{"id":2387,"date":"2023-07-21T00:00:00","date_gmt":"2023-07-21T00:00:00","guid":{"rendered":"https:\/\/www.cesar.org.br\/painel\/insight\/riscos-de-seguranca-na-computacao-em-nuvem-e-como-combate-los\/"},"modified":"2024-04-17T20:36:31","modified_gmt":"2024-04-17T20:36:31","slug":"riscos-de-seguranca-na-computacao-em-nuvem-e-como-combate-los","status":"publish","type":"insight","link":"https:\/\/www.cesar.org.br\/painel\/insight\/riscos-de-seguranca-na-computacao-em-nuvem-e-como-combate-los\/","title":{"rendered":"Riscos de seguran\u00e7a na computa\u00e7\u00e3o em nuvem e estrat\u00e9gias para combat\u00ea-los"},"content":{"rendered":"<div class=\"content-article\">\n<p><b id=\"docs-internal-guid-f42a369a-7fff-22fd-47c2-468822e33cce\">Por Victor Raffael Lins Carlota, Staff Software Engineer no CESAR.<\/b><\/p>\n<p>A computa\u00e7\u00e3o em nuvem revolucionou a forma como as organiza\u00e7\u00f5es armazenam, processam e compartilham dados, oferecendo benef\u00edcios como escalabilidade e efici\u00eancia, a ado\u00e7\u00e3o da computa\u00e7\u00e3o em nuvem continua a crescer exponencialmente em todo o mundo.<\/p>\n<p>\u00c0 medida que as organiza\u00e7\u00f5es avan\u00e7am em dire\u00e7\u00e3o \u00e0 sua estrat\u00e9gia de transforma\u00e7\u00e3o digital e adotam ferramentas e servi\u00e7os baseados na nuvem como parte fundamental de sua infraestrutura, \u00e9 imperativo entender os desafios e implementar estrat\u00e9gias eficazes para mitigar os riscos associados.<\/p>\n<p>Afinal, ainda que a computa\u00e7\u00e3o em nuvem possibilite grandes benef\u00edcios, problemas relacionados \u00e0 seguran\u00e7a em um contexto de cloud podem ter impactos negativos significativos para um neg\u00f3cio. Isso inclui perda de dados, interrup\u00e7\u00e3o dos servi\u00e7os, danos \u00e0 reputa\u00e7\u00e3o, custos financeiros e perda de competitividade.<\/p>\n<p>Pensando nisto, neste artigo, abordaremos tr\u00eas desafios de seguran\u00e7a:<\/p>\n<ul>\n<li>Gerenciamento de identidade e acesso;<\/li>\n<li>Prote\u00e7\u00e3o de dados;<\/li>\n<li>Monitoramento e detec\u00e7\u00e3o de amea\u00e7as;<\/li>\n<\/ul>\n<p>Tamb\u00e9m vamos compartilhar as melhores pr\u00e1ticas para fortalecer a seguran\u00e7a em ambientes de nuvem.<\/p>\n<h2>Gerenciamento de identidade e acesso<\/h2>\n<p>\u00c0 medida que mais organiza\u00e7\u00f5es adotam a computa\u00e7\u00e3o em nuvem para armazenar e acessar seus dados e aplicativos, a necessidade de proteger essas informa\u00e7\u00f5es contra amea\u00e7as cibern\u00e9ticas aumenta significativamente.<\/p>\n<p>Nesse contexto, o gerenciamento de identidade e acesso (IAM) tornou-se fundamental para as estrat\u00e9gias de seguran\u00e7a cibern\u00e9tica. Embora as pol\u00edticas, processos e tecnologias possam diferir entre organiza\u00e7\u00f5es, o objetivo de qualquer iniciativa de IAM \u00e9 garantir que apenas usu\u00e1rios e servi\u00e7os autorizados acessem os recursos e dados na nuvem em um determinado per\u00edodo de tempo.<\/p>\n<div style=\"text-align: center;\">\n<figure class=\"image\" style=\"display: inline-block;\"><\/figure>\n<figure class=\"image\" style=\"display: inline-block;\"><img decoding=\"async\" src=\"\/documents\/805050\/0\/image4+%284%29.png\" alt=\"\" height=\"700\" \/><\/figure>\n<\/div>\n<\/div>\n<p>&nbsp;<\/p>\n<h3>Como combater?<\/h3>\n<p>Uma abordagem eficaz neste t\u00f3pico envolve a implementa\u00e7\u00e3o de pr\u00e1ticas como\u00a0<strong>autentica\u00e7\u00e3o multifator<\/strong>, que \u00e9 um m\u00e9todo de seguran\u00e7a que busca confirmar a identidade de algu\u00e9m utilizando dois ou mais elementos de verifica\u00e7\u00e3o.<\/p>\n<p>Por exemplo, al\u00e9m de digitar a senha, pode ser necess\u00e1rio fornecer um c\u00f3digo tempor\u00e1rio enviado para o celular, escanear uma impress\u00e3o digital, tirar uma foto do rosto ou usar outro tipo de informa\u00e7\u00e3o pessoal exclusiva.<\/p>\n<p>Outra op\u00e7\u00e3o \u00e9 o uso de\u00a0<strong>ferramentas de CAPTCHA<\/strong>, que representa uma medida eficaz de prote\u00e7\u00e3o contra rob\u00f4s automatizados e preven\u00e7\u00e3o de ataques de for\u00e7a bruta, desempenhando um papel importante na defesa contra atividades maliciosas.<\/p>\n<p>O CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) refere-se a v\u00e1rios m\u00e9todos de autentica\u00e7\u00e3o que validam usu\u00e1rios como humanos, e n\u00e3o rob\u00f4s, apresentando testes aos usu\u00e1rios com um desafio que \u00e9 simples para humanos, mas dif\u00edcil para m\u00e1quinas.<\/p>\n<p>Al\u00e9m dos pontos acima citados, \u00e9 importante que a gest\u00e3o de identidade seja centralizada e bem organizada, permitindo\u00a0<strong>controlar quem tem acesso a quais recursos,\u00a0<\/strong>tarefa que envolve atribui\u00e7\u00f5es como adicionar ou remover usu\u00e1rios de forma eficiente, gerenciar senhas e definir pol\u00edticas para as contas ao longo do tempo.<\/p>\n<p>\u00c9 relevante estabelecer pol\u00edticas granulares de acesso, atribuindo permiss\u00f5es adequadas com base nas responsabilidades e necessidades dos usu\u00e1rios. Ou seja, cada pessoa recebe permiss\u00f5es espec\u00edficas com base em sua fun\u00e7\u00e3o ou tarefa.<\/p>\n<p>Ao adotar pr\u00e1ticas s\u00f3lidas de gerenciamento de identidade e acesso, as organiza\u00e7\u00f5es podem fortalecer a seguran\u00e7a na computa\u00e7\u00e3o em nuvem, garantindo a integridade e a confidencialidade dos dados, al\u00e9m de reduzir o risco de acessos n\u00e3o autorizados ou abusos de privil\u00e9gios.<\/p>\n<h2>Prote\u00e7\u00e3o de dados<\/h2>\n<p>Os dados t\u00eam um valor extraordin\u00e1rio para as organiza\u00e7\u00f5es. Eles s\u00e3o considerados ativos de extrema import\u00e2ncia, capazes de fornecer insights estrat\u00e9gicos, impulsionar decis\u00f5es fundamentadas e oferecer uma vantagem competitiva significativa.<\/p>\n<p>Com a crescente ado\u00e7\u00e3o da computa\u00e7\u00e3o em nuvem, onde os dados s\u00e3o armazenados, processados e acessados remotamente, \u00e9 essencial implementar medidas robustas para proteger essas informa\u00e7\u00f5es contra amea\u00e7as e viola\u00e7\u00f5es de seguran\u00e7a.<\/p>\n<p>Nesse contexto, a prote\u00e7\u00e3o de dados desempenha um papel cr\u00edtico. \u00c9 fundamental assegurar a confidencialidade, integridade e disponibilidade dos dados armazenados na nuvem, al\u00e9m de assegurar a conformidade com as regulamenta\u00e7\u00f5es de privacidade.<img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/www.cesar.org.br\/documents\/805050\/0\/image3+%287%29.png\" alt=\"\" width=\"700\" height=\"700\" \/><\/p>\n<h3>Como combater?<\/h3>\n<p>Ao lidar com erros e exce\u00e7\u00f5es nos sistemas desenvolvidos, \u00e9 recomendado evitar a exibi\u00e7\u00e3o de mensagens detalhadas que possam fornecer informa\u00e7\u00f5es sens\u00edveis sobre a estrutura do banco de dados ou outras partes do sistema.<\/p>\n<p>\u00c9 relevante tamb\u00e9m evitar expor detalhes sobre as tecnologias espec\u00edficas utilizadas na infraestrutura da nuvem, como vers\u00f5es de software ou configura\u00e7\u00f5es espec\u00edficas. Essas informa\u00e7\u00f5es podem ser exploradas por invasores para identificar vulnerabilidades e lan\u00e7ar ataques direcionados.<\/p>\n<p>Aplicar a\u00a0<strong>criptografia dos dados\u00a0<\/strong>em repouso e em tr\u00e2nsito \u00e9 indicado para garantir prote\u00e7\u00e3o contra acesso n\u00e3o autorizado. A criptografia de dados em repouso protege informa\u00e7\u00f5es quando est\u00e3o armazenadas, enquanto a criptografia de dados em tr\u00e2nsito protege informa\u00e7\u00f5es durante a sua transmiss\u00e3o entre dispositivos.<\/p>\n<p>A utiliza\u00e7\u00e3o do\u00a0<strong>protocolo HTTPS (Hypertext Transfer Protocol Secure)\u00a0<\/strong>em vez do\u00a0<strong>HTTP (Hypertext Transfer Protocol)\u00a0<\/strong>\u00e9 fundamental para proteger a comunica\u00e7\u00e3o entre os usu\u00e1rios e os servidores em nuvem. O HTTPS utiliza criptografia para garantir que os dados transmitidos sejam confidenciais e n\u00e3o sejam interceptados por invasores.<\/p>\n<p>Um outro elemento importante na prote\u00e7\u00e3o de dados<strong>\u00a0\u00e9 a classifica\u00e7\u00e3o de dados,<\/strong>\u00a0que envolve identificar e categorizar os dados com base em seu n\u00edvel de sensibilidade. Isso permite aplicar controles de seguran\u00e7a adequados, direcionando recursos de prote\u00e7\u00e3o de forma proporcional ao valor e \u00e0 criticidade dos dados.<\/p>\n<p>Al\u00e9m disso, \u00e9 crucial ter\u00a0<strong>um plano de recupera\u00e7\u00e3o de desastres em vigor<\/strong>, que define os procedimentos e as estrat\u00e9gias para lidar com a perda de dados, interrup\u00e7\u00f5es de servi\u00e7o e outros incidentes que possam afetar a disponibilidade dos recursos na nuvem. Esse processo inclui a realiza\u00e7\u00e3o de backups regulares, a replica\u00e7\u00e3o dos dados em locais geograficamente diferentes e a prepara\u00e7\u00e3o para a recupera\u00e7\u00e3o r\u00e1pida em caso de desastre.<\/p>\n<p>As organiza\u00e7\u00f5es devem a<strong>derir \u00e0s regulamenta\u00e7\u00f5es espec\u00edficas do setor, como Lei Geral de Prote\u00e7\u00e3o de Dados Pessoais<a href=\"https:\/\/www.gov.br\/esporte\/pt-br\/acesso-a-informacao\/lgpd\" target=\"_blank\" rel=\"noopener\">\u00a0(LGPD)<\/a>\u00a0e General Data Protection Regulation (<a href=\"https:\/\/gdpr-info.eu\/\" target=\"_blank\" rel=\"noopener\">GDPR),<\/a>\u00a0<\/strong>implementando medidas de seguran\u00e7a adequadas. A conformidade regulat\u00f3ria na computa\u00e7\u00e3o em nuvem \u00e9 essencial para garantir a prote\u00e7\u00e3o de dados e a privacidade dos usu\u00e1rios.<\/p>\n<p>Ao adotar medidas de prote\u00e7\u00e3o de dados e implementar um plano de recupera\u00e7\u00e3o de desastres s\u00f3lido, as organiza\u00e7\u00f5es podem fortalecer a seguran\u00e7a na computa\u00e7\u00e3o em nuvem, garantindo a confidencialidade, a integridade e a disponibilidade dos dados cr\u00edticos, al\u00e9m de estarem preparadas para enfrentar eventos adversos e minimizar o impacto em suas opera\u00e7\u00f5es.<\/p>\n<h2>Monitoramento e detec\u00e7\u00e3o de amea\u00e7as<\/h2>\n<p>A capacidade de identificar e responder prontamente a incidentes de seguran\u00e7a \u00e9 crucial para a continuidade dos neg\u00f3cios e a prote\u00e7\u00e3o dos ativos da organiza\u00e7\u00e3o.<\/p>\n<p>Por exemplo, a demora injustificada na comunica\u00e7\u00e3o de um incidente de seguran\u00e7a que possa causar risco ou dano relevante \u00e0 dados pessoais pode sujeitar os respons\u00e1veis \u00e0s san\u00e7\u00f5es administrativas previstas na LGPD e GDPR.<\/p>\n<p>Nesse contexto, o monitoramento e a detec\u00e7\u00e3o de amea\u00e7as emergem como componentes cr\u00edticos da estrat\u00e9gia de ciberseguran\u00e7a. \u00a0\u00c9 essencial ter visibilidade cont\u00ednua sobre os ambientes em nuvem para identificar atividades suspeitas ou maliciosas, visando mitigar riscos e fortalecer a resili\u00eancia das organiza\u00e7\u00f5es em um mundo digital cada vez mais amea\u00e7ador.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/www.cesar.org.br\/documents\/805050\/0\/image6.png\" alt=\"\" width=\"700\" height=\"700\" \/><\/p>\n<h3>Como combater?<\/h3>\n<p>Para alcan\u00e7ar esse objetivo, \u00e9 poss\u00edvel utilizar f<strong>erramentas de monitoramento de seguran\u00e7a<\/strong>\u00a0que coletam e analisam\u00a0<strong>dados de log, tr\u00e1fego de rede e comportamento do sistema<\/strong>. Essa abordagem permite a detec\u00e7\u00e3o precoce de amea\u00e7as, como malwares (V\u00edrus, Worms, Trojans, Ransomware e Spyware), ataques de nega\u00e7\u00e3o de servi\u00e7o (DoS), etc, possibilitando uma resposta r\u00e1pida e a minimiza\u00e7\u00e3o dos danos causados.<\/p>\n<p>Um incidente de seguran\u00e7a \u00e9 um evento indesejado ou uma atividade suspeita que indica uma viola\u00e7\u00e3o ou amea\u00e7a \u00e0 seguran\u00e7a dos sistemas, redes ou dados de uma organiza\u00e7\u00e3o. Por exemplo, ataques de ransomware, que \u00e9 um tipo de malware que criptografa os arquivos em um sistema e exige um resgate em troca da chave de descriptografia.<\/p>\n<p>Por isso, ter um\u00a0<strong>plano de resposta a incidentes\u00a0<\/strong>estabelecido possibilita uma a\u00e7\u00e3o imediata em caso de viola\u00e7\u00e3o de seguran\u00e7a. Isso inclui a notifica\u00e7\u00e3o de partes relevantes, isolamento de sistemas comprometidos e restaura\u00e7\u00e3o de backups seguros.<\/p>\n<h2>Implemente uma estrat\u00e9gia proativa e integrada \u00e0 ciberseguran\u00e7a<a href=\"https:\/\/materiais.cesar.org.br\/ec-formacao-financeiro\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignright\" src=\"https:\/\/www.cesar.org.br\/documents\/805050\/0\/Mockup+%284%29.png\" alt=\"\" width=\"300\" height=\"551\" \/><\/a><\/h2>\n<p>Possuir um planejamento e um processo proativo e integrado \u00e0 ciberseguran\u00e7a, sob a perspectiva de neg\u00f3cios, envolve a implementa\u00e7\u00e3o de medidas preventivas para proteger informa\u00e7\u00f5es cr\u00edticas e garantir a continuidade das opera\u00e7\u00f5es.<\/p>\n<p>Ter uma estrat\u00e9gia para prevenir viola\u00e7\u00f5es de dados e outros incidentes, demonstra aos clientes, parceiros e partes interessadas o\u00a0<strong>compromisso de uma organiza\u00e7\u00e3o em proteger suas informa\u00e7\u00f5es, fortalecendo, com isso, a confian\u00e7a das partes envolvidas,<\/strong>\u00a0que se sentem mais seguras ao compartilhar informa\u00e7\u00f5es e fazer neg\u00f3cios com a\u00a0empresa.<\/p>\n<p>Ao cumprir as regulamenta\u00e7\u00f5es de prote\u00e7\u00e3o de dados e privacidade, as organiza\u00e7\u00f5es evitam multas e penalidades legais, bem como danos \u00e0 reputa\u00e7\u00e3o decorrentes de viola\u00e7\u00f5es de conformidade.<\/p>\n<p>Uma estrat\u00e9gia proativa tamb\u00e9m prioriza a recupera\u00e7\u00e3o r\u00e1pida de sistemas e servi\u00e7os ap\u00f3s um<br \/>\nincidente de seguran\u00e7a. Isso \u00e9 alcan\u00e7ado por meio de pr\u00e1ticas como\u00a0<strong>backups regulares, capacidade de restaura\u00e7\u00e3o de dados e sistemas, e testes de recupera\u00e7\u00e3o<\/strong>\u00a0para garantir que os processos sejam eficazes. Com isso, os impactos negativos no tempo de inatividade s\u00e3o minimizados, permitindo uma retomada mais r\u00e1pida das opera\u00e7\u00f5es essenciais.<\/p>\n<p>Ao abordar esses desafios de seguran\u00e7a de forma proativa, as organiza\u00e7\u00f5es podem aproveitar ao m\u00e1ximo os benef\u00edcios da computa\u00e7\u00e3o em nuvem, garantindo a confidencialidade, integridade e disponibilidade de seus dados e sistemas.<\/p>\n<h4>Quer entender mais sobre esse tema? Preparamos um material completo sobre a Cybersecurity e Privacidade, com todos os desafios e as oportunidades que encontramos nessa \u00e1rea.<a href=\"https:\/\/materiais.cesar.org.br\/ec-formacao-financeiro\" target=\"_blank\" rel=\"noopener\">\u00a0Acesse e baixe nosso e-book.<\/a><\/h4>\n","protected":false},"featured_media":2388,"template":"","categories":[5],"tags":[70],"formato_insights":[],"class_list":["post-2387","insight","type-insight","status-publish","has-post-thumbnail","hentry","category-tecnologia","tag-ciberseguranca"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.cesar.org.br\/painel\/wp-json\/wp\/v2\/insight\/2387","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cesar.org.br\/painel\/wp-json\/wp\/v2\/insight"}],"about":[{"href":"https:\/\/www.cesar.org.br\/painel\/wp-json\/wp\/v2\/types\/insight"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.cesar.org.br\/painel\/wp-json\/wp\/v2\/media\/2388"}],"wp:attachment":[{"href":"https:\/\/www.cesar.org.br\/painel\/wp-json\/wp\/v2\/media?parent=2387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.cesar.org.br\/painel\/wp-json\/wp\/v2\/categories?post=2387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.cesar.org.br\/painel\/wp-json\/wp\/v2\/tags?post=2387"},{"taxonomy":"formato_insights","embeddable":true,"href":"https:\/\/www.cesar.org.br\/painel\/wp-json\/wp\/v2\/formato_insights?post=2387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}