Não tem jeito. A sensação de vulnerabilidade só aumenta, da pequena à grande empresa. Diante da tragédia que tem se configurado a invasão da Rússia à Ucrânia, chama atenção a habilidade com que hackers dos dois países – além de um sem-número de voluntários espalhados mundo afora – conseguem tirar do ar empresas de todos os tipos, não apenas sites governamentais, companhias de energia elétrica ou telecomunicações. A sensação que se tem, na opinião de Adriano Filadoro, CEO da Online Data Cloud (SP), é de que para cada tecnologia lançada se forma um grupo que tenta violar sua segurança.
“Algumas empresas – geralmente grandes marcas que valem bilhões de dólares – já contam com equipes que têm a única função de buscar falhas, agindo como ‘hackers autorizados’ que checam se tem como invadir o próprio sistema, rede e nuvem. Mas a grande maioria dos negócios não está livre de invasões, sequestros de dados etc.”, diz Filadoro. “Por isso é tão importante saber o papel de cada um quanto à segurança de dados. Ao contratar serviços de nuvem, há quem tema perder o controle sobre os dados da empresa, ficando na dependência de terceirizados. Outros, por sua vez, acreditam que, uma vez realizada a migração, se desincumbem de qualquer responsabilidade. Mas vale dizer que o nível de responsabilidade é determinado pelo modelo de serviço em nuvem que o provedor está fornecendo, seja software como serviço (SaaS), plataforma como serviço (PaaS) ou ainda infraestrutura como serviço (IaaS)”.
Neste caso, segundo o executivo, até que as equipes de segurança possam responder em tempo real quais dados possuem, quem tem acesso a eles e como estão sendo usados, as empresas vão continuar falhando em comunicar rapidamente a extensão das violações na nuvem – agravando ainda mais o prejuízo. “Quando a política de segurança de dados está bastante clara dentro das empresas, elas podem definir melhor as ações para proteção de dados e determinar como eles devem ser tratados. As ferramentas de gerenciamento de conduta de segurança de dados são um bom ponto de partida, bem como as de gerenciamento de conduta de segurança da nuvem”.
O provedor de IaaS em nuvem geralmente assume a responsabilidade de gerenciar e proteger a camada de infraestrutura. A empresa ainda é proprietária do gerenciamento e da proteção da pilha de aplicativos, da camada do aplicativo e da camada do usuário. Mas a segurança é uma responsabilidade compartilhada entre o fornecedor e a empresa. Já no modelo PaaS, o provedor de serviços em nuvem aumenta a pilha e assume ainda mais responsabilidades – embora a empresa ainda possua a segurança do próprio aplicativo. Por fim, no modelo SaaS, a empresa terceiriza todo o gerenciamento e a segurança da tecnologia para o provedor de serviços, ficando sob seu encargo apenas a administração e o gerenciamento de contas dos IDs (identificações).
Filadoro diz que a maioria das empresas acaba combinando dois ou mais modelos de serviços. “Por isso, é fundamental saber com clareza quem é responsável pelo gerenciamento e proteção dos dados – o que faz com que muitas empresas terceirizem a gestão dos serviços em nuvem. Afinal, é essencial entender como cada provedor de serviços gerencia suas responsabilidades e saber lidar com a integração entre os vários componentes de tecnologia dos fornecedores”.