Escrito por ilegra,
5 minutos de leitura
O que é responsabilidade compartilhada na cibersegurança
Como a responsabilidade compartilhada estabelece critérios de cibersegurança para todos os envolvidos em uma arquitetura cloud.
A adoção da nuvem foi alavancada nos últimos anos e já faz parte da realidade de empresas e usuários em geral. No entanto, uma dúvida continua pairando no ar: a nuvem é segura? Talvez essa não seja a pergunta a ser feita. Quando falamos em cibersegurança e na proteção de dados em nuvem, é importante levar em consideração todos os agentes envolvidos.
Vale destacar que, de acordo com um relatório da consultoria Gartner, até 2025, 99% das falhas de segurança serão de responsabilidade do próprio cliente. Dessa forma, o questionamento a ser feito é: qual é o papel de cada um para garantir a segurança da nuvem?
Mais importante do que encontrar culpados por violações de segurança e possíveis vazamentos de informações, é fundamental entender com clareza quais são as responsabilidades de cada um dos envolvidos na segurança da infraestrutura crítica.
Nesse artigo, você vai saber o que é a responsabilidade compartilhada na segurança da nuvem e quais são os deveres de provedores, clientes, parceiros e usuários dentro desse modelo.
Você também entenderá como empresas e gestores podem aderir ao método e qual é a relação dele com o conceito de Zero Trust na cibersegurança.
O que é responsabilidade compartilhada
Uma das questões mais importantes quando o assunto é segurança na nuvem é entender que, muitas vezes, alguns problemas de vulnerabilidade que podem abrir portas para ataques nem sempre são iniciados por agentes maliciosos externos. Mas, sim, pelo “fogo amigo”. Falhas humanas podem acontecer, principalmente pela falta de entendimento das responsabilidades de cada um dos envolvidos no uso e proteção da nuvem.
É nesse ponto que entra a responsabilidade compartilhada. Nesse modelo, as responsabilidades que devem ser cumpridas pelas partes envolvidas no operacional da infraestrutura são especificadas com toda a clareza necessária.
Em uma estratégia de cibersegurança em nuvem, a responsabilidade compartilhada é fundamental para definir em qual ponto começam e terminam as atribuições do provedor e quando a responsabilidade é do cliente. Entre os agentes participantes, ainda podemos incluir parceiros e usuário.
No modelo com responsabilidade compartilhada, a parte operacional, de gerenciamento e controle dos componentes do sistema, até a proteção da parte física em que o serviço vai operar, ficam ao encargo do provedor.
Já o cliente é responsável pela gestão do sistema operacional, incluindo atualizações de patches de segurança e outros softwares aplicativos, por exemplo.
Veja, agora, de forma mais ampla, em quais situações cada um dos envolvidos deve atuar para manter a segurança da nuvem.
Responsabilidade do Provedor
Dentro da funcionalidade de um ambiente em nuvem, existem diversas camadas de serviço, interação e obrigações. Em uma delas está a infraestrutura física dos centros de processamento de dados (os data centers), que possuem recursos de tolerância de falhas, fornecimento de energia, a própria conexão com a internet, além das manutenções frequentes.
Outra camada abrange serviços que são acessados por meio do painel do usuário, a exemplo do armazenamento, da rede, dos bancos de dados e dos serviços de computação.
Portanto, essas partes de infraestrutura e serviços são de responsabilidade do provedor da nuvem.
Responsabilidade do Parceiro
Algumas responsabilidades até podem ser dirigidas aos clientes; no entanto, elas exigem um conhecimento mais especializado, além da dedicação na execução de tarefas que não fazem parte do negócio final.
Configuração de sistema operacional, atualizações de segurança e políticas de firewall ou o controle de acesso, que definem quais usuários terão acesso em cada parte da aplicação, podem ser geridas por parceiros.
Responsabilidade do Cliente
A implementação do modelo SaaS (software como serviço) aproximou consumidores de tecnologias até então gerenciadas apenas pelas empresas. Agora, em vez de comprar um software e instalá-lo em uma máquina, o cliente pode simplesmente pagar uma mensalidade e utilizar o serviço que estará funcionando em cloud. Essa facilidade gerou, ao mesmo tempo, um compromisso.
No modelo de responsabilidade compartilhada, cabe também ao cliente zelar pela segurança do produto e seus dados. A configuração de senhas, por exemplo, são de incumbência do próprio cliente.
A plataforma de serviços de computação em nuvem AWS faz distinção das responsabilidades usando os termos “segurança da nuvem” (domínio da AWS) e “segurança na nuvem” (domínio do usuário).
Pode-se incluir como parte da responsabilidade compartilhada que cabe ao contratante: estipular os acessos de usuários e manter a autenticidade dos usuários, criptografar dados, garantir proteção ao tráfego das redes. O cliente também terá como responsabilidade estabelecer a periodicidade do backup, além de definir os arquivos que devem receber maior nível de proteção.
Responsabilidade do Usuário
No aspecto geral da responsabilidade compartilhada, não se deve esquecer do usuário da aplicação. Acessar serviços em redes desconhecidas e até mesmo uma VPN maliciosa pode ampliar a vulnerabilidade de um software.
Responsabilidade compartilhada no conceito Zero Trust
Você entendeu agora que o fornecedor (provedor) tem por obrigação, em uma responsabilidade compartilhada, garantir a segurança da camada física da nuvem. Deve proteger computadores, além de evitar que eles sofram quaisquer tipos de indisponibilidades, como falta de energia, por exemplo. E que as configurações devem ficar a cargo do cliente.
O modelo de responsabilidade compartilhada pode se integrar ao conceito zero trust (confiança zero), que basicamente define que não se deve confiar em nada e sempre se deve verificar tudo.
De acordo com a consultoria Gartner, em 2023, 60% das empresas substituirão seus acessos remotos VPN, para a arquitetura de confiança zero (zero trust).
Isso significa que o conceito do zero trust vai funcionar como mecanismo de proteção integrado ao modelo de responsabilidade compartilhada.
Como empresas podem se adequar ao modelo de segurança
Empresas e especialistas da área de cibersegurança terão que reavaliar os caminhos mais seguros para lidarem da melhor maneira com os riscos. Para isso, será importante desenvolver a capacitação, para que gestores e equipes de TI possam tomar decisões de risco de forma descentralizada.
Profissionais devem estar conectados com ferramentas que operam e fornecem implementações e normas bem definidas. Será importante se antecipar ao crescimento de ataque empresarial, aumentando os processos e ferramentas de detecção e solução das ameaças de identidade e integridade digital.
Veja de que forma você pode reforçar os times de TI para evitar lacunas de segurança.