Um estudo recente da consultoria Clutch mostrou que 90% dos pequenos negócios acreditam que sua infraestrutura de nuvem é segura, contudo, apenas 60% utilizam alguma forma de criptografia e menos ainda contam com autenticação em 2 fatores para proteger a nuvem. Adicionalmente, a consultoria relatou que 60% das pequenas empresas que lidam com cartões de crédito e informações bancárias não seguem os requerimentos de compliance para armazenamento na nuvem.

A situação real é que grande parte dessas empresas não tem certeza sobre a segurança da nuvem e como estão em relação aos requisitos de compliance. Isso ocorre por não terem conhecimento adequado, por falta de mão-de-obra necessária para isso e por não conhecerem a fundo os controles de segurança oferecidos pelos provedores de nuvem.

Entender os controles oferecidos pelos provedores de nuvem é o primeiro e mais importante passo quando se está planejando migrar dados sensíveis para a nuvem. Tome o tempo necessário para entender os controles de segurança, as capacidades oferecidas ao cliente para proteção de dados e status de compliance.

Muitas SMB’s não terão a equipe ou a expertise para realizar uma análise de risco profunda, mas podem requerer do provedor um relatório de compliance, assim como auditorias e atestados de controles que eles possuem. Empresas especializadas em segurança podem auxiliar as SMB’s nesse processo.

 

Controles de Segurança na nuvem para SMB’s

Existem diversos controles para a segurança da nuvem que todas as empresas de pequeno porte necessitam, independente da postura interna do provedor de nuvem. Primeiro, controles seguros de conta devem estar disponíveis para o acesso ao console de administração e serviços. No mínimo, uma política de criação de senhas fortes deve estar em vigor, de forma a resistir a ataques de brute-force.

Idealmente, provedores de nuvem devem suportar alguma forma de autenticação de múltiplos fatores, de forma que ninguém consiga logar usando apenas um login e senha. Para SMB’s, ferramentas gratuitas como o Google Authenticator estão disponíveis na maioria dos provedores de nuvem, o que torna a ativação desse serviço ainda mais simples.

Independente do tamanho, todas as empresas usando a nuvem devem olhar as soluções de proteção de dados que o provedor oferece. Em geral, os controles disponíveis vão variar de acordo com o modelo da nuvem. Por exemplo, ambientes SaaS podem oferecer criptografia automatizada de dados em repouso, dando ao cliente a chance de criptografar uma linha ou coluna da base de dados, ou aplicar a criptografia no dado por meio de uma opção no dashboard.

Contudo, em ambientes de PaaS e IaaS a criptografia e a tokenização dependem dos tipos de armazenamento implementados e tendem a ser significativamente mais complexos, requerendo uma expertise em gerenciamento de chaves. DLP e políticas de segurança de conteúdo também são úteis, mas podem requerer a utilização em conjunto de um CASB para a correta implementação.

Em adição aos controles de acesso e proteção de dados, as SMB’s precisam de um mínimo de monitoramento de segurança e alertas. Isso vai requerer algum nível de assistência do provedor ou de serviços contratados de forma terceirizada.

Contudo, sem contar com uma grande equipe de segurança ou uma equipe dedicada para a segurança da nuvem, muitas SMB’s estarão às cegas sobre o que ocorre na infraestrutura de nuvem, de forma que diversos ataques podem passar despercebidos. Com as novas regulações, esses ataques podem acabar em sanções pesadas para as empresas, muitas vezes resultando no fechamento do negócio.

Considerações finais para a segurança da nuvem de pequenas empresas incluem garantir a disponibilidade de backups e outras práticas básicas de continuidade. As provedores de nuvem também deveriam oferecer treinamentos básicos para os usuários a respeito das configurações dos controles de segurança.