Um estudo recente feito pela consultoria Clutch revelou que cerca de 90% das empresas posicionadas como SMB acreditam que sua nuvem está segura, contudo, apenas 60% utilizam criptografia nos dados armazenados. Menos empresas ainda usam duplo fator de autenticação para acesso às funções de administração do storage. Além disso, o estudo mostrou que 60% dessas empresas armazenam dados de cartões de crédito dos clientes e outras informações sensíveis sem estarem de acordo com padrões de segurança básicos como o PCI.

A verdade é que é mais provável que essas empresas não tenham certeza sobre a segurança do storage e como estão em questão de compliance pelo simples fato de não terem equipe suficiente nem qualificada o bastante para analisarem a fundo os tipos de controle e o status desses controles oferecidos pelos fornecedores de nuvem.

O primeiro, e talvez mais importante passo que qualquer SMB deve tomar quando planeja colocar qualquer dado sensível na nuvem, é tomar o tempo necessário para avaliar os controles de segurança do provedor, as funcionalidades oferecidas para proteção dos dados e o status de compliance.

Muitas SMBs não possuem a equipe ou a expertise necessárias para uma avaliação profunda, mas podem requisitar do fornecedor de nuvem um relatório com o status de compliance, como PCI e DSS, assim como auditoria de controles de segurança. Nesse momento, as SMBs também podem contratar pontualmente um serviço de consultoria para avaliar a capacidade de segurança do storage do fornecedor de nuvem.

 

Controles de Segurança de Storage em nuvem para SMBs

Existem muitos controles de segurança que as SMBs precisam para o storage em nuvem, independente de qual fornecedor escolham. Primeiro, é importante contar com controles rígidos de segurança para as contas de acesso e administração do serviço. No mínimo, uma política de senhas fortes que resistam a ataques de brute force.

Idealmente, os provedores de nuvem devem suportar algum tipo de autenticação em múltiplos fatores, de forma que ninguém consiga logar usando apenas o login e senha. Existem ferramentas gratuitas como o Google Authenticator disponíveis para diversos fornecedores de nuvem, permitindo que até mesmo as SMBs tenham acesso a esse tipo de controle de segurança.

Independente do tamanho, todas as empresas usando storage na nuvem devem olhar os tipos de proteção de dados oferecidos pelo provedor, que podem variar de acordo com o modelo usado. Por exemplo, ambientes SaaS podem oferecer criptografia automatizada dos dados em repouso, podem dar a opção de criptografar apenas o que for apontado como mais importante ou aplicar a criptografia em toda a base de dados.

Já em ambientes de IaaS, a criptografia ou tokenização pode depender do tipo de storage implementado, e pode ser significativamente mais complexo, requerendo expertise de gerenciamento. DLP e políticas de segurança de conteúdo também são úteis, mas passam a requerer a utilização de um CASB ou outra solução para além do provedor de nuvem. Infelizmente, isso vai aumentar o custo do serviço.

Em adição aos controles oferecidos pelo fornecedor, é vital para as SMBs contar com monitoramento de segurança, oferecendo visibilidade sobre o ambiente estendido e sistema de alertas de segurança. Em geral, isso pode ser conseguido com uma MSSP.

As considerações finais sobre a segurança do storage incluem backups periódicos e outras práticas básicas de continuidade. Também verifique se o provedor oferece treinamento para os usuários finais e assistência na hora de setar os controles de segurança.