A segurança cibernética é a preocupação número 1 das organizações ao gerenciar seus ambientes de nuvem híbrida. Isto não surpreende quando consideramos que nove em cada dez empresas sofreram violações de dados nos últimos 12 meses. Os danos decorrentes do crime digital representam a transferência de riqueza econômica mais significativa da história, de acordo com pesquisadores da Cybersecurity Ventures.
Parte do desafio é que a infraestrutura de TI está cada vez mais complexa e mais difícil de proteger. A ESG informa que 30-40% da superfície de ataque de uma empresa é desconhecida para os profissionais de TI encarregados de protegê-la. O problema tem sido agravado pelo aumento da IoT, do uso de serviços de nuvem pública, APIs e forças de trabalho distribuídas, levando as superfícies de ataque a se expandirem e se tornarem mais descentralizadas.
Os danos podem ser catastróficos. O relatório “Cost of a Data Breach” de 2021, compilado pelo Instituto Ponemon, coloca o custo médio de uma quebra de dados em ambientes de nuvem híbrida em US$ 3,61 milhões por incidente. O estudo também descobriu que se leva em média 287 dias para identificar e conter uma violação de dados.
A insegurança na nuvem é exagerada
A cloud pública é um aspecto da TI que já foi considerado uma causa de maior insegurança cibernética. Mas durante as duas décadas de sua existência, essa realidade mudou. Onde antes os usuários estavam mal preparados para os riscos adicionais da conectividade em nuvem, os atuais provedores de cloud pública em hiperescala oferecem níveis de sofisticação e investimento em segurança cibernética que poucas organizações podem igualar.
Em uma recente reunião com o presidente americano Joe Biden, o Google, por exemplo, se comprometeu a gastar US$ 10 bilhões em segurança nos próximos cinco anos e treinar mais 100.000 pessoas em habilidades relevantes – e isso apenas nos EUA. A Microsoft diz ter gastado US$ 1 bilhão por ano em segurança cibernética desde 2015 e elevou esse compromisso para US$ 20 bilhões para fornecer ferramentas mais avançadas ao longo de cinco anos.
Liderando o grupo
Praticamente todo o mundo dos negócios usa a nuvem pública hoje em dia, em maior ou menor grau. Mas poucas empresas estão operando em um ambiente de nuvem 100% pública. A proporção hoje provavelmente está em porcentagens de um dígito.
A maioria das organizações também opera sua infraestrutura on-premises, muitas vezes fornecendo um serviço de nuvem privada para seus usuários. Esta combinação de nuvem pública e privada é o que queremos dizer com “nuvem híbrida”.
No contexto de ameaças cibernéticas extremas – e que ainda estão em crescimento – pesquisas recentes da Fujitsu identificaram um pequeno grupo de empresas que já utilizaram suas infraestruturas de nuvem híbrida para construir resiliência e acelerar as metas de transformação comercial.
Estes “líderes” das nuvens híbridas, representando um terço (33%) da amostra, se mostraram melhores na gestão de riscos do que o restante, os “seguidores” da hybrid cloud. Os líderes, mostra a pesquisa, desenvolveram seu gerenciamento de nuvens híbridas para facilitar o crescimento e reduzir os riscos. Eles estavam 60% mais confiantes do que o restante de que poderiam gerenciar a segurança e 75% mais confiantes no gerenciamento da conformidade em todo o seu ambiente híbrido.
Entretanto, embora estivessem significativamente mais confiantes do que os seguidores, os líderes estavam longe de ser complacentes. Nem mesmo um terço acreditava estar completamente em dia com o compliance ou com a segurança.
Não confie em ninguém
Se a segurança cria tal desafio para as empresas, como elas podem melhorar?
É essencial adotar uma abordagem “Zero Trust”, especialmente com uma proporção mais significativa da força de trabalho trabalhando remotamente. A COVID-19 fez avançar a questão de como proteger uma organização que tenha uma força de trabalho distribuída globalmente.
Zero Trust refere-se a um rigoroso processo de verificação de identidades que trata cada tentativa de acesso a redes, aplicações e dados como uma ameaça potencial. Quando se trata de ambientes de nuvem híbrida, esta pode ser uma medida de segurança crucial para manter a integridade em áreas públicas e privadas e em múltiplos dispositivos.
Os modelos de Zero Trust podem ajudar os clientes a ter um ambiente operacional seguro e, como resultado, estão prevalecendo no mercado.
Inovar com a segurança em mente
A abordagem cautelosa e sistemática necessária para construir um sistema de segurança eficaz contrasta com o mundo acelerado da inovação.
Entretanto, é essencial reconciliar os dois. A inovação com a segurança em seu coração é crucial para proteger a empresa, mas há um verdadeiro desafio em equilibrar estes dois fatores. A chave é construir a segurança de baixo para cima. Assim, para cada nova capacidade desenvolvida usando serviços híbridos, a segurança deve ser uma parte da plataforma subjacente que está sendo entregue, e não simplesmente aplicada no final do ciclo de produção.
A necessidade de inovação é ressaltada pela pesquisa da Fujitsu, que descobriu que a principal prioridade de transformação das organizações era inovar e criar experiências digitais perfeitas. A terceira prioridade era aumentar a receita das tecnologias emergentes.
Acontece que os líderes de nuvem híbrida também podem desbloquear esses objetivos de forma mais eficaz do que os demais. Por exemplo, quase metade (49%) dos líderes melhoraram a inovação de seus produtos no ano passado, em comparação com apenas 39% do restante.
Gerando crescimento
Para as empresas que podem melhorar sua segurança sistêmica, os benefícios vão além da proteção contra ameaças externas. A pesquisa da Fujitsu mostra que 37% dos líderes da nuvem híbrida acreditavam que aumentar a segurança através desse modelo facilitaria o crescimento dos negócios.
A mensagem geral é clara: ser proativo na segurança cria uma sólida vantagem competitiva, gerando resultados comerciais imperdíveis. Nos ecossistemas de nuvem híbrida onde a maioria das empresas opera atualmente, isso significa investimento na promoção de uma cultura “secure-by-design” colaborativa e em ferramentas e processos automatizados de segurança.
