Deena Thomchick
Aplicações Cloud são fantásticas para a produtividade e fáceis de usar, mas precisa de estar atento aos riscos de segurança que vêm com elas. Bem-vindo à Geração Cloud. Aqui estão cinco coisas para o ajudar a proteger a sua organização sem fins lucrativos.
Passo 1: Faça um Inventário das Aplicações da Cloud
Qualquer serviço cloud que processe ou guarde dados para si, mesmo um simples conversor PDF na web, conta com uma aplicação cloud. Saber que aplicações cloud os seus funcionários utilizam é um primeiro passo chave para a segurança e conformidade da cloud. Cada organização subestima o número de aplicações cloud que usa.
Uma grande organização deve registá-las completamente usando ferramentas CASB (do inglês Cloud Access Security Broker, que significa Agente de Segurança de Acesso à Cloud). Pequenas organizações que não possuem os recursos de TI para usar CASB podem questionar os seus funcionários e voluntários para descobrir que aplicações são utilizadas.
Passo 2: Evite Erros de Partilha de Ficheiros
No último Relatório de Dados de Sombra, a Symantec descobriu que 29% dos emails e anexos e 13% de todos os ficheiros armazenados na cloud são amplamente partilhados e correm risco de se tornarem públicos.
Aqui está um típico exemplo: Um funcionário cria uma conta Microsoft Office 365, Google Drive, Box ou Dropbox. Em seguida, o funcionário carrega um ficheiro com dados confidenciais e partilha o link com alguém de fora da organização que não possui uma conta nesse serviço de partilha de ficheiros. Assim, o serviço da cloud oferece um link que será acessível por qualquer pessoa que o tenha. Em seguida, o funcionário envia esse link para um parceiro ou fornecedor ou para quem ele acha que precisa dos dados.
Apesar deste cenário parecer ser inofensivo, esse link é um link público e pode ser uma ameaça de segurança para a sua organização. O link de acesso ao ficheiro pode ser descoberto por um navegador web que procura por certos termos. Forasteiros maliciosos fazem isto frequentemente, na procura de descobertas fáceis sobre uma empresa. É importante treinar os funcionários a não deixarem ficheiros regularmente na cloud por mais tempo do que o absolutamente necessário.
Seja cuidadoso com ficheiros que contêm informação confidencial. As organizações podem implementar algumas técnicas simples tais como etiquetar qualquer ficheiro que contenha informação confidencial com as palavras "confidencial" ou "privado" no nome do ficheiro. Podem também usar uma marca de água "confidencial" no ficheiro para tornar óbvio para todos que o usem que se trata de informação confidencial.
Passo 3: Identifique Funcionários de Alto Risco
Funcionários de alto risco tem várias características, algumas virtuais e outras físicas. Um funcionário de alto risco usa a mesma senha para todas as suas contas. Um funcionário de alto risco move dados confidenciais do sistema da organização para as suas contas de email pessoais para trabalhar em casa ou enquanto viaja. Um funcionário de alto risco não bloqueia o seu computador ou dispositivo móvel com uma senha e deixa o seu dispositivo aberto quando vai embora.
Quando lidam com funcionários de alto risco, grandes organizações podem usar a tecnologia CASB para prevenir exposições de dados, controlar acesso e partilha, e monitorizar ações de alto risco. Mesmo organizações pequenas sem recursos de TI podem usar capacidades de segurança embutidas que vêm com aplicações cloud como Microsoft Office 365, Google G Suite, Box e Dropbox. Certifique-se que também ensina os seus utilizadores sobre o que são comportamentos de baixo risco contra alto risco – organizações de qualquer dimensão podem fazer isto.
Para as suas aplicações da cloud oficiais, certifique-se que os funcionários usam contas dedicadas à organização, em vez de misturarem contas pessoais e profissionais. Torne fácil para os seus funcionários manterem acesso remoto. Se quiser que acedam a dados privados em sistemas que pode gerir em vez de usarem as suas contas pessoais que não pode controlar.
Por fim, obtenha uma solução de gestão de identidade e autenticação de múltiplos fatores. Se é uma organização pequena, pode pelo menos fazer com que toda a gente use um programa de gestão de senhas. Pode ter já esta capacidade na sua proteção de endpoint, mas se não tem, há produtos de consumidor baratos disponíveis para isto.
Passo 4: Cuidado com Maus Atores
Logins que são facilmente adivinhados ou dados de login inseguros ajuda hackers e malware a aceder às aplicações da cloud para obter acesso a dados confidenciais. Um funcionário ou voluntário descontente pode divulgar dados sensíveis, descarregar malware, enviar informação confidencial, ou eliminar dados antes de deixar uma organização.
O que pode fazer acerca de maus atores? Pode proteger os seus endpoints contra malware, desta forma a infeção não afeta o seu grupo de utilizadores ou outros sistemas. Pode ordenar que utilizem senhas fortes e alterações trimestrais automáticas. Apenas isto pode manter um infiltrado malicioso longe das suas contas depois de ir embora para um concorrente.
Tire vantagem da autenticação de múltiplos fatores onde quer que possa. E por fim, garanta que há uma lista de padrões quando funcionários e voluntários em cada função vão embora para que retire o acesso e elimine dados.
Passo 5: Fique Alerta em relação à Violação de Dados
Vê artigos nas notícias todos os dias sobre fornecedores de aplicações cloud que sofreram violações. Se um dos serviços cloud da sua organização aparecer nas notícias, ele deve enviar-lhe um email ou notificação sobre os seus dados. Isto é especialmente verdade se os seus dados tiverem sido comprometidos.
Se uma das suas aplicações cloud for atacada, notifique todos os funcionários e peça para alterarem as senhas para essa aplicação imediatamente. Depois disso, veja que dados a sua organização tem na aplicação cloud e pergunte se seria um problema se esses dados fossem expostos.
Se tem dados confidenciais envolvidos numa dessas grandes violações e esses dados pertencem aos seus clientes, patrocinadores, ou constituintes, pode ser obrigado a notificá-los. Envolva os membros da sua equipa legal ou de segurança de TI neste assunto, antes de enviar notificações, e peça-lhes conselhos.
Depois de ter feito isto, deve avaliar se pretende continuar a usar esta aplicação da cloud. Poderá haver uma aplicação da cloud mais segura que desempenha as mesmas funções para si.
As aplicações da cloud melhoram o seu fluxo de trabalho, reduzem os gastos, e tornam a organização mais eficiente. No entanto, é importante estar consciente dos riscos, informe-se sobre as suas opções em monitorizar e planeie as suas respostas.