10 de abril de 2023
Por Rodman Ramezanian - Líder Global de Ameaças na Nuvem, Skyhigh Security
- Eis o que pode fazer em relação a isso
Com as enormes mudanças globais que abalam o status quo da forma como as organizações operam e protegem os dados, não é de admirar que 2022 tenha assistido a grandes mudanças em muitas das principais métricas de segurança que acompanhamos no nosso relatório anual: O Dilema dos Dados: Relatório sobre a Adoção e o Risco da Nuvem.
Comecemos por analisar as tendências que impulsionam estas mudanças e a grande mudança de paradigma que está atualmente em curso.
A adoção da nuvem acelera
Embora a mudança para dados e fluxos de trabalho baseados na nuvem esteja em curso há pelo menos uma década, a pandemia serviu indubitavelmente como um catalisador que forçou as organizações a adotar ambientes de trabalho híbridos e remotos mais rapidamente do que muitos estavam preparados. Isto teve consequências visíveis na segurança. Na sequência destas mudanças globais, muitas organizações estão numa curva de aprendizagem acentuada para resolver os problemas de segurança que surgiram.
Surge um novo paradigma
A segurança é fundamentalmente uma questão de proteção de dados. Agora que os dados estão em todo o lado, residindo fora da rede empresarial tradicional, tornou-se aparentemente impossível protegê-los utilizando os meios tradicionais. Isto é evidenciado pelo facto de 90% das organizações no nosso relatório terem sofrido uma ou mais violações de segurança, 89% terem sofrido ameaças à segurança e 80% terem sofrido roubo de dados. Além disso, 75% das organizações inquiridas sofreram os três problemas de segurança combinados em 2022.
O que é claro agora é que a abordagem padrão centrada na proteção dos dados apenas na sua fonte está a ser radicalmente invertida. Está a surgir um novo paradigma que se concentra na proteção dos próprios dados, em vez do perímetro onde estão armazenados. O conceito de uma arquitetura de confiança zero é uma parte importante desta mudança de paradigma e aborda muitos dos problemas que surgiram com esta transformação digital maciça.
As organizações enfrentam uma miríade de problemas de segurança
As conclusões do nosso relatório indicam que as complexidades e os desafios da proteção de dados na nuvem são muitos. Os problemas de segurança relatados pelas organizações no nosso estudo incluem:
- São comuns as suposições e as falhas de comunicação entre os membros da equipa sobre quem é responsável por que dados.
- Uma média de 51% dos serviços SaaS em utilização são encomendados sem supervisão das TI, com a falta de visibilidade dos dados a afetar 46% desses serviços SaaS.
- Não existem controlos de segurança adequados ou coerentes para os dados, acompanhados de problemas de gestão.
- Uma enorme quantidade de dados sensíveis está a ser armazenada na nuvem, com 61% dos dados sensíveis, em média, a serem armazenados na nuvem pública, um aumento em relação aos 48% do nosso último relatório.
- Os riscos de TI sombra são uma preocupação para 75% das organizações, mas 60% delas permitem que os funcionários descarreguem dados sensíveis para dispositivos pessoais, presumivelmente por razões de produtividade.
- A junção de soluções pontuais não integradas resulta em complexidade de gestão e lacunas de segurança.
- As equipas de segurança estão sobrecarregadas num ambiente de contratação difícil.
Com tantos problemas diferentes em jogo, não é de admirar que tantas organizações estejam a comunicar violações, ameaças e roubo de dados. Os cibercriminosos estão ansiosos por tirar partido da proliferação de dados sensíveis armazenados na nuvem.
Estão em causa mais dados sensíveis
No geral, houve um aumento de 50% no número médio de serviços de nuvem pública em uso pelas organizações que participaram da pesquisa. O número passou de 20 em 2019 para 30 em 2022. Quase metade dos inquiridos afirmou que está a armazenar dados da concorrência, informações pessoais de clientes e/ou documentação interna nestes serviços. Mais de um terço está a armazenar informações pessoais do pessoal, propriedade intelectual proprietária e/ou informações de identificação governamental. E cerca de um quarto dos inquiridos está a armazenar informações de cartões de pagamento, palavras-passe de rede e/ou registos de cuidados de saúde nestes serviços de nuvem pública.
O roubo destes dados pode prejudicar a reputação de uma empresa, a sua capacidade de operar e a sua posição financeira - especialmente se os reguladores multarem a empresa por não proteger os dados. Os requisitos de conformidade estão a aumentar juntamente com as ameaças cibernéticas, pelo que é mais importante do que nunca que as organizações dêem prioridade à segurança.
Para reforçar este facto, a Gartner prevê que, até 2024, 75% da população mundial terá os seus dados pessoais abrangidos por regulamentos de privacidade.
As organizações estão a aumentar os investimentos em cibersegurança
Para combater estes problemas, as organizações estão a recorrer a uma variedade de soluções, que vão desde a formação dos funcionários em cibersegurança (52%) e a criação de planos de recuperação de desastres/DLP (47%) até ao aumento do investimento em seguros cibernéticos (47%). Quarenta e um por cento disseram que planeiam avançar para um modelo de segurança de confiança zero e 39% planeiam avançar para uma abordagem de microsserviços.
Em particular, 42% das organizações do nosso estudo estão a utilizar soluções cloud access security broker (CASB), 28% estão a utilizar soluções de gateways Web seguros (SWG) e 23% estão a empregar data loss prevention (DLP) e medidas de encriptação quando a Shadow IT é descoberta.
Mais de metade das organizações (56%) planeia aumentar o investimento em cibersegurança. Embora tudo isto seja muito positivo, não deixa de ser indicativo de que os actuais investimentos em cibersegurança são incapazes de lidar com as complexidades de manter os dados seguros na nuvem. Os dados do inquérito confirmam-no.
A nossa conclusão
Novos desafios exigem novas abordagens e soluções.
Como alternativa às complexidades e potenciais lacunas de segurança decorrentes de produtos pontuais, recomendamos uma solução de borda de serviço segura (SSE) que combina soluções CASB, SWG e DLP com zero trust network access (ZTNA) e proteção de aplicativos nativos da nuvem (CNAPP) em uma plataforma integrada. Ao simplificar e integrar a segurança numa solução de um único fornecedor, a segurança pode ser gerida de forma centralizada a partir de um único painel de controlo. Uma solução SSE aborda a maioria dos problemas de segurança revelados no nosso relatório, maximizando simultaneamente a eficiência e a produtividade das equipas de segurança.
Conforme evidenciado no inquérito, uma média de duas funções por organização são responsáveis pela segurança dos dados na nuvem. Estas incluem CTOs (48%), CIOs (37%), Gestores de Segurança de TI (35%), Gestores de Rede de TI (29%), Gestores de TI (28%), CISOs (22%) e Arquitectos de TI (6%). O facto de haver várias pessoas responsáveis pela mesma coisa pode tornar confusa a responsabilidade pelas tarefas e levar a suposições perigosas. Uma plataforma SSE simplificaria bastante a designação de funções e responsabilidades entre os membros da equipa, de modo a que nada ficasse esquecido e que as lacunas de segurança relevantes fossem colmatadas.
A tarefa de proteger os dados é mais desafiadora do que nunca. Mas, com uma plataforma SSE como base para uma arquitetura de confiança zero, esse trabalho pode ser mais fácil, e os benefícios da nuvem - escalabilidade, economia de custos e agilidade - podem ser aproveitados sem sacrificar a segurança.
Obtenha todos os pormenores descarregando o O Dilema dos Dados: Relatório sobre a Adoção da Nuvem e os Riscos.
Skyhigh SecurityBlogue sobre o relatório de risco "The Data Dilemma", elaborado por Mary Karlton, Envision Technology Marketing, 22 de março de 2023, V1
Voltar aos blogues