Cibersegurança na Cloud

Cibersegurança na Cloud

O perfil de utilização de Internet, mais concretamente o serviço Web, tem sofrido várias alterações ao longo dos tempos e devido aos avanços tecnológicos que se têm verificado, como por exemplo a maior largura de banda disponível e a maior rapidez das comunicações, o paradigma de como interagimos com o mundo virtual e os serviços disponíveis na Internet mudou.

 

Embora o consumo seja predominante na nossa utilização na Web, o aparecimento das redes sociais, dos serviços cloud e da comunicação ubíqua, abriram as potencialidades para a criação e divulgação de conteúdos, passando a maioria de utilizadores a saírem do papel de meros consumidores e a abraçarem o papel de produtores de informação.

Mesmo com a evolução astronómica desde 1994, e estando a tendência a acentuar-se com o aparecimento de mais plataformas colaborativas e massificação de serviços de cloud, a comunicação continua na sua maioria a exercer-se sobre a vertente cliente-servidor numa troca bidirecional de um conjunto organizado de mensagens protocolares.

 

À medida que o acesso à Internet continua mais barato e acessível, e com o aumento exponencial do volume de dados gerados pelos utilizadores, e a sua necessidade de armazenamento e processamento, que leva muitos a utilizarem serviços de Cloud, levantam-se as questões de quem está responsabilizado pela protecção destes conteúdos, a legitimidade dos mesmos e a sua confidencialidade.

 

A Cibersegurança visa não só, mas essencialmente no seu núcleo a assegurar a integridade, confidencialidade e disponibilidade dos dados. Embora uma visão muito generalista, abordando apenas estes 3 conceitos, muitas questões de seguimento vão surgindo especialmente com serviços de cloud. Questionamo-nos de que forma podem esses dados ser manipulados por empresas detentoras da nossa informação e de que maneira podem assegurar a confidencialidade dos mesmos.

 

O modelo de comunicação com recursos cloud possuem tal como outros sistemas, ameaças à sua cibersegurança e são susceptíveis à exploração de vários tipos de vulnerabilidades através de ataques informáticos. Estas vulnerabilidades são normalmente exploradas tanto nas aplicações Web a que acedemos diariamente nos browsers, como nos sistemas operativos, muitas vezes desactualizados, ou até mesmo no firmware onde a BIOS pode ser hackeada para dar acesso a pessoas mal intencionadas que pretendem provocar danos ou simplesmente aceder inadvertidamente a informação privilegiada.

 

Tendo esta informação em mente deve ser exigido dos fornecedores de serviços a sua maior descrição, pontualidade e responsabilidade na prevenção, mitigação e intervenção de riscos de informação.

 

Todo o fornecedor de serviços tem a obrigação e acompanhar as tendências e padrões relacionados com a exploração de vulnerabilidades e falhas de segurança reveladas periodicamente em vários relatórios técnicos produzidos por empresas importantes do sector, como a “Symantec Internet Security Threat Report”, “Trustwave Global Security Report” e “Microsoft Security Intelligence Report”.

 

Embora a Cibersegurança seja uma actividade sem retorno sobre investimento, a realidade é que as funções de segurança permitem evitar gastos desnecessários e a perda de capital não previsto.

 

A existência de profissionais de segurança auxilia a encontrar vulnerabilidades aplicacionais como ataques de Buffer overflow, Cross-Site Scripting, SQL Injection e Remote Access, bem como vulnerabilidades de sistemas e redes, como o Denial of Service e Man-In-The-Middle.

 

Mesmo estando a informação nos serviços de cloud, todo o utilizador tem o direito à privacidade dos seus dados e as empresas de média e grande dimensão deveriam de ter equipas de intervenção com capacidades para desempenharem as suas funções e trabalharem num SOC (Security Operations Center), onde ficariam encarregues de mitigar riscos para níveis aceitáveis.

 

Embora o risco nunca possa ser reduzido a zero, e tendo em conta o enorme número de ataques que se têm verificado nos últimos anos, é com sentido de compromisso que se deve olhar para a Internet na medida em que os benefícios deverão ser continuamente avaliados em função dos riscos associados, e com um razoável nível de prevenção é possível encontrar vários procedimentos de boas práticas que poderão minimizar a ocorrência de incidentes, mantendo assim a imagem da marca e a proteção dos seus utilizadores.