Por Marcelo Zillo, da AWS*

Os serviços da nuvem oferecem capacidades de segurança nativas, e foram construídos com o objetivo de atender aos mais altos padrões de segurança. A segurança é pensada desde o dia zero, pois implementamos o conceito de Segurança por Desenho (Security by Design), permitindo assim que os clientes atendam aos mais altos padrões de segurança, como ISO, PCI, GDPR, LGPD, entre outros.

Benefícios e riscos da computação em nuvem

Apenas a título de curiosidade, a AWS trata mensalmente quadrilhões (isso mesmo, 10ˆ15) de eventos de segurança, o que nos permite gerar inteligência de novos tipos de ameaça virtuais e com isso criar mecanismos de proteção para os nossos clientes em escala global.

Além disso, na nuvem, a empresa não precisa gerenciar servidores físicos ou armazenar dispositivos. Em vez disso, usa ferramentas de segurança baseadas em software para monitorar e proteger o fluxo de informações para dentro e para fora dos recursos da nuvem.

Certamente os avanços são, e precisam ser, constantes, acompanhando o desenvolvimento de novas tecnologias. Essa prioridade é apoiada por um amplo conjunto de ferramentas de segurança em nuvem, com mais de 200 serviços e recursos de conformidade, governança e segurança, que foram lançados ao longo dos anos.

A nuvem é segura?

Apenas como um exemplo, na nuvem é possível implementar modelo de proteção de dados e criptografia no que chamamos de end-to-end, ou seja, o dado pode estar encriptado todo o tempo, com uma chave que é gerenciada e controlada pelo cliente, permitindo assim total controle de acesso aos dados com altos níveis de proteção.

Além disso, a AWS implementa internamente um modelo de segurança by-design, onde a segurança é responsabilidade de todos, ou seja, as equipes responsáveis pelo desenvolvimento de novos serviços também são responsáveis pela segurança do serviço, seguindo os mais altos padrões da indústria.

O termo "computação em nuvem" refere-se à entrega sob demanda de recursos de TI pela Internet com preços pagos de acordo com o uso. Em vez de comprar, manter e gerenciar seus próprios data centers e servidores, as organizações podem adquirir tecnologia, como computação, armazenamento, bancos de dados e outros serviços conforme a necessidade.

É semelhante ao que ocorre quando você acende as luzes de sua casa e a empresa de energia fornece a eletricidade. É muito mais simples para as pessoas físicas também usarem a nuvem em vez de pen drives. Além disso, a nuvem permite que usuários e aplicações acessem os dados de forma segura de qualquer lugar de forma ágil, sem renunciar à segurança, ou seja, a segurança passa a ser um atributo do dado, onde quer que ele esteja. A nuvem também permite que o dado esteja mais disponível e resiliente em casos de ataque, já que disponibiliza mecanismos nativos para garantir a durabilidade e imutabilidade do dado.

Existem cinco motivos pelos quais as empresas estão migrando tão rapidamente para a nuvem:

1. A agilidade que permite que os clientes acionem rapidamente os recursos conforme a necessidade;
2. Economia de custos, uma vez que paga-se pelo que é usado apenas;
3. A elasticidade, de modo que, agora, os clientes podem provisionar a quantidade de recursos de que realmente precisam, aumentando ou diminuindo instantaneamente de acordo com as necessidades de seus negócios – pense na alta demanda criada em um e-commerce na Black Friday, por exemplo, ou em um empresa de ingressos no início das vendas para um show disputado.
4. A  nuvem permite que os clientes inovem com mais rapidez porque eles podem concentrar seus recursos de TI em algo que diferencie seus negócios e transforme as experiências dos seus próprios clientes.
5. A nuvem permite que os clientes implantem a tecnologia em minutos em qualquer lugar do mundo.

Quando olhamos para a segurança, além dos itens que já citamos, temos uma questão de escala. A escala da AWS permite um investimento significativamente maior em políticas de segurança do que quase qualquer grande empresa global poderia se permitir sozinha.

Em segurança cibernética em geral, é preciso unir três pontas: pessoas, processos e tecnologia e garantir que a também que a cibersegurança seja um princípio enraizado na cultura organizacional. Segurança deve ser responsabilidade de todos.

Por exemplo, todos os usuários precisam ser capacitados para evitar serem vítimas de phishing ao clicar em um e-mail duvidoso, por exemplo; os processos precisam ser bem definidos e a tecnologia deve ser a mais adequada para cada ferramenta, além de estar sempre atualizada.

Quando olhamos para o tipo de ameaça, vemos que o ransomware (sequestro de dados) tornou-se um dos riscos mais relevantes à segurança cibernética global, não apenas devido à sua versatilidade e capacidade de ação, mas também pela sua expansão e impactos, tanto financeiros como reputacionais. Segundo análises de empresas especializadas, até 2031, um ataque de ransomware atingirá uma empresa, consumidor ou dispositivo a cada dois segundos, acima da estimativa de 11 segundos em 2021.

De acordo com o Fórum Econômico Mundial (FEM), atualmente o cibercrime gera um impacto de $8 trilhões de dólares, podendo chegar a $10, 5 trilhões de dólares em 2025, ocupando assim o terceiro lugar como maior economia do mundo, atrás apenas dos Estados Unidos ($25, 3 trilhões) e China ( $19,9 trilhões de dólares).

Como proteger seus dados na nuvem

Para apoiar ainda mais nossos clientes, a AWS produziu um guia de boas práticas em colaboração com a Organização dos Estados Americanos (OEA), e vem realizando workshops com servidores públicos do Brasil e de outros países da América Latina para auxiliá-los em suas estratégias de segurança cibernética.

Também podemos dizer que existem vantagens rápidas que devem ser consideradas, pois o básico precisa ser bem-feito, o que chamamos de higiene cibernética. Com base na nossa experiência ajudando clientes em todo o mundo a implementarem ambientes seguros na nuvem podemos definir como controles básicos e fundamentais:

1. O uso de segundo fator de autenticação (MFA) com o objetivo de proteger as identidades digitais de usuários e clientes é primordial.

2. Implementar uma estratégia ágil de correção de vulnerabilidades conhecidas de forma constante.

3. Adotar medidas de proteção especiais para usuários com acessos administrativos a ambientes tecnológicos e para usuários com acesso a dados sensíveis.

4. Implementar criptografia em escala (end-to-end), protegendo o dado em todo o seu ciclo de vida.

5. Treinar constantemente os usuários em todos os níveis organizacionais, criando uma cultura de segurança onde a responsabilidade é de todos. Tratando o tema de forma prioritária e estratégica desde a alta gestão, cascateando para todas as demais áreas e níveis hierárquicos.

6. Implementar uma estratégia de segurança focada não somente na prevenção, mas também na detecção e resposta a ataques cibernéticos, criando um ambiente resiliente.

O setor financeiro foi um dos primeiros a adotar a nuvem, começando pelas fintechs. Nubank, Inter, C6, BTG Pactual e Itaú Unibanco são alguns dos clientes da AWS no Brasil. Os principais motivos para essas instituições usarem a nuvem são flexibilidade, escalabilidade, segurança e ótimo custo-benefício.

A economia média de mover cargas de trabalho para a nuvem varia entre 20% e 31%. Permitir que as organizações realizem mais enquanto reduzem os custos é fundamental para a forma como pensamos sobre o desenvolvimento de produtos. A nuvem também favorece a inovação, pois há maior agilidade e segurança para testar novos processos. Assim, serviços podem ser lançados mais rapidamente em um mercado altamente competitivo.

*Marcelo Zillo é líder de segurança LatAm da Amazon Web Services (AWS).