“Minha aplicação está segura pois roda na nuvem. Quem faz a segurança é o meu fornecedor de cloud”. Não, senhor! Toda vez que ouço isso meus ouvidos reagem como um arranhar agudo de um disco de vinil. Poucas coisas ajudam tanto um incidente de cibersegurança acontecer como uma ilusão de segurança sustentando uma autoconfiança que não deveria existir. Venha que eu te explico.

Quando você aluga um carro numa viagem, quem é responsável pela segurança do carro, você ou a locadora? Se você dirigir de forma imprudente, vai se envolver em um acidente. Se estacionar o carro com os vidros abertos, vai ser vítima de furto. Em ambos incidentes a responsabilidade é do cliente, não do fornecedor, do locador.

O papel do fornecedor de nuvem é tão somente prover o hardware para que sua aplicação rode. Por mais que Amazon, Google, Microsoft, Oracle, IBM sejam empresas bastante experientes, não é papel delas saber se tem algum login admin com senha 1234 em sua aplicação.

Estar na nuvem não torna sua aplicação mais segura, não te protege contra invasões, DDoS, defacement, vazamento de dados e ransomware. Cibersegurança não acontece por acidente, por efeito colateral de uma outra ação principal como, por exemplo, estar na nuvem. É um ato intencional, que exige esforço, emprego de orçamento específico para este fim e mão-de-obra especializada, seja interna, seja terceirizada.

Você, gestor de uma organização que me leu até aqui, pergunte ao seu par de TI: – “O que garante a cibersegurança de nosso ERP, nossos e-mails, nossos backups, nossa aplicação na nuvem?” –

Se a resposta for demorada ou confusa, ou pior, for “a nuvem”, comece a se preocupar. Melhor perder o sono por alguns dias e resolver essa vulnerabilidade do que perder a empresa toda depois.

 

 

Por: Thiago Ayub

Diretor de Tecnologia na Sage Networks