PMEs: Como avaliar e mitigar os riscos de segurança na nuvem?
O rápido crescimento das soluções em nuvem forneceu novas oportunidades para proprietários de pequenas e médias empresas, mas essas oportunidades vêm acompanhadas de desafios de segurança. As soluções em nuvem permitem que as empresas implementem ideias de negócios com economias de escala a um custo menor e com uma equipe mínima. As tecnologias de nuvem oferecem muitas opções para infraestrutura, operações e segurança. Para proteger dados críticos de negócios, empresas de todos os tamanhos que usam a nuvem precisam avaliar seus riscos de cibersegurança e desenvolver um plano para resolvê-los.
Mas, à medida que estas soluções se popularizam, os hackers passam a ter uma base de usuários em expansão para roubos de dados e financeiros. As PMEs agora enfrentam riscos de segurança semelhantes às empresas com mais recursos para lidar com esses riscos. Pesquisa recente da Ponemon indica que 63% das pequenas e médias empresas já sofreram uma violação de dados ou um ciberataque. Hoje, boa parte dos ataques de spear phishing são direcionados a pequenas e médias empresas.
Os hackers sempre procuram o elo mais fraco na infraestrutura de seu alvo. A nuvem e o software baseado em nuvem nos permitem compartilhar informações de forma transparente e global, mas essa interdependência cria várias vulnerabilidades. A conectividade global exige que as PMEs entendam a melhor tecnologia de nuvem a ser usada, seus pontos fracos de segurança e os regulamentos de conformidade que devem cumprir.
As multas de LGPD podem ser uma sentença de morte e levar a empresa à falência. Ao contrário das grandes empresas, as PMEs têm menos recursos para responder de forma eficaz às violações de dados. Uma companhia que sofre uma violação de dados pode prejudicar permanentemente sua reputação aos olhos do mercado, não importa quão bons sejam seus produtos e serviços.
Segurança e privacidade não são fatores tão complicados. Entender os riscos da companhia possibilita alocar melhor o orçamento de segurança. Empregar uma abordagem de segurança centrada em dados é crucial. Algumas etapas simples para proteger a infraestrutura de nuvem são:
- Identificar seus fluxos de dados e documentar casos de uso de negócios que podem criar um risco;
- Fazer um inventário e documentar as localizações de todos os dados confidenciais;
- Fazer um inventário de todo o ambiente de tecnologia (hardware, software, dispositivos);
- Revisar e centralizar todos os contratos com fornecedores e organizações de suporte;
- Educar os colaboradores sobre segurança de dados e políticas de risco com treinamentos contínuos à medida que novos riscos surgem;
- Gerenciar e monitorar o acesso a dados confidenciais na nuvem;
- Desenvolver um plano de continuidade de negócios, bem como processos de recuperação na nuvem;
A resposta a incidentes é um aspecto fundamental do gerenciamento de riscos e da resposta a eventos no ambiente de nuvem/híbrido. É muito importante seguir estes passos acima para priorizar como e onde a companhia de concentra no risco de cibersegurança. Classificar os riscos com base na criticidade para o negócio e nos padrões gerais relevantes para o mesmo. Os gestores devem concentrar-se tanto na prevenção quanto na detecção e na continuidade dos negócios.