Hoje, trinta anos após Tim Berners-Lee criar a World Wide Web (www), as pessoas querem saber a opinião do "pai da web" sobre as oportunidades, ameaças e o futuro da internet. Em uma das respostas, Berners-Lee comentou que "considerando o quanto a web mudou ao longo desses anos, é pessimismo pensar que a web que conhecemos atualmente não pode ser melhorada nas próximas três décadas".
Detalhes sobre essas mudanças ainda são desconhecidos, mas algumas são evidentes e já causam impactos nos negócios. Os serviços na nuvem, por exemplo, representam atualmente 85% de todo o tráfego empresarial da Internet, de acordo com o mais recente Netskope Cloud Report – incluindo nessa categoria Google Apps, Microsoft Office 365, Facebook, Twitter e Youtube.
Pode parecer amplo, mas esse é um grupo de serviços que deve ser considerado como um todo, já que quando executamos esses serviços na nuvem os padrões de uso são completamente diferentes da web tradicional, o que consequentemente eleva os riscos para as empresas.
Riscos internos
Os serviços na nuvem são bidirecionais. Isso significa que, ao contrário dos dados na web tradicional que ficam restritos ao tráfego de entrada, os dados armazenados na nuvem também podem sair de uma empresa e circular pela internet.
Durante muitos anos, as equipes de cibersegurança se concentraram na redução dos riscos de tráfego de entrada na web, que atualmente representa apenas 15% de todo o tráfego, sobretudo nos três principais: violações de políticas a níveis aceitáveis, violações por meio de sites maliciosos e detecção de malware. É importante ressaltar que, de acordo o relatório da Netskope, as ameaças internas estão em terceiro lugar – detecção de malware –, enquanto as duas primeiras são causadas por comportamento dos usuários. Quando são analisadas as violações no tráfego de cloud, as três principais são causadas por mau uso, e o primeiro lugar fica com violações de Prevenção de Perda de Dados (DLP).
Vamos falar sobre DLP
O termo Prevenção de Perda de Dados soa um pouco assustador no vocabulário corporativo, mas, por outro lado, a proteção aplicada aos dados de forma interna, não tem a mesma atenção dos riscos externos, como ciberataques. Mas fato é que a adoção dos serviços multidirecionais na nuvem, o aumento exponencial de volume de dados e novas regulamentações, como a LGPD no Brasil, tornaram o gerenciamento e a proteção muito mais complexos. Dessa forma, nesse novo cenário compreende-se que o maior risco não é mais receber ameaças externas – o desafio é impedir que os dados internos vazem da rede corporativa.
Algumas medidas podem ser tomadas para impedir que os usuários movam ou compartilhem dados externamente a partir de um ambiente controlado, de prioridade da empresa. Com soluções Cloud Access Security Broker (CASB), por exemplo, combinar e estabelecer políticas de segurança à medida que os recursos são acessados na nuvem.
Mas, de qualquer forma, a maior preocupação das empresas atualmente é com a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto de 2020. Baseada na regulamentação europeia (GDPR), as organizações brasileiras estão correndo contra o tempo, traçando estratégias e planejando investimentos para manter o compliance – e o principal para alcançarem esse objetivo é a capacidade de controlar totalmente o acesso e as movimentações dos dados dentro e fora da nuvem.
O futuro da internet
No aniversário de 30 anos da Internet, a World Wide Web Foundation reconheceu os desafios enfrentados atualmente com o uso e regulamentação. Com base nisso, a organização está desenvolvendo uma espécie de "Contrato da Web", um código de conduta com nove princípios básicos, dos quais dois são dedicados ao direito de privacidade. O documento ainda está em desenvolvimento, mas fato é que, antes de considerar quais melhorias são necessárias para a internet nas próximas décadas, é fundamental reconhecer que os serviços na nuvem continuarão a dominar o tráfego, exigindo que a proteção de dados seja ampliada e permaneça no topo da lista de prioridades de segurança. E, pelo bem coletivo, cabe a todos a responsabilidade sobre políticas e práticas, tanto de uso quanto de gerenciamento, para manter o controle e a segurança dos dados.
Neil Thacker, CISO para EMEA na Netskope.