Violações aos dados custam milhões de dólares às organizações, causam danos à reputação e resultam em perda de clientes e oportunidades de negócios. Uma nova pesquisa realizada com 353 profissionais de bancos de dados e TI do IOUG (Independent Oracle Users Group) analisou a situação da segurança dos bancos de dados empresariais, investigou quais os maiores riscos e como as organizações podem aprimorar suas estratégias de segurança.
A pesquisa global intitulada "DBA – Security Superhero: 2014 IOUG Enterprise Data Security Survey" (DBA – O Super-Herói da Segurança: Pesquisa sobre Segurança dos Dados Empresariais – IOUG, 2014), incluiu, gerentes de segurança de BDs (bancos de dados), DBAs (administradores de BDs), diretores ou gerentes de TI de empresas de diversos setores, como serviços de TI, órgãos governamentais, educação, serviços públicos, transportes e serviços financeiros.
Embora apontem que as organizações têm um elevado compromisso com a segurança corporativa, os resultados da pesquisa destacam a falta de preparo das empresas para ameaças internas e externas.
"Este estudo é uma ferramenta poderosa tanto de aprendizado quanto de ensino, colocando um ponto final nas principais questões de segurança que mantêm os heroicos DBAs e suas equipes acordados noite adentro. Exercer um empenho extremo de segurança dos dados e prontidão para combater violações às informações deixou de ser uma preocupação opcional e tornou-se o preço que as empresas pagam para continuar no mercado," disse John Matelski, presidente do IOUG. "O estudo ressalta como os insights e o alcance da comunidade de profissionais do IOUG contribuem para o mercado em diferentes setores, profissões e regiões do planeta."
De um modo geral, os resultados indicam que as organizações contam com controles falhos de detecção, prevenção e segurança administrativa, que incluem controles internos limitados sobre os usuários com privilégios, falta de conhecimento quanto ao local onde residem os dados confidenciais e monitoramento inadequado das atividades realizadas pelos usuários com privilégios.
Embora 58% dos entrevistados tenham observado que os bancos de dados consistem na parte mais vulnerável do ambiente de TI de suas empresas, a maioria tem investido em áreas de menor risco, como rede, servidores e desktops.
Principais descobertas
Mais de três quartos (81%) dos entrevistados apontam os erros humanos como o maior risco aos dados empresariais, seguidos pelo receio de ataques originados internamente (65%). Outras preocupações incluem o abuso do privilégio de acesso por parte das equipes de TI (54%), malware (código mal-intencionado) e vírus nos sistemas empresariais (53%).
A despeito desses riscos humanos, muitos participantes do estudo indicaram que possuem poucas proteções contra abuso acidental ou intencional de funcionários. Outro dado alarmante é que quase 40% dos entrevistados admitiram que não sabem quais bancos de dados contêm informações confidenciais ou regulamentadas e 71% não têm as proteções necessárias ou não sabem dizer se há algum mecanismo de defesa implementado para combater danos acidentais aos bancos de dados e aplicativos. Os complexos ambientes de dados da atualidade talvez estejam prejudicando a capacidade dos entrevistados de implementar iniciativas abrangentes de proteção aos dados.
Somente 18% dos entrevistados criptografam os dados residentes em seus bancos de dados. Além disso, somente 46% editam os dados confidenciais dos aplicativos, e os demais os deixam expostos aos usuários casuais desses aplicativos.
A despeito dos riscos bem conhecidos resultantes da proliferação dos dados de produção para um ambiente "não produção" (de teste), 45% dos entrevistados usam cópias dos dados de produção para testes e desenvolvimento, e 41% deles têm três cópias ou mais dos dados de produção.
"Estamos na era das megaviolações — um tempo em que brechas de segurança que afetam milhões estão se tornando corriqueiras. Para a maioria das organizações, a questão não é mais 'se' um ataque acontecer, mas sim 'quando' ele ocorrerá", afirmou Vipin Samar, vice-presidente de segurança de banco de dados da Oracle. "Esta pesquisa destaca que muitas empresas não contam com controles de segurança adequados para os bancos de dados e, no atual ambiente onde as ameaças estão cada vez mais graves, elas simplesmente não podem se dar ao luxo de esperar. Nunca foi tão importante que as organizações tenham estratégias práticas de segurança dos dados em vigor para gerenciar adequadamente os dados confidenciais de clientes e da corporação."
