DÊ OS PASSOS CERTOS RUMO À NUVEM PÚBLICA

A Mckinsey realizou uma pesquisa para identificar as melhores práticas de segurança da nuvem pública. O levantamento ouviu executivos de segurança cibernética de quase 100 empresas e constatou, por exemplo, que cerca de 40% das empresas estão usando controles de segurança existentes na rede local, mas isso diminuirá, com apenas 13% esperando usar a mesma abordagem em três anos.

A maioria (65%) define padrões de configuração de segurança para aplicativos baseados em nuvem e 64% usam ferramentas SIEM existentes para monitorar aplicativos em nuvem.  O relatório indica 10 passos a serem seguidos para garantir a segurança da nuvem pública. Saiba quais são eles:

Decida quais cargas de trabalho devem migrar para a nuvem pública.
Muitas organizações escolhem iniciar a migração por aplicações menos sensíveis e em ambientes controlados, como ambientes de teste e desenvolvimento. Aí tentam burlar a segurança do sistema até estarem satisfeitas com a proteção do serviço contratado.

Identifique pelo menos um CSP capaz de fornecer requisitos de segurança para as cargas de trabalho.
As empresas podem escolher vários fornecedores para diferentes cargas de trabalho, mas essas seleções devem ser consistente com os objetivos das estratégias gerais de nuvem.

Atribua um arquétipo de segurança para cada carga de trabalho.
Tome como base a facilidade de migração, postura de segurança, considerações de custo e experiência interna.

Para cada carga de trabalho, determine o nível de segurança para cada uma das oito áreas de controle.
Por exemplo, as empresas devem determine se o IAM deve usar um único fator autenticação, autenticação multifatorial ou uma abordagem mais avançada, como autenticação com base na análise de comportamentais.

Decida quais soluções usar para cada uma das oito áreas de controle.
Considerando a capacidades do CSP (ou CSPs) identificadas para cada carga de trabalho, as empresas podem determinar se usarão soluções de segurança on-prenise, fornecidas pelos provedores de serviços de cloud ou soluções de terceiros. Ou ainda se irá combiná-las.

Trabalhe em estreita colaboração com o CSP para implementar o controles necessários e integrá-los com outras soluções existentes.
Isso exige que as empresas tenham uma compreensão completa dos recursos de segurança disponibilizados pelo CSP e dos processos de execução de segurança. Os CSPs precisam ser transparentes sobre esses aspectos de suas ofertas.

Procure saber se cada controle pode ser padronizado e automatizado.
Isso envolve analisar o conjunto completo de controles decidir quais padronizar e quais para automatizar.

Priorize o primeiro conjunto de controles a implementar.
Os controles podem ser priorizados de acordo com sua importância para as aplicações que estão sendo migradas para o ambiente de nuvem pública.

Implemente os controles e o modelo de governança.
Para controles que possam ser padronizados, mas não automatizado, as empresas podem desenvolver listas de verificação e treinar desenvolvedores sobre como segui-los. Para controles que podem ser padronizados e automatizados, as empresas podem criar rotinas para implementar os controles e fazer cumprir a padronização usando uma abordagem DevSecOps.

Use a experiência adquirida.
Para escolher já na primeira onda de implantação, o próximo grupo de controles a implementar.

FONTE: http://www.convergenciadigital.com.br/cgi/cgilua.exe/sys/start.htm?UserActiveTemplate=site&infoid=47390&sid=97