network-gd0d49fca2_640.jpg

Nuvem é ambiente de maior risco para 78% dos CIOs e CISOs

É o que indica pesquisa com profissionais de TI e segurança responsáveis tomada de decisão sobre a infraestrutura da nuvem nas organizações
Da Redação
22/02/2024

Quando se trata de avaliar a exposição ao risco, a nuvem supera muito outras áreas da infraestrutura de TI como motivo de preocupação para os tomadores de decisão. É o que revela pesquisa da Forrester Consulting encomendada pela Tenable. Para 78% dos profissionais de TI e segurança, dos quais 34% — incluindo do Brasil — têm a palavra final na tomada de decisão sobre a infraestrutura da nuvem, o ambiente representa suas maiores áreas de risco de exposição.

A pesquisa destaca quatro áreas que os profissionais de TI e segurança no Brasil afirmam representar suas maiores áreas de risco na nuvem: 

  • Configurações incorretas nos serviços e na infraestrutura da nuvem (74%) 
  • Falhas softwares de TI/corporativo (64%) 
  • Configurações incorretas nas ferramentas que a organização usa para gerenciar acesso e privilégios dos usuários (78%) 
  • Falhas em softwares de tecnologia operacional (OT) (36%) 

Um amplo leque de infraestruturas e sistemas de negócios baseados em nuvem está hoje em uso na maioria das organizações, incluindo máquinas virtuais, contêineres, sistemas de gerenciamento de relacionamento com o cliente (CRM) e recursos humanos. No âmbito de áreas de investimento relacionadas à implementação de tecnologias na nuvem, os entrevistados identificaram funções serverless, máquinas virtuais e contêineres como os três principais tipos de tecnologia cuja adoção será ampliada nos próximos 12 meses. 

Dado o complexo ecossistema que envolve a nuvem na maioria das organizações, não é surpresa que as descobertas sobre a nuvem estejam no topo da lista de fontes de dados que os profissionais de TI e segurança utilizam para determinar a exposição geral aos riscos. Porém, as descobertas não costumam ser a única fonte. Feeds de inteligência de ameaças, divulgações de vulnerabilidades e resultados de avaliações de prontidão para incidentes também estão entre as fontes em que os profissionais de TI e segurança confiam.  

A Tenable observa que agregar todos esses dados de vários sistemas isolados é demorado e complicado. Na verdade, os silos na organização, a falta de higiene dos dados e o foco na segurança cibernética reativa, e não preventiva, são um fator importante para que a segurança da nuvem seja um desafio. Nesse sentido, o estudo revela que: 

  • 66% profissionais de TI e segurança afirmam que os sistemas isolados das suas organizações constituem uma barreira para a obtenção de dados dos usuários. 
  • 56% afirmam que a organização não tem uma forma eficaz de integrar os dados dos usuários às práticas de gerenciamento de vulnerabilidades. 
  • 54% assumem que a falta de higiene dos dados dos usuários da organização e dos sistemas de gerenciamento de vulnerabilidades os impede de extrair dados de qualidade para ajudar os funcionários a tomar decisões de priorização. 
  • 60% afirmam que a equipe de segurança cibernética fica ocupada demais com incidentes críticos para adotar uma abordagem preventiva a fim de reduzir a exposição da organização. 
  • 72% acreditam que a organização teria mais sucesso na defesa contra ataques cibernéticos se dedicasse mais recursos à segurança cibernética preventiva. 

Veja isso
Ferramenta de hacking sequestra nuvem e serviços de pagamento
Falhas em dispositivos de data center podem paralisar nuvens

Para complicar ainda mais o panorama, a responsabilidade pela supervisão dos sistemas de gerenciamento de identidade e acesso parece ser um esporte em equipe, envolvendo profissionais de operações de TI e segurança, risco, conformidade e governança. A maioria dos participantes (64%) tem três ou mais sistemas de gerenciamento de identidade e acesso, e pode haver cinco tipos diferentes de equipes envolvidas no gerenciamento desses sistemas

Além disso, a maioria dos profissionais de TI e Segurança entrevistados desempenham diversas funções, identificando-se como o tomador de decisão final em uma série de outras áreas importantes, como DevSecOps, gerenciamento de vulnerabilidades e até o centro de operações de segurança (SOC). Ainda assim, a segurança cibernética costuma ser deixada de fora da maioria das fases de implementação da tecnologia. 

“Em busca da performance e disponibilidade, empresas investiram em uma coleção de sistemas e modelos que criaram uma complexidade exacerbada de seus ambientes de nuvem. Isso somado a falta de visibilidade de ativos e um gerenciamento que prioriza atividade em vez de segurança, tornaram os ambientes reativos a ataques, ou seja, existem milhares de portar para os atacantes entrarem, das quais muitas são até mesmo desconhecidas, e as equipes estão trabalhando em remediar o problema ao invés de preveni-lo”, afirma Arthur Capella, gerente geral da Tenable Brasil.

Compartilhar:

Últimas Notícias