“Atualmente, os ciberataques estão se tornando mais rápidos e sofisticados, por isso, a automação é obrigatória na identificação, resposta e correção de ameaças. Na nuvem é ainda mais crítico, dado a sua natureza mutável”, diz Fernando de Falchi, gerente de Engenharia de Segurança da Check Point Brasil. “Possuir um programa de Postura e Compliance é essencial para aumentar a segurança, ficar aderente às normas e/ou melhores práticas necessárias para seu negócio, avaliar os riscos e as medidas de correções, ou seja, um diferencial na garantia de segurança de sua infraestrutura em nuvem e, consequentemente, de seus clientes”, acrescenta Falchi.

Embora a conformidade e postura de segurança em nuvem, sozinha, não seja uma garantia de proteção nesses ambientes, trata-se de um apoio para manter o foco na estratégia de cibersegurança. Os especialistas da Check Point apontam as principais etapas para implementar com êxito qualquer programa de conformidade e postura em nuvem:

1. Obtenha visibilidade dos ativos: somente o que é conhecido e mantido pode ser protegido. Com a nuvem, os recursos digitalizados são seus ativos, portanto, é essencial que todos os sistemas sejam adequadamente organizados e adaptados para a evolução futura. Para muitas empresas, o monitoramento e o controle de seus produtos também são uma maneira de obter mais rentabilidade. Dessa forma, a automação das operações na nuvem permite o inventário e a configuração dos diferentes elementos dos produtos.
2. Escolha do sistema de conformidade apropriado: Os programas de conformidade devem ser escolhidos com base nas diferentes necessidades do mercado e da indústria. No caso de empresas para as quais não existem padrões regulatórios específicos, as necessidades de sua base de clientes podem servir como um guia para a escolha, pois podem procurar fornecedores que atendam aos padrões adequados ao seu próprio setor. A escolha de padrões comuns, como CIS ou NIST, é um excelente ponto de partida.
3. Avaliação inicial, exceções e personalização: Ao analisar qualquer programa de conformidade, vale a pena examinar como outros aplicaram determinadas soluções para atender a seus requisitos. Por exemplo, as estruturas PCI mostram a necessidade de componentes específicos do sistema de dados do titular do cartão (em vez de toda a rede ou sistema interconectado) para receber o mais alto grau de proteção. Isso resulta na segmentação e isolamento de partes do sistema para isolar os controles de conformidade apenas para sistemas e dados em um determinado escopo. A adaptação de um sistema para atender aos requisitos de conformidade pode levar a economias e maior eficiência.
4. Monitoramento, frequência de avaliações contínuas, integração com o fluxo de trabalho: a maioria dos programas de conformidade possui controles que devem estar sempre operacionais, por isso é necessário monitorá-los continuamente. Para facilitar o atendimento desses requisitos, muitas empresas usam ferramentas que automatizam o fluxo de trabalho e garantem a eficiência de seus sistemas. Isso pode ser tão simples quanto automatizar funções de segurança, por exemplo, adicionar ou remover usuários ou ações mais complexas, como combinar o processamento de pedidos com confirmações de vários sistemas para garantir precisão, privacidade e confidencialidade.
5. Reparo automatizado: os sistemas que operam na nuvem são mais complexos que os modelos tradicionais. Controles de alta complexidade, como sistemas de alto volume e detecção de vulnerabilidades, são executados automaticamente para aumentar a eficiência. No entanto, é importante ter cuidado com a automação das atividades de acompanhamento, especialmente no caso de falsos positivos, pois isso pode levar a falhas de segurança em larga escala.
6. Relatórios e auditorias: A implementação da tecnologia em nuvem deve ser acompanhada por um sistema ou ferramenta que permita acompanhar tudo o que acontece e, portanto, gerar relatórios periódicos que ajudem a avaliar o desempenho de todos os elementos regulamentados. Eles fazem parte da estratégia de cibersegurança na nuvem. Dessa maneira, pontos fracos podem ser analisados e medidas corretivas funcionam.

Conforme o segmento de nuvem cresce, a eficácia dos programas de conformidade tem sido afetada. Portanto, é essencial ter soluções tecnológicas que facilitem alguns dos desafios da segurança na nuvem. Para isto, a Check Point possui o CloudGuard, uma solução abrangente que oferece medidas proativas de proteção para dados, cargas de trabalho, redes e aplicativos em nuvem. Com o auxílio da arquitetura Infinity da Check Point, o CloudGuard oferece inteligência e segurança compartilhadas para a prevenção de ameaças avançadas, a fim de proteger todos os serviços na nuvem do cliente contra os ciberataques mais sofisticados de próxima geração.