A pandemia foi um grande choque para muitos governos em todo o mundo. Praticamente da noite para o dia eles tiveram que enfrentar o desafio duplo de fornecer suporte para o trabalho remoto em massa dos funcionários públicos e uma resposta rápida para impulsionar a economia. As tecnologias de nuvem foram indispensáveis para esses esforços, mas sem a devida atenção, elas também podem expandir significativamente as superfície de ataque e o perfil de risco das organizações.
A Trend Micro, líder em Cibersegurança, entrevistou tomadores de decisão de TI de organizações globais do setor público a fim de obter mais informações. Embora eles pareçam confiantes em suas estratégias de segurança, existem alguns equívocos preocupantes sobre princípios essenciais que podem levar a implantações que ficam aquém do ideal. Com o terceiro aniversário da GDPR se aproximando rapidamente, é importante lembrar o possível impacto desses problemas.
Confiança na segurança da nuvem
Assim como seus pares em praticamente todos os setores que estudamos como parte dessa pesquisa, a grande maioria (84%) dos chefes de TI do setor público revelou que a pandemia acelerou “um pouco” ou “consideravelmente” a adoção da nuvem. No Reino Unido, por exemplo, secretarias do governo entregaram 69 novos serviços digitais até o final de maio de 2020 enquanto os funcionários públicos trabalhavam de casa.
Além disso, a segurança cibernética parece ter sido uma consideração muito importante, já que 74% afirmaram ter implementado treinamentos de segurança e 54% relataram ter implementado novas políticas sobre tratamento de informações pessoais a fim de mitigar eventuais novos riscos. Quase metade (45%) observou que o aumento da adoção da nuvem, na verdade, colaborou para ampliar o foco deles nas melhores práticas de segurança do mercado.
Talvez não seja uma surpresa, portanto, que a grande maioria dos entrevistados (82%) sinta que tem controle total ou majoritário sobre a proteção dos ambientes de trabalho remoto, e um número semelhante (79%) se sinta confiante de que é capaz de proteger o novo ambiente de trabalho híbrido que surgirá após pandemia.
Assumindo o controle sobre a proteção
Quando analisamos um pouco mais a fundo, os líderes de TI do governo estão, na verdade, bem menos confiantes do que parecem – muitos, inclusive, parecem estar trabalhando com base em falsas suposições e até em equívocos. Por exemplo, metade dos entrevistados admitiu que a segurança é uma importante barreira a ser considerada para a adoção da nuvem. Apenas 11% afirmaram que ela não representa qualquer tipo de obstáculo para os projetos. Os desafios cotidianos são abundantes: os três principais problemas operacionais destacados neste estudo foram a proteção dos fluxos de tráfego, a falta de integração com as ferramentas de segurança físicas locais e a implantação.
Talvez o mais preocupante seja a limitação de conhecimento do modelo de responsabilidade compartilhada: o que descreve de maneira crucial quais são as responsabilidades do cliente em termos de segurança cibernética e o que o provedor de nuvem (CSP) oferece. Uma falha nesse equilíbrio e as organizações podem acabar com grandes lacunas de proteção ou com gastos excessivos em sistemas redundantes.
Cerca de 86% dos entrevistados afirmaram estar “um pouco” ou “muito” confiantes de que entenderam a parte deles no modelo. No entanto, quase todos (99%) também afirmaram considerar que os controles de CSP deles são “suficientes” ou “mais que suficientes” para proteger os dados da nuvem – quando, na verdade, a responsabilidade é somente do cliente em ambientes de IaaS e PaaS.
Um 2021 mais seguro
Quase metade (45%) dos líderes de TI do setor público afirmaram que a introdução de ferramentas de segurança em nuvem tornou a segurança geral de TI mais cara, enquanto 28% disseram que criou mais silos. Na verdade, a plataforma de segurança em nuvem certa deve tornar a segurança mais simples, mais integrada e mais eficiente – além de oferecer suporte a abordagens DevSecOps capazes de reunir equipes essencialmente distintas.
A chave é encontrar a oferta certa: que possa proporcionar uma série de recursos por meio de uma única plataforma. O foco deve ser agilizar e automatizar a segurança em todos os contêineres, cargas de trabalho, aplicativos, redes e muito mais, sem comprometer a proteção oferecida. Produtos que oferecem integrações abertas com ferramentas de terceiros também podem ajudar os governos a maximizarem o valor dos investimentos em segurança de TI existentes.
A revolução digital desencadeada pela pandemia vai durar muito mais do que a crise. Para que os projetos futuros sejam um sucesso, os governos precisarão consolidar suas relações com os fornecedores de segurança em que confiam.
