Desconexão de Risco na Nuvem

Views: 228
0 0
Read Time:4 Minute, 1 Second

A adoção da nuvem pode estar pulando, mas muitas empresas ainda lutam com a forma de identificar e gerenciar seus riscos de segurança com esses serviços.

Um novo estudo realizado pela Cloud Security Alliance (CSA) e pelo Google Cloud ressalta que, embora a nuvem idealmente possa ajudar a reforçar a segurança das organizações, muitas ainda não estão lidando com seu gerenciamento de riscos na nuvem.

“As organizações não estão aproveitando tão agressivamente os recursos para ter um ambiente mais seguro” com a nuvem, diz Jim Reavis, CEO da CSA. “Eles não estão sendo tão proativos no monitoramento e gerenciamento de riscos.”

Curiosamente, parece que muitas organizações podem não saber com certeza a extensão de sua adoção na nuvem. Cerca de 51% dizem que agora executam 41% de suas cargas de trabalho na nuvem pública, mas acontece que a maioria deles (85%) não está usando ferramentas de descoberta de nuvem para quantificar isso, mas, em vez disso, estimando seu uso por meio de métodos manuais. Aqueles que usam ferramentas de descoberta, incluindo um corretor de segurança de acesso à nuvem, ou CASB (15%), para mapear suas cargas de trabalho na nuvem relatam 31% mais de uso da nuvem do que aqueles que realizaram avaliações manuais – uma pista de que a maioria das organizações que dependem do rastreamento manual não tem um inventário completo do que está sendo executado em seus serviços de nuvem, de acordo com o estudo.

“Você não pode gerenciar o risco de coisas que não sabe. As coisas básicas levam a violações ou exposição a dados, exfiltração ou ataque de ransomware se você não estiver mantendo seus ativos de nuvem atualizados e houver lacunas no uso da nuvem”, observa Reavis. Mas a nuvem oferece uma maneira melhor de gerenciar ativos, diz ele, do que as redes de TI tradicionais.

“Existem ferramentas lá” e maneiras automatizadas de detectar e proteger ativos em nuvem, diz ele.

O estudo confirma um aumento significativo na adoção da nuvem. O número médio de serviços de software como serviço (SaaS), plataforma como serviço (PaaS) e infraestrutura como serviço (IaaS) usados pelas organizações foi de mais de 147, acima de 38 em 2020. Cerca de 66% das organizações dizem que têm 100 ou menos serviços; 32%, de 101 a 999; e 3%, 1.000 ou mais serviços.

A plataforma de nuvem de infraestrutura como serviço (IaaS) mais comumente usada é o Azure (70%), seguida de perto pela AWS (65%) e, em seguida, pelo Google Cloud em 24%, de acordo com o estudo.

“As empresas entrevistadas pretendem aumentar suas cargas de trabalho na nuvem nos próximos 12 meses. Com as empresas continuando a adicionar produção na nuvem e usando mais serviços em nuvem, o gerenciamento de ativos digitais e em nuvem será fundamental no gerenciamento e medição de riscos na nuvem”, de acordo com o relatório.

O objetivo do estudo foi avaliar os desafios das organizações de gerenciamento de riscos em serviços de nuvem pública, e o Google e a CSA coletaram dados de pesquisa, bem como entrevistas em 2021 com 600 profissionais de TI e segurança.

Fuga da Nuvem

Embora a nuvem esteja se tornando mais generalizada para as operações de TI, não houve correlação ou aumento nas violações de dados, observa a Reavis.

Até o momento, quase todas as violações divulgadas publicamente na nuvem resultaram de configurações incorretas, não de ataques cibernéticos, diz Phil Venables, CISO do Google Cloud. “Para prevenir e resolver o risco de configurações incorretas e violações de conformidade no início do processo de desenvolvimento, os líderes de segurança começaram a adotar a segurança como código para alcançar a velocidade e a agilidade do DevOps, reduzir o risco e criar valor com mais segurança na nuvem”, diz Venables.

Por sua vez, o Google oferece uma série de projetos para seus clientes para ajudar a evitar configurações incorretas e outros erros na nuvem, como o Risk and Compliance as Code (RCaC), o guia Secure Foundations e o Cloud Architecture Center, por exemplo.

“Os planos ajudam nossos clientes a configurar rapidamente ambientes de nuvem de maneira segura e compatível”, observa Venables. “E, em última análise, esse nível de higiene segura ajuda a evitar que falhas de configuração se tornem um risco de segurança ou ponto de entrada de invasor para cargas de trabalho na nuvem.”

De acordo com o relatório, cerca de 70% das organizações do estudo dizem que não têm processos sólidos para mapear riscos para seus ativos em nuvem. Uma pequena porcentagem — 4% — relata que eles têm um gerenciamento de risco “altamente eficaz” na nuvem. Pouco mais de 20% usam ferramentas de classificação de dados em nuvem.

Enquanto isso, as principais preocupações de segurança com aplicativos na nuvem incluem perda de dados confidenciais (64%), configurações e configurações de segurança impróprias (51%) e acesso não autorizado (51%).

FONTE: DARK READING

POSTS RELACIONADOS