O ataque de ransomware que interrompeu as operações de uma plataforma educacional em nuvem recentemente, usada por milhares de instituições no mundo, expôs um problema recorrente no ambiente corporativo: empresas que utilizam serviços SaaS sem manter cópias independentes dos próprios dados.
No Brasil, onde a adoção de plataformas SaaS acelerou nos últimos anos em áreas como RH, finanças, CRM, comunicação e gestão de projetos, essa percepção é especialmente comum. Muitas organizações operam sem backup independente dos dados que estão nessas plataformas, sem testes de recuperação e sem um plano que funcione caso o próprio serviço contratado se torne indisponível ou comprometido.
Para Dave Russell, vice-presidente sênior e líder de Estratégia da Veeam Software, empresa especializada em confiança para dados e inteligência artificial, o erro está na premissa. “Migrar para SaaS não elimina o risco, apenas muda a sua natureza. Mesmo quando o provedor protege a plataforma, os dados continuam sendo de responsabilidade da empresa. SaaS é uma superfície de ataque, e o planejamento de resiliência precisa partir do princípio de que serviços críticos podem se tornar indisponíveis ou não confiáveis sem aviso prévio. A medida mais prática que as organizações podem adotar é aplicar uma higiene de dados consistente em todos os ambientes, seja on-premises, nuvem ou SaaS, e manter cópias independentes e recuperáveis dos dados mais críticos, para que a recuperação aconteça no prazo da empresa, não no prazo do atacante.”
O ponto que Russell levanta sobre responsabilidade toca num aspecto contratual que muitas empresas só descobrem depois do incidente. O modelo de responsabilidade compartilhada, presente nos termos de uso da maioria dos provedores de SaaS, estabelece que o provedor cuida da disponibilidade do serviço, mas a proteção dos dados inseridos na plataforma é obrigação do cliente. Na prática, se um ataque compromete os dados, a empresa não pode exigir do provedor que os restaure.
Rick Vanover, vice-presidente de estratégia de produto da Veeam Software, é direto sobre o risco dessa desatenção. “SaaS pode parecer algo que você configura e esquece, até virar algo que você configura e se arrepende. O modelo de responsabilidade compartilhada é aquela letra miúda que ninguém lê até que um incidente obrigue: o provedor opera o serviço, mas o resultado é seu, incluindo recuperar os dados e manter o negócio funcionando. Trate o SaaS como qualquer outro sistema em produção, ou seja, proteja a identidade, saiba onde os dados estão, mantenha-os limpos e tenha um plano de recuperação que não dependa da mesma plataforma que está com problema. Se o ransomware adora alguma coisa, são pontos únicos de falha. Não entregue um de bandeja.”
O incidente com a plataforma educacional em nuvem exemplifica um debate que tende a ganhar força à medida que mais operações críticas migram para ambientes SaaS. Isto porque manter cópias independentes dos dados, testar regularmente a capacidade de restauração e evitar concentrar toda a operação em um único ponto de falha deixaram de ser apenas práticas recomendadas e passaram a ser medidas necessárias para garantir a recuperação das empresas quando o problema ocorre no próprio serviço contratado.
Fonte: https://www.difundir.com.br/
Descubra mais sobre MTI Tecnologia
Assine para receber nossas notícias mais recentes por e-mail.
