O setor público investe cada vez mais em tecnologia para automatizar os processos e otimizar os serviços prestados à população. Segundo o Gartner, os investimentos dos governos em TI devem crescer 6,5% em 2022, atingindo 557,3 bilhões de dólares no mundo. Mas, se por um lado comemoramos a tendência crescente, a falta de compreensão dos líderes e equipes ainda torna essa jornada muito complexa.
Para o setor, a LGPD ainda é uma novidade cheia de dúvidas, que exige uma mudança cultural na forma como as organizações interagem e protegem os dados. Este tema está em destaque nas discussões da Autoridade Nacional de Proteção dos Dados (ANPD), responsável por fiscalizar a regulamentação no Brasil. Um exemplo é o próprio Banco Central, que ainda não se adaptou totalmente às novas regras, de acordo com o relatório divulgado em fevereiro deste ano. A justificativa é que ao menos 35% das normas que ainda não foram adotadas poderiam gerar impactos altos ou muito altos à autoridade monetária.
O grande desafio é atingir o equilíbrio entre o direito das empresas de utilizar os dados e garantir o direito de privacidade dos clientes. Uma pesquisa recente da Netskope com a GovLoop com funcionários de governos federais e estaduais dos EUA aponta que cerca de 42% dos entrevistados afirmam estar conscientes dos riscos de segurança na nuvem, enquanto 26% tem pouca ou nenhuma consciência, e cerca de 32% se encaixam no meio termo.
A segurança na nuvem ainda está iniciando no setor público, mas com a adoção de novas tecnologias impulsionada pelo trabalho remoto surgiu também a necessidade alarmante para que essas organizações comecem a colocar em prática as medidas de segurança e mudar a forma como lidam com pessoas, processos e tecnologias.
Os riscos de segurança na nuvem no setor público aumentam devido a:
Mudanças constantes nas ameaças e técnicas, com ciberataques patrocinados por governos ao redor do globo e a sofisticação dos criminosos que continuam ampliando seus recursos e habilidades;
Falha humana, incluindo configurações incorretas. Esse ainda é um dos principais fatores que contribuem para os incidentes cibernéticos;
Dependência excessiva de uma ampla variedade de fornecedores de tecnologia, que muitas vezes são limitados no que suas ferramentas específicas podem fazer para evitar o vazamento de dados confidenciais, controlar o comportamento arriscado do usuário e outras práticas que cabem à empresa pública como parte de um modelo de responsabilidade compartilhada.
Esses fatores têm dois pontos em comum: visibilidade e controle. E uma das maiores lacunas de visibilidade está no uso da Shadow IT, um enorme desafio para qualquer organização, quer saibam disso ou não. A Shadow IT, que significa hardware, software ou serviços em uso por funcionários sem a aprovação do departamento de TI, é responsável por até 97% de todos os aplicativos em nuvem em uso pelas organizações. Os entrevistados da pesquisa indicaram de forma esmagadora que suas empresas não tinham visibilidade completa dos aplicativos de TI. A perda de visibilidade e controle, ou a falta total deles, deixa os ambientes abertos a muitas vulnerabilidades, incluindo perda de dados. Por exemplo, se um funcionário enviar por e-mail dados de um aplicativo de Shadow IT para alguém de fora da empresa, acaba tornando esses dados públicos. Ou, se um funcionário usa sua própria instância privada do Office 365 em vez de uma versão autorizada pela TI, abre um caminho para que os dados sejam compartilhados entre essas instâncias.
A Shadow IT também se torna um obstáculo quando se trata de compliance, e consome custo e tempo de trabalho se os riscos de segurança deixarem as empresas sujeitas a multas, custos de correção de segurança ou desperdício significativo em despesas operacionais em aplicativos autorizados que os funcionários simplesmente não usam.
A Abordagem Certa
A pandemia forçou o setor público a adotar o trabalho remoto centrado na nuvem com mais rapidez do que o planejado. Dessa forma, as tecnologias mais antigas, como redes privadas virtuais e web gateways tradicionais de segurança, não fornecem o tipo de visibilidade granular e o controle necessários para enfrentar a Shadow IT e outros riscos na nuvem. A adoção de uma arquitetura SASE, na qual o CASB (corretor de segurança de acesso à nuvem), o web gateway seguro de última geração e os recursos de acesso à rede baseados em Zero Trust estão na frente e no centro, é a recomendação durante a transição contínua para a nuvem.
E tão importante quanto qualquer outra decisão de arquitetura é manter a estratégia centrada nos dados. Uma abordagem centrada em dados para a cibersegurança ajuda a melhorar a visibilidade geral e o controle do ambiente de TI, e deve incluir:
Verificação para garantir que o dispositivo de um usuário está autorizado a acessar recursos de rede;
Autenticação do usuário para limitar os recursos que os usuários podem acessar;
Validação de permissão para acessar aplicativos individuais ou conjuntos de dados;
Verificação da identidade dos usuários cada vez que acessam aplicativos individuais ou conjuntos de dados.
A proteção de dados é totalmente relacionada ao contexto, que é o que conecta os quatro requisitos listados acima usando princípios de Zero Trust. Ao monitorar o tráfego entre o usuário e os aplicativos, as equipes podem permitir e bloquear o acesso aos dados com base em um entendimento profundo de quem é o usuário, o que está tentando fazer e por que está tentando fazer. O conhecimento da interação entre usuário, dispositivo, aplicativo e dados permite que as equipes de segurança definam e apliquem controles de acesso condicional com base na sensibilidade dos dados, riscos da aplicação e do comportamento do usuário e outros fatores. E é essa combinação que deve estar na agenda dos tomadores de decisão do setor público para garantir que todo o investimento atual e futuro em tecnologia seja eficiente e seguro para a população.
Marlos Steffen, regional sales manager da Netskope.