A despeito da contínua importância que os recursos de computação possuem para as organizações, as empresas não estão adotando medidas de governança e segurança apropriadas para proteger dados sensíveis na nuvem. Esses são apenas alguns resultados de um estudo do Ponemon Institute intitulado “The 2016 Global Cloud Data Security Study”, encomendado pela Gemalto.
De acordo com 73% dos entrevistados, os serviços e plataformas baseados em nuvem são considerados importantes para as operações da sua organização, e 81% disseram que serão ainda mais nos próximos dois anos. Na verdade, 36% dos entrevistados disseram que as necessidades de processamento de dados e TI foram atendidas usando recursos em nuvem hoje e que eles esperavam que isso aumentasse em 45% nos próximos dois anos.
Embora os recursos baseados em nuvem estejam se tornando mais importantes para as operações e estratégias comerciais de TI, 54% dos entrevistados não concordaram que suas empresas tivessem uma abordagem proativa para gerenciar segurança e estar em conformidade com as regulamentações de privacidade e proteção de dados em ambientes em nuvem.
Isso acontece apesar do fato de que 65% dos entrevistados tenham dito que suas organizações estão comprometidas em proteger informações confidenciais e sensíveis na nuvem. Além disso, 56% não concordaram que suas organizações sejam cuidadosas com o compartilhamento de informações sensíveis na nuvem com terceiros como parceiros comerciais, contratantes e vendedores.
“A segurança em nuvem continua a ser um desafio para as empresas, especialmente ao lidar com a complexidade das regulamentações de proteção de privacidade e dados”, disse o Dr. Larry Ponemon, presidente e fundador do Ponemon Institute. “Para garantir a conformidade, é importante que as empresas considerem a implementação dessas tecnologias de criptografia, tokenização ou outras soluções criptográficas para garantir que dados sensíveis sejam transferidos e armazenados na nuvem”.
“As organizações acolheram a nuvem com seus benefícios de custo e flexibilidade, mas ainda estão lutando para manter o controle dos dados e da conformidade em ambientes virtuais”, disse Jason Hart, Vice-Presidente e Diretor de Tecnologia para proteção de dados na Gemalto. “É bastante óbvio que as medidas de segurança não estejam mantendo o ritmo porque a nuvem desafia as abordagens tradicionais de proteção de dados quando eles são simplesmente armazenados na rede.
Esse é um problema que pode ser resolvido somente com uma abordagem centrada nos dados em que as organizações de TI possam proteger o cliente e as informações corporativas de modo uniforme nas dezenas de serviços baseados em nuvem de que seus funcionários e departamentos internos dependem todos os dias”.
Principais resultados
A segurança em nuvem é tempestuosa por causa da shadow IT
De acordo com os entrevistados, cerca de metade dos serviços em nuvem (49%) é implementada por departamentos diferentes da TI corporativa e uma média de 47% dos dados corporativos armazenados em ambientes em nuvem não são gerenciados ou controlados pelo departamento de TI. No entanto, a confiança em saber que todos os serviços de computação em nuvem em uso está aumentando. Cinquenta e quatro por cento dos entrevistados confiam que a organização de TI conhece todos os aplicativos, plataformas ou serviços de infraestrutura de computação em nuvem em uso – um aumento de 9% desde 2014.
Práticas de segurança convencionais não se aplicam à nuvem
Em 2014, 60% dos entrevistados sentiram que foi mais difícil proteger informações confidenciais e sensíveis ao usar serviços em nuvem. Este ano, 54% disseram o mesmo. A dificuldade de controlar ou restringir o acesso do usuário final aumentou de 48% em 2014 para 53% dos entrevistados em 2016. Os outros principais desafios que tornam a segurança algo complicado incluem a incapacidade de aplicar segurança de informações convencional em ambientes em nuvem (70% dos entrevistados) e a incapacidade de inspecionar diretamente os fornecedores em nuvem quanto à conformidade de segurança (69% dos entrevistados).
Mais informações do cliente estão sendo armazenadas na nuvem e são consideradas o tipo de dados que correm mais risco
De acordo com a pesquisa, informações, e-mails e dados de clientes, registros de funcionários e informações de pagamento são os tipos de dados armazenados com mais frequência na nuvem. Desde 2014, o armazenamento de informações do cliente na nuvem chegou ao seu ponto máximo, de 53% em 2014 para 62% dos entrevistados dizendo que sua empresa estava fazendo isso hoje. Cinquenta e três por cento também consideraram que as informações do cliente são os dados que correm mais risco na nuvem.
Os departamentos de segurança são deixados no escuro quando se trata de comprar serviços em nuvem
Somente 21% dos entrevistados disseram que os membros da equipe de segurança estão envolvidos no processo de tomada de decisão a respeito de certos aplicativos ou plataformas em nuvem. A maioria dos entrevistados (64%) também disse que suas organizações não possuem uma política que exija o uso de dispositivos de segurança, como criptografia, como uma condição para usar certos aplicativos de computação em nuvem.
A criptografia é importante, mas ainda não é disseminada na nuvem
Setenta e dois por cento dos entrevistados disseram que a capacidade de criptografar e tokenizar dados sensíveis ou confidenciais é importante, com 86% dizendo que isso será ainda mais importante nos próximos dois anos, em relação aos 79% de 2014. Embora a importância da criptografia esteja crescendo, ela ainda não está amplamente implementada na nuvem. Por exemplo, para SaaS, o tipo mais popular de serviço baseado em nuvem, somente 34% dos entrevistados disseram que sua organização criptografa ou tokeniza dados sensíveis ou confidenciais diretamente nos aplicativos baseados em nuvem.
Muitas empresas ainda dependem de senhas para proteger o acesso do usuário aos serviços em nuvem
Sessenta e sete por cento dos entrevistados disseram que o gerenciamento de identidades do usuário é mais difícil na nuvem do que no local. Porém, as organizações não estão adotando medidas que são fáceis de implementar e que poderiam aumentar a segurança em nuvem. Cerca de metade (45%) das empresas não está usando autenticação multifatorial para proteger o acesso do funcionário e de terceiros a aplicativos e dados na nuvem, o que significa que muitas empresas ainda estão dependendo apenas de nomes de usuário e senhas para validar identidades. Isso coloca mais dados em risco porque cinquenta e oito por cento dos entrevistados disseram que suas organizações possuem usuários terceiros acessando seus dados e informações na nuvem.
Recomendações para segurança de dados na nuvem
A nova realidade de TI em nuvem impõe às organizações de TI uma necessidade de definir políticas abrangentes para governança e conformidade de dados, criar orientações para fornecimento de serviços em nuvem e estabelecer regras para quais dados podem e não podem ser armazenados na nuvem.
As organizações de TI podem cumprir sua missão de proteger dados corporativos ao mesmo tempo em que são capacitadores da sua “Shadow IT” ao implementar medidas de segurança de dados como criptografia, que lhes permite proteger dados na nuvem de um modo centralizado, pois suas organizações internas oferecem serviços baseados em nuvem conforme necessário.
À medida que as empresas armazenam mais dados na nuvem e utilizam mais serviços baseados em nuvem, as organizações de TI precisam dar mais ênfase aos controles de acesso do usuário com autenticação multifatorial. Isso é ainda mais importante para as empresas que concedem acesso a terceiros e fornecedores a seus dados em nuvem.
