cinco coisas que você provavelmente está fazendo errado

A popularidade dos aplicativos e softwares em nuvem aumentou significativamente nos últimos anos . Mas, embora o uso de serviços em nuvem possa ser benéfico para empresas e funcionários, também traz novos riscos de segurança cibernética .

A capacidade de fazer login de qualquer lugar usando aplicativos em nuvem é conveniente para os funcionários, mas também é uma nova oportunidade em potencial para criminosos cibernéticos , que, com um conjunto de senhas roubadas, podem obter acesso a informações confidenciais. Existe até a perspectiva de hackers abusarem dos serviços de nuvem para lançar ataques de ransomware e outras campanhas de malware. 

Mas há etapas que podem ser tomadas - e erros que devem ser evitados - para garantir que a estratégia de segurança na nuvem da sua organização proporcione um aumento de produtividade e mantenha os usuários e a rede protegidos contra ataques cibernéticos e incidentes.

1. Não deixe contas na nuvem expostas e sem controles de segurança

Aplicativos e serviços em nuvem permitem que os usuários acessem arquivos e dados de qualquer lugar – algo que os torna o principal alvo de criminosos cibernéticos. Lembrar senhas pode ser difícil, e é por isso que muitos usuários usam senhas simples, comuns ou reutilizadas .

Embora essa abordagem reduza as chances de os usuários serem bloqueados em suas contas, ela cria uma meta aberta para hackers – principalmente se a violação de um endereço de e-mail ou outro aplicativo corporativo que faz parte do pacote de nuvem oferece aos invasores a oportunidade de aumentar seus privilégios e obter controle adicional sobre os sistemas.

VEJA: https://www.zdnet.com/article/cloud-computing-security-new-guidance-aims-to-keep-your-data-safe-from-cyberattacks-and-breaches/%22,%22role%22:%22standard%22,%22absolute%22:%22%22%7D" rel="follow" style="box-sizing: border-box; outline: 0px; color: rgb(8, 10, 18); text-decoration: underline;">Segurança da computação em nuvem: Nova orientação visa manter seus dados protegidos contra ataques cibernéticos e violações

Em muitos casos, as empresas não percebem que uma conta na nuvem foi abusada por criminosos cibernéticos até que seja tarde demais e os dados tenham sido roubados ou o ransomware tenha atingido a rede.

É vital que todas as contas na nuvem sejam protegidas adequadamente, usando uma senha complexa e exclusiva e que também estejam equipadas com autenticação multifator , portanto, mesmo que a senha seja violada, vazada ou adivinhada, há uma barreira adicional que ajuda a impedir que a conta sendo tomado e abusado.

As organizações também devem considerar fornecer à equipe um software gerenciador de senhas , para que os usuários não precisem se lembrar de senhas, deixando-os livres para criar senhas mais longas e complexas, com menor probabilidade de serem violadas.

2. Não dê a cada usuário as chaves do reino

Os aplicativos e serviços em nuvem são convenientes, fornecendo aos usuários uma variedade de ferramentas de que precisam para serem produtivos, tudo em um só lugar. Mas usuários diferentes têm necessidades diferentes e a maioria dos usuários não precisa de privilégios de alto nível – especialmente quando esse acesso pode ser facilmente abusado por um usuário não autorizado que invadiu ou assumiu o controle de uma conta com direitos de administrador.  

Portanto, é imperativo que as equipes de TI e segurança da informação garantam que os privilégios de administrador estejam disponíveis apenas para aqueles que realmente precisam deles – e que qualquer conta com privilégios de administrador esteja devidamente protegida, para que os invasores não consigam obter acesso e abusem de alto nível contas -- para criar contas adicionais que eles poderiam usar para cuidar de seus negócios secretamente, por exemplo. Também é importante que os usuários regulares não tenham o poder de escalar seus próprios privilégios ou criar novas contas. 

3. Não deixe aplicativos em nuvem sem monitoramento – e saiba quem os está usando

As empresas usam uma ampla variedade de serviços de computação em nuvem, mas quanto mais aplicativos estão sendo usados, mais difícil é acompanhá-los. E isso pode fornecer um gateway para usuários mal-intencionados entrarem na rede sem serem detectados. 

É vital que os departamentos de TI tenham as ferramentas necessárias para acompanhar quais serviços de nuvem estão sendo usados ​​– e quem tem acesso a eles. Os serviços de nuvem corporativos devem estar disponíveis apenas para usuários que trabalham para a organização. Se alguém sair da empresa, o acesso deve ser removido . 

VEJA: https://www.zdnet.com/article/ransomware-an-executive-guide-to-one-of-the-biggest-menaces-on-the-web/%22,%22role%22:%22standard%22,%22absolute%22:%22%22%7D" rel="follow" style="box-sizing: border-box; outline: 0px; color: rgb(8, 10, 18); text-decoration: underline;">O que é ransomware? Tudo o que você precisa saber sobre uma das maiores ameaças da web

Também é importante garantir que os aplicativos em nuvem não sejam configurados incorretamente de uma forma que signifique que estão abertos a qualquer pessoa na Internet. Esse acesso aberto pode levar a tentativas de ataques de força bruta ou criminosos cibernéticos podem tentar usar credenciais roubadas ou roubadas para acessar aplicativos em nuvem.  

Na pior das hipóteses, um aplicativo de nuvem mal configurado voltado para a Internet aberta pode não exigir detalhes de login, o que significa que qualquer pessoa pode obter acesso. É vital que as organizações estejam cientes de como seus serviços de nuvem interagem com a web aberta e que somente aqueles que precisam desses serviços possam acessá-los. 

4. Não ignore atualizações e patches de segurança – o software em nuvem também precisa deles

Uma das coisas mais importantes que você pode fazer para melhorar a segurança cibernética de sua rede é aplicar atualizações e patches de segurança o mais rápido possível . Os criminosos cibernéticos procuram regularmente explorar vulnerabilidades conhecidas em aplicativos para violar redes e estabelecer as bases para ataques cibernéticos. 

O software em nuvem não é diferente. Vulnerabilidades podem ser descobertas e eles receberão patches de segurança, que precisam ser aplicados.  

Os departamentos de TI que executam grandes redes baseadas em nuvem podem pensar que a segurança é cuidada pelo serviço de nuvem ou provedor de aplicativos que eles usam, mas nem sempre é esse o caso - software e aplicativos em nuvem também precisam de patches, e é vital que esse trabalho seja feito prontamente para garantir que a rede seja resistente a criminosos cibernéticos que tentam explorar vulnerabilidades.

5. Não confie apenas na nuvem para armazenar dados - mantenha backups offline em caso de emergência  

Um dos principais benefícios do software em nuvem é que, em muitos casos, ele está disponível com o toque de um botão – os usuários podem acessar os dados armazenados na nuvem, de onde quer que estejam e de qualquer dispositivo que estejam usando.  

Mas isso não significa que os dados armazenados na nuvem sejam necessariamente acessíveis 100% do tempo. Os sistemas podem sofrer interrupções e também é potencialmente possível que os criminosos cibernéticos adulterem os dados. 

Se os controles de identidade que protegem as contas na nuvem forem violados por criminosos cibernéticos, os dados poderão ser excluídos ou mantidos como reféns – uma tática comum usada por gangues de ransomware, por exemplo, é excluir backups armazenados na nuvem . 

Não importa quão fortes sejam seus controles de segurança cibernética, proteger as contas na nuvem é particularmente importante. Os dados devem ser copiados e armazenados offline porque, se o pior acontecer e os dados na nuvem forem perdidos ou inacessíveis, existe a possibilidade de restauração a partir de backups. 

Não só é importante salvar backups regularmente – para que o ponto de restauração seja o mais recente possível, o que significa que tudo está o mais próximo possível de estar atualizado – esses backups também devem ser testados regularmente. Afinal, não faz sentido manter backups se eles não funcionarem quando forem realmente necessários.

Fonte: Zdnet