por Fernando Lemos*
As organizações estão-se preparando para adotar soluções de cloud computing e para isso precisam ter uma estratégia clara e um plano de batalha para ingressar e proteger os negócios na nuvem. Comparada à Odisseia, de Homero, nessa batalha, os CIOs são verdadeiros heróis. Eles precisam estar mais atentos à nuvem da atualidade, implementar controles para proteger aplicativos e informações privadas do possível cerco de hackers e usuários mal-intencionados. Isso explica porque o mercado de serviços de segurança na nuvem deverá alcançar, de acordo com o Gartner, a marca de $3,1 bilhões até 2015, em nível mundial.
Enquanto a Guerra de Troia de Homero foi travada para determinar o futuro do comércio em Helesponto (atual Dardanelos), a batalha cibernética de hoje determinará o futuro do e-commerce e dos serviços de TI na nuvem. Na Ilíada (a introdução à Odisseia), os bens mais valiosos eram joias e metais preciosos. Hoje, nossos bens mais valiosos são os dados e as informações corporativas, diferenciais de negócios, financeiras e dos clientes, bem como a propriedade intelectual. Na realidade, podemos aprender algumas lições com o cerco da antiga Troia e aplicá-las à segurança da nuvem.
Presentes de grego
Depois de perceber que os muros de Troia foram violados, Odisseu (ou Ulissses, na mitologia Romana) construiu um enorme cavalo de madeira, com vários guerreiros inimigos dentro, e entregou como um presente de vitória aos troianos. Na manhã seguinte, depois de aceitarem e trazerem o presente para dentro das muralhas, os troianos depararam-se com a cidade totalmente saqueada. Essa estratégia equivale aos modernos ataques de phishing por e-mail.
Atualmente, usamos o termo “cavalo de Troia” para descrever malwares que obtêm acesso privilegiado a um sistema ou aplicativo. Pesquisadores da University of Wisconsin mostraram como um software em uma parte da nuvem pode ser usado para espionar Tenants (locatários) em outra parte da nuvem. Para detectá-los, as organizações podem usar um software de gerenciamento de acessos, que pode localizar atividades anormais, e um software de controle de acesso privilegiado para gerenciar contas administrativas e de superusuários em sistemas e aplicativos. Aplicando o acesso adaptável, as organizações podem reduzir consideravelmente sua superfície de ataque com um ROI de 106% em 12 meses.
Tal qual Aquiles
Aquiles, o maior herói da guerra, ficou famoso por ser invulnerável, exceto por seu calcanhar. As senhas são o calcanhar de aquiles de muitos aplicativos e sistemas na nuvem. Senhas fracas são o alvo de 80% dos ataques, o que é um problema, pois 40% dos usuários não usam senhas fortes. As senhas são a causa e um alvo frequente quando os bancos de dados são colocados em risco, pois as senhas roubadas podem ser usadas em ataques subsequentes. Com base na minha estimativa, apoiada em várias fontes, muito mais de 60 milhões de senhas foram roubadas de aplicativos na nuvem. A fragilidade é acompanhada pela transmissão das senhas em texto explícito por trás do firewall, onde presume-se que estão em segurança. Esse problema é facilmente resolvido com alguns controles simples, como alterações regulares das senhas, políticas de senhas fortes, Multi-Factor Authentication e Step-Up Authentication.
Atenção aos avisos de Cassandra
Cassandra, princesa de Troia, avisou que os troianos não deveriam trazer o cavalo para a cidade, mas foi ignorada. O termo Cassandra tornou-se uma metáfora quando as pessoas não acreditam ou ignoram avisos válidos, situação que muitos profissionais de segurança já viveram. Em vários ataques cibernéticos havia indícios claros que acabaram perdidos nos detalhes triviais dos dados. Por exemplo, em 69% das violações, a organização vítima foi notificada do ataque por um terceiro. Contudo, a despeito das estatísticas, 35% das organizações que adotam aplicativos SaaS não avaliam a segurança destes. Com algumas soluções simples, as organizações poderiam retomar o controle. É importante o uso de tecnologias capazes de coletar e fornecer uma visão composta dos eventos de auditoria nos aplicativos e sistemas. Esse benefício pode aumentar a visibilidade e a rapidez de resposta a atividades mal-intencionadas.
Proteja as joias da coroa
Depois da queda de Troia, os exércitos gregos saquearam a cidade. Hoje, o incentivo aos criminosos cibernéticos geralmente é de natureza financeira. Os hackers capturam qualquer dado que possa ter algum valor econômico — de números de cartão de crédito e identidade a propriedades intelectuais. A segurança de perímetro não é suficiente. Na maioria das organizações, 66% dos dados mais valiosos residem nos bancos de dados. Apesar disso, um estudo recente da PWC mostrou que 53% das empresas não criptografa seus bancos de dados. Ao mesmo tempo, 43% dos ataques mais graves consistem em injeções de SQL que têm como alvo bancos de dados relacionais. Essa é uma receita para o desastre. Segundo uma previsão recente do Gartner, a criptografia pode reduzir em 30% o custo da segurança na nuvem.
Não lance mil navios ao mar
A Guerra de Troia começou quando Páris de Troia raptou Helena, esposa de Menelau, rei de Esparta. Helena era famosa por sua beleza, tanto que seu “rosto lançou ao mar mil navios”. Hoje, esse tipo de excesso está fora de cogitação. Se o custo da segurança ultrapassar os benefícios econômicos da nuvem, o business case cairá por terra. A segurança da nuvem exige uma boa governança de acessos e identidades, e proteção aos bancos de dados.
A moral dessa história é que o sucesso da jornada de TI até à nuvem depende de segurança confiável. A boa notícia é que 97% dos riscos à segurança podem ser evitados e, com a implementação de alguns controles adequados, os ambientes de cloud computing podem ser mais seguros que “as torres descobertas de Ilium”.
*Fernando Lemos é vice-presidente de Tecnologia da Oracle para a América Latina
