Definindo as responsabilidades organizacionais de segurança de nuvem
Além do Modelo de responsabilidade compartilhada, é importante definir as responsabilidades individuais pela segurança na nuvem dentro da organização e garantir que todos saibam o que é necessário. Não é suficiente - e é até um pouco clichê - simplesmente dizer: "A segurança é responsabilidade de todos."
As equipes de liderança executiva devem patrocinar os esforços de segurança em nuvem. No cenário regulatório atual, o patrocínio executivo é praticamente obrigatório. O possível impacto financeiro da não conformidade regulatória para uma empresa pode ser tão devastador quanto (ou pior do que) uma violação de dados em si. Além das penalidades financeiras, muitos regulamentos acarretam penalidades criminais para executivos e outros fiduciários de uma empresa.
Os executivos devem dar o exemplo. Se a política corporativa exige que os dados corporativos em dispositivos móveis sejam criptografados e que o acesso a aplicativos SaaS precise de autenticação multifator (MFA), então não devem ser feitas exceções "pontuais" para os executivos. Além de liderar pelo exemplo, os executivos precisam garantir que as iniciativas de segurança e conformidade tenham o apoio e os recursos adequados e que o impacto das decisões estratégicas de negócios sobre a postura geral de segurança e conformidade da organização seja sempre considerado.
As equipes de segurança e conformidade devem definir e aplicar políticas apropriadas que viabilizem os negócios com segurança. Para serem eficazes, as equipes de segurança e conformidade devem entender e se alinhar às metas e aos objetivos do negócio e não devem ser um gargalo para a produtividade e a eficiência.
Os gerentes de linha de negócios têm a responsabilidade de garantir que a governança de segurança e conformidade em nuvem da organização seja compreendida e cumprida em suas respectivas áreas de negócios. À medida que as necessidades comerciais evoluem, os gerentes de linha de negócios devem ser parceiros das equipes de segurança para avaliar o risco versus o retorno da adoção de novas ferramentas. Nunca deve ser aceitável burlar uma política de segurança, como o requisito de usar apenas aplicativos SaaS autorizados, para atingir um objetivo comercial de curto prazo ou uma meta de produtividade. Em vez disso, as ferramentas de segurança devem se adaptar à necessidade do negócio e impulsionar o comportamento desejado do usuário.
Trabalhar com as equipes de segurança e conformidade também ajuda a garantir que as linhas de negócios individuais possam tirar proveito de qualquer relacionamento atual que a organização possa ter com fornecedores ou provedores de nuvem para adquirir serviços de forma mais econômica e obter suporte rapidamente quando necessário, em vez de operar no vácuo com tecnologias e produtos de nuvem em silos.
As equipes de DevOps estão sob constante pressão para entregar projetos e atualizações de software rapidamente e reduzir o tempo de lançamento no mercado. Para atender a essas demandas, os requisitos de segurança devem ser definidos e compreendidos no início de qualquer projeto e, idealmente, integrados ao fluxo de trabalho de fornecimento de aplicativos. Dessa forma, as equipes de desenvolvimento podem continuar avançando sem ter que parar e reiniciar com frequência para resolver vulnerabilidades de segurança e violações de conformidade.
Os usuários finais individuais têm a responsabilidade de seguir a governança corporativa com relação à segurança e à conformidade da nuvem. Eles devem entender os riscos inerentes à nuvem e proteger os dados que lhes foram confiados como se fossem seus próprios dados pessoais.
