“Há uma necessidade urgente de melhorar a segurança e a resiliência dos sistemas e aplicativos de TI, à luz da crescente ameaça de ataques cibernéticos” – comentário do diretor do FBI, Christopher Wray.
Esta declaração vai de encontro à publicação do NY Times do artigo de primeira página – Antigamente, as ameaças vinham de que tinha um super poder nuclear. Agora, elas vem das armas cibernéticas.
“O ritmo crescente e a sofisticação dos ataques recentes à infraestrutura americana – de oleodutos, fábricas, hospitais e à própria Internet – tem revelado um conjunto de vulnerabilidades que ninguém pode ignorar.”
Em maio, o presidente Biden emitiu uma Ordem Executiva para Melhorar a Segurança Cibernética da Nação, um passo bem-vindo e importante para garantir o funcionamento das infraestruturas digitais do Governo.
As tecnologias baseadas na nuvem e os Provedores de Serviços em Nuvem (CSPs – Cloud Services Providers) podem desempenhar um papel importante na melhoria da segurança cibernética. Por anos, os CSPs vem investindo bilhões em segurança na nuvem, contrataram os melhores especialistas cibernéticos e desenvolvendo uma série de novas ferramentas e métodos.
Os CIOs geralmente concordam que a segurança nas plataformas de nuvem é superior à dos data centers on premises, um dos principais motivos pelos quais a previsão do IDC para o novo normal pós-pandemia é de que
“No final de 2021, 80% das empresas colocarão em prática mecanismos para mudar para uma infraestrutura e aplicativos centrados na nuvem duas vezes mais rápido do que antes da pandemia.”
“A computação em nuvem impulsiona a inovação e a produtividade em toda a economia, assim como a rede elétrica fazia um século – mas ela é mais capaz e dinâmica.”
Esta é a principal mensagem do Secrets From Cloud Computing’s First Stage: An Action Agenda for Government and Industry, um relatório de Bill Whyman publicado pelo Information Technology & Innovation Foundation (ITIF).
Acompanho há algum tempo a computação em nuvem, e achei o relatório bastante instrutivo. Ele inclui uma introdução muito boa à computação em nuvem, seu impacto econômico e dinâmica de mercado e as áreas em que a nuvem particularmente se destaca. Mas, também aborda os principais desafios que a nuvem deve superar para atingir plenamente seus benefícios, bem como a necessidade de uma agenda política/administrativa para a computação em nuvem – uma área muito importante que não recebe tanto foco.
“A segurança e a conformidade podem ser melhores na nuvem do que on premises, mas a automação e o gerenciamento são necessários para alcançar esses benefícios”, diz Whyman.
“A primeira pergunta que muitos clientes fazem ao migrar para a nuvem é sobre segurança. A segurança na nuvem agora é tão boa, ou em muitos casos melhor, do que a o premises, como o CIO da CIA concluiu. … Os usuários mais preocupados com a segurança em todo o mundo, são os de agências de inteligência, ministérios de defesa e bancos; e todos agora, dependem da computação em nuvem.”
A segurança continua sendo um desafio para todos, especialmente para pequenas e médias empresas,
“mas, com as grandes organizações e Governos, demonstrando sua confiança na segurança da nuvem e movendo seus workloads para a nuvem, isso vai mudar”.
A nuvem introduziu um novo e diferente modelo de segurança compartilhada entre o CSP e os clientes. O provedor de nuvem é responsável por proteger sua infraestrutura, enquanto os clientes são responsáveis por seus softwares, aplicativos e dados executados na nuvem, bem como por suas conexões de rede com a nuvem.
“As violações de segurança na nuvem foram quase todas causadas por questões dos clientes, não dos CSPs”, disse a McKinsey em um recente relatório.
As empresas precisam se certificar de que a segurança de seus workloads de produção sejam implementados de maneira adequada. Diretrizes de conformidade, – como as oferecidas pelo NIST e DHS, – podem ajudar a identificar e corrigir vulnerabilidades de segurança.
Os CSPs estão melhorando continuamente a segurança de suas plataformas, com avanços como zero trust architectures, software de monitoramento, criptografia, registro e ferramentas de configuração que oferecem aos clientes um ambiente seguro e previsível com segurança pré-testada.
Esses recursos avançados aumentam a segurança das plataformas em nuvem, mas exigem habilidades dedicadas e bem treinadas para serem implementados de maneira adequada.
“Muitas vulnerabilidades comuns são causadas por softwares mal configurados, que não acompanham as mudanças no ambiente de TI, ou os clientes simplesmente não usam os recursos de segurança disponíveis. Serviços que integram orientações prescritivas, práticas recomendadas e serviços de segurança em pacotes, mais fáceis de usar, ajudariam os clientes a tirar o máximo proveito da segurança em nuvem.”
“A nuvem também está bem posicionada para fornecer ferramentas melhores que detectam e corrigem vulnerabilidades automaticamente; pois à medida que a indústria criava novas defesas, os adversários respondem com novas técnicas e ofensivas”, adiciona o relatório.
“Este ‘salto de segurança’ criou dezenas de ferramentas que têm seus próprios formatos de dados, interfaces e ferramentas de gerenciamento. A integração entre essas diferentes ferramentas dará aos clientes uma visão mais completa da sua postura de segurança. A automação integrada à nuvem também deve assumir o monitoramento e gerenciamento contínuos. Isso pode tornar a segurança mais consistente, atualizada e mais fácil de usar.”
Mas, embora sejam absolutamente necessários, os avanços da tecnologia e as melhores práticas não são suficientes.
A “crescente difusão e capacidades da nuvem estão atraindo o interesse de decisores políticos e administradores do governo”, escreve Whyman.
Na seção final do relatório, Uma Agenda de Política para Computação em Nuvem, ele descreve várias etapas importantes que os governos devem tomar para apoiar o desenvolvimento e a adoção da segurança cibernética baseada na nuvem:
1. Missão crítica de modernização da nuvem federal.
Embora algumas agências governamentais já tenham obtido benefícios da migração de alguns de seus workloads para a nuvem, muitas ainda dependem de sistemas legados mais antigos. Para acelerar a adoção, o relatório recomenda uma iniciativa de missão crítica para modernizar todos os workloads civis federais ao longo de uma década, visando pelo menos 10% dos workloads por ano e definindo metas de resultados específicas, como número alvo de workloads e economia de custos. As regras de aquisição também devem ser modernizadas para que novas tecnologias como a nuvem não sejam penalizadas.
“Um conselho de implementação da modernização deve ser criado e o mesmo deve fornecer relatórios públicos de progresso, para estimular ações da TI federal, estadual e privada, bem como orientar o alinhamento com a grande comunidade federal de TI. Com base nessas aprendizagens, os legisladores também devem determinar que os Estados sigam essencialmente o mesmo plano.”
2. Estimular a adoção da nuvem pelo setor privado.
O governo federal deve usar suas múltiplas alavancas de influência política para encorajar a adoção mais ampla pelo setor privado, incluindo:
- O discurso em palanque, – destacando o impacto da nuvem, seus benefícios e resultados concretos alcançados;
- Padrões e metas – que alavancam as operações de TI, bem como os gastos com tecnologia do governo federal;
- Parcerias de P&D – que apóiem o uso da nuvem em iniciativas de pesquisa pública em universidades, laboratórios e agências de pesquisa do governo;
- Pequenas e médias empresas, – incluindo recursos de nuvem e assistência técnica em iniciativas destinadas a pequenas e médias empresas, como a parceria do NIST; e
- Acordos comerciais internacionais, – garantir que a propriedade estrangeira e operação de nuvem sejam permitidas, bem como maior acesso ao mercado para provedores de nuvem estrangeiros.
3. Programas de colaboração entre Governo e setor de segurança cibernética.
“A computação em nuvem melhora a segurança de TI, mas também cria novos desafios. À medida que a nuvem cresce e se torna uma infraestrutura mais crítica, concentrada em um punhado de provedores, as preocupações do governo sobre segurança, resiliência e risco sistêmico aumentarão.”
O governo federal precisa aprofundar seu relacionamento com os provedores de nuvem para coordenar melhor seu trabalho em segurança e resiliência na nuvem.
O relatório propõe análises regulares do governo e do setor de dados de ataques cibernéticos, interrupções de serviço, eficácia de conformidade e planejamento conjunto de ações de proteção. Esses programas do setor governamental também devem ter como objetivo simplificar os requisitos legais e de conformidade e o aprimoramento contínuo das melhores práticas de segurança.
4. Fortalecer a governança de dados transfronteiriços.
“Os governos estão cada vez mais interessados e assertivos na governança de dados, incluindo residência de dados (também chamada de localização de dados) e soberania de dados (acesso obrigatório aos dados por outro governo). … Dos 29 países pesquisados da OCDE, 11 têm algum tipo de regras de localização de dados que exigem que os dados sejam armazenados no país, assim como os principais países não pertencentes à OCDE, como China, Rússia e Indonésia. No entanto, não é economicamente viável para cada país ter sua própria nuvem. … Os governos não precisam localizar dados além de suas fronteiras físicas para proteger seus dados. A nuvem fornece controles granulares para que os governos possam isolar onde seus dados estão armazenados e quem tem acesso a eles, bem como aplicar e auditar os controles”.
5. Promover habilidades e inclusão por meio de parcerias de treinamento público-privados.
“As novas tecnologias frequentemente criam e destroem empregos, mudando o padrão de empregabilidade. … A computação em nuvem apresenta uma oportunidade de treinar um conjunto amplo de pessoas com novas habilidades para que os benefícios do crescimento da tecnologia sejam compartilhados de forma mais ampla. Comunidades que não estão bem representadas em tecnologia precisam de maior acesso e participação. … O momento é propício para uma iniciativa nacional de parceria público-privada de treinamento em tecnologia, acompanhada por uma agenda política de compromissos de financiamento para treinamento, requalificação e inclusão de profissionais para a tecnologia das nuvens.”
