Por Michael Osterman — 27 de janeiro de 2021
A Osterman Research realizou recentemente uma pesquisa internacional abrangente com tomadores de decisões e influenciadores da área de segurança de grandes organizações. Nosso objetivo era entender a seriedade de vários problemas de segurança e o que as organizações estão fazendo para resolvê-los. Realizamos a pesquisa na América do Norte, América Latina, Europa e vários países da região Ásia-Pacífico em diversos setores. Foi realizado um total de 205 pesquisas.
Houve algumas surpresas na pesquisa — o que consideramos ser “desconexões” ou questões que estão causando sérios problemas nas empresas e que os tomadores de decisões não estão fazendo o suficiente para resolver.
Desconexão nº 1: Bots maliciosos
Os bots maliciosos são um problema sério, mas poucos implementaram as ferramentas certas para lidar com eles. Nossa pesquisa descobriu que pouco mais de quatro em cinco organizações pesquisadas (82%) relataram ter sido vítimas de alguma forma de ataque gerado por bots. Por exemplo, 38% das organizações relataram que ataques de negação de serviço distribuído (DDoS) promovidos por bots ocorrem pelo menos semanalmente, e 62% delas relataram que eles ocorrem mensalmente. Também encontramos uma alta frequência de ataques de bots com foco em aspectos como web scraping, invasão de contas e fraude digital, entre outras formas de ataques.
Apesar da alta frequência e gravidade de diversos ataques de bots, apenas 24% das organizações relataram usar qualquer tipo de ferramenta dedicada de gerenciamento de bots. O resultado é que 34% dos entrevistados admitiram que os ataques de bots têm maior probabilidade de passar pelas defesas de segurança implementadas, e 28% admitiram que há uma “boa chance” de que muitos desses ataques ocorram sem o conhecimento da organização. Isso levou a uma situação em que 61% dos entrevistados afirmaram não se sentirem confiantes para lidar com ataques de bots sofisticados.
[Você também pode se interessar por: Protecting APIs & Securing Applications So Business Can Thrive]
Desconexão nº 2: Mal-entendidos sobre responsabilidades de segurança
Os mal-entendidos levam a violações de dados. A grande maioria das organizações migrou ou está migrando suas aplicações e armazéns de dados para a nuvem. Embora esse processo de migração continue progredindo com rapidez, a compreensão dos tomadores de decisão sobre muitas das nuances de sua execução ainda está defasada.
Por exemplo, muitos clientes não entendem o “modelo de responsabilidade compartilhada” inerente a praticamente todos os serviços em nuvem. Após a migração dos dados e aplicações para a nuvem, muitos tomadores de decisões acreditam que o provedor se torna responsável por questões como segurança e backup dos dados para garantir sua disponibilidade. Contudo, não é bem o caso. Embora os provedores de nuvem realizem essas atividades na medida em que são necessárias para garantir a operação adequada de seus serviços, a responsabilidade primária por atividades como segurança e backup ainda é do cliente.
Nossa pesquisa descobriu que, entre as organizações que usam provedores de nuvem pública, 11% relatam ter havido exposições de dados resultantes de mal-entendidos sobre a responsabilidade pela segurança dos dados. Embora 45% não tenham relatado nenhuma exposição de dados como resultado de mal-entendidos sobre a responsabilidade pela proteção dos dados dos clientes, 43% relataram não ter havido exposições de dados “das quais estavam cientes”, o que implica que poderia haver muito mais violações de dados a serem descobertas.
Desconexão nº 3: Influência vs. orçamento
Existe uma disparidade entre a influência da segurança e a responsabilidade orçamentária. A pesquisa descobriu que, embora a TI tenha a maior influência na segurança do ambiente de desenvolvimento de aplicações em 37% das organizações, a função de segurança das informações está em segundo lugar, com 31% das organizações dando à equipe de segurança das informações a maior influência na segurança do desenvolvimento de aplicações.
No entanto, a função de segurança das informações raramente tem controle sobre o orçamento de segurança das aplicações — apenas 11% das organizações permitem que sua equipe de segurança das informações assuma a responsabilidade principal pelo orçamento do desenvolvimento de aplicações. Em vez disso, a TI e os proprietários das empresas são os que têm maior probabilidade de serem responsáveis pelo orçamento — em 78% das organizações, é um desses dois grupos que controla o orçamento da segurança, apesar do fato de que em apenas 51% das organizações esses grupos combinados exerçam a maior influência na segurança das aplicações.
Conclusões
Estas são as três conclusões a serem consideradas sobre essas desconexões:
Implemente ferramentas de gerenciamento de bots dedicadas que lidarão com os problemas provocados por bots maliciosos e sofisticados. Os firewalls de aplicações Web, por exemplo, podem ajudar, mas recursos dedicados com foco especificamente no comportamento de bots maliciosos são essenciais.
Garanta que suas equipes de TI e segurança entendam totalmente o modelo de responsabilidade compartilhada e quais são as atribuições de cada pessoa. A falta de entendimento total das funções dos clientes em relação aos provedores de nuvem pública expõe as organizações a um risco maior de perda de dados.
Se faz sentido colocar a equipe de segurança das informações no comando da segurança do ambiente de desenvolvimento de aplicações, provavelmente também faz sentido colocá-la no comando do orçamento da segurança das aplicações.
Comments