Talento, outro desafio da segurança em nuvem | Fortinet Blog

A agilidade e velocidade que a nuvem nos permite desenvolver e habilitar serviços e aplicações trazem consigo alguns riscos que devem ser considerados no planejamento dos processos de adoção e migração para a nuvem pública.

Mas, além dos conhecidos riscos de expansão de novas superfícies a eventuais ataques, existe o fato de expor tal superfície mais do que o necessário ou com brechas e vulnerabilidades evitáveis. Uma das causas disso é que a nuvem permite acesso "democrático" a qualquer pessoa para provisionar recursos sem as considerações mínimas de segurança exigidas ou esperadas.

Isso não seria um problema muito grave se as empresas começassem a colocar em prática algumas das seguintes medidas:

1 - Adoção de um sistema de gestão de identidades que permita definir, gerenciar e controlar o acesso segundo o princípio do privilégio mínimo ou com uma abordagem de Zero Trust;

2 - Capacidade de detectar atividades de risco dentro do ambiente da nuvem pública por meio de ferramentas que permitam determinar a tempo se alguma ação de uma conta de usuário ou sistema tem comportamento anormal ou inesperado;

3 - Possuir pessoas com conhecimentos em cibersegurança para habilitar, configurar e operar recursos com uma perspectiva de segurança da informação.

Falta de conhecimento em cibersegurança

O terceiro ponto pode ser, a meu ver, o mais difícil de resolver. A falta de especialistas ou de habilidades em segurança cibernética é um fato reconhecido. De acordo com o relatório (ISC)² Cybersecurity Workforce Study 2022, a força de trabalho global em cibersegurança estimada é de 4,7 milhões de pessoas - a mais alta registrada - no entanto, a lacuna para enfrentar ameaças cada vez mais complexas seria ainda de 3,4 milhões de pessoas dedicadas à segurança cibernética.

Além dos números, outro aspecto que dificulta a existência e a especialização de pessoas para o desenvolvimento efetivo das estratégias de segurança das empresas é a extensão dos campos de conhecimento e atuação dos especialistas. Até pouco tempo atrás, as funções eram bem diferenciadas: Infraestrutura, Banco de Dados, Desenvolvimento, Redes, Segurança Defensiva, Segurança Ofensiva etc. Mas com a chegada da nuvem, as fronteiras entre áreas estão hoje mais difusas. Precisamente, a democratização de que falamos anteriormente pode permitir que uma única pessoa assuma todas ou uma parte dessas funções mencionadas para levantar uma aplicação pública. Portanto, treinar a força de trabalho em aspectos de cibersegurança é uma tarefa essencial dentro dos processos internos de treinamento nas empresas.

Mas onde isso se torna mais complexo é justamente com as pessoas responsáveis ​​ou as equipes de cibersegurança de uma organização. Já não basta saber ou ter experiência em cibersegurança. As nuvens públicas trouxeram consigo novos conceitos e palavras para o vocabulário tecnológico. E não estamos falando apenas de conceitos, o que estamos vendo é um novo paradigma de como você trabalha dentro e com a nuvem pública.

Consequentemente, embora não esperemos que os especialistas em segurança cibernética também sejam desenvolvedores ou arquitetos de nuvem, eles precisam ter pelo menos habilidades nesses campos. E espera-se que especialistas de outras áreas também possam desenvolver competências em cibersegurança. O que ganhamos com isso? Um processo de adoção e desenvolvimento digital baseado em nuvem pública eficiente, ágil e seguro.