Getting Started with FinOps: Why Cloud Security is Your Step Zero | SoftwareONE Blog

Começando com FinOps

Por Que a Segurança em Nuvem é Seu Passo Zero

Começando com FinOps: Por Que a Segurança em Nuvem é Seu Passo Zero

O Gerenciamento financeiro da nuvem é um equilíbrio delicado. As organizações adotam a nuvem para reduzir os custos criados pela execução de suas próprias redes e servidores de computação centralizados. Entretanto, as equipes de engenharia e as equipes financeiras muitas vezes entram em conflito porque falam idiomas comerciais diferentes. Além disso, o avanço da segurança na nuvem - seja por meio de conhecimentos especializados ou meios técnicos - também aumenta os custos das nuvens.

O Gerenciamento financeiro da Nuvem (FinOps) está situado na intersecção de engenharia, finanças e segurança. Com as previsões de gastos com nuvem projetadas para superar $330 bilhões até 2022, a criação de uma equipe FinOps multifuncional que inclua membros das equipes de engenharia, finanças e segurança é de missão crítica. Seja o objetivo controlar os custos decorrentes de cargas de trabalho em nuvem, fraudes ou violações de dados, unificar estas equipes em torno da segurança da nuvem é o importante passo zero antes de começar com o FinOps. Vamos investigar como começar.

O Panorama Atual de Gastos com Nuvem

No decorrer do ano passado, as organizações aceleraram suas estratégias de adoção da nuvem. De acordo com a Forbes97% dos executivos disseram ter acelerado suas estratégias de transformação digital, e as pesquisas indicam uma velocidade de transformação digital em média de seis anos.

De acordo com uma previsão de mercado da IDC de outubro de 2020, a adoção de nuvem e as oportunidades decorrentes continuarão a se expandir em todo o mundo. As previsões são:

  • Os gastos totais mundiais com serviços em nuvem ultrapassarão $1,0 trilhão em 2024.
  • O setor manterá uma taxa de crescimento anual composta de dois dígitos (CAGR) de 15,7%.
  • Os serviços de nuvem pública e privada se tornarão a maior categoria de receita global, está previsto apresentar um CAGR de cinco anos de 21%.
  • A categoria "como um serviço" será responsável por mais de 60% da receita mundial de nuvem.

De um alto nível, estas estatísticas contam a história do aumento da migração para a nuvem. A visibilidade de como as organizações e equipes de engenharia estão utilizando a nuvem vem de um relatório da Forrester/CapitalOne, "Adoção de Contêineres na Nuvem na Empresa'' que observa:

  • 86% dos líderes de TI priorizam o uso de contêineres para mais aplicações.
  • 50% adotam contêineres para melhorar a colaboração entre os desenvolvedores e as operações.
  • 46% adotam contêineres para melhorar a experiência do desenvolvedor.

Entretanto, o mesmo relatório também mostra que os entrevistados empresariais observaram os dois "principais desafios" a seguir: o monitoramento do tempo de execução do contêiner, bem como o monitoramento e o gerenciamento do desempenho da aplicação/container. Quando vistos juntos, estes dois relatórios traçam um quadro mais definido da adoção da nuvem. Enquanto as organizações continuam a adotar serviços em nuvem, elas também reconhecem que a gestão dos gastos em nuvem requer a revisão das práticas financeiras e de compras do departamento de engenharia.

Envolvendo sua Equipe de Finanças com o FinOps

O FinOps oferece às organizações uma forma de atender às necessidades estratégicas de uso da nuvem comercial e controlar os custos. Trazer a equipe financeira para o mundo da gestão dos gastos em nuvem significa comunicar as necessidades de TI e as necessidades financeiras de uma forma eficaz. E é aí que entra o FinOps. A criação de uma equipe de FinOps multifuncional estabelece responsabilidade financeira sobre a nuvem. Fundamentalmente, o FinOps é uma abordagem cultural da gestão de custos da nuvem baseada em seis princípios fundamentais:

  • Colaboração
  • Tomada de decisão orientada pelo valor do negócio
  • Responsabilidade pelo uso da nuvem
  • Relatórios acessíveis e oportunos
  • Centralização
  • Otimização do modelo de custo variável da nuvem

A criação de uma equipe imparcial e centralizada que inclua tanto profissionais de engenharia quanto de finanças permite uma colaboração mais próxima, através da criação de valores e línguas comuns. Por exemplo, os engenheiros querem fornecer software de uma forma rápida e confiável, enquanto a equipe de finanças precisa prever e estimar com precisão os gastos. Embora estes dois pareçam estar em desacordo, a realidade é que eles apenas falam línguas ligeiramente diferentes. A comunicação regular irá assegurar que estas equipes trabalhem em conjunto para alcançar ambos os objetivos.

As equipes de finanças estão acostumadas a entender os gastos com tecnologia em termos de custos de capital e sua depreciação. No entanto, em seu livro "Nuvem FinOps: Gerenciamento financeiro da nuvem colaborativo e em tempo real", Storment e Fuller apontam que as equipes de finanças podem entender melhor os gastos da nuvem quando vistos como uma despesa operacional. O segredo é que eles devem entender que eles se movimentam em microssegundos.

Por exemplo, Storment e Fuller explicam que, embora a conteinerização empacote mais serviços dentro dos mesmos recursos computacionais, ela também diminui a visibilidade sobre os dados de cobrança. Com a criação de uma equipe de FinOps, as organizações estabelecem uma abordagem colaborativa onde engenheiros trabalham com sua equipe de finanças para explicar como funciona a conteinerização. Enquanto isso, as equipes de engenharia adquirem uma melhor compreensão dos motivos pelos quais as equipes financeiras ficam frustradas quando veem que as contas na nuvem carecem de dados associados.

Além do lado de engenharia dos custos da nuvem, as equipes de finanças e de compras também levam em conta os custos de segurança. Ferramentas de segurança, como o login único e gestão de chaves, aumentam os custos operacionais da migração para a nuvem. Enquanto isso, novos riscos de fraude emergem à medida que as organizações adotam soluções de gestão de recursos empresariais (ERM) baseadas em nuvem e sua mitigação exigirá medidas adicionais para segregar melhor as tarefas. Ao reunir as lideranças de segurança e engenharia com a equipe de finanças e compras de FinOps, as organizações são capazes de criar abordagens padrão e orientadas aos negócios para gastos com os recursos de nuvem e todas as suas ferramentas habilitadoras de segurança.

Enfim, o FinOps oferece a maneira mais eficiente para que as equipes possam gerenciar seus custos na nuvem, com a criação de uma abordagem colaborativa de compartilhamento de informações onde todos assumem a propriedade de seu uso da nuvem, apoiados por um grupo central de melhores práticas.

A Segurança da Nuvem é o Passo Zero

A Segurança da nuvem deve ser encarada como a base sobre a qual uma organização constrói sua iniciativa de FinOps. Fundamentalmente, uma forte segurança da nuvem reduz os custos da nuvem, reduzindo a probabilidade de fraudes e de violações, e monitoramento de contêineres e cargas de trabalho em nuvem por erros de configuração. Isto reduz o risco enquanto otimiza os custos - dois aspectos fundamentais do FinOps.

Quando as equipes de finanças e engenharia trabalham em conjunto para um objetivo comercial compartilhado, elas podem alavancar o poder da nuvem e, ao mesmo tempo, obter notáveis benefícios de custos.  Vamos detalhar um pouco mais
algumas funcionalidades relacionadas à segurança.

Gerenciamento de Risco

De acordo com o relatório Custo de uma Violação de Dados de 2020 , o custo médio total de uma violação de dados foi de US$ 3,86 milhões e as perdas de negócios representaram 40%, ou US$ 1,52 milhões, desse montante. Enquanto isso, as despesas que reduziram os custos médios incluíram:

  • Teste de resposta a incidentes: $295.267
  • Plataforma de IA: $259.354
  • Serviços de segurança gerenciados: $78.054

Compreender os riscos e mitigá-los não somente reduz a probabilidade de uma organização sofrer uma dispendiosa violação de dados, como também reduz os custos de um incidente. A obtenção de um roteiro abrangente de nuvem, como o oferecido através dos Serviços Gerenciados em Nuvem, pode reduzir os riscos nas operações diárias em nuvem.

Prevenção de Fraudes

Os controles de prevenção de fraudes também podem contribuir para a redução de custos. Antes de implantar uma estratégia de nuvem, a equipe de FinOps deve considerar riscos como:

  • Roubo de credenciais
  • Uso indevido de acesso interno malicioso
  • Conflitos de interesse

Em pilhas baseadas em nuvem, os controles de Gerenciamento de Identidade e Acesso (IAM) reduzem os riscos de violação de dados e fraude. Limitar o acesso de acordo com o princípio do menor privilégio e estabelecer controles de segregação de deveres também pode reduzir o uso indevido de acesso malicioso e acidental.

As organizações devem assegurar que incorporam continuamente o custo de soluções para estas ferramentas de segurança na nuvem ao estabelecer seus orçamentos.

Prevenção de Erros de Configuração

De acordo com o relatório Pesquisa de Violação de Dados de 2020 , as violações de dados causadas por recursos de nuvem mal configurados aumentaram 4,9% em relação ao ano de 2019, sendo os erros de configuração uma das cinco principais variedades de ação de ameaça para o ano.

Recursos como contêineres e cargas de trabalho baseadas em nuvem representam um risco de violação de dados. Em última análise, isto significa que, ao considerar estes riscos na tomada de uma decisão de migração para a nuvem, as organizações devem considerá-los como um custo potencial.

Segurar cargas de trabalho em nuvem com um serviço como a Segurança da Carga de Trabalho em Nuvem da SoftwareONE, permite que as organizações protejam os ativos de nuvem em ambientes de múltiplas nuvens e híbridos, incluindo Azure, AWS, e arquiteturas no local. Mitigar os riscos de violação de dados protegendo as APIs e interfaces de usuário, garantindo ao mesmo tempo controles de IAM apropriados, permite que as organizações aproveitem a escalabilidade da nuvem sem comprometer a segurança.

Considerações Finais

Para permanecerem competitivas, as organizações precisam acelerar suas estratégias de nuvem. No entanto, elas também precisam assegurar que gerenciam seus custos de forma eficaz. Embora à primeira vista estas duas atividades pareçam conflitantes entre si, elas estão inerentemente interligadas.

Construir o FinOps sobre uma base de segurança permite que as organizações protejam as informações ao mesmo tempo em que garantem a contínua escalabilidade. As equipes de engenharia e de finanças trabalhando em conjunto para um objetivo comum, baseados em valor comercial, pode construir uma estratégia de nuvem de custo otimizado quando contarem com ferramentas como o Clearing PyraCloud da SoftwareONE. As ferramentas PyraCloud proporcionam visibilidade e responsabilidade sobre o uso de software e o gasto com nuvem. As equipes de engenharia podem acompanhar como usar os recursos da nuvem, e as equipes financeiras podem adquirir informações decisivas sobre seus gastos atuais e previstos para o futuro.

Descubra o Porquê, o O que e o Como da Segurança na Nuvem!

No ambiente de nuvem, muitas funcionalidades relacionadas à segurança devem ser implementadas para proteger contra ações fraudulentas. Para mais informações sobre como a segurança pode agir como "passo zero" do FinOps, baixe nosso e-book "Fundamentos da Segurança em Nuvem".

Baixar Agora

Comente esse artigo

Deixe seu comentário para sabermos o que você achou desse assunto.

Deixe um comentário

Autores

Bala Sathunathan

Bala Sethunathan

Director, Security Practice & CISO

Cybersecurity

Artigos relacionados

Hybrid Cloud Computing: Watch out for These Security Challenges
  • 13 fevereiro 2019
  • Barry Hayeem
  • Segurança Gerenciada, Nuvem Gerenciada, cloud-security, Cybersecurity User Awareness
  • Nuvem híbrida

Hybrid Cloud Computing: Watch out for These Security Challenges

The hybrid cloud market is booming. Although the approach offers organizations flexibility it comes with some risks. Our expert sheds some light on the security challenges linked to the hybrid cloud and provides solutions