A falta de visibilidade é um dos maiores desafios para a adoção da nuvem dentro de uma organização. Em todos os setores, o armazenamento de computação e a proteção de ativos estão migrando para a nuvem, dificultando a visão dos profissionais de TI. Essa incerteza somada à falta de visibilidade para novos ambientes está fazendo com que alguns executivos sigam vagarosamente ou sigam seus caminhos conhecidos, enquanto outros avançam corajosamente à frente.
A McAfee anunciou seu terceiro relatório anual de adoção e segurança de nuvem, “Navigating a Cloudy Sky: Practical Guidance and the State of Cloud Security” (Navegando em um céu nublado: orientação prática e o estado da segurança na nuvem). O relatório aborda o estado atual da adoção da nuvem, as principais preocupações com os serviços de nuvem pública e privada, as implicações de segurança e o impacto crescente da Shadow IT para os mais de 1.400 profissionais de TI que foram pesquisados.
“Apesar da clara prevalência de incidentes de segurança que ocorrem na nuvem, a adoção da nuvem corporativa continua”, disse Rajiv Gupta, vice-presidente sênior da unidade de negócios de segurança em nuvem da McAfee. “Ao implementar medidas de segurança que permitem às organizações recuperar a visibilidade e o controle de seus dados, as empresas podem aproveitar os serviços inovadores e acelerar seus negócios com uma abordagem mais informada para a segurança na nuvem.”
Serviços de nuvem quase onipresentes
A adoção da nuvem está indo bem em quase todas as organizações. De acordo com a pesquisa, 97% dos profissionais de TI em todo o mundo estão usando algum tipo de serviço em nuvem e estão trabalhando de maneira simultânea em questões relacionadas à visibilidade e controle.
A combinação de nuvem pública e privada também é a arquitetura mais popular, com 59% dos entrevistados informando que estão usando um modelo híbrido. Embora o uso exclusivo de nuvem privada seja relativamente semelhante em todos os tamanhos de organização, o uso híbrido aumenta de forma constante com o tamanho da organização, de 54% em organizações com até mil funcionários e de 65% em empresas maiores com mais de 5 mil funcionários.
A cloud-first é a estratégia da maioria das organizações, mas em declínio cauteloso
O Cloud-First é uma estratégia de tecnologia da informação que afirma que novos projetos devem considerar o uso da tecnologia de nuvem primeiro, em oposição aos servidores ou softwares locais. Segundo o relatório, o Cloud-First é a estratégia para TI em muitas empresas e continua sendo um objetivo primordial. A cautela parece ter tomado conta dos outros, já que o número de organizações com uma estratégia Cloud-First caiu de 82% para 65% neste ano. Apesar dos incidentes de segurança relatados, os entrevistados com uma estratégia Cloud-First ainda acreditam que a nuvem pública é mais segura do que a nuvem privada. Eles entendem os riscos e, quanto mais eles sabem, mais confiantes são os profissionais de TI que o Cloud-First é o modelo no qual eles querem estar.
Dados confidenciais armazenados na nuvem
A maioria das organizações armazena alguns ou todos os seus dados confidenciais na nuvem pública, com apenas 16% declarando que não armazenam dados confidenciais na nuvem. Os tipos de dados armazenados contêm toda a gama de informações sensíveis e confidenciais. As informações pessoais dos clientes são, de longe, as mais comuns, relatadas por 61% das organizações. Aproximadamente 40% dos entrevistados também armazenam uma ou mais documentações internas, informações sobre cartões de pagamento, dados de colaboradores ou dados de identificação do governo. Por fim, cerca de 30% mantêm propriedade intelectual, registros de assistência médica, inteligência competitiva e cartões de acesso à rede na nuvem.
Gerenciar o risco de armazenar dados confidenciais na nuvem significa garantir que a organização tenha visibilidade. Um foco na governança fundamental e nas etapas tecnológicas, como exigir que os departamentos e o pessoal participem da identificação, classificação e prestação de contas dos ativos, ajuda a criar visibilidade. A integração do Data Loss Prevention com os provedores de nuvem, incluindo o uso de Cloud Access Security Brokers, a classificação de dados automatizada ou manual e outras etapas de tecnologia, ajudará a minimizar o risco de fluxos de informações confidenciais nos serviços de nuvem.
Incidentes de segurança ainda generalizados
De maneira proeminente, uma em cada quatro organizações que usa IaaS ou SaaS tiveram dados roubados e uma em cada cinco sofreram um ataque avançado contra sua infraestrutura de nuvem pública. À medida que as organizações se preparam para o Regulamento Geral de Proteção de Dados da União Europeia (European Union’s General Data Protection Regulation – GDPR), previsto para maio de 2018, elas estarão intensificando os esforços de conformidade. As organizações que estão mais confiantes na capacidade de seus provedores de nuvem têm maior probabilidade de ter planos de aumentar seus investimentos em nuvem no próximo ano, enquanto os menos confiantes planejam manter seus investimentos no nível atual. Menos de 10%, em média, antecipam a redução de seu investimento em nuvem devido ao GDPR.
O malware continua a ser uma preocupação para todos os tipos de organizações e 56% dos profissionais entrevistados disseram que rastrearam uma infecção por malware vinda de um aplicativo em nuvem, em comparação com 52% em 2016. Quando perguntados sobre como o malware foi entregue à organização, pouco mais de 25% dos entrevistados disseram que suas infecções por malware na nuvem foram causadas por phishing, seguidas de perto por e-mails de um remetente conhecido, downloads diretos e downloads de malware existente.
Diminuição da Escassez de Habilidades
A escassez de habilidades em cibersegurança e seu impacto na adoção da nuvem continuam a diminuir, à medida que os que não relatam falta de qualificação aumentaram de 15% para 24% este ano. Daqueles que ainda relatam uma falta de habilidades, apenas 40% diminuíram a adoção da nuvem como resultado, em comparação com 49% no ano passado. As taxas de adoção da nuvem são mais altas naquelas que relatam a maior escassez de habilidades.
Melhores práticas e recomendações
Tomando como base as conclusões do estudo deste ano, o relatório conclui três melhores práticas com as quais todas as organizações devem trabalhar ativamente:
– DevOps e DevSecOps demonstraram melhorar a qualidade do código e reduzir as explorações e vulnerabilidades. Integrar os processos de desenvolvimento, garantia de qualidade e segurança dentro da unidade de negócios ou da equipe de aplicativos é crucial para operar na velocidade das demandas atuais do ambiente de negócios.
– Mesmo os profissionais de segurança mais experientes acham difícil acompanhar o volume e o ritmo das implantações de nuvem por conta própria. A automação que aumenta as vantagens humanas junto às vantagens da máquina como o encontrado em ferramentas como Chef, Puppet ou Ansible, é um componente fundamental das modernas operações de TI.
– Múltiplas ferramentas de gerenciamento facilitam que algo passe despercebido. Um sistema de gerenciamento unificado em várias nuvens com uma malha de integração aberta reduz a complexidade.