Como equilibrar riscos e ameaças externas mantendo seu sistema na nuvem

Os benefícios da tecnologia em nuvem são superlativos, assim como a responsabilidade de proteger os dados da sua empresa e de todo o ecossistema ao redor da solução

Agosto 10, 2023

_{Estar em um ecossistema orientado à nuvem demanda um nível adequado de sofisticação e governança na forma como a tecnologia e os serviços são utilizados e disponibilizados (Foto: Canva)}

Por Edgar D’Andrea e Rafael Cortes

Cada vez mais, as empresas estão adotando infraestrutura e softwares baseados em nuvem para impulsionar a inovação e criar modelos de negócio disruptivos, estabelecendo-se no ambiente digital e explorando os diversos benefícios desta tecnologia. Os serviços de computação em nuvem oferecem inúmeras vantagens, independentemente do porte da empresa, proporcionando ganhos tanto para as startups quanto para grandes corporações. 

Os  benefícios da tecnologia em nuvem incluem melhorias em agilidade, flexibilidade, economia, escalabilidade, integração, inclusão, conectividade, colaboração, aprendizado e segurança. E, além disso, há soluções em constante desenvolvimento e aprimoramento, que levam o sistema a um patamar cada vez melhor. É o caso da inteligência artificial generativa, machine learning, internet das coisas (IoTs), computação quântica e processos analíticos avançados, apenas para citar alguns exemplos. 

No setor do agronegócio, assim como em outros segmentos da economia, a computação em nuvem se difundiu de maneira abrangente, impulsionando tanto a inovação quanto a transformação digital no campo e nas indústrias. Por conta de sua versatilidade, muitas startups aderiram a essa onda, que tomou conta do setor. Mas é importante ressaltar que existe aí um risco cibernético associado, porque à medida que a superfície tecnológica se amplia em todo o mundo, se ampliam também as ameaças cibernéticas.

Estabelecer a jornada de gestão dos riscos cibernéticos em nuvem, mantendo também práticas de governança, postura de segurança, privacidade e compliance para a computação, é essencial para criar relações de confiança com o mercado e estabelecer a resiliência cibernética das startups do agro.

Prevenindo os riscos cibernéticos associados à computação em nuvem

 A computação em nuvem introduz novos riscos cibernéticos e mudanças de paradigma pelo simples fato de que amplia as possibilidades tecnológicas das empresas, exigindo que startups e organizações em geral evoluam seus modelos de governança, segurança, proteção de dados e compliance nesses ambientes.

No caso das startups, o propósito de serem indutoras da transformação digital e inovação no mercado acelera ainda mais esse uso e necessidade de atualização.  Daí a importância de se preocupar com o tema da prevenção do risco cibernético, que passa por tomar algumas providências principais. Vamos a elas:

• Incorporar a gestão de risco, segurança, proteção de dados e conformidade em todas as atividades da startup, desde o início das operações; 
• Ter práticas de gerenciamento de identidades e controle de acesso;
• Adotar políticas de prevenção e detecção a ameaças;
• Construir uma cultura de gestão de risco integrada e “by design”, isto é, colocando a proteção da privacidade como prioridade na criação de novos produtos e serviços;
• Alinhar a estratégia de segurança e risco de nuvem à estratégia de arquitetura de nuvem da empresa, apoiada por um modelo operacional de gestão e por frameworks internacionais (como NIST CSF/ISF, CSA, CIS Controls, CAF MSFT, OWASP etc);
• Proteger dados pessoais seguindo a legislação e regulação dos países onde atua.

Conformidade estratégica, legal e regulatória

Como já diria o ditado “os últimos serão os primeiros”, apesar de terem ficado no fim da lista, conformidade estratégica, legal e regulatória são pontos imprescindíveis de um planejamento de cibersegurança bem construído. 

Além de garantir a segurança dos usuários e das informações, vale ressaltar que o compliance estratégico, por exemplo, cria outras vantagens. Uma delas, competitiva, na  medida em que funciona como uma demonstração efetiva do compromisso de transparência da startup para com o mercado. 

Na mesma linha, a adoção do compliance legal e regulatório também são mandatórios para as startups, sujeitas à Lei Geral de Proteção de Dados (LGPD) da mesma forma que as grandes empresas. Essa lei disciplina o tratamento de dados pessoais e exige a aplicação de mecanismos de segurança e proteção de dados pelo controlador e operador. 

Os reguladores no Brasil e no mundo estão cada vez mais exigentes e a expectativa é alta em termos da adoção de práticas de gestão de riscos cibernéticos e prontidão para responder a ataques, seja qual for o tamanho das empresas. 

Governança em ecossistemas compartilhados

Uma vez feita a lição dentro de casa, há necessidade ainda de olhar para fora. Afinal, falar de computação em nuvem é falar de um ecossistema conectado.  Para lidar com tamanha complexidade, um certo grau de maturidade e controle são fundamentais, tanto do ponto de vista do consumo como da  entrega de tecnologia e serviços adicionados. Dito isso, vale observar um conjunto de boas práticas para conquistar e manter a confiança de fornecedores, clientes e terceiros, além de outros stakeholders. Vamos ao segundo check-list:  

• Definir o papel de cada ator no ecossistema em nuvem;
  
• Criar modelos de responsabilidade compartilhada (startups, provedor de nuvem, clientes, desenvolvedores, administradores do ambiente etc);
  
• Administrar acessos para controlar o ambiente; 
• Manter uma arquitetura otimizada em nuvem para comunicação entre parceiros;
  
• Adotar uma postura de segurança, proteção de dados e compliance;
  
• Ter um sistema de prontidão para realizar testes de resiliência cibernética e recuperação em crises.

Resiliência cibernética

A mensagem que queremos deixar não é outra além de: aproveite a tecnologia de nuvem nativa para amadurecer a jornada contínua de conformidade e automação da sua startup, porque, sim, você pode fazer isso ao mesmo tempo em que reduz custos e esforços para manter os ambientes digitais rodando fora da sua máquina. Mas é importante ter em vista o impacto operacional, financeiro e de imagem decorrente de um ataque cibernético ou de um vazamento de dados. 

Os riscos de reputação decorrentes desses episódios não raro são irreparáveis e, direta ou indiretamente, sempre há algum prejuízo como reflexo da quebra de confiança gerada no ecossistema de inovação.

Ter práticas estruturadas e testadas de gestão de crises cibernéticas e estar pronto para prevenir, detectar, responder e recuperar as operações em um evento cibernético adverso é parte do objetivo de estruturação da resiliência cibernética empresarial desejada pelos acionistas e conselhos e requerida pelos reguladores. Por isso, fique atento!

Este artigo integra a série “Segurança Cibernética e Proteção de Dados – O que isso tem a ver com Startups do Agro”. Para conferir o artigo anterior, clique aqui. Se gostou do conteúdo, continue acompanhando as publicações no AgTech Garage News e também nossa campanha sobre ciber nas mídias sociais. É fato que os riscos cibernéticos não devem ser vistos como um tema meramente tecnológico, mas sim como uma oportunidade de negócios para empresas e startups criarem valor, confiança e resiliência no mercado.