A nuvem proporciona eficiência, flexibilidade, dimensionamento e controle às empresas. É uma imensa capacidade de processamento, criada por uma infraestrutura de tecnologia da informação global e interligada. Além disso, a nuvem envolve e fortalece empresas e pessoas para manter a economia mundial coesa. Da mesma forma, a Força provê poder a um Jedi (cavaleiros com poderes especiais), possibilitando que ele realize grandes feitos e melhore as suas habilidades. É um campo de energia criado por todas as coisas vivas. A Força nos envolve e mantém a galáxia coesa.

A Força pode ser usada para o bem, mas também possui um lado negro que enche de crueldade e agressividade aqueles que seguem esse caminho.

Pode-se dizer o mesmo da nuvem, que oferece inúmeros benefícios, mas precisa estar protegida para garantir que seu poder seja usado para o bem.

Quais são os certificados de segurança e protocolos dessas nuvens? Quais são os dados corporativos que elas detêm? Como elas são protegidas? Quem tem acesso a elas? Por quanto tempo o provedor da nuvem mantém as cópias dos dados?

Veja as principais dicas para se proteger do lado negro:

• A força do mal: invasores ocultam as comunicações de malware quando um worm, vírus ou botnet realiza o “phone home” para enviar os dados roubados a um computador central. As famílias de malware também utilizam a criptografia para ocultar informações de rede, inclusive senhas ou dados sigilosos (como informações bancárias roubadas) que enviam para servidores na nuvem. Na realidade, segundo a CGI Security¹, é até mais fácil atacar uma empresa por meio de uma aplicação que usa criptografia do que por uma que não usa. Por exemplo, um phishing inicial passaria despercebido porque o sistema de prevenção contra invasões não possui a funcionalidade de visibilidade SSL para analisar e identificar o malware, e os firewalls da empresa não acionam nenhum alarme para bloquear os pacotes. Além disso, algumas famílias de malware, como o Zeus, são conhecidas por usar a criptografia e outros artifícios para ocultar suas comunicações de comando e controle (C&C) dos dispositivos de monitoramento de segurança.

O que fazer em relação ao problema: garantir que a empresa tenha visibilidade do tráfego SSL criptografado em nuvem. Ou seja, usar ferramentas de visibilidade SSL que funcionem com gateways seguros de Web e outras soluções avançadas de segurança, para analisar o tráfego depois de ser descriptografado.

• A força do mal: invasores procuram fraquezas nos perímetros da nuvem, como interfaces e APIs não seguras. Os administradores de TI dependem das interfaces para o gerenciamento, organização e monitoramento da nuvem. As APIs são fundamentais para a segurança e disponibilidade dos serviços gerais em nuvem. Os relatórios da Cloud Security Alliance² ressaltam que, conforme as empresas e terceiros usem essas interfaces como base para desenvolver serviços complementares, a complexidade aumentará, pois essas empresas podem ser obrigadas a fornecer suas credenciais a terceiros para ativar o uso dos sistemas em nuvem. Essa complexidade pode criar grandes oportunidades para a interceptação de credenciais, que podem ser usadas para acessar os dados dos sistemas em nuvem.

O que fazer em relação ao problema: criptografar ou tokenizar os dados antes de serem enviados aos sistemas em nuvem para que, mesmo se o lado negro acessar a nuvem, eles tenham acesso somente a valores de substituição que não têm importância.

• A força do mal: às vezes, o lado negro faz os usuários da nuvem se esquecerem das diretrizes corporativas que determinam que os dados sigilosos, como dados de assistência médica ou informações de cartões de débito, não podem ser armazenados em ambientes públicos em nuvem, ou que determinados usuários finais em locais específicos não podem acessar nuvens que tenham perfis arriscados.

O que fazer em relação ao problema: controlar a “Shadow IT”. Determine quais nuvens estão sendo usadas, o risco relativo dessas nuvens e os tipos de dados enviados a elas. Munido desse conhecimento, use tecnologias como agentes de segurança de acesso à nuvem para monitorar o comportamento dos usuários em busca de atividades anormais e tome medidas proativas, como criptografar os dados sigilosos, para que o uso da nuvem seja seguro e que a empresa tenha uma vida longa e próspera (ops, essa é outra série de filmes).

Algumas medidas específicas a serem tomadas:

• Limitar o acesso que os funcionários têm às diversas novas aplicações em nuvem criadas nos últimos cinco anos; aproveitar as informações sobre a nuvem que podem ajudar sua empresa a compreender os riscos relativos ao utilizar determinadas aplicações na nuvem;

• Definir políticas para impedir que alguns dados saiam da empresa por meio de soluções de DLP (Data Loss Prevention, prevenção contra a perda de dados) que realizam uma verificação contínua em busca de informações como dados do paciente, informações de cartões de crédito e números de previdência social;

• Inspecionar o conteúdo vindo das aplicações na nuvem para a empresa, realizando uma análise detalhada do conteúdo para impedir que malware e outras ameaças avançadas entrem na empresa.

As empresas podem e devem ter uma clara e ampla compreensão das ameaças (internas e externas) às suas infraestruturas e dados na nuvem, além de usar as dicas aqui descritas como um guia para discutí-las, a fim de tornar as abordagens e tecnologias de segurança em TI mais eficazes. Usar o poder da nuvem para o bem traz grande benefícios comerciais e tecnológicos se os riscos forem administrados com proatividade e sabedoria.