setembro 09, 2019

[Segurança] Estatísticas sobre Segurança em Computação em Nuvem

Recentemente a Checkpoint e a Symantec disponibilizaram relatórios interessantes sobre Segurança da Nuvem, com várias estatísticas recolhidas do mercado. São relatórios que abordam questões de segurança na adoção de cloud computing, incluindo quais sÃo os maiores riscos, desafios e dificuldades - não é a toa, ambos os relatórios destacam a dificuldade em identificar mão de obra qualificada nesse assunto.

As pesquisas trazem vários dados muito interessantes, e elas se complementam em vários pontos. Entre os dados apresentados nesses relatórios, eu destaco os seguintes:
  • Segundo a Checkpoint...
    • O SaaS (Software como Serviço) é o modelo de nuvem mais implementado (51%), seguido por IaaS (Infraestrutura como Serviço) (39%) e PaaS (Plataforma como Serviço) (22%);
    • Os cinco aplicativos SaaS mais populares são o Microsoft Office 365 (66%), o Microsoft Exchange (37%), Salesforce (32%), o Google G Suite (29%) e o Dropbox (26%);
    • O e-mail é a informação mais comum armazenada na nuvem (63%), seguido por dados de clientes (45%) e dados de funcionários (incluindo RH e folha de pagamento com 42%);
    • A segurança dos dados e os riscos de segurança em geral (um total de 57%) figuraram no topo da lista de obstáculos para a adoção mais rápida da nuvem, seguidos pela falta de orçamento (26%), desafios de conformidade (26%) e falta de equipe qualificada (26%);
    • 66% dos entrevistados afirmam que soluções de segurança tradicionais não funcionam ou apresentam funcionalidade limitada em ambientes de nuvem;
    • As maiores dores de cabeça em relação à segurança na nuvem se referem à conformidade (34%) e à falta de visibilidade na segurança da infraestrutura (33% no total). A definição de políticas de segurança consistentes na nuvem e localmente e a falta contínua de equipes de segurança qualificadas estão empatadas em terceiro lugar (com 31% cada);
    • O acesso não autorizado e interfaces inseguras empatam em primeiro lugar como as maiores vulnerabilidades da segurança na nuvem (42% cada). Eles são seguidos pelos erros de configuração da plataforma da nuvem (40%) e sequestro de contas (39%);
    • Os maiores obstáculos são a falta de conhecimento especializado e de treinamento das equipes (41%), seguido por desafios orçamentários (40%), preocupações com a privacidade de dados (38%) e falta de integração com as plataformas locais (34%);
    • A criptografia de dados em repouso (38%), a automação da conformidade (37%) e APIs para denúncia, auditoria e alerta sobre eventos de segurança (34%) são os três controles de segurança mencionados com mais frequência;
  • Segundo o Relatório da Symantec, realizada em parceria com a Cloud Security Alliance (CSA)...
    • 53% das organizações já estão avançandas na implementação da nuvem em seu ambiente de TI;
    • A maioria das organizações está subestimando o volume de uso de aplicações na nuvem: enquanto uma organização acredita que seus funcionários estão usando em média 452 aplicativos na nuvem, na verdade, de acordo com os dados da própria Symantec, o número real de aplicativos de TI em uso por organização é de 1.807 (quase 4 vezes a mais do que eles estimam);
    • 73% das empresas pesquisadas acreditam que os incidentes na nuvem aconteceram devido à práticas de segurança imaturas - incluindo o uso de contas pessoais, falta de serviços de Autenticação Multifator (MFA) ou Prevenção de Perda de Dados (DLP);
    • 54% dos entrevistados dizem que a segurança na nuvem de sua organização não conseguiu acompanhar a expansão do uso de novos aplicativos;
    • Segundo dados da Symantec, o acesso não autorizado a contas é responsável pela maior parte dos incidentes de segurança na nuvem (64%);
    • 85% das empresas não estão usando as práticas recomendadas de segurança na nuvem
      • Por exemplo, 65% das organizações não implementaram Autenticação Multifator (MFA) na configuração de IaaS e 80% não usam criptografia;
    • A maioria (92%) disse que precisa melhorar as habilidades de segurança na nuvem, enquanto 84% confirmaram que precisavam adicionar pessoas na equipe para eliminar a deficiência.
O relatório da Symantec também fala muito da Nuvem como sendo o "novo shadow IT" (eu gosto e chamar isso de "Shadow Coud"), ou seja, quando a empresa cria recursos e serviços de tecnologia sem conhecimento, nem participação e aprovação, da área de TI. Assim, os dados da empresa se propagam nos serviços de nuvem SaaS autorizados e não autorizados. Mais da metade dos entrevistados (52%) consideram problemático o aumento do uso de aplicativos na nuvem para armazenar e compartilhar dados corporativos confidenciais. A grande maioria (93%) informou que seus usuários compartilham arquivos na nuvem contendo dados confidenciais e relacionados à conformidade

Ao final, o relatório da Symantec aponta algumas das melhores práticas para desenvolver a maturidade da segurança na Nuvem:
  • Desenvolver uma estratégia de governança;
  • Adotar um modelo de Zero Trust (Confiança Zero);
  • Promover a responsabilidade compartilhada;
  • Aproveitar automação e inteligência artificial sempre que possível;
  • Abrir caminho para DevSecOps.
Ambas pesquisas revelam que o maior desafio que as organizações estão enfrentando não é apenas na tecnologia, mas também nas pessoas e nos processos. Elas dão uma boa visibilidade de como as organizações estão se adaptando a evolução das ameaças na nuvem, examinando questões como visibilidade de seu ambiente, perda de controle de dados e práticas de segurança imaturas, com uso insuficiente de tecnologias, processos inadequados e pessoal sem a devida capacitação.

Para saber mais:

OBS: Post atualizado em 11/09/2019.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.