Pesquisa realizada pela Symantec, empresa de segurança cibernética, revela que as empresas estão tendo dificuldades em acompanhar a rápida expansão da nuvem dentro de seus negócios. O levantamento, feito com 1.250 profissionais tomadores de decisões em segurança de todo o mundo, o Symantec's Cloud Security Threat Report (CSTR), revelou que o Brasil é líder no quesito incidentes de segurança por conta da imaturidade das práticas adotadas pelas companhias, com 78% dos entrevistados afirmaram já ter sofrido algum tipo de ataque por este motivo, a média global é de 73%. A falta de visibilidade nos workloads na nuvem é a causa principal, 90% dos entrevistados relatou problemas em monitorar todos os workloads na nuvem.
A pesquisa apontou ainda que, apesar das empresas estimarem usar uma média de 452 aplicativos na nuvem, o número real é cerca de quatro vezes maior, chegando a 1.807. Como resultado dessas práticas imaturas, incluindo a configuração precária ou a não utilização de encriptação ou autenticação de múltiplos fatores (MFA), as empresas estão enfrentando um risco maior de ameaças internas, classificadas pelos entrevistados como a terceira maior ameaça à infraestrutura da nuvem. Os dados do CSTR mostram que 65% das empresas não implementam MFA em suas configurações IaaS e 80% não usam encriptação.
Adoção de cloud é outro dado relevante. Mais da metade (55%) de todo o workload computado das empresas brasileiras migrou para nuvem, porém, as práticas de segurança estão com dificuldades para acompanhar esse movimento. Mais da metade (54%) das empresas indicaram que a maturidade da segurança da nuvem de suas organizações não é capaz de acompanhar a rápida expansão dos aplicativos na nuvem.
"A adoção de novas tecnologias quase sempre levou a brechas na segurança, mas nós descobrimos que a brecha criada pela computação na nuvem representa um risco ainda maior do que imaginávamos dado o conjunto de dados confidenciais e essenciais à empresa que são armazenados na nuvem. Na verdade, nossa pesquisa mostra que 65% das empresas brasileiras acreditam que seus dados já estejam à venda na Dark Web e temem um risco maior de vazamentos de dados devido à mudança para a nuvem", disse Vladimir Amarante, diretor de Tecnologia da Symantec.
Vazamentos de dados podem impactar fortemente nos resultados finais da empresa, e as equipes de segurança estão ansiosas para preveni-los. O CSTR de 2019 mostra que não é a tecnologia de nuvem subjacente que agravou o problema de vazamento de dados, mas sim as práticas de segurança imaturas, de TI sobrecarregado e o comportamento nocivo de usuários finais que cercam a adoção da nuvem.
A complexidade está cobrando o seu preço
Com a adoção da nuvem introduzindo uma maior complexidade na forma com que a TI é implantada (agora em nuvens públicas, privadas, híbridas e on-premises), e onde os dados precisam ser protegidos. Considerando isso, não é surpresa alguma o CSTR ter revelado que 25% dos alertas de segurança na nuvem são ignorados. A maioria (64%) dos incidentes de segurança ocorrem em nível da nuvem, e mais da metade dos entrevistados admitem que não conseguem acompanhar os incidentes de segurança. E mais, o futuro parece incerto, 83% sentem que não possuem os processos necessários para serem efetivos ao agir contra incidentes na segurança da nuvem.
Comportamentos nocivos fora de controle
Um dos maiores desafios para as equipes de segurança que estão tentando lidar com a nuvem é o comportamento nocivo e fora de controle dos usuários. De acordo com os entrevistados pelo CSTR, cerca de um a cada três funcionários demonstraram um comportamento nocivo à nuvem, e os próprios dados da Symantec mostram que 85% não estão usando as melhores práticas de segurança.
Como resultado desses comportamentos nocivos, dados confidenciais são frequentemente armazenados de forma indevida na nuvem, tornando as empresas mais vulneráveis a vazamentos; 93% dos entrevistados pelo CSTR dizem que o excesso de compartilhamento é um problema, estimando que mais de um terço dos arquivos na nuvem não deveriam estar lá. Além disso, a nuvem não é imune aos comportamentos nocivos que assolavam as tecnologias passadas, os entrevistados relatam que usuários com senhas fracas (37%) utilizando uma manutenção precária das mesmas (34%), utilizando aplicativos não autorizados (36%) e se conectando com dispositivos pessoais (35%) são comportamentos nocivos comuns.
O caminho a seguir
Apesar da nuvem ter introduzido novos ganhos de eficiência e recursos para as empresas, o CSTR revela que muitas não estão confrontando os riscos de segurança que a adoção da nuvem também exige, incluindo um risco maior de vazamento de dados. O investimento em plataformas de segurança cibernética na nuvem, que empregam automação e IA para suplementar a visibilidade e os recursos humanos sobrecarregados é uma maneira clara de automatizar as defesas e garantir os princípios da gestão de dados. Porém, conforme as consequências da segurança cibernética se tornam cada vez mais impactantes para o sucesso dos negócios, já está também na hora de recalibrar a cultura e adotar as melhores práticas de segurança em relação aos usuários.