Pesquisa Revela Desafios e Tendências na Segurança de Cloud

Pesquisa divulgada pelo Crowd Research Partners and parceria com Information Security Group relata que embora o uso do Cloud tenha aumentado, 81% da empresas continuam preocupadas com a segurança em Cloud.

Preocupações com a segurança continua a ser um grande fator de preocupação para adoção de computação em nuvem, entretanto a preocupação está diminuindo gradualmente.

cloud1.jpg
fonte Information Security Group Report

A maior preocupação das empresas é com o vazamento de informações (57%), seguido de Privacidade de Dados (49%), Confidencialidade (47%) e Compliance (36%), no entanto aparece em quinto lugar a preocupação com a Exposição de Credenciais Acidentalmente (25%).

Compliance e auditoria tem sido uma dor de cabeça constante e tem aumentado seu peso mediante as últimas ocorrências que temos acompanhado no mercado. Talvez por isto a questão contratual e jurídica também tem sido apontada com um nível de preocupação maior que anos anteriores.

O acesso não autorizado devido a uso indevido de credenciais de funcionários e devido a má configuração dos parâmetros de proteção é a maior ameaça à segurança em cloud, seguido por sequestros de contas e APIs inseguras. Caso como da Cisco e Dow Jones parecem comprovar esta preocupação.

cloud2.jpg

fonte Information Security Group Report

Outro ponto que a pesquisa reflete a realidade acompanhada nas notícias aqui no Blog Minuto da Segurança, é que 24% dos respondente afirmam que são incapazes de identificar más configurações rapidamente e a dificuldade em forçar uma política de segurança consistente (33%) no ambiente.

Embora 58% afirmam que os aplicativos em cloud são mais seguros que os aplicativos on-premisses, 41%  afirmam que as brechas de segurança de alto riscos são maiores em cloud (o que representa um acréscimo siginificativo em relação a 2016 onde este índice apontava apenas 21%).

A segurança continua sendo vista com um empecilho às novas metodologias de desenvolvimento que visam a agilidade de produção de novos produtos. 37% afirmam que  a segurança diminui a velocidade de métodos como o DevOps e talvez está seja a razão pela qual 54% afirmam que a segurança não é integrada ou é ignorada no processo de DevOps .

Um ponto interessante e que chama a atenção dos principais fornecedores de soluções de segurança da informação é 78% afirmam que as soluções tradicionais de segurança são limitadas ou não funcionam em cloud.

cloud3.jpg

fonte Information Security Group Report

As políticas e controles de segurança são implementadas através de tecnologia e processos, no entanto a tecnologia mais utilizada e priorizada pelos profissionais de segurança para cloud é a criptografia de dados, com 74% para dados armazenados (Data at Rest) e 64% dados transmitidos (Data in Motion). No entanto, a preocupação com o controle de acesso ocupa a terceira posição com 52% e a capacitação de profissionais em quarto com 47% .

Dentre os processos de aferição da adotados para controlar, medir e avaliar a segurança do cloud, o Penentration Test  é o mais utilizado com 60%, monitoração com 57% e web application firewalls com 47% .

Dentre os motivos que mais causam deficiência na implementação de segurança em cloud, está a necessidade de desenvolvimento e lançamento de produtos rapidamente 52% e esforço reduzido na manutenção de patches e atualizações de segurança 43%.

CASB – Cloud Access Security Brokers, ainda é uma novidade e apenas 7% já os tem implementados, mas 11% afirmam ter planos para 2017 e 13% para os próximos anos, porém 35% ainda se mostram indecisos sobre a adoção ou não dos serviços CASB.

Conclusão:

A segurança em cloud continua a ser um desafios para a maioria das organizações.

A pesquisa foi conduzida online e abrange a diferentes países, sendo seguro afirmar que, em sua maior parte, reflete também uma tendência para a realidade brasileira.

O investimento em capacitação profissional é a chave para endereçar melhor as problemáticas do ambiente em nuvem, ao mesmo tempo que novas tecnologias devam ser exploradas  para endereçar problemas específicos que as tecnologias tradicionais não conseguem resolver.

Criptografia se mostra uma grande ferramenta e amplamente utilizada par manter a confidencialidade das informações, mas o controle de acesso e de contas privilegiadas deve ser endereçado adequadamente para que problemas relacionados a acesso indevido e configurações não autorizadas possam ser endereçados a fim de preservar a integridade e a disponibilidade das informações.

Embora o Penetration Test e a monitoração seja um boa medida de aferição da proteção do ambiente, é recomendável que se estabeleça uma política rígida para as configurações do ambiente e seja implementado controle efetivos sobre alterações promovidas.

A pesquisa completa pode ser acessada em Cloud Security 2017 Spotlight Report 

fonte Cloud Security 2017 Spotlight Report 

por MindSec   09/08/2017

 

 

About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.