Image for post
Image for post
Cesar Augusto Nogueira | Cloud Architect | everis Brasil

Protegendo dados PII de Serviços Financeiros na Nuvem

A segurança de dados é um problema crescente e podemos observar que há um equívoco comum de que a nuvem pública não seja um ambiente aceitável para dados confidenciais como PII, mas agora deve ser evidente que essa crença simplesmente não é verdadeira.

Proteger corretamente dados sensíveis, como PII (Personally Identifiable Information ou Informação Pessoalmente Identificável), é de extremamente importante consideração para uma empresa digital. Os custos financeiros, legais e de reputação da não conformidade de segurança digital podem ser muito altos. Há um grande equívoco comum de que mudar para uma nuvem pública aumenta-se o risco. A adoção de serviços como o Google Cloud Platform (GCP) ajuda a aumentar e fortalecer a segurança do sistema, fornecer custos mais baixos, maior flexibilidade, serviços expandidos e outros benefícios.

Ao adotar plenamente as tecnologias e práticas superiores disponíveis em uma nuvem pública como a Google Cloud Platform, uma empresa pode não apenas reduzir custos e aumentar a eficiência, como também melhorar drasticamente seu perfil de risco geral de forma a produzir resultados extremamente favoráveis.

A problemática não parece estar desaparecendo e as consequências da falha de dados serão cada vez mais severas no futuro. As apostas em torno de dados confidenciais, como PII, são altas e elas só aumentarão. Nesse ambiente, uma nova solução é necessária e os resultados de segurança superiores que podem ser obtidos por uma adoção prudente e holística dos recursos de nuvem pública podem ser uma tábua de salvação para as equipes de segurança das empresas de serviços financeiros.

Felizmente, os recursos e produtos de segurança predominantes nos provedores de nuvem pública são intrinsecamente mais abrangentes e robustos do que aqueles disponíveis em um data center local e, como tal, oferecem fundação para atualizar a postura de segurança da empresa.

Neste contexto, chegou a hora de parar de perguntar se o a nuvem é segura e, em vez disso, começa a descobrir como migrar para a nuvem com segurança. Para fazer isso, uma abordagem “de dentro para fora e com definição de software” substitui a orientação de segurança baseada em perímetro tradicional, implantando novos métodos que são não disponível em soluções locais e aplicando novos padrões de segurança em cada camada de abstração, do gerenciamento de identidade de contexto para dados em repouso.

Os riscos para sistemas e dados na nuvem são, em muitos aspectos, as mesmas ameaças cibernéticas que qualquer sistema on premise enfrenta.

Tais riscos podem ser divididos em três grupos: ameaças que levam ao comprometimento do sistema, vulnerabilidades que deixam seus sistemas expostos e eventos que podem impactar seus negócios decorrentes do vulnerabilidades e ameaças.

· Software malicioso interno: uma ameaça que se origina de dentro, seja de sua própria equipe ou de parceiros confiáveis, é frequentemente o mais difícil de detectar e é, portanto, potencialmente o tipo mais perigoso.

· Abuso e uso nefasto de recursos em nuvem: implantações de serviço em nuvem insuficientemente seguras expõem número de riscos, alguns dos quais podem se estender para fora da empresa, como e-mail phishing ou a mineração de cripto moedas.

· Invasão de conta: Isso envolve que os agentes mal-intencionados obtenham o controle de contas e roubem informações, maliciosamente
alterar dados ou redirecionar o tráfego para sites ilegítimos. A confusão resultante e a perda de reputação podem causar danos incalculáveis.

· Ameaças persistentes avançadas (APTs): os APTs são notáveis por sua estratégia de infiltração a longo prazo e muitas vezes lenta seguido por operação a longo prazo, tornando-os particularmente difíceis de detectar. Em muitos casos, danos significativos já foi infligido no momento em que um APT é detectado.

· Gerenciamento de Acesso: Baixa Administração com Identidades, Credenciais. Se as ferramentas para gerenciar e monitorar identidades e acesso estiverem incompletas ou tiverem pontos cegos e buracos, todo o sistema estará vulnerável a ataques, roubo de informações e muito mais.

· Insuficiente Projeto de Planejamento e Segurança: Adicionar novos recursos e processos sem antes executar análises e testes suficientes pode levar a riscos financeiros, legais e comerciais aumentados.

· Interfaces e APIs inseguras: Interfaces e APIs são pontos de entrada em um sistema e, se mal projetados, podem se transformar em falhas na blindagem de segurança. Qualquer fraqueza nesses pontos fornece uma entrada para os agentes mal-intencionados que, em seguida, têm uma capacidade irrestrita de causar estragos.

· Vulnerabilidades nos Sistemas: Bugs no hardware, firmware e software subjacentes, como CPUs, SOs e componentes de terceiros, também podem expor um sistema. Serviços que compartilham dados próximos são particularmente suscetíveis em tal instância.

· Vulnerabilidades de tecnologia compartilhada: falhas na segurança de componentes subjacentes de terceiros ou de código aberto fornecem outros vetores de vulnerabilidade a serem resolvidos. Uma pequena falha pode se tornar uma grande responsabilidade se for explorada para contornar a segurança do sistema.

· Violações de dados: como grandes corporações como Yahoo, Marriott, Target, Equifax e muitas outras podem atestar, uma violação de dados é um grande lapso de segurança. Se a violação é devido a um ataque direcionado, erro humano ou políticas negligentes, custos legais, financeiros e de reputação podem ser astronômicos.

· Perda de dados: nem todos os problemas com dados são roubados: às vezes, ele é perdido devido à exclusão acidental ou a catástrofe física, como fogo, tempestade ou terremoto. Além do alto custo e dificuldade em tentar recuperar dados perdidos, também pode haver continuidade dos negócios e preocupações contratuais.

· Negação de serviço (DoS): Um ataque DoS ocorre quando os recursos do sistema são sobrecarregados por um grande e coordenado afluxo de tráfego. Isso não é novidade, mas a proliferação de recursos de nuvem pode torná-los mais rápidos, mais fortes e potencialmente muito mais caro. Um ataque DOS também coloca a reputação da empresa em risco e pode impactar obrigações contratuais.

A quantidade de exposição a essas questões e a importância relativa de cada uma delas é variável com base nos fatos específicos e circunstâncias de cada caso, mas esta lista serve como um guia prático para garantir que todas as questões sejam abordadas e, mais importante, nenhuma ameaça, vulnerabilidade ou evento é ignorado em sua análise.

Usando as práticas recomendadas do próprio GCP e DevSecOps, é possível criar um sistema que ofereça um nível de segurança mais alto que os sistemas existentes e seja mais flexível e responsivo para atender às necessidades futuras.

Ao aproveitar uma abordagem de segurança em nuvem e implantar métodos de segurança para reduzir o risco além do que era possível em um data center local, você pode aumentar a eficácia da postura de segurança em todas as etapas do processo. Para isso, seguimos uma metodologia que abrange as 11 melhores práticas comprovadas para produzir os resultados desejados.

11 Práticas para Segurança em Nuvem

1 — Tenha objetivos de segurança e conformidade em mente

2 — Foque em “O que defender” ao invés de “Atacar a superfície”

3 — Desenvolva uma visão de “Nada a confiar” e “Verificação contínua” em nuvem

4 — Considere a segurança end-to-end para seu ambiente de nuvem híbrida

5 — Utilize a efetividade de uma rede global

6 — Embrace o máximo a automação de sua infraestrutura

7 — Trate sistemas como não se fossem “animais”

8 — Utilize gerenciamento de nuvem aprimorado

9 — Suba o gerenciamento de identidade como serviço

10 — Utilize regras de segurança proativas e reativas

11 — Pratique exposição à riscos, isolamento e remediação

O monitoramento efetivo é importante na nuvem devido à enorme quantidade de informações sendo geradas.

Agregação, filtragem e classificação de dados monitorados em uma representação intuitiva e autodescritiva na forma de um painel é essencial.

Isso ajuda a direcionar a correção automática eficaz de ameaças e a resposta rápida a riscos expostos.

Usamos o serviço Stackdriver incorporado do GCP para fornecer monitoramento e alertas de picos de recursos e anomalias para que possamos ajudar imediatamente a identificar sistemas e redes comprometidos. Com o Stackdriver, nossos clientes podem agora crie trilhas de auditoria de segurança interna e alertas para saber quem está acessando cada sistema e seja alertado imediatamente de violações.

Dada a quantidade de dados de monitoramento gerados, criamos painéis e visualizações personalizados para equipes de resposta que isolam conjuntos de informações gerenciáveis ​​e acionáveis.

Também estamos implementando o GCP Cloud Security Command Center, um novo produto que agiliza a criação desses ativos. Finalmente, além de auditoria de alterações internas, o serviço de Transparência de Accesso permite que o rastreamento de auditoria no próprio GCP seja isolado e responda a atualizações e alterações.

Para proteger PII Data na nuvem é preciso:

· Estabelecer uma Abordagem para Conformidade Regulatória

· Resolver ameaças que levam ao comprometimento do sistema

· Impedir Eventos que Impactam seu negócio

· Remover vulnerabilidades de endereço que podem deixar seus sistemas expostos

Written by

Exponential intelligence for exponential companies

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store