, os dados e informações que estão armazenadas em Azure são controlados pelos nossos clientes. 
 
Dito isso, nós temos centros de confiança para Microsoft Azure, Microsoft 365, Microsoft Intune e Dynamics que fornecem informações sobre como processamos, armazenamos e gerenciamos os dados. Atualmente, com as 65 regiões de datacenter presentes no mundo, os clientes conseguem armazenar os seus dados localmente, fazendo com que estejam em conformidade com as regulamentações de segurança e privacidade. 
 
Dentre os treinamentos, disponibilizamos uma simulação de ataques do Microsoft Defender for Office 365 que permite que as empresas testem suas políticas e práticas de segurança em casos de ataques de phishing e treinem seus funcionários para aumentar seu conhecimento e diminuir sua suscetibilidade a ataques. 
 
Danpnobre – Vocês têm preocupação com o gap entre mão de obra especializada para dar suporte e segurança aos processos de segurança da informação e as necessidades do mercado? Fazem algum tipo de treinamento gratuito ou pago nesse sentido?

Szucko – A capacitação da força de trabalho é uma das prioridades da Microsoft. Nesta semana lançamos o projeto Momentum WOMCY & Microsoft: Porque eu Mereço!, em parceria com a WOMCY, responsável pela capacitação e incentivo às mulheres na área de cibersegurança. Nele, selecionaremos 50 casos de mulheres inspiradoras que atuam em cibersegurança para ganhar vouchers de certificação no mundo de Cloud – Microsoft Azure. 
 
Além disso, em outubro do ano passado, nós divulgamos o nosso plano de compromisso com o Brasil, o Microsoft Mais Brasil, que visa a apoiar o crescimento econômico e sustentável com base na tecnologia, além da promoção de iniciativas de capacitação para profissionais de todas as idades.  
 
Dentre as iniciativas temos o Escola do Trabalhador 4.0 que, em parceria com a Secretaria Especial de Produtividade, Emprego e Competitividade do Ministério da Economia (SEPEC/ME) e a Agência Brasileira de Desenvolvimento Industrial (ABDI), tem o objetivo de capacitar até 5,5 milhões de candidatos a emprego até 2023 com cursos da Microsoft de alfabetização digital, computação em nuvem, Inteligência Artificial e ciência de dados. Ainda, 58 dos nossos especialistas darão orientações personalizadas para cerca de 345 mil brasileiros.  
 
Temos também uma parceria com o Instituto Crescer e o Itaú Unibanco para a promoção de qualificação profissional e empregabilidade para pessoas em situação de vulnerabilidade, pessoas com deficiência, mulheres negras, comunidade LGBTQIA+ e classes D e E. Dentre os cursos, são disponibilizados temas como fundamentos técnicos, como Pacote Office, programação e uso de redes sociais de forma empreendedora. 
 
Também temos o Microsoft Learn, plataforma que conta com mais de 225 roteiros de aprendizagem e mais de mil módulos para auxiliar alunos a aprimorarem suas habilidades técnicas.  
 
Por fim, temos uma parceria com o LinkedIn Learning para 96 cursos gratuitos que estão disponíveis até o final deste ano gratuitamente; conteúdos de Letramento Digital e Produtividade disponíveis nas páginas da Microsoft; somos apoiadores da Code.org, que ensina habilidades de codificação em todo mundo; e temos parceria com a ABMES (Associação Brasileira de Mantenedoras de Ensino Superior), RNP (Rede Nacional de Ensino e Pesquisa) e Movimento Brasil Digital (MBD), movimento que busca trazer governo, líderes do setor privado, acadêmicos e ONGs para debater a digitalização no País.  
 
Danpnobre – Como os clientes podem e devem trabalhar para evitar processos errados e falhos na configuração e gestão dos dados? 

Szucko – Primeiramente, as empresas precisam estar cientes dos riscos cibernéticos atuais. Uma pesquisa realizada pela Marsh a pedido da Microsoft, revelou que apenas 16% das companhias brasileiras aumentaram o orçamento em segurança da informação durante a pandemia e apenas 3 em cada 10 delas perceberam que aumentaram o número de ataques neste período. A falta de investimento, se dá também pela falta de mecanismos e procedimentos adequados para detectar padrões suspeitos na rede em tempo hábil, pela falta de registro dos incidentes de segurança cibernética, dentre outros motivos. Então, primeiramente, entender a necessidade de se proteger, de estar em conformidade com as leis de privacidade, compreender os riscos financeiros e de imagem da empresa envolvidos em caso de vazamento de dados, são as primeiras formas de começar uma estratégia forte de segurança interna.  
 
De acordo com a pesquisa da Marsh, encomendada pela Microsoft, as principais ameaças às empresas na América Latina são, nesta ordem: Phishing, Malware, ataques a aplicativos web, ataques a aplicativos móveis, vazamento de informações, negação de serviços e outros.  
 
Com isso, dentre as ações concretas para aumento da segurança nas empresas, posso destacar:  
 
·        A migração para a nuvem a fim de aumentar eficiência operacional, com ferramentas de segurança nativas e com a possibilidade de visualizar todos os recursos e alertas inteligentes da empresa, com relação a tentativas de ataques;  
·        Adoção de estratégias de segurança sem senhas, na qual os acessos são liberados a partir de autenticação de vários fatores (MFA);  
·        Ampla utilização de Machine Learning para detecção de novos tipos de ataques e comportamentos anormais para que as tentativas sejam rapidamente mitigadas.  
·        Adoção de solução de gerenciamento de senhas, como um cofre de senhas; 
·        Treinamento das equipes de todas as áreas em segurança da informação; 
·        Uso de plataformas que fazem a verificação de links em emails;  
·        Solidificar a segurança das VPNs (Rede privada virtual, da sigla em português) para trabalho e conexão remotos; 
 
Um recurso importante que temos à disposição dos clientes, é o de digitalização automática de anexos do Office 365 que permite um nível mais alto de proteção contra phishing e malware, pois a nossa plataforma de segurança nativa consegue analisar o arquivo e identificar conteúdo malicioso. 
 
Também contamos com o Microsoft Secure Score | Microsoft 365 que ajuda as empresas nas melhores práticas de segurança, com um passo a passo para habilitar mais recursos para reduzir a superfície de ataque, bem como o Compliance Manager para conformidade com a LGPD, GDRP, ISSO, NIST, entre outras. 
 
Danpnobre – Algo mais a comentar? 

Szucko – Na Microsoft, sabemos que a segurança é um tópico que deve ser trabalhado, monitorado e reavaliado constantemente, uma vez que os ciber criminosos trabalham ativamente para encontrar novas brechas e novas formas de efetuarem um ataque. Por isso, temos uma operação em escala global que visa a proteger os nossos clientes e a comunidade em geral a partir de um investimento de US$ 1 bilhão por ano em segurança. Mais de 3.500 profissionais de segurança em tempo integral da Microsoft trabalham com as principais ferramentas de inteligência artificial para analisar mais de 8,2 trilhões de sinais globais todos os dias. Com isso, as nossas equipes de especialistas do Centro de Inteligência de Ameaças da Microsoft, da Unidade de Crimes Digitais e do Centro de Operações de Defesa Cibernética, conseguem analisar as ameaças e tomar medidas de defesa, protegendo os sistemas dos nossos clientes.
 
Apenas em 2019, a Microsoft conseguiu bloquear mais de 13 bilhões de e-mails maliciosos e suspeitos. Destes, mais de um bilhão se tratavam de URLs configuradas com o objetivo de roubar credenciais de acesso.   
 
Por fim, divulgamos o nosso relatório de ameaças digitais de 2020, o Microsoft Digital Defense Report 2020: Cyber Threat Sophistication on the Rise, que mostrou que os agentes de ameaças aumentaram a sua sofisticação no ano passado, usando técnicas que os tornam mais difíceis de detectar. Dessa forma, o nosso trabalho e os dos nossos clientes em aprimorar as soluções e a infraestrutura de segurança, se torna ainda mais necessária.  

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *