Líderes em segurança da nuvem expressam seus principais desafios
Muitas identidades, muitos sistemas e muito cacique para pouca tribo obscurecem uma situação já complexa.
Mais de dois terços dos tomadores de decisão em segurança da nuvem (68%) afirmam que suas implementações em nuvem, especialmente instâncias públicas e híbridas, são a maior área de risco de exposição da organização. E gerenciar quem tem acesso a esses sistemas representa um grande desafio.
Estas são as constatações de uma pesquisa encomendada com 262 profissionais de TI e segurança que detêm a autoridade final de tomada de decisão para a infraestrutura da nuvem na respectiva organização. A pesquisa, conduzida em 2023 pela Forrester Consulting em nome da Tenable, revela quatro áreas que os tomadores de decisão da nuvem afirmam representar suas maiores áreas de risco de exposição:
- Configurações incorretas nos serviços e na infraestrutura da nuvem usados em toda a organização (68%)
- Falhas em um software de TI/corporativo usado em toda a organização (62%)
- Configurações incorretas nas ferramentas que minha organização usa para gerenciar acesso e privilégios dos usuários (60%)
- Falhas em um software de tecnologia operacional usado em toda a organização (46%)
Quando se trata de avaliar a exposição ao risco, a nuvem supera em muito outras áreas da infraestrutura de TI como motivo de preocupação entre os tomadores de decisão da nuvem.
Em qual das seguintes áreas sua exposição ao risco é mais alta?
Tecnologia | % de participantes |
Infraestrutura da nuvem pública1 | 29% |
Infraestrutura multinuvem/nuvem híbrida2 | 28% |
Internet das coisas (IoT) | 15% |
Infraestrutura da nuvem privada | 11% |
Ferramentas de gerenciamento de contêineres na nuvem | 9% |
Infraestrutura local | 5% |
Tecnologia operacional/sistema de controle industrial (ICS)/supervisão e aquisição de dados (SCADA) | 3% |
1 A nuvem pública pode ser de um único provedor de nuvem pública, como Amazon Web Services (AWS), Google Cloud Platform (GCP) ou Microsoft Azure
2 Multinuvem/nuvem híbrida é uma combinação de duas ou mais nuvens públicas e/ou privadas
Base: 262 profissionais de TI e segurança com autoridade final de tomada de decisão sobre a infraestrutura/arquitetura da nuvem da respectiva organização
Fonte: Um estudo contratado conduzido pela Forrester Consulting em nome da Tenable em 2023
Em que os tomadores de decisão da nuvem investirão no próximo ano?
Um amplo leque de infraestruturas e sistemas de negócios baseados em nuvem está hoje em uso na maioria das organizações, incluindo máquinas virtuais, contêineres, sistemas de gerenciamento de relacionamento com o cliente (CRM) e recursos humanos.
No âmbito de áreas de investimento relacionadas à implementação de tecnologias na nuvem, os participantes identificaram funções sem servidor, máquinas virtuais e contêineres como os três principais tipos de tecnologia cuja adoção será ampliada nos próximos 12 meses.
Quais das seguintes tecnologias de infraestrutura da nuvem sua organização usa hoje?
Tecnologia | Sem interesse na nuvem | Tem interesse, mas não tem planos de implementação na nuvem | Planeja uma implementação na nuvem nos próximos 12 meses | Tem implementação na nuvem, mas sem expandir/fazer upgrade | Expansão ou upgrade no uso da nuvem | Diminuição ou interrupção do uso da nuvem |
Funções sem servidor | 8% | 21% | 39% | 24% | 7% | 0% |
Máquinas virtuais | 3% | 14% | 33% | 34% | 13% | 3% |
Contêineres; | 2% | 11% | 32% | 35% | 16% | 3% |
Gerenciamento de RH | 2% | 12% | 26% | 40% | 18% | 2% |
2% | 5% | 25% | 35% | 26% | 7% | |
curioso | 3% | 11% | 25% | 32% | 24% | 6% |
Gerenciamento de serviços de TI (ITSM) | 0% | 5% | 24% | 34% | 30% | 8% |
Planejamento de recursos corporativos (ERP) | 1% | 4% | 17% | 37% | 32% | 9% |
Gerenciamento de relacionamento com o cliente (CRM) | 0% | 6% | 14% | 42% | 28% | 10% |
Base: 262 profissionais de TI e segurança com autoridade final de tomada de decisão sobre a infraestrutura/arquitetura da nuvem da respectiva organização
Fonte: Um estudo contratado conduzido pela Forrester Consulting em nome da Tenable em 2023
Muitos dados, muitos silos, muitas partes interessadas
Dado o complexo ecossistema baseado em nuvem existente na maioria das organizações, não é surpresa que as descobertas sobre a nuvem estejam no topo da lista de fontes de dados que os tomadores de decisão da nuvem usam para determinar a exposição geral aos riscos. Porém, as descobertas da nuvem não costumam ser a única fonte. Feeds de threat intel, divulgações de vulnerabilidades e resultados de avaliações de prontidão para incidentes também estão entre as fontes em que os tomadores de decisão da nuvem de dados confiam.
Quais das seguintes fontes de dados sua organização usa para identificar a exposição geral a riscos?
Fonte de dados | % de participantes |
Descobertas da nuvem | 69% |
Feeds de threat intel | 55% |
Divulgação de vulnerabilidades | 52% |
Descobertas da avaliação de prontidão para incidentes | 52% |
Descobertas de testes de penetração | 47% |
Descobertas da superfície de ataque externa | 42% |
Perfis de usuários e privilégios | 35% |
Descobertas de tecnologia operacional | 31% |
Inventário de ativos | 26% |
Múltipla escolha permitida
Base: 262 profissionais de TI e segurança com autoridade final de tomada de decisão sobre a infraestrutura/arquitetura da nuvem da respectiva organização
Fonte: Um estudo contratado conduzido pela Forrester Consulting em nome da Tenable em 2023
Agregar todos esses dados de vários sistemas isolados é demorado e complicado. Na verdade, os silos na organização, a falta de higiene dos dados e o foco na segurança cibernética reativa, e não preventiva, são um fator importante para que a segurança da nuvem seja um desafio. Em especial:
- Sete em cada 10 (70%) tomadores de decisão da nuvem afirmam que os sistemas isolados das suas organizações constituem uma barreira para a obtenção de dados dos usuários.
- Metade afirma que a organização não tem uma forma eficaz de integrar os dados dos usuários às práticas de gerenciamento de vulnerabilidades.
- Mais de metade (55%) afirma que a falta de higiene dos dados dos usuários da organização e dos sistemas de gerenciamento de vulnerabilidades os impede de extrair dados de qualidade para ajudar os funcionários a tomar decisões de priorização.
- Seis em cada 10 (58%) afirmam que a equipe de segurança cibernética fica ocupada demais com incidentes críticos para adotar uma abordagem preventiva a fim de reduzir a exposição da organização.
- Quase três quartos (74%) acreditam que a organização teria mais sucesso na defesa contra ataques cibernéticos se dedicasse mais recursos à segurança cibernética preventiva.
Para complicar ainda mais a situação, a responsabilidade pela supervisão dos sistemas de gerenciamento de identidade e acesso parece ser um esporte em equipe, envolvendo profissionais de operações de TI e segurança, risco, conformidade e governança. A grande maioria dos participantes (67%) tem três ou mais sistemas de gerenciamento de identidade e acesso, e pode haver cinco tipos diferentes de equipes envolvidas no gerenciamento desses sistemas: operações de TI (77%), operações de segurança (61%), ID e acesso (53%), risco e conformidade (36%) e governança (32%).
Quem gerencia os sistemas de gerenciamento de identidade e privilégios usados na sua organização?
Equipe | % de participantes |
Operações de TI | 77% |
Operações de segurança | 61% |
Equipe de ID e acesso | 53% |
Risco e conformidade | 36% |
Governança | 32% |
Minha organização não tem sistemas de gerenciamento de identidade e privilégios | 2% |
Outro | 1% |
Múltipla escolha permitida
Base: 262 profissionais de TI e segurança com autoridade final de tomada de decisão sobre a infraestrutura/arquitetura da nuvem da respectiva organização
Fonte: Um estudo contratado conduzido pela Forrester Consulting em nome da Tenable em 2023
Além disso, a maioria dos tomadores de decisão da nuvem entrevistados desempenham diversas funções, identificando-se como o tomador de decisão final em uma série de outras áreas importantes, como DevSecOps, gerenciamento de vulnerabilidades e até o centro de operações de segurança (SOC).
Eu sou o tomador de decisão final para essa prática
Prática | % de participantes |
DevSecOps | 61% |
Gerenciamento de vulnerabilidades | 58% |
Operações de segurança/SOC | 57% |
Aplicações/ferramentas de SaaS | 56% |
Operações de TI | 56% |
Gerenciamento de identidade, acesso e privilégios | 53% |
DevOps | 53% |
Base: 262 profissionais de TI e segurança com autoridade final de tomada de decisão sobre a infraestrutura/arquitetura da nuvem da respectiva organização
Fonte: Um estudo contratado conduzido pela Forrester Consulting em nome da Tenable em 2023
Ainda assim, a segurança cibernética costuma ser deixada de fora da maioria das fases de implementação da tecnologia.
Com que frequência a equipe de segurança cibernética da sua organização se envolve nas seguintes fases de implementação?
Fase | Nunca | Raramente | Às vezes | Na maior parte do tempo | O tempo todo |
Análise da arquitetura | 1% | 10% | 38% | 35% | 15% |
Escopo | 2% | 16% | 41% | 32% | 9% |
Solicitação de proposta (RFP) | 3% | 10% | 31% | 35% | 21% |
Avaliação de fornecedor/prova de conceito (PoC) | 2% | 10% | 33% | 31% | 24% |
Configuração e implementação | 0% | 5% | 27% | 42% | 26% |
Privilégios de usuário e gerenciamento de acesso | 0% | 2% | 23% | 38% | 35% |
Gerenciamento e manutenção contínua de fornecedores | 1% | 9% | 27% | 40% | 23% |
Governança e gerenciamento de exceções | 1% | 11% | 21% | 45% | 22% |
Base: 262 profissionais de TI e segurança com autoridade final de tomada de decisão sobre a infraestrutura/arquitetura da nuvem da respectiva organização
Fonte: Um estudo contratado conduzido pela Forrester Consulting em nome da Tenable em 2023
DevOps é outra área de preocupação entre os tomadores de decisão da nuvem: quatro em cada 10 (42%) afirmam que a equipe de DevOps da sua organização não prioriza a segurança no processo de desenvolvimento de código.
Mais sobre os participantes
Os participantes da pesquisa representam tomadores de decisão da nuvem que trabalham com TI (65%) e segurança cibernética (35%). É mais provável que sejam VPs ou diretores do que executivos da alta gestão. Estão muito envolvidos na estratégia de TI e segurança.
Qual das opções a seguir melhor descreve sua posição/departamento atual?
Posição/departamento | % de entrevistados |
TI | 65% |
Segurança cibernética/InfoSec | 35% |
Base: 262 profissionais de TI e segurança com autoridade final de tomada de decisão sobre a infraestrutura/arquitetura da nuvem da respectiva organização
Fonte: Um estudo contratado conduzido pela Forrester Consulting em nome da Tenable em 2023
Que cargo melhor descreve sua posição na organização?
Cargo | % de participantes |
Tomador de decisão sênior de TI ou segurança na empresa (ex.: CIO, CISO, CTO) | 22% |
Diretor de negócios de segurança da informação (BISO) | 3% |
VP de TI ou segurança | 40% |
Diretor de TI ou segurança | 35% |
Base: 262 profissionais de TI e segurança com autoridade final de tomada de decisão sobre a infraestrutura/arquitetura da nuvem da respectiva organização
Fonte: Um estudo contratado conduzido pela Forrester Consulting em nome da Tenable em 2023
Até que ponto você está envolvido na definição, no gerenciamento e/ou na implementação das seguintes áreas da estratégia de TI/SEGURANÇA na sua organização?
Área | Pouco envolvido | Moderadamente envolvido | Muito envolvido |
Orçamento | 1% | 45% | 53% |
Métricas de desempenho | 0% | 40% | 59% |
Estratégias de negócios | 0% | 48% | 52% |
Base: 262 profissionais de TI e segurança com autoridade final de tomada de decisão sobre a infraestrutura/arquitetura da nuvem da respectiva organização
Fonte: Um estudo contratado conduzido pela Forrester Consulting em nome da Tenable em 2023
Quatro recomendações para reduzir os riscos de segurança da nuvem
Para proteger a complexa infraestrutura da nuvem, é preciso enfrentar uma variedade de desafios relacionados a pessoas, processos e tecnologias. Para você começar, seguem quatro recomendações:
- Quebre os silos. Desenvolva um plano para padronizar a segurança da nuvem em diferentes unidades de negócios, oferecendo um ponto de referência único que possa ser usado pelas equipes de segurança, TI, DevOps e DevSecOps. Você consegue determinar rapidamente a relação entre usuários, sistemas e ativos na organização para que seja possível identificar e abordar sua exposição de forma realista? Ou será que os sistemas isolados formam uma barreira que impede a integração eficaz desses dados nas suas práticas de segurança da nuvem? A padronização pode ajudar a minimizar o atrito entre as equipes de TI, segurança e desenvolvimento e garantir uma tomada de decisão rápida com base em recomendações precisas, que todos consigam compreender.
- Mapeie visualmente sua superfície de ataque. Saber os ativos de nuvem que você tem é só o começo. Você precisa de visibilidade das configurações, das identidades digitais e das permissões associadas de cada ativo na sua rede. Apenas com uma visão contextual de ativos, configurações e identidades você pode obter a visibilidade de que precisa para fazer o tipo de análise necessária, que permite que as equipes de segurança ofereçam recomendações direcionadas para reduzir o risco.
- Aborde os desafios da multinuvem. Cada grande provedor de nuvem pública — Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Azure — gerencia e configura os componentes da nuvem de forma diferente, resultando em inconsistências no monitoramento contínuo da segurança. Procure consolidar informações de todos os seus provedores de nuvem pública em um espaço unificado de monitoramento e gerenciamento. Para isso, é necessário entender os diferentes mecanismos que estão em jogo, incluindo a infraestrutura do provedor de nuvem e os modelos de permissão, o que pode ajudar você a estabelecer uma base para recomendações de correção consolidadas e precisas.
- Busque soluções automatizadas. Soluções automatizadas de segurança da nuvem podem ajudar você a analisar continuamente a exposição da sua organização ao risco e apresentar descobertas de uma forma fácil, acessível e prática, sem exigir conhecimentos técnicos profundos por parte das equipes. Ferramentas de segurança automatizadas permitem que as equipes compreendam, investiguem e naveguem pelos riscos em meio à complexidade. Com a solução automatizada certa, você pode obter visibilidade completa de ativos, usuários e configurações da nuvem; consolidar informações de todos os provedores de nuvem pública em um espaço unificado de monitoramento e gerenciamento; e priorizar e corrigir com base na severidade do risco. A automação pode atuar como uma multiplicadora de forças para equipes de segurança com poucos recursos.
Ao procurar as soluções certas de segurança na nuvem, as organizações devem focar nas que reduzem a complexidade e os riscos. As soluções ideais de segurança da nuvem devem ser fáceis de usar e padronizar a segurança da nuvem em diferentes unidades de negócios. Uma solução robusta atua como uma consultora, oferecendo perspectivas de vulnerabilidades ou configurações incorretas que requerem atenção imediata. Também oferece priorização de riscos rica em contexto, perspectivas práticas para a tomada de decisão bem fundamentada em mitigação e ferramentas para automatizar e acelerar a correção.
Artigos relacionados
- Cloud
- Cloud
- Exposure Management