Segurança Empresarial
Ao eliminar esses erros e pontos cegos, sua organização pode dar grandes passos no sentido de otimizar o uso da nuvem sem se expor a riscos cibernéticos
Janeiro 16 2024 . , 5 minutos. ler
A computação em nuvem é um componente essencial do cenário digital atual. A infraestrutura, as plataformas e o software de TI têm maior probabilidade de serem entregues hoje como um serviço (daí as siglas IaaS, PaaS e SaaS, respectivamente) do que em uma configuração local tradicional. E isso atrai mais as pequenas e médias empresas (SMBs) do que a maioria.
A nuvem oferece uma oportunidade de nivelar o campo de atuação com rivais maiores, permitindo maior agilidade de negócios e escala rápida sem quebrar o banco. Talvez seja por isso que 53% das pequenas e médias empresas globais pesquisadas em um relatório recente dizem que estão gastando mais de US$ 1.2 milhão anualmente na nuvem; acima dos 38% do ano passado.
No entanto, com a transformação digital também vêm os riscos. Segurança (72%) e conformidade (71%) são o segundo e o terceiro principais desafios de nuvem mais citados pelos entrevistados de pequenas e médias empresas. O primeiro passo para enfrentar esses desafios é compreender os principais erros que as pequenas empresas cometem em suas implantações na nuvem.
Os sete principais erros de segurança na nuvem que as pequenas e médias empresas cometem
Sejamos claros: os itens a seguir não são apenas erros que as pequenas e médias empresas cometem na nuvem. Mesmo as maiores e mais bem equipadas empresas são por vezes culpadas de esquecer o básico. Mas, ao eliminar estes pontos cegos, a sua organização pode dar grandes passos no sentido de otimizar a utilização da nuvem, sem se expor a riscos financeiros ou de reputação potencialmente graves.
1. Sem autenticação multifator (MFA)
As senhas estáticas são inerentemente inseguras e nem todas as empresas seguem um política de criação de senha sólida. As senhas podem ser roubado de várias maneiras, como por meio de phishing, métodos de força bruta ou simplesmente adivinhação. É por isso que você precisa adicionar uma camada extra de autenticação no topo. O MFA tornará muito mais difícil para os invasores acessarem os aplicativos de contas SaaS, IaaS ou PaaS dos seus usuários, mitigando assim o risco de ransomware, roubo de dados e outros resultados possíveis. Outra opção envolve mudar, sempre que possível, para métodos alternativos de autenticação, como autenticação sem senha.
2. Confiar demais no provedor de nuvem (CSP)
Muitos líderes de TI acreditam que investir na nuvem significa efetivamente terceirizar tudo para terceiros de confiança. Isso é apenas parcialmente verdade. Na verdade, há um modelo de responsabilidade compartilhada para proteger a nuvem, dividido entre o CSP e o cliente. O que você precisa cuidar dependerá do tipo de serviço em nuvem (SaaS, IaaS ou PaaS) e do CSP. Mesmo quando a maior parte da responsabilidade recai sobre o fornecedor (por exemplo, em SaaS), pode valer a pena investir em controles adicionais de terceiros.
3. Falha ao fazer backup
De acordo com o exposto acima, nunca presuma que seu provedor de nuvem (por exemplo, para serviços de compartilhamento/armazenamento de arquivos) está lhe protegendo. Sempre vale a pena planejar o pior cenário, que provavelmente será uma falha do sistema ou um ataque cibernético. Não são apenas os dados perdidos que afetarão sua organização, mas também o tempo de inatividade e o impacto na produtividade que podem ocorrer após um incidente.
4. Falha ao corrigir regularmente
Se a correção falhar, você estará expondo seus sistemas em nuvem à exploração de vulnerabilidades. Isso, por sua vez, pode resultar em infecção por malware, violação de dados e muito mais. O gerenciamento de patches é uma prática recomendada de segurança básica que é tão relevante na nuvem quanto no local.
5. Configuração incorreta da nuvem
Os CSPs são um grupo inovador. Mas o grande volume de novos recursos e capacidades lançados em resposta ao feedback dos clientes pode acabar criando um ambiente de nuvem incrivelmente complexo para muitas PMEs. Torna muito mais difícil saber qual configuração é mais segura. Erros comuns incluem configurando o armazenamento em nuvem para que qualquer terceiro possa acessá-lo e não consiga bloquear portas abertas.
6. Não monitorar o tráfego na nuvem
Um refrão comum é que hoje não se trata de “se”, mas de “quando” seu ambiente de nuvem (IaaS/PaaS) for violado. Isso torna a detecção e a resposta rápidas essenciais se você quiser detectar os sinais antecipadamente, para conter um ataque antes que ele tenha a chance de impactar a organização. Isso torna o monitoramento contínuo uma obrigação.
7. Falha ao criptografar as joias da coroa corporativa
Nenhum ambiente é 100% à prova de violação. Então, o que acontece se uma parte mal-intencionada conseguir acessar seus dados internos mais confidenciais ou informações pessoais altamente regulamentadas de funcionários/clientes? Ao criptografá-lo em repouso e em trânsito, você garantirá que ele não poderá ser usado, mesmo que seja obtido.
Acertando a segurança na nuvem
O primeiro passo para lidar com esses riscos de segurança na nuvem é entender onde estão suas responsabilidades e quais áreas serão tratadas pelo CSP. Em seguida, trata-se de decidir se você confia nos controles de segurança nativos da nuvem do CSP ou se deseja aprimorá-los com produtos adicionais de terceiros. Considere o seguinte:
- Investem no soluções de segurança de terceiros para aprimorar a segurança e a proteção da nuvem para seus aplicativos de e-mail, armazenamento e colaboração, além dos recursos de segurança integrados aos serviços de nuvem oferecidos pelos principais provedores de nuvem do mundo
- Adicione ferramentas de detecção e resposta estendidas ou gerenciadas (XDR/MDR) para impulsionar resposta rápida a incidentes e contenção/remediação de violações
- Desenvolva e implante um programa contínuo de patches baseado em risco, baseado em um forte gerenciamento de ativos (ou seja, saiba quais ativos de nuvem você possui e garanta que eles estejam sempre atualizados)
- Criptografe os dados em repouso (no nível do banco de dados) e em trânsito para garantir que estejam protegidos, mesmo que os bandidos os tomem. Isto também exigirá descoberta e classificação de dados eficazes e contínuas
- Definir uma política clara de controle de acesso; obrigando senhas fortes, MFA, princípios de privilégio mínimo e restrições/listas de permissões baseadas em IP para IPs específicos
- Considere adotar um Abordagem de confiança zero, que incorporará muitos dos elementos acima (MFA, XDR, criptografia) juntamente com segmentação de rede e outros controles
Muitas das medidas acima são as mesmas práticas recomendadas que se esperaria implementar no local. E estão em alto nível, embora os detalhes sejam diferentes. Mais importante ainda, lembre-se de que a segurança na nuvem não é responsabilidade apenas do provedor. Assuma o controle hoje para gerenciar melhor o risco cibernético.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.welivesecurity.com/en/business-security/7-deadly-cloud-security-sins-smb/
- :tem
- :é
- :não
- :onde
- $UP
- 35%
- 7
- a
- Sobre
- acima
- Acesso
- Contas
- adicionar
- Adicional
- Adotando
- ao lado de
- tb
- alternativa
- Apesar
- sempre
- an
- e
- Anualmente
- Outro
- qualquer
- Recursos
- aplicações
- Aplicativos
- SOMOS
- áreas
- AS
- ativo
- gestão de activos
- Ativos
- assumir
- At
- ataque
- Autenticação
- em caminho duplo
- Mau
- Bank
- fundamentos básicos
- BE
- antes
- Acreditar
- MELHOR
- melhores práticas
- Melhor
- entre
- maior
- O maior
- Bloquear
- violação
- violações
- Quebra
- construído
- Monte
- negócio
- negócios
- mas a
- by
- chamada
- CAN
- capacidades
- Cuidado
- casas
- Categoria
- desafios
- chance
- citado
- remover filtragem
- Na nuvem
- Cloud Security
- serviços na nuvem
- colaboração
- vem
- comum
- geralmente
- integrações
- compliance
- componente
- computação
- Configuração
- Considerar
- não contenho
- contínuo
- ao controle
- controles
- núcleo
- Responsabilidade
- poderia
- Criar
- criação
- crítico
- Coroa
- CSP
- cliente
- Ataque cibernético
- dados,
- Violações de dados
- banco de dados
- Data
- entregue
- depender
- implantar
- Implantações
- detalhes
- Detecção
- diferente
- digital
- Transformação Digital
- descoberta
- do
- tempo de inatividade
- distância
- e
- Cedo
- Eficaz
- efetivamente
- elementos
- eliminando
- permitindo
- criptografia
- final
- aumentar
- garantir
- empresas
- Meio Ambiente
- essencial
- Mesmo
- Cada
- tudo
- esperar
- exploração
- opção
- extra
- fato
- falta
- Falha
- Funcionalidades
- retornos
- campo
- financeiro
- Primeiro nome
- seguir
- seguinte
- Escolha
- da
- ter
- Global
- maior
- adivinhou
- culpado
- acontece
- mais duro
- Ter
- conseqüentemente
- Alta
- altamente
- Acertar
- segurar
- Como funciona o dobrador de carta de canal
- HTTPS
- i
- if
- Impacto
- importante
- in
- incidente
- resposta a incidentes
- incluir
- incorporar
- incrivelmente
- INFORMAÇÕES
- Infraestrutura
- inerentemente
- inovadores
- inseguro
- interno
- para dentro
- Investir
- investir
- IT
- ESTÁ
- se
- Jan
- jpg
- apenas por
- Saber
- paisagem
- Sobrenome
- Ano passado
- lançamento
- camada
- líderes
- principal
- mínimo
- Nível
- mentira
- encontra-se
- Provável
- perdido
- a Principal
- fazer
- FAZ
- Fazendo
- malicioso
- malwares
- gerencia
- gerenciados
- de grupos
- gestão
- obrigatório
- muitos
- maciço
- max-width
- Posso..
- significa
- medidas
- métodos
- MFA
- minutos
- erros
- mitigando
- monitoração
- mais
- a maioria
- muito
- devo
- nativo
- NCSC
- você merece...
- rede
- nunca
- Novo
- Novos Recursos
- não
- obtido
- of
- oferecido
- on
- ONE
- só
- aberto
- Oportunidade
- otimizando
- Opção
- or
- organização
- Outros
- resultados
- Outsourcing
- Acima de
- paas
- festa
- Senha
- senhas
- Remendo
- Patching
- Pagar
- país
- para
- pessoal
- PHIL
- Phishing
- colocação
- plano
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- jogar
- Privacidade
- portas
- possível
- potencialmente
- prática
- práticas
- princípios
- privilégio
- produtividade
- Produtos
- Agenda
- prova
- protegido
- proteção
- provedor
- fornece
- ransomware
- rápido
- alcançar
- regulamentadas
- relevante
- lembrar
- requerer
- respectivamente
- respondentes
- resposta
- responsabilidades
- responsabilidade
- DESCANSO
- resultar
- Risco
- riscos
- rivais
- SaaS
- mesmo
- dizer
- Escala
- cenário
- Segundo
- seguro
- assegurando
- segurança
- riscos de segurança
- segmentação
- sensível
- grave
- financeiro sério
- serviço
- Serviços
- Sete
- Sinais
- simplesmente
- pequeno
- menor
- SMB
- SMBs
- So
- Software
- às vezes
- específico
- Passar
- divisão
- Spot
- pontos
- Passo
- armazenamento
- avanços
- mais forte,
- tal
- inquiridas
- .
- sistemas
- abordando
- Tire
- do que
- que
- A
- O Básico
- roubo
- deles
- Eles
- então
- Este
- deles
- coisas
- Terceiro
- De terceiros
- isto
- aqueles
- Assim
- para
- hoje
- hoje
- também
- ferramentas
- topo
- para
- tradicional
- tráfego
- Transformação
- trânsito
- verdadeiro
- Confiança
- confiável
- VIRAR
- tipo
- compreender
- compreensão
- usar
- usava
- vário
- via
- volume
- vulnerabilidade
- queremos
- O Quê
- quando
- se
- qual
- porque
- precisarão
- de
- sem
- do mundo
- seria
- XDR
- ano
- Vocês
- investimentos
- zefirnet
