A Intel Security anunciou seu segundo relatório anual sobre segurança na nuvem, “Building Trust in a Cloudy Sky” (Gerando Confiança em um Céu Nublado). O relatório descreve o estado atual de adoção da nuvem, as principais preocupações com os serviços de nuvem privada e pública, as implicações de segurança e o impacto progressivo da Shadow IT para os mais de 2 mil profissionais de TI entrevistados.
“A estratégia “Cloud First” (nuvem em primeiro lugar) agora está bastante integrada à arquitetura de várias organizações em todo o mundo”, disse Raj Samani, CTO da região EMEA, Intel Security. “O desejo de migrar rapidamente para a computação na nuvem parece estar na agenda da maioria das organizações. Neste ano, os participantes acreditam que precisam de aproximadamente 15 meses para que seus orçamentos de TI estejam 80% nas nuvens, indicando que o Cloud First está avançando e continua sendo o objetivo para várias empresas”.
A confiança na nuvem só aumenta
A confiança e a percepção dos serviços de nuvem pública continuam crescendo ano após ano. A maioria das organizações enxerga os serviços de nuvem pública como algo tão ou mais seguro do que as nuvens privadas, e com mais probabilidade de oferecer custos menores de propriedade e visibilidade geral dos dados. Aqueles que confiam nas nuvens públicas agora superam os que não confiam em uma relação de 2 para 1. A confiança e a percepção maiores, bem como um entendimento maior dos riscos pela gerência sênior, estão incentivando mais organizações a armazenar dados confidenciais na nuvem pública. As informações pessoais do cliente são o tipo de dado com mais probabilidade de armazenamento em nuvens públicas. Sessenta e dois por cento dos entrevistados disseram manter essas informações na nuvem pública.
Os riscos também aumentam: Shadow IT e a falta de habilidades em segurança cibernética
A constante falta de habilidades em segurança continua afetando as implementações de nuvem. Quase metade das organizações pesquisadas informaram que a falta de habilidades em segurança cibernética reduziu a velocidade de adoção ou o uso de serviços de nuvem, possivelmente contribuindo para o aumento das atividades de Shadow IT. Outros 36% informaram que estão enfrentando essa falta de habilidades, porém, independentemente disso, continuam com suas atividades de nuvem. Apenas 15% dos pesquisados informaram que não enfrentam carência de habilidades.
Devido à facilidade de aquisição, quase 40% dos serviços de nuvem são agora ativados sem o envolvimento da TI e, infelizmente, a visibilidade desses serviços de Shadow IT caiu de aproximadamente 50% no ano passado para menos de 47% neste ano. Como resultado, 65% dos profissionais de TI acreditam que esse fenômeno está interferindo em sua capacidade de manter a nuvem segura. Isso não é nenhuma surpresa, levando em consideração a quantidade de dados confidenciais que agora é armazenada na nuvem pública e que mais da metade dos participantes informaram que rastrearam um malware utilizando um aplicativo SaaS de nuvem.
Evolução do data center
O número de organizações que utilizam somente a nuvem privada caiu de 51% para 24% no ano passado, enquanto o uso da nuvem híbrida aumentou de 19% para 57%. Essa migração para a arquitetura de nuvem híbrida privada/pública requer a evolução do data center para uma infraestrutura com base em nuvem altamente virtualizada. Em média, 52% dos servidores de data center de uma organização são virtualizados, 80% estão usando contêineres e a maioria espera concluir a conversão para um data center totalmente definido por software em até dois anos.
Recomendações
- Os atacantes procurarão os alvos mais fáceis, independentemente de as nuvens serem públicas, privadas ou híbridas. As soluções de segurança integradas ou unificadas, que proporcionam visibilidade de todos os serviços da organização, poderão ser a melhor defesa.
- As credenciais de usuário, especialmente para administradores, serão a forma mais provável de ataque. As organizações precisam garantir que estejam seguindo as melhores práticas de autenticação, como senhas distintas, autenticação de vários fatores e até mesmo biometria, quando possível.
- As tecnologias de segurança, como prevenção de perda de dados, criptografia e agentes de segurança de acesso à nuvem (CASBs), continuam subutilizadas. A integração dessas ferramentas a um sistema de segurança existente aumenta a visibilidade, permite a descoberta de shadow services (serviços invisíveis) e oferece opções para proteção automática de dados confidenciais estacionários e em movimento em qualquer tipo de ambiente.
- As organizações precisam evoluir rumo a uma abordagem de mitigação e gerenciamento de riscos para a segurança da informação. Elas deverão considerar a adoção de uma estratégia Cloud First para incentivar a adoção dos serviços com a finalidade de reduzir custos e aumentar a flexibilidade, colocando as operações de segurança em uma posição proativa em vez de reativa.
Metodologia da pesquisa
No quarto trimestre de 2016, a Intel Security fez uma pesquisa com mais de 2 mil profissionais de TI de diversos setores, países e empresas de todos os portes. Os participantes da pesquisa eram tomadores de decisão seniores de pequenas, médias e grandes empresas dos seguintes países: Austrália, Brasil, Canadá, França, Alemanha, Japão, México, Arábia Saudita, Cingapura, Emirados Árabes Unidos, Reino Unido e Estados Unidos.
