Nuvem é a maior fonte de riscos para 78% dos decisores de TI e segurança

gestão de riscos KPMG cibersegurança, riscos, nuvem

A nuvem está no topo das listas de riscos das organizações, superando (e muito) áreas como infraestrutura de TI. É o que revelou essa semana uma pesquisa encomendada pela Tenable e conduzida pela Forrester Consulting. Foram ouvidos profissionais de TI e segurança (incluindo no Brasil) durante 2023 – sendo um terço deles responsável por tomada de decisão de investimento em infraestrutura da nuvem.

Quatro áreas foram apontadas como maiores riscos de exposição na nuvem: configurações incorretas (74%); falhas de softwares de TI/corporativo (64%); gerenciamento de acesso e privilégios de usuários (78%); falhas em softwares de tecnologia operacional (OT) (36%).

No que se refere à implementação de tecnologias em nuvem, os respondentes identificaram funções serverless, máquinas virtuais e contêineres como os três principais tipos de tecnologia cuja adoção será ampliada nos próximos 12 meses.

Leia também: Seguro cibernético depende de maturidade de empresas

“Em busca da performance e disponibilidade, empresas investiram em uma coleção de sistemas e modelos que criaram uma complexidade exacerbada dos ambientes de nuvem. Isto somado a falta de visibilidade de ativos e um gerenciamento que prioriza atividade em vez de segurança, tornaram os ambientes reativos a ataques”, diz Arthur Capella, gerente geral da Tenable Brasil. “Ou seja, existem milhares de portas para os atacantes entrarem.”

Outras fontes de riscos

Segundo o estudo, a nuvem não é a única fonte de ameaças e riscos. Agregar dados de vários sistemas isolados é demorado e complicado, segundo os profissionais, e os silos na organização, a falta de higiene dos dados e o foco na segurança cibernética reativa, e não preventiva, são fatores importante para tornar a segurança da nuvem um desafio.

O estudo indica que, para 66% profissionais de TI e segurança, sistemas isolados em suas organizações constituem barreira para a obtenção de dados de usuários. E 56% afirmam que não tem uma forma eficaz de integrar dados dos usuários às práticas de gerenciamento de vulnerabilidades.

Para 54%, a falta de higiene dos dados dos usuários impede a extração de dados de qualidade para ajudar funcionários a tomar decisões. E 60% afirmam que a equipe de segurança cibernética fica ocupada demais com incidentes críticos para adotar uma abordagem preventiva a fim de reduzir a exposição da organização.

Para complicar a situação, a responsabilidade pela supervisão dos sistemas de gerenciamento de identidade e acesso parece ser um esporte em equipe, envolvendo profissionais de operações de TI e segurança, risco, conformidade e governança. A maioria dos participantes (64%) tem três ou mais sistemas de gerenciamento de identidade e acesso, e pode haver cinco tipos diferentes de equipes envolvidas no gerenciamento desses sistemas

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!