Subscribe to our Newsletter!
By subscribing to our newsletter, you agree with our privacy terms
Home > Cibersegurança > Segurança na nuvem: de quem é a responsabilidade?
Outubro 05, 2022
Ambientes em nuvem não são fáceis de administrar, e uma das consequências diretas dessa complexidade tem a ver com a segurança cibernética. Um estudo recente da empresa Venafi revelou que 81% das organizações entrevistadas sofreram um incidente de cibersegurança relacionado à nuvem nos últimos 12 meses, com quase metade (45%) experimentando, pelo menos, quatro incidentes. Além disso, a pesquisa destaca que o problema subjacente a esses incidentes é o crescimento dramático da complexidade nas áreas de segurança e operacional associado às implantações de soluções nuvem.
As organizações presentes no estudo hospedam atualmente dois quintos (41%) de suas aplicações na nuvem, mas esperam elevar esse percentual para 57% nos próximos 18 meses. Isso sugere que a complexidade crescerá ainda mais. Além disso, mais da metade (51%) dos tomadores de decisão para questões de segurança que foram entrevistados pela pesquisa acreditam que os riscos são maiores na nuvem do que localmente.
Entre os incidentes de segurança na nuvem citados como os mais comuns pelos entrevistados, estão:
Já as preocupações operacionais e de segurança críticas relacionas à migração para a nuvem são:
O estudo também investigou como a responsabilidade pela proteção de aplicações na nuvem está sendo atualmente atribuída às equipes internas. Isso varia muito entre organizações, sendo que equipes de segurança foram citadas por 25% das respostas (maior parcela), seguidas por equipes de operações responsáveis por infraestruturas na nuvem (23%). Outros grupos responsáveis são equipes compartilhadas (22%), desenvolvedores de aplicativos para nuvem (16%) e equipes de DevSecOps (10%). No entanto, o número de incidentes de segurança indica que nenhum desses modelos tem sido eficaz para reduzir incidentes de segurança.
Quando questionados sobre quem deveria ser responsável pela segurança das aplicações na nuvem, novamente não houve consenso. A opção mais citada foi a responsabilidade compartilhada entre equipes que respondem pelas operações de infraestrutura de nuvem e as equipes de segurança corporativa (24%). Outras opções são equipes compartilhadas (22%), desenvolvedores (16%) e equipes DevSecOps (14%).
“Equipes de segurança querem compartilhar responsabilidades com desenvolvedores que são especialistas em nuvem, mas muitas vezes ficam de fora das decisões de segurança. Já os desenvolvedores estão tomando decisões relacionadas a arquitetura e ferramentas nativas da nuvem sem envolver as equipes de segurança. E o resultado desse cenário é o rápido crescimento dos incidentes de segurança na nuvem”, afirma Kevin Bocek, vice-presidente de estratégia de segurança e inteligência de ameaças da Venafi.
O executivo destaca que é preciso redefinir a abordagem para segurança na nuvem e criar serviços consistentes, observáveis e controláveis para ambientes e aplicações na nuvem. Essa abordagem deve incorporar segurança aos processos dos desenvolvedores e permitir que as equipes de segurança protejam os negócios sem atrasar os engenheiros.
Um outro estudo, este da empresa Snyk, corrobora a complexidade enfrentada por profissionais de segurança e desenvolvedores para afastar os ambientes de nuvem de riscos e ameaças. A pesquisa também apontou que 80% das organizações entrevistas haviam sofrido pelo menos um incidente grave de segurança na nuvem no ano passado, como violações de dados, vazamentos e invasões. Além disso, 41% dos entrevistados afirmaram que serviços nativos da nuvem aumentam a complexidade dos ambientes e complicando ainda mais os esforços de segurança.
“Esta nova pesquisa deve servir como alerta que nos lembra que os riscos na segurança na nuvem são universais e só devem crescer se continuarmos com abordagens e ferramentas desatualizadas. No entanto, a perspectiva não é totalmente ruim, pois o estudo também revelam claramente que a adoção de esforços colaborativos em torno do DevSecOps pode deixar que as organizações continuem inovando em seus ritmos atuais com mais segurança”, afirma Josh Stella, vice-presidente e arquiteto-chefe da Snyk.
Novembro 25, 2022
Novembro 14, 2022
Novembro 03, 2022
Outubro 18, 2022
Outubro 13, 2022
Setembro 19, 2022
Agosto 26, 2022
Previous
Cibersegurança exige engajamento de alta liderança
Next
Seu backlog de vulnerabilidades pode estar na casa dos milhares