Redes empresariais apresentam novos riscos, alerta ex-hacker
A segurança da informação tem sido um dos pontos mais questionados quando se trata do modelo de ‘computação na nuvem’. Como garantir que os dados distribuídos em uma rede virtual e acessíveis de qualquer lugar não caiam nas mãos de cibercriminosos? Na visão do ex-hacker e consultor de segurança Kevin Mitnick tudo “depende do que você está fazendo para reduzir o risco”.
Conhecido mundialmente no fim da década de 90 após ter sido preso por derrubar redes de grandes corporações nos Estados Unidos, Mitnick lembra que a ameaça para a nuvem não é a mesma do início da década. “No meu tempo, [violar uma rede de computadores] envolvia desafio e curiosidade intelectual. Hoje envolve bens. Há organizações sofisticadas e profissionais voltadas a comprometer milhões e milhões de contas bancárias. Hoje o objetivo é ganhar dinheiro”, afirma.
No lugar de derrubar redes empresariais, os atuais profissionais do cibercrime poderiam elevar aos poucos o uso de serviços de computação em nuvem de uma empresa para causar um rombo financeiro, por exemplo. “A empresa tem um orçamento de US$ 200 para a nuvem, mas acaba pagando uma conta de US$ 20 mil após a invasão”, aventou o especialista, em sua terceira visita ao Brasil, a convite da MIPC Informática, de computação em nuvem.
O primeiro exemplo foi apenas uma suposição de Mitnick, mas durante uma palestra, em São Paulo, o especialista apresentou um arquivo em PDF com uma lista de contatos de clientes de uma empresa. O documento, supostamente confidencial, foi obtido legalmente em uma rede de compartilhamento de arquivos (P2P).
Assegurar recursos compartilhados – dos equipamentos às aplicações móveis – pode ser mais complexo, mas depende da empresa definir o que é crítico e o que deve ir para a nuvem, avalia Mitnick. “Vou arriscar perder o [padrão de segurança] PCI compliance colocando os dados de cartão de crédito dos meus clientes na nuvem, ou colocarei todo o resto na nuvem e deixarei essas informações no meu centro de dados, adotando uma solução híbrida?”, questiona.
Para Mitnick, os chamados sistemas legados – programas mais antigos – devem ficar dentro de casa. “Não se esqueça que há aplicações legadas, que interagem com outras e isso é mais difícil colocar na nuvem. O que é mais fácil é a coisa nova, que não exija alto nível de segurança”, afirma.
Para o especialista, uma das vantagens do modelo de software como serviço (SaaS, na sigla em inglês) é a facilidade de administrar atualizações de software. No entanto, nada substitui o velho e bom plano B, de “backup”, lembra Mitnick. Para o especialista, não há uma único sistema na nuvem que sirva para todas as empresas, mas há uma recomendação universal: “Independentemente do modelo, você ainda é responsável por alguns elementos da segurança”, diz.
Fonte: Daniela Braun | Valor Economico
Desculpe-me a sinceridade mas na verdade o Mitnick, como sempre, chove no molhado. A alguns anos converso com empresários de vários setores e para alguns casos, propus o modelo SaaS. A resistencia deles a este modelo era o medo da falha na segurança de seus dados, não perdê-los por falta de backup ou coisa que o valha, mas sim por acesso indevido da informação. Os dados de seus clientes e de suas listas de preços são considerados como seus mais preciosos bens.
Apesar disto, sou entusiasta da computação nas nuvens e acredito que ela irá ganhar mais espaço a cada dia pelo simples fato que é mais barato desta forma. No fundo, no fundo o que tem movido o mundo é o lucro.