Pesquisa alerta sobre questões de segurança não resolvidas

Estudo realizada com mais de 200 profissionais revelou três problemas sérios e que não recebem a devida atenção das organizações

Compartilhar:

A Radware analisou recentemente uma pesquisa realizada pela Osterman Research com tomadores de decisões e influenciadores da área de segurança de grandes organizações. A análise revelou três problemas sérios na segurança das organizações e que não recebem a devida resolução pelos responsáveis.

 

Foram realizadas 205 pesquisas na América do Norte, América Latina, Europa e vários países da região Ásia-Pacífico, em diversos setores, com o objetivo de entender a seriedade de vários problemas de segurança e o que as organizações estão fazendo para resolvê-los. Tais problemas foram chamados de desconexões.

 

Desconexão nº 1: Bots maliciosos

 

Os bots maliciosos são um problema sério, mas poucos implementaram as ferramentas certas para lidar com eles. A pesquisa revelou que 82% das organizações relataram ter sido vítimas de alguma forma de ataque gerado por bots. Por exemplo, 38% das organizações relataram que ataques de negação de serviço distribuído (DDoS) promovidos por bots ocorrem pelo menos semanalmente, e 62% delas relataram que eles ocorrem mensalmente. Também foi encontrado uma alta frequência de ataques de bots com foco em aspectos como web scraping, invasão de contas e fraude digital, entre outras formas de ataques.

 

Apesar da alta frequência e gravidade de diversos ataques de bots, apenas 24% das organizações relataram usar qualquer tipo de ferramenta dedicada de gerenciamento de bots. O resultado é que 34% dos entrevistados admitiram que os ataques de bots têm maior probabilidade de passar pelas defesas de segurança implementadas, e 28% admitiram que há uma “boa chance” de que muitos desses ataques ocorram sem o conhecimento da organização. Isso levou a uma situação em que 61% dos entrevistados afirmaram não se sentirem confiantes para lidar com ataques de bots sofisticados.

 

Desconexão nº 2: Mal-entendidos sobre responsabilidades de segurança

 

A pesquisa descobriu que, entre as organizações que usam provedores de nuvem pública, 11% relatam ter havido exposições de dados resultantes de mal-entendidos sobre a responsabilidade pela segurança dos dados. Embora 45% não tenham relatado nenhuma exposição de dados como resultado de mal-entendidos sobre a responsabilidade pela proteção dos dados dos clientes, 43% relataram não ter havido exposições de dados “das quais estavam cientes”, o que implica que poderia haver muito mais violações de dados a serem descobertas.

 

“Os mal-entendidos levam a violações de dados. A maioria das organizações migrou ou está migrando suas aplicações e armazéns de dados para a nuvem, porém muitos clientes não entendem o “modelo de responsabilidade compartilhada” característico a praticamente todos os serviços em nuvem. Após a migração dos dados e aplicações para a nuvem, muitos tomadores de decisões acreditam que o provedor se torna responsável por questões como segurança e backup dos dados para garantir sua disponibilidade. Contudo, não é bem o caso. Embora os provedores de nuvem realizem essas atividades na medida em que são necessárias para garantir a operação adequada de seus serviços, a responsabilidade primária por atividades como segurança e backup ainda é do cliente”, explica Arie Simchis, Diretor Regional para América Latina da Radware.

 

Desconexão nº 3: Influência vs. orçamento

 

Existe uma disparidade entre a influência da segurança e a responsabilidade orçamentária. A pesquisa descobriu que, embora a TI tenha a maior influência na segurança do ambiente de desenvolvimento de aplicações em 37% das organizações, a função de segurança das informações está em segundo lugar, com 31% das organizações dando à equipe de segurança das informações a maior influência na segurança do desenvolvimento de aplicações.

 

Apenas 11% das organizações permitem que sua equipe de segurança das informações assuma a responsabilidade principal pelo orçamento do desenvolvimento de aplicações. Em vez disso, a TI e os proprietários das empresas são os que têm maior probabilidade de serem responsáveis pelo orçamento: em 78% das organizações, é um desses dois grupos que controla o orçamento da segurança. Em apenas 51% das organizações esses grupos combinados exercem maior influência na segurança das aplicações.

 

De acordo com o executivo da Radware, algumas conclusões podem ser consideradas a partir dos dados da pesquisa, entre elas a importância de as empresas implementarem ferramentas de gerenciamento de bots dedicadas que lidarão com os problemas provocados por bots maliciosos e sofisticados. “Os firewalls de aplicações Web, por exemplo, podem ajudar, mas recursos dedicados com foco especificamente no comportamento de bots maliciosos são essenciais.”

 

Além disso, Simchis ressalta que os tomadores de decisão devem garantir que suas equipes de TI e segurança entendam totalmente o modelo de responsabilidade compartilhada e quais são as atribuições de cada pessoa. “A falta de entendimento total das funções dos clientes em relação aos provedores de nuvem pública expõe as organizações a um risco maior de perda de dados. Se faz sentido colocar a equipe de segurança das informações no comando da segurança do ambiente de desenvolvimento de aplicações, provavelmente também faz sentido colocá-la no comando do orçamento da segurança das aplicações”, finaliza.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...
Security Report | Overview

GSI publica resolução do primeiro encontro do Comitê de Cibersegurança

O Comitê organizado e administrado pelo GSI definiu tanto o regimento interno do conselho quanto dividiu as atribuições dos Grupos...
Security Report | Overview

Avanço das deepfakes movimenta indústria em favor da detecção com IA embarcada

Segundo pesquisa da Kaspersky, o número de golpes por fake news de produções digitais teve um aumento de 900% em...
Security Report | Overview

Ministério da Ciência e Tecnologia amplia programa de incentivo a pesquisas sobre IA

Iniciativa vai acelerar projetos nas áreas de Saúde, Agronegócio, Gestão Corporativa, Finanças, TI e Telecom; Energia e Sismologia, Segurança, Defesa...