O seu IP: Desconhecido · O seu estado: ProtegidoDesprotegidoDesconhecido

Segurança em computação em nuvem: o que precisa de saber

A computação em nuvem reduz custos com data centers, manutenção e pessoal, e acelera a distribuição do serviço ao consumidor. Porém, como qualquer tecnologia, a cloud computing levanta novos desafios de segurança, que nem sempre as empresas conhecem. A sua organização dispõe da segurança de computação em nuvem necessária para que esta tecnologia funcione corretamente?

Miglė Šimonėlytė

Miglė Šimonėlytė

Segurança em computação em nuvem: o que precisa de saber

O que é a computação em nuvem?

Computação em nuvem é uma expressão corrente que descreve a disponibilidade “on demand” de recursos informáticos (espaço em disco, capacidade de processamento computacional, programas de software, etc.,) sem que o utilizador faça a respetiva gestão ativa direta. Os benefícios da computação em nuvem, tanto para as empresas como para o utilizador final, fizeram com que a tecnologia se tornasse o padrão em termos de uso de software ao longo da última década e meia. As empresas que usam computação em nuvem não precisam de comprar e sustentar os seus próprios servidores ou data centers. Em vez disso, acedem (juntamente com os seus clientes) a tudo o que precisam online.

Como é que as empresas usam tecnologia de computação em nuvem?

  • Serviços orientados para o cliente, como a Netflix, transmitem conteúdo em vídeo armazenado na nuvem para os seus utilizadores. A Netflix não tem servidores próprios: usa a tecnologia de computação em nuvem fornecida pela Amazon Web Services.
  • Algumas empresas usam cloud computing para desenvolver e testar software. Estes processos exigem bastantes recursos de computação, que uma empresa pode não ter ou que seriam demasiado caros para adquirir e manter. Em vez disso, as empesas usam serviços em nuvem numa lógica de utilizador-pagador, que permite aumentar ou diminuir a sua operação conforme as necessidades.
  • A computação em nuvem é usada para fazer cópias de segurança (backup) de dados e processos. Se acontecer um problema com o seu data center ou com a sua rede, a empresa pode manter o serviço a funcionar.
  • A cloud computing também é muito útil para trabalhar com big data. Se quiser extrair relatórios e informação através da análise de quantidade imensas de dados, é necessário muito poder de processamento informático para obter resultados.

Riscos de segurança na computação em nuvem

Quando toda a operação da sua empresa “corre” na nuvem, um único erro compromete tudo – e não apenas uma parte da operação. Fugas, roubos ou violações de dados são o pior pesadelo. Os dados estrategicamente mais relevantes estão armazenados na nuvem: propriedade intelectual, identificação particular de clientes e trabalhadores, dados financeiros, etc.

Uma violação deste género pode resultar em perdas financeiras muito sérias. Pode implicar a perda de clientes, atuais e potenciais, e processos em tribunal. Qualquer pessoa “foge” de uma empresa ou serviço em que não confie; na maioria dos casos, para sempre.

Os ciberataques são outro risco extremamente importante a considerar. O criptojacking, por exemplo, é difícil de detetar e “trava” significativamente a atividade de uma organização. O responsável será levado a pensar que precisa de mais capacidade de processamento ou computação, sem considerar que alguém pode estar secretamente a usar os recursos da empresa para minerar criptomoedas. Inversamente, um ataque DDoS (“distributed denial of service”) é imediatamente detetado, não só pela empresa mas por todos os clientes e utilizadores. Se o seu serviço, baseado unicamente na nuvem, for inundado por visitas (falsas) e falhar, poderá permanecer em baixo por longas horas, afetando a reputação da marca.

Medidas de segurança de computação em nuvem a ter em conta

Ao pesquisar por um fornecedor de serviços de computação em nuvem, verifique se estão a ser aplicadas as medidas de segurança adequadas:

  • Firewalls. A computação em nuvem precisa de firewalls em nuvem. São, na aparência, semelhantes às firewalls que protegem as redes internas e fechadas da empresa. A diferença fundamental é o facto de estarem alojadas na nuvem e protegerem a respetiva infraestrutura contra ligações externas maliciosas.
  • Encriptação. Os dados armazenados na nuvem e transmitidos (enviados ou recebidos) devem ser encriptados, e o seu fornecedor de serviços deve incluir esta funcionalidade. Importa também que os seus clientes (se usa cloud computing para uma aplicação ou software orientado para clientes) possam usar o serviço em segurança. Garanta que é aplicada tecnologia de encriptação SSL/TLS, de modo a que os seus clientes e respetivos dados sejam protegidos.
  • Gestão de identidades e acessos (IAM) é um componente essencial de qualquer plano de segurança em computação em nuvem. A IAM é uma forma de gerir todos os utilizadores e respetivas identidades e permissões de acesso. Sabe-se sempre quem é cada utilizador e que privilégios de utilização, navegação ou acesso possui.
  • Auditorias de segurança regulares. A gestão da vulnerabilidade é vital e deve ser assumida como uma função a exercer em permanência. Errar é humano e a qualquer momento podem surgir bugs, mesmo em sistemas que estejam a funcionar perfeitamente há anos. Se o seu fornecedor de serviços pesquisar proativamente por vulnerabilidades, poderá corrigi-las antes que sejam do conhecimento de terceiros, impedindo potenciais cibercriminosos de as aproveitar.
  • Backups. Os atacantes podem ultrapassar as firewalls e explorar vulnerabilidades ainda desconhecidas (as chamadas vulnerabilidades de dia zero). Todavia, quando a plataforma de computação em nuvem Amazon Web Services “foi abaixo” em 2017, a Netflix continuou a funcionar porque pôde transferir as suas aplicações para zonas incólumes da rede. É fundamental que o fornecedor tenha um plano de backups em prática.

O mais importante é encontrar um fornecedor no qual confiar. Uma vez que estará a utilizar serviços de “TI sombra” (“shadow IT”, ou seja, serviços geridos por uma entidade externa e sem conhecimento direto do seu departamento de TI), a confiança é fundamental. É necessário estar absolutamente certo de que o fornecedor manterá os seus dados, clientes e operações em segurança.

A segurança em nuvem também lhe cabe a si

Ainda que o fornecedor de serviços de cloud computing se encarregue da maior parte das tarefas em termos de segurança, o cliente também desempenha um papel essencial:

  1. Assegure uma política estrita de controlo de acessos. Nem todos os seus colaboradores devem ter acesso total aos recursos, pastas ou aplicações da rede. Basta um traidor ou uma conta comprometida (por exemplo, via phishing) para que os dados dos clientes sejam revelados, a propriedade intelectual roubada ou os serviços vandalizados. Planeie cuidadosamente quem deve poder aceder a quê. Dê formação regular e atualizada sobre phishing, ataques man-in-the-middle, roubo de sessão e outros tipos de ataques de engenharia social.
  2. Use passwords fortes. Incite os seus colaboradores a usar palavras-passe longas e complicadas que sejam difíceis de decifrar e praticamente impossíveis de saber de cor. Use o gestor de passwords NordPass para arquivar e partilhar as suas senhas em segurança. Assim, os seus trabalhadores não comprometerão a segurança da sua empresa partilhando as “pass” em texto ou através de um Wi-Fi não seguro.
  3. Proteja os dados na cloud. Se também usa a nuvem como arquivo, assegure a proteção desses dados. Usar o NordLocker para encriptar os seus ficheiros é uma boa forma de começar.
  4. Proteja os dados das suas comunicações. Obtenha uma VPN e encoraje os seus colaboradores a usá-la sempre que se ligarem ao serviço em cloud. A VPN encriptará todo o tráfego entre os computadores (e telemóveis e tablets) e a nuvem, permitindo-lhes aceder a partir de qualquer ponto do mundo. À medida que mais e mais pessoas trabalham remotamente ou “on the go”, pode ser difícil obter uma conexão realmente segura. Experimente o NordLayer para resolver este problema, que tornará mais fácil identificar e controlar quais os endereços IP com permissões para aceder a recursos específicos.

Encriptação poderosa, infraestrutura global, e 30 dias de garantia de devolução de dinheiro fazem da NordVPN a aplicação de segurança online preferida por milhões de utilizadores em todo o mundo.

Obtenha a NordVPN
Também disponível em: Deutsch, English, e outros idiomas.

Miglė Šimonėlytė
Miglė Šimonėlytė Miglė Šimonėlytė
Miglė Šimonėlytė é um gestor de conteúdo focado na segurança cibernética e na privacidade digital. Enquanto entusiasta da tecnologia, o seu objetivo é ajudar as pessoas a aprender a como se proteger a si e aos seus dados online.

Este site utiliza cookies para que tenha uma experiência mais segura e personalizada. Ao aceitar, concorda com a utilização de cookies para anúncios e análises, de acordo com a nossa Política de cookies.