Quando uma empresa decide adotar a computação nuvem, o caminho mais simples, em vez de migrar uma aplicação já existente, é reconstrui-la no ecossistema da internet. O risco de ataques é iminente e as ameaças à segurança têm sido o argumento usado por muitas companhias para protelar a migração de seus aplicativos para a nuvem. Além disso, nem todos executivos estão cientes do risco existente na fase de testes do projeto.
O alerta é da diretora geral de risco da IBM, Kristin Lovejoy. Segundo ela, os desenvolvedores de aplicações corporativas na nuvem usam componentes obtidos em lojas virtuais específicas. “Em vez de construir uma aplicação de um projeto, o que eles realmente fazem é montar pedaços pré-construídos de código para chegar a uma aplicação”, explica. Como invasores têm o completo entendimento desse procedimento, a abordagem para um ataque é simples: cerca de 15 minutos, afirma a executiva.
As invasões, segundo Kristin, são colocadas em prática não na aplicação final, mas na fase de testes. “Os hackers possuem IPs variáveis e recebem alertas cada vez que um código conhecido é utilizado em um teste. Com isso, conseguem identificar o funcionamento de uma aplicação e infectá-la antes mesmo de ser implementada”, diz. “Ocorrem 60% mais incidentes em ecossistemas na nuvem na comparação com o método tradicional”, argumenta.
Isso não tem nada a ver com a segurança do provedor de nuvem, porque são os clientes que detém o desenvolvimento das aplicações infectadas, ressalta Kristin. “Nunca vemos ataques ao provedores de nuvem, pois as empresas que prestam este serviço são especialistas e sabem exatamente o que está acontecendo nos ambientes gerenciados, nos quais há complexos sistemas de segurança”, defende a especialista. O erro incorre, em grande parte das vezes, em falhas humanas responsáveis pela construção da aplicação.
Ela exemplifica ferramentas colocadas à disposição de equipes fora do departamento de TI, como áreas de design e marketing. “Programação, código, segurança, tudo isso não faz parte do dia-a-dia desses trabalhadores. A tecnologia facilita o trabalho deles com diversas opções de widgets e interfaces amigáveis, mas eles não foram criados cientes de todos os riscos”, explica Kristin. Por isso, para ela, a contratação de sistemas de proteção é essencial – com ênfase na etapa de testes, antes de o aplicativo de fato iniciar o acesso ao sistema da companhia.
Kristin defende a contratação de pacotes de segurança antes do desenvolvimento de uma aplicação. “São ferramentas já disponíveis no mercado, terceirizadas, que garantem a qualidade de proteção necessária”, expõe. Ela lembra que, assim como no desenvolvimento de aplicações tradicionais, de 5% a 10% do custo do projeto deve ser direcionado para segurança – cuidado nem sempre tomado pelos gerentes ao implementar ecossistemas na nuvem. “Como o custo da nuvem é bem inferior pela inexistência de compra de hardware, obviamente o gasto com a segurança também será inferior”, afirma.
Além disso, mesmo falhas de segurança não terem sido causadas diretamente pelos provedores de nuvem, Kristen defende a política da IBM, para a qual é obrigação desses provedores identificar ameaças e interrompê-las imediatamente. “Principalmente porque algumas brechas encontradas são utilizadas para atacar sistemas de outras companhias, não necessariamente onde foi encontrado o malware”, conta.