Quando se trata de avaliar a exposição ao risco, a nuvem supera muito outras áreas da infraestrutura de TI como motivo de preocupação entre os tomadores de decisão. É o que revelou a pesquisa da Tenable, conduzida pela Forrester Consulting com profissionais de TI e Segurança (incluindo Brasil) no final de 2023 dos quais 34% detêm a autoridade final de tomada de decisão para a infraestrutura da nuvem.
A pesquisa destaca ainda quatro áreas que os profissionais de TI e Segurança no Brasil afirmam representar suas maiores áreas de risco de exposição na nuvem:
- Configurações incorretas nos serviços e na infraestrutura da nuvem (74%)
- Falhas softwares de TI/corporativo (64%)
- Configurações incorretas nas ferramentas que minha organização usa para gerenciar acesso e privilégios dos usuários (78%)
- Falhas em softwares de tecnologia operacional (OT) (36%)
Um amplo leque de infraestruturas e sistemas de negócios baseados em nuvem está hoje em uso na maioria das organizações, incluindo máquinas virtuais, contêineres, sistemas de gerenciamento de relacionamento com o cliente (CRM) e recursos humanos. No âmbito de áreas de investimento relacionadas à implementação de tecnologias na nuvem, os participantes identificaram funções serverless, máquinas virtuais e contêineres como os três principais tipos de tecnologia cuja adoção será ampliada nos próximos 12 meses.
Dado o complexo ecossistema baseado em nuvem existente na maioria das organizações, não é surpresa que as descobertas sobre a nuvem estejam no topo da lista de fontes de dados que os profissionais de TI e Segurança para determinar a exposição geral aos riscos. Porém, as descobertas da nuvem não costumam ser a única fonte. Feeds de Inteligência de Ameaças, divulgações de vulnerabilidades e resultados de avaliações de prontidão para incidentes também estão entre as fontes em que os profissionais de TI e Segurança confiam.
Agregar todos esses dados de vários sistemas isolados é demorado e complicado. Na verdade, os silos na organização, a falta de higiene dos dados e o foco na segurança cibernética reativa, e não preventiva, são um fator importante para que a segurança da nuvem seja um desafio. Em especial:
- 66% profissionais de TI e Segurança afirmam que os sistemas isolados das suas organizações constituem uma barreira para a obtenção de dados dos usuários.
- 56% afirmam que a organização não tem uma forma eficaz de integrar os dados dos usuários às práticas de gerenciamento de vulnerabilidades.
- 54% assumem que a falta de higiene dos dados dos usuários da organização e dos sistemas de gerenciamento de vulnerabilidades os impede de extrair dados de qualidade para ajudar os funcionários a tomar decisões de priorização.
- 60% afirmam que a equipe de segurança cibernética fica ocupada demais com incidentes críticos para adotar uma abordagem preventiva a fim de reduzir a exposição da organização.
- 72% acreditam que a organização teria mais sucesso na defesa contra ataques cibernéticos se dedicasse mais recursos à segurança cibernética preventiva.
Para complicar ainda mais a situação, a responsabilidade pela supervisão dos sistemas de gerenciamento de identidade e acesso parece ser um esporte em equipe, envolvendo profissionais de operações de TI e segurança, risco, conformidade e governança. A maioria dos participantes (64%) tem três ou mais sistemas de gerenciamento de identidade e acesso, e pode haver cinco tipos diferentes de equipes envolvidas no gerenciamento desses sistemas
Além disso, a maioria dos profissionais de TI e Segurança entrevistados desempenham diversas funções, identificando-se como o tomador de decisão final em uma série de outras áreas importantes, como DevSecOps, gerenciamento de vulnerabilidades e até o centro de operações de segurança (SOC). Ainda assim, a segurança cibernética costuma ser deixada de fora da maioria das fases de implementação da tecnologia.
“Em busca da performance e disponibilidade, empresas investiram em uma coleção de sistemas e modelos que criaram uma complexidade exacerbada de seus ambientes de nuvem. Isto somado a falta de visibilidade de ativos e um gerenciamento que prioriza atividade em vez de segurança, tornaram os ambientes reativos a ataques, ou seja, existem milhares de portar para os atacantes entrarem, das quais muitas são até mesmo desconhecidas, e as equipes estão trabalhando em remediar o problema ao invés de preveni-lo”, afirma Arthur Capella, gerente geral da Tenable Brasil.