Compartilhar via

Definir uma estratégia de segurança

  • Artigo

Os objetivos finais de uma organização de segurança não mudam com a adoção de serviços de nuvem, mas como esses objetivos são alcançados mudarão. As equipes de segurança ainda devem se concentrar em reduzir o risco de negócios contra ataques e trabalhar para obter garantias de confidencialidade, integridade e disponibilidade internas em todos os sistemas de informações e dados.

Modernizar sua estratégia de segurança

As equipes de segurança precisam modernizar estratégias, arquiteturas e tecnologia à medida que a organização adota a nuvem e a opera ao longo do tempo. Embora o tamanho e o número de alterações possam inicialmente parecer uma tarefa difícil, a modernização do programa de segurança permite que a segurança acabem com algumas tarefas difíceis associadas às abordagens herdada. Uma organização pode operar temporariamente com ferramentas e estratégia herdados, mas essa abordagem é difícil de manter com o ritmo das mudanças na nuvem e no ambiente de ameaças:

  • É provável que as equipes de segurança sejam deixadas de fora da tomada de decisões da adoção da nuvem se adotarem uma mentalidade herdada de segurança distante, em que a resposta sempre começa com "não" (em vez de trabalhar em conjunto com equipes de TI e negócios para reduzir o risco enquanto mantém a empresa em atividade).
  • As equipes de segurança terão dificuldade para detectar e defender contra ataques de nuvem se usarem apenas ferramentas locais herdadas e aderirem exclusivamente ao perímetro de rede para todas as defesas e monitoramento.

Monitorar e proteger em escala de nuvem

Defender em escala de nuvem é um esforço de transformação significativo, que obriga o uso de recursos de detecção e automação nativos de nuvem e a introdução de um perímetro de identidade para ajudar a monitorar e proteger ativos móveis e de nuvem.

  • A plataforma de identidade da Microsoft ajuda a incorporar mecanismos modernos de autenticação e autorização em seus aplicativos.
  • O Microsoft Sentinel fornece análise de segurança nativa de nuvem e inteligência contra ameaças em sua organização, permitindo uma detecção de ameaças aprimorada que usa grandes repositórios de inteligência contra ameaças e os recursos de processamento e armazenamento quase ilimitados da nuvem.

Recomendamos que as equipes de segurança adotem uma abordagem ágil para modernizar a segurança, modernizando rapidamente os aspectos mais críticos da estratégia, melhorando continuamente em incrementos e avançando.

Segurança na nuvem e proveniente da nuvem

À medida que sua organização adota serviços de nuvem, as equipes de segurança trabalharão para dois objetivos principais:

  • Segurança na nuvem (proteger recursos de nuvem): a segurança deve ser integrada ao planejamento e à operação dos serviços de nuvem para garantir que essas principais garantias de segurança sejam aplicadas consistentemente em todos os recursos.
  • Segurança proveniente da nuvem (usando a nuvem para transformar a segurança): a segurança deve começar imediatamente a planejar e pensar sobre como usar tecnologias de nuvem para modernizar ferramentas e processos de segurança, especialmente ferramentas de segurança integradas nativamente. As ferramentas de segurança estão cada vez mais hospedadas na nuvem, fornecendo recursos que são difíceis ou impossíveis de ter em um ambiente local.

Proteger datacenters definidos por software

Muitas organizações começam tratando os recursos de nuvem como outro datacenter virtual, um ponto de partida eficaz para a segurança da nuvem. À medida que as organizações se modernizam usando a segurança proveniente da nuvem, a maioria se verá rapidamente superando esse modelo de pensamento. Proteger um datacenter definido por software permite recursos além do que os modelos locais podem oferecer. As ferramentas de segurança hospedadas na nuvem oferecem:

  • Habilitação rápida e dimensionamento de recursos de segurança.
  • Descoberta de inventário de ativos e limpeza de configuração de segurança altamente eficazes.

A implantação do Microsoft Defender para Nuvem permite a avaliação contínua da postura de segurança e dos controles da sua organização. Ele fortalece a postura de segurança dos seus recursos de nuvem, e, com seus planos integrados do Microsoft Defender, o Defender para Nuvem protege as cargas de trabalho em execução no Azure, em ambiente híbrido e em outras plataformas de nuvem. Saiba mais sobre o Microsoft Defender para Nuvem.

Observação

A Central de Segurança do Azure e o Azure Defender agora se chamam Microsoft Defender para Nuvem. Também renomearemos os planos do Azure Defender para planos do Microsoft Defender. Por exemplo, o Azure Defender para Armazenamento agora é o Microsoft Defender para Armazenamento.

Saiba mais sobre a renomeação recente dos serviços de segurança da Microsoft.

O nível certo de atrito de segurança

A segurança naturalmente cria um atrito que reduz os processos, portanto é essencial identificar quais elementos estão íntegros em seus processos de DevOps e de TI e que não são:

  • Atrito saudável: assim como o exercício fortalece um músculo, a integração do nível certo de atrito de segurança reforça o sistema ou aplicativo forçando o pensamento crítico no momento certo. Normalmente, isso assume a forma de considerar como e por que um invasor pode tentar comprometer um aplicativo ou sistema durante o design (conhecido como modelagem de ameaças) e revisar, identificar e corrigir idealmente possíveis vulnerabilidades que um invasor pode explorar em código de software, configurações ou práticas operacionais.
  • Atrito não saudável: impede mais valor do que protege. Isso geralmente acontece quando bugs de segurança gerados por ferramentas têm uma alta taxa de falsos positivos (como alarmes falsos) ou quando o esforço para descobrir ou corrigir problemas de segurança excede muito o impacto potencial de um ataque.

Responsabilidades autônomas e integradas

Fornecer garantias de confidencialidade, integridade e disponibilidade exige que especialistas em segurança operem funções de segurança dedicadas e trabalhem em estreita proximidade com outras equipes da organização:

  • Funções de segurança exclusivas: as equipes de segurança executam funções independentes que não são encontradas em outro lugar na organização, como operações de segurança, gerenciamento de vulnerabilidades (como para máquinas virtuais, contêineres) e outras funções.
  • Integração da segurança em outras funções: as equipes de segurança também atuam como especialistas para outras equipes e funções na organização que estão impulsionando iniciativas de negócios, avaliando riscos, projetando ou desenvolvendo aplicativos e sistemas operacionais de TI. As equipes de segurança aconselham essas equipes com experiência e contexto sobre invasores, métodos e tendências de ataque, vulnerabilidades que podem permitir acesso não autorizado e opções para etapas de mitigação ou soluções alternativas e seus possíveis benefícios ou armadilhas. Essa função de segurança é semelhante à de uma função de qualidade, pois ela será tecida em muitos locais grandes e pequenos para dar suporte a um único resultado.

A execução dessas responsabilidades, mantendo o ritmo rápido das mudanças na nuvem e a transformação dos negócios, exige que as equipes de segurança modernizem suas ferramentas, tecnologias e processos.

Transformações, mentalidades e expectativas

Muitas organizações estão gerenciando uma cadeia de várias transformações simultâneas na organização. Essas transformações internas normalmente começam porque quase todos os mercados externos estão se transformando para atender às novas preferências do cliente para tecnologias móveis e de nuvem. As organizações geralmente enfrentam a ameaça competitiva de novas startups e a transformação digital de concorrentes tradicionais que podem revolucionar o mercado.

Cadeia de várias transformações simultâneas na organização

O processo de transformação interno normalmente inclui:

  • Transformação digital da empresa para capturar novas oportunidades e permanecer competitiva em relação a startups nativas digitais.
  • Transformação de tecnologia da organização de TI para dar suporte à iniciativa com serviços de nuvem, práticas de desenvolvimento modernizados e alterações relacionadas.
  • Transformação de segurança para se adaptar à nuvem e lidar simultaneamente com um ambiente de ameaça cada vez mais sofisticado.

O conflito interno pode ser caro

A alteração cria estresse e conflito, o que pode levar a uma interrupção na tomada de decisões. Isso é especialmente verdadeiro na segurança, em que a responsabilidade pelo risco de segurança geralmente é mal colocada nos especialistas (equipes de segurança), e não nos proprietários dos ativos (proprietários do negócio) que são responsáveis pelos resultados do negócio e todos os outros tipos de risco. Essa responsabilidade incorreta geralmente acontece porque todos os stakeholders veem incorretamente a segurança como um problema técnico ou absoluto a ser resolvido, em vez de um risco contínuo dinâmico, como espionagem corporativa e outras atividades tradicionais.

Durante esse tempo de transformação, a liderança de todas as equipes deve trabalhar ativamente para reduzir conflitos que podem prejudicar projetos críticos e incentivar as equipes a ignorar a mitigação de risco de segurança. O conflito entre as equipes pode resultar em:

  • Aumento do risco de segurança, como incidentes de segurança evitáveis ou danos comerciais maiores causados por ataques (especialmente quando as equipes ficam frustradas com a segurança e ignoram processos normais ou quando abordagens de segurança desatualizadas são facilmente ignoradas por invasores).
  • Impacto negativo nos negócios ou na missão, como quando os processos de negócios não são ativados ou atualizados com rapidez suficiente para atender às necessidades do mercado (geralmente quando os processos de segurança retêm as principais iniciativas de negócios).

É fundamental estar ciente da situação do relacionamento dentro e entre as equipes para ajudá-las a navegar no cenário em mudança que pode deixar membros valiosos da equipe inseguros. A paciência, a empatia e a educação sobre essas mentalidades e o potencial positivo do futuro ajudarão suas equipes a navegar melhor nesse período, levando a bons resultados de segurança para a organização.

Os líderes podem ajudar a impulsionar mudanças de cultura com etapas proativas concretas, como:

  • Ser um modelo do comportamento esperado de suas equipes.
  • Ser transparente sobre os desafios das mudanças, inclusive realçando suas próprias dificuldades de adaptação.
  • Lembrar regularmente as equipes da urgência e da importância de modernizar e integrar a segurança.

Resiliência de segurança cibernética

Muitas estratégias de segurança clássicas se concentraram exclusivamente na prevenção de ataques, uma abordagem insuficiente para ameaças modernas. As equipes de segurança devem garantir que sua estratégia vá além disso e que também habilite a detecção, a resposta e a recuperação de ataques rápidos para aumentar a resiliência. As organizações devem presumir que os invasores comprometerão alguns recursos (às vezes chamamos isso de pressupor violação) e trabalhar para garantir que recursos e projetos técnicos sejam equilibrados entre prevenção e gerenciamento de ataques (em vez da abordagem padrão típica de apenas tentar impedir ataques).

Muitas organizações já estão nessa jornada porque estão gerenciando o aumento constante no volume e a sofisticação de ataques nos últimos anos. Esse percurso geralmente começa com o primeiro incidente importante, que pode ser um evento emocional em que as pessoas perdem sua noção anterior de não vulnerabilidade e segurança. Embora não seja tão grave quanto uma perda de vida, esse evento pode disparar emoções semelhantes, começando com negação e, por fim, terminando na aceitação. Essa suposição de "falha" pode ser difícil para alguns aceitarem a princípio, mas tem paralelos fortes com o princípio de engenharia "fail-safe" bem estabelecido, e a suposição permite que suas equipes se concentrem em uma melhor definição de sucesso: resiliência.

As funções da estrutura de segurança cibernética NIST servem como um guia útil sobre como equilibrar os investimentos entre as atividades complementares de identificar, proteger, detectar, responder e recuperar em uma estratégia resiliente.

Mais sobre a resiliência da segurança cibernética e as metas definitivas dos controles de segurança cibernética são discutidos em Como manter o risco da sua organização baixo.

Como a nuvem está alterando a segurança

Mudar para a nuvem por segurança é mais do que uma mudança de tecnologia simples, é uma mudança geracional na tecnologia semelhante à mudança de mainframes para desktops e para servidores empresariais. Passar com êxito por essa mudança requer alterações fundamentais nas expectativas e na mentalidade das equipes de segurança. Adotar os princípios e as expectativas certos reduz o conflito em sua organização e aumenta a eficácia das equipes de segurança.

Embora isso possa fazer parte de qualquer plano de modernização de segurança, o ritmo acelerado das mudanças na nuvem torna sua adoção uma prioridade urgente.

  • Parceria com metas compartilhadas. Nessa era de decisões rápidas e evolução constante do processo, a segurança não pode mais adotar uma abordagem distante para aprovar ou negar mudanças no ambiente. As equipes de segurança devem fazer parcerias com as equipes de negócios e de TI para estabelecer metas compartilhadas de produtividade, confiabilidade e segurança e trabalhar coletivamente com esses parceiros para alcançá-las.

    Essa parceria é a forma final de "shift left" – o princípio de integrar a segurança anteriormente nos processos para tornar a correção de problemas de segurança mais fácil e eficaz. Isso requer uma mudança de cultura por todos os envolvidos (segurança, negócios e TI), exigindo que cada um aprenda a cultura e as normas de outros grupos enquanto ensina simultaneamente outras pessoas sobre suas próprias culturas e normas.

    As equipes de segurança devem:

    • Conhecer os objetivos de negócios e de TI e por que cada um é importante e como eles estão pensando em alcançá-los à medida que se transformam.
    • Compartilhar por que a segurança é importante no contexto dessas metas e riscos de negócios, o que outras equipes podem fazer para atingir as metas de segurança e como devem fazê-lo.

    Embora não seja uma tarefa fácil, é essencial para proteger de forma sustentável a organização e seus ativos. Essa parceria provavelmente resultará em compromissos saudáveis, em que apenas as metas mínimas de segurança, negócios e confiabilidade podem ser atendidas inicialmente, mas melhoram gradualmente ao longo do tempo.

  • A segurança é um risco contínuo, não um problema. Não é possível "resolver" o crime. Em sua essência, a segurança é apenas uma disciplina de gerenciamento de risco, que se concentra em ações mal-intencionadas por pessoas, em vez de eventos naturais. Como todos os riscos, a segurança não é um problema que pode ser corrigido por uma solução, é uma combinação da probabilidade e do impacto de danos de um evento negativo, um ataque. É mais comparável à espionagem corporativa tradicional e às atividades criminosas, nas quais as organizações enfrentam invasores humanos motivados com incentivo financeiro para atacar a organização com sucesso.

  • O sucesso na produtividade ou na segurança requer ambas. Uma organização deve se concentrar na segurança e na produtividade no ambiente atual, em que é necessário inovar para não perder a relevância. Se a organização não for produtiva e impulsionar novas inovações, ela poderá perder a competitividade no mercado, o que pode fazer com que ela se enfraqueça financeiramente ou, eventualmente, falhe. Se a organização não for segura e perder controle dos ativos para os invasores, ela poderá perder a competitividade no mercado, o que pode fazer com que ela se enfraqueça financeiramente ou, eventualmente, falhe.

  • Ninguém é perfeito. Nenhuma organização é perfeita para adotar a nuvem, nem mesmo a Microsoft. As equipes de TI e segurança da Microsoft enfrentam muitos dos mesmos desafios que nossos clientes enfrentam, como descobrir como estruturar bem os programas, equilibrar o suporte de software herdado com o suporte à inovação de ponta e até mesmo as lacunas tecnológicas nos serviços em nuvem. Conforme essas equipes aprendem a operar e proteger melhor a nuvem, elas compartilham ativamente suas lições aprendidas por meio de documentos como este com outras pessoas no site de demonstração de TI, enquanto fornecem feedback contínuo para nossas equipes de engenharia e fornecedores para melhorar suas ofertas.

    Com base em nossa experiência, recomendamos que as equipes sejam mantidas em um padrão de aprendizado e aprimoramento contínuos em vez de um padrão de perfeição.

  • Oportunidade na transformação. É importante exibir a transformação digital como uma oportunidade positiva para a segurança. Embora seja fácil ver as possíveis desvantagens e riscos dessa mudança, é fácil perder a enorme oportunidade de reinventar o papel da segurança e ganhar um lugar na mesa em que as decisões são tomadas. A parceria com a empresa pode resultar em mais recursos financeiros para segurança, reduzir esforços repetitivos desnecessários e tornar o trabalho em segurança mais agradável, pois eles estarão mais conectados à missão da organização.

Adotar o modelo de responsabilidade compartilhada

A hospedagem de serviços de TI na nuvem divide as responsabilidades operacionais e de segurança das cargas de trabalho entre o provedor de nuvem e o locatário do cliente, criando uma parceria de fato com responsabilidades compartilhadas. Todas as equipes de segurança devem estudar e entender esse modelo de responsabilidade compartilhada para adaptar seus processos, ferramentas e conjuntos de habilidades para a nova realidade. Isso ajudará a evitar a criação inadvertida de lacunas ou sobreposições em sua postura de segurança, o que resultaria em riscos de segurança ou recursos perdidos.

Este diagrama ilustra como as responsabilidades de segurança serão distribuídas entre fornecedores de nuvem e organizações de clientes de nuvem em uma parceria de fato:

Responsabilidades de segurança distribuídas

Como há diferentes modelos de serviços de nuvem, as responsabilidades de cada carga de trabalho variam dependendo se ela está hospedada em SaaS (software como serviço), PaaS (plataforma como serviço), IaaS (infraestrutura como serviço) ou em um datacenter local.

Criar iniciativas de segurança

Este diagrama ilustra as três principais iniciativas de segurança que a maioria dos programas de segurança deve seguir para ajustar suas metas de estratégia de segurança e programa de segurança para a nuvem:

Principais iniciativas de segurança

A criação de uma postura de segurança resiliente na nuvem requer várias abordagens complementares paralelas:

  • Confiar, mas verificar: para responsabilidades executadas pelo provedor de nuvem, as organizações devem adotar uma abordagem de "confiar, mas verificar". As organizações devem avaliar as práticas de segurança de seus provedores de nuvem e os controles de segurança oferecidos para garantir que o provedor de nuvem atenda às necessidades de segurança da organização.

  • Modernizar a infraestrutura e a segurança do aplicativo: para elementos técnicos sob controle da organização, priorize a modernização de ferramentas de segurança e conjuntos de habilidades associados para minimizar as lacunas de cobertura para proteger recursos na nuvem. Isso é composto por dois esforços complementares diferentes:

    • Segurança de infraestrutura: as organizações devem usar a nuvem para modernizar sua abordagem para proteger e monitorar os componentes comuns usados por muitos aplicativos, como sistemas operacionais, redes e infraestrutura de contêiner. Essas funcionalidades de nuvem geralmente podem incluir o gerenciamento de componentes de infraestrutura em ambientes locais e de IaaS. Otimizar essa estratégia é importante porque essa infraestrutura é uma dependência dos aplicativos e dos dados que são executados nele, o que geralmente permite processos de negócios críticos e armazena dados de negócios críticos.

    • Segurança do aplicativo: as organizações também devem modernizar a maneira como elas protegem os aplicativos exclusivos e a tecnologia desenvolvidos por ou para sua organização. Essa disciplina está mudando rapidamente com a adoção de processos ágeis de DevOps, o uso crescente de componentes de software livre e a introdução de APIs de nuvem e serviços de nuvem para substituir componentes de aplicativos ou aplicativos de interconexão.

      Compreender isso é essencial porque esses aplicativos geralmente habilitam processos de negócios críticos e armazenam dados de negócios críticos.

    • Perímetro moderno: as organizações devem ter uma abordagem abrangente para proteger dados em todas as cargas de trabalho. As organizações devem estabelecer um perímetro moderno de controles de identidade consistentes e gerenciados centralmente para proteger seus dados, dispositivos e contas. Isso é muito influenciado por uma estratégia de confiança zero discutida em detalhes no Módulo 3 do workshop CISO.

Segurança e confiança

O uso da palavra confiança na segurança pode ser confuso. Esta documentação refere-se a ela de duas maneiras que ilustram aplicações úteis desse conceito:

  • Confiança zero é um termo comum do setor para uma abordagem estratégica de segurança que pressupõe que uma rede corporativa ou intranet é hostil (que deve ter confiança zero) e projeta a segurança de acordo.
  • Confiar, mas verificar é uma expressão que captura a essência de duas organizações diferentes trabalhando em conjunto em direção a uma meta comum, apesar de ter alguns outros interesses potencialmente divergentes. Isso captura concisamente muitas das nuances dos estágios iniciais da parceria com um provedor de nuvem comercial para organizações.

Um provedor de nuvem e suas práticas e processos podem ser responsáveis para atender aos requisitos contratuais e regulatórios e podem ganhar ou perder a confiança. Uma rede é uma conexão inanimada que não pode enfrentar consequências se for usada por invasores (assim como você não pode responsabilizar uma estrada ou um carro por criminosos que os utilizam).

Como a nuvem está mudando as relações de segurança e as responsabilidades

Assim como nas transições anteriores para uma nova geração de tecnologia, como computação de desktop e computação de servidor corporativo, a mudança para a computação em nuvem está interrompendo relacionamentos, funções, revolucionando e conjuntos de habilidades estabelecidos há muito tempo. As descrições de trabalho às qual nos acostumamos nas últimas décadas não correspondem mais às de uma empresa que agora inclui funcionalidades de nuvem. Como o setor trabalha coletivamente para normalizar um novo modelo, as organizações terão que se concentrar em fornecer o máximo de clareza possível para ajudar a gerenciar a incerteza da ambiguidade durante esse período de mudança.

As equipes de segurança são afetadas por essas mudanças nos negócios e na tecnologia que elas apoiam, bem como seus próprios esforços de modernização interna para orientar melhor os atores de ameaças. Os invasores estão evoluindo ativamente para pesquisar constantemente os pontos fracos mais fáceis de explorar nas pessoas, no processo e na tecnologia da organização, e a segurança deve desenvolver funcionalidades e habilidades para resolver esses ângulos.

Esta seção descreve as principais relações que frequentemente mudam no percurso para a nuvem, incluindo lições aprendidas sobre como minimizar o risco e adotar as oportunidades de melhoria:

  • Entre os stakeholders de segurança e de negócios: a liderança de segurança precisará cada vez mais fazer parcerias com líderes de negócios para permitir que as organizações reduzam os riscos. Os líderes de segurança devem dar suporte à tomada de decisões de negócios como SMEs (especialistas de segurança) e devem se esforçar para se tornar consultores confiáveis para esses líderes de negócios. Esse relacionamento ajudará a garantir que os líderes de negócios considerem os riscos de segurança ao tomar decisões de negócios, informem à segurança sobre as prioridades de negócios e ajudem a garantir que os investimentos em segurança sejam priorizados adequadamente ao lado de outros investimentos.

  • Entre a liderança de segurança e os membros da equipe: a liderança de segurança deve levar esses insights da liderança empresarial para suas equipes para orientar suas prioridades de investimento.

    Ao definir um tom de cooperação com líderes de negócios e suas equipes, em vez de uma relação distante clássica, os líderes de segurança podem evitar uma dinâmica de animosidade que impeça as metas de segurança e produtividade.

    Os líderes de segurança devem se esforçar para dar clareza à equipe sobre como gerenciar suas decisões diárias sobre os dilemas de produtividade e segurança, pois isso pode ser novidade para muitos em suas equipes.

  • Entre equipes de aplicativo e infraestrutura (e provedores de nuvem): esse relacionamento está passando por mudanças significativas devido a várias tendências no setor de TI e segurança que visam aumentar a velocidade da inovação e a produtividade do desenvolvedor.

    As antigas normas e funções organizacionais passaram por uma revolução, mas novas normas e funções ainda estão surgindo, por isso recomendamos aceitar a ambiguidade, acompanhar o pensamento atual e experimentar o que funciona para suas organizações até que dê certo. Não recomendamos a adoção de uma abordagem de espera nesse espaço porque isso pode colocar sua organização em uma grande desvantagem competitiva.

    Essas tendências estão desafiando as normas tradicionais para funções e relações de aplicativos e infraestrutura:

    • Disciplinas de fusão de DevOps: em seu estado ideal, criam efetivamente uma única equipe altamente funcional que combina os dois conjuntos de conhecimentos para inovar rapidamente, lançar atualizações e resolver problemas (segurança e outros). Embora esse estado ideal leve algum tempo para ser alcançado e as responsabilidades ainda sejam ambíguas, as organizações já estão colhendo alguns benefícios de lançamentos rápidos devido a essa abordagem cooperativa. A Microsoft recomenda integrar a segurança a esse ciclo para ajudar a conhecer essas culturas, compartilhar aprendizados de segurança e trabalhar em direção a uma meta comum de liberar rapidamente aplicativos seguros e confiáveis.

    Disciplinas de fusão de DevOps

    • A conteinerização se tornando um componente de infraestrutura comum: os aplicativos estão cada vez mais sendo hospedados e orquestrados por tecnologias como Docker, Kubernetes e tecnologias semelhantes. Essas tecnologias simplificam o desenvolvimento e o lançamento abstraindo muitos elementos da configuração e da configuração do sistema operacional subjacente.

    Infraestrutura de conteinerização

    Embora os contêineres tenham começado como uma tecnologia de desenvolvimento de aplicativos gerenciada por equipes de desenvolvimento, está se tornando um componente de infraestrutura comum que está mudando cada vez mais para as equipes de infraestrutura. Essa transição ainda está em andamento em muitas organizações, mas é uma direção natural e positiva que muitos dos desafios atuais serão mais bem resolvidos com conjuntos de habilidades de infraestrutura tradicionais, como rede, armazenamento e gerenciamento de capacidade.

    As equipes de infraestrutura e os membros da equipe de segurança que as apoiam devem ter à disposição treinamento, processos e ferramentas para ajudar a gerenciar, monitorar e proteger essa tecnologia.

    • Serviços de aplicativos de nuvem e sem servidor: uma das tendências dominantes no setor no momento é reduzir a quantidade de tempo e o trabalho de desenvolvimento necessários para criar ou atualizar aplicativos.

      Serviços de aplicativos de nuvem e sem servidor

      Os desenvolvedores também estão usando cada vez mais serviços de nuvem para:

      • Executar o código em vez de hospedar aplicativos em VMs (máquinas virtuais) e servidores.
      • Fornecer funções de aplicativo em vez de desenvolver seus próprios componentes. Isso levou a um modelo sem servidor que usa serviços de nuvem existentes para funções comuns. O número e a variedade de serviços de nuvem (e seu ritmo de inovação) também excederam a capacidade das equipes de segurança de avaliar e aprovar o uso desses serviços, deixando-as escolher entre permitir que os desenvolvedores usem qualquer serviço, tentar impedir que as equipes de desenvolvimento usem serviços não aprovados ou tentar encontrar uma maneira melhor.
      • Aplicativos sem código e Power Apps: outra tendência emergente é o uso de tecnologias sem código, como o Microsoft Power Apps. Essa tecnologia permite que pessoas sem habilidades de programação criem aplicativos que alcancem resultados de negócios. Devido a esse baixo atrito e ao alto potencial de valor, essa tendência tem o potencial de aumentar rapidamente em popularidade, e os profissionais de segurança deveriam entender rapidamente suas implicações. Os esforços de segurança devem ser focados nas áreas em que um humano pode cometer um erro no aplicativo, ou seja, o design do aplicativo e as permissões de ativos por meio da modelagem de ameaças aos componentes do aplicativo, interações/relacionamentos e permissões de função.

  • Entre desenvolvedores e autores de componentes de código aberto: os desenvolvedores também estão aumentando a eficiência usando componentes e bibliotecas de código aberto em vez de desenvolver seus próprios componentes. Isso traz valor por meio da eficiência, mas também introduz riscos de segurança criando uma dependência externa e um requisito para manter e corrigir esses componentes corretamente. Os desenvolvedores estão assumindo efetivamente o risco de segurança e outros bugs ao usar esses componentes e precisam garantir que haja um plano para reduzi-los com os mesmos padrões que o código que eles desenvolveriam.

  • Entre aplicativos e dados: a linha entre segurança de dados e aplicativos está ficando tênue em alguns locais, e novas regulamentações estão criando a necessidade de uma cooperação mais estreita entre as equipes de dados/privacidade e as equipes de segurança:

    • Algoritmos de aprendizado de máquina: algoritmos de aprendizado de máquina são semelhantes aos aplicativos, pois são projetados para processar dados para criar um resultado. As principais diferenças são:

      • Aprendizado de máquina de alto valor: o aprendizado de máquina geralmente confere uma vantagem competitiva significativa e geralmente é considerado propriedade intelectual confidencial e um segredo comercial.

      • Impressão de sensibilidade: o aprendizado de máquina supervisionado é ajustado usando conjuntos de dados, que imprime características do conjunto de dados no algoritmo. Por isso, o algoritmo ajustado pode ser considerado sensível devido ao conjuntos de dados usado para treiná-lo. Por exemplo, treinar um algoritmo de aprendizado de máquina para encontrar bases militares secretas em um mapa usando um conjuntos de dados de bases militares secretas seria torná-lo um ativo sensível.

      Observação

      Nem todos os exemplos são óbvios, portanto, é essencial reunir uma equipe com os stakeholders certos de equipes de ciência de dados e de negócios, equipes de segurança, equipes de privacidade e outros. Essas equipes devem ter a responsabilidade de atender às metas comuns de inovação e responsabilidade. Eles devem resolver problemas comuns, como e onde armazenar cópias de dados em configurações inseguras, como classificar algoritmos, bem como quaisquer preocupações de suas organizações.

      A Microsoft publicou nossos princípios de IA responsável para orientar nossas próprias equipes e nossos clientes.

      • Privacidade e propriedade de dados: regulamentos como GDPR aumentaram a visibilidade de aplicativos e problemas de dados. As equipes de aplicativos agora conseguem controlar, proteger e acompanhar dados confidenciais em um nível comparável ao acompanhamento de dados financeiros por bancos e instituições financeiras. As equipes de aplicativos e proprietários de dados precisam criar uma compreensão rica do que os aplicativos de dados armazenam e quais controles são necessários.

  • Entre organizações e provedores de nuvem: à medida que as organizações hospedam cargas de trabalho na nuvem, estão entrando em uma relação de negócios com cada um desses provedores de nuvem. O uso de serviços de nuvem geralmente traz valor comercial, como:

    • Acelerar as iniciativas de transformação digital reduzindo o tempo de comercialização para novos recursos.

    • Aumentar o valor das atividades de TI e segurança liberando as equipes para se concentrarem em atividades de maior valor (alinhadas aos negócios) em vez de tarefas de commodities de nível inferior que são fornecidas com mais eficiência pelos serviços de nuvem em seu nome.

    • Aumento da confiabilidade e capacidade de resposta: a maioria das nuvens modernas também tem um alto tempo de atividade em comparação com datacenters locais tradicionais e mostrou que pode ser dimensionada rapidamente (como durante a pandemia de COVID-19) e fornecer resiliência após eventos naturais como tempestades de raios (o que teria mantido muitos equivalentes locais inativos por muito mais tempo).

      Embora seja útil, essa mudança para a nuvem não vem sem risco. À medida que as organizações adotam serviços de nuvem, elas devem considerar áreas de risco potenciais, incluindo:

    • Continuidade de negócios e recuperação de desastres: o provedor de nuvem está financeiramente íntegro com um modelo de negócios que provavelmente sobreviverá e prosperará durante o uso do serviço por sua organização? O provedor de nuvem fez provisionamentos para permitir a continuidade do cliente se o provedor tiver uma falha financeira ou outra, como fornecimento de seu código-fonte aos clientes ou torná-lo de código aberto?

      Para obter mais informações e documentos sobre a saúde financeira da Microsoft, confira Relações com o investidor da Microsoft.

    • Segurança: o provedor de nuvem segue as melhores práticas do setor para segurança? Elas foram validadas por órgãos regulatórios independentes?

      • Os Apps do Microsoft Defender para Nuvem permitem descobrir o uso de mais de 16.000 aplicativos de nuvem, que são classificados e pontuados com base em mais de 70 fatores de risco para fornecer visibilidade contínua do uso da nuvem, TI sombra e o risco que a TI sombra representa para sua organização.
      • O Portal de Confiança do Serviço da Microsoft disponibiliza certificações de conformidade regulatória, relatórios de auditoria, testes de intrusão e muito mais para os clientes. Esses documentos incluem vários detalhes das práticas de segurança internas (principalmente o relatório SOC 2 Tipo 2 e plano de segurança do sistema FedRAMP Moderate). O Microsoft Defender para Nuvem permite o gerenciamento de políticas de segurança e pode indicar o nível de conformidade com padrões regulatórios e do setor predefinidos.

    • Concorrente comercial: o provedor de nuvem é um concorrente comercial significativo em seu setor? Você tem proteções suficientes no contrato de serviços de nuvem ou outros meios para proteger seus negócios contra ações potencialmente hostis?

      Revise este artigo para saber mais sobre como a Microsoft evita a concorrência com clientes de nuvem.

    • Várias nuvens: muitas organizações têm uma estratégia de várias nuvens intencional ou de fato. Esse pode ser um objetivo intencional para reduzir a dependência de um único fornecedor ou para acessar os melhores recursos exclusivos, mas também pode acontecer porque os desenvolvedores optaram por serviços de nuvem preferenciais ou familiares ou sua organização adquiriu outro negócio. Independentemente do motivo, essa estratégia pode introduzir possíveis riscos e custos que devem ser gerenciados, incluindo:

      • Tempo de inatividade de várias dependências: sistemas projetados para depender de várias nuvens são expostos a mais fontes de risco de tempo de inatividade, pois interrupções nos provedores de nuvem (ou o uso delas pela sua equipe) podem causar uma interrupção de seus negócios. Essa maior complexidade do sistema também aumentaria a probabilidade de eventos de interrupção, pois os membros da equipe têm menos probabilidade de entender totalmente um sistema mais complexo.
      • Poder de negociação: organizações maiores também devem considerar se uma estratégia de nuvem única (compromisso/parceria mútua) ou de várias nuvens (capacidade de mudar os negócios) alcançará maior influência sobre seus provedores de nuvem para priorizar as solicitações de recursos da organização.
      • Maior sobrecarga de manutenção: os recursos de TI e segurança já são sobrecarregados por suas cargas de trabalho existentes e por acompanhar as mudanças de uma única plataforma de nuvem. Cada plataforma adicional aumenta ainda mais essa sobrecarga e tira os membros da equipe de atividades de valor mais alto, como agilizar o processo técnico para acelerar a inovação nos negócios, consultar grupos de negócios sobre o uso mais eficaz de tecnologias e assim por diante.
      • Equipe e treinamento: as organizações geralmente não consideram os requisitos de equipe necessários para dar suporte a várias plataformas e o treinamento necessário para manter o conhecimento e a atualização dos novos recursos que são lançados em um ritmo rápido.