Quase todos (99%) os líderes e gestores de TI de empresas públicas no mundo todo, consideram que as ferramentas de segurança oferecidas pelo fornecedor de ambientes em nuvem são suficientes para garantir a segurança dos dados da empresa. A maioria dos entrevistados (82%) também responderam que possuem controle total da segurança dos ambientes de trabalho remoto, que instalaram em suas empresas.
- FireEye é vendida por R$ 6 bilhões para grupo de investimento que controla McAfee
- O que é necessário para se tornar um CISO?
- TOTVS compra 92% da RD Station por R$ 1,8 bilhão
Esses dados foram coletados pela Trend Micro, uma desenvolvedora multinacional de soluções de segurança da informação, com sede no Japão. Para a pesquisa, foram entrevistados 2565 líderes e gestores de TI de empresas públicas, de 28 países diferentes. O principal objetivo da pesquisa é identificar como as empresas do setor público estão lidando com a transformação digital acelerada, forçada pela pandemia do novo coronavírus (Sars-CoV-2). Além de obter informações sobre a adoção de ambientes em nuvem e como essas empresas estão lidando com o home office.
A pesquisa identificou que, embora as empresas públicas pareçam bastante confiantes em suas estratégias de segurança, elas podem estar correndo riscos gravíssimos, especialmente por confiar demais na segurança inicial, fornecida pelo Cloud Service Provider (CSP), além de outros erros perigosos.
Para entender esses dados, a The Hack entrou em contato com Renato Tocaxelli, regional account manager da Trend Micro, que explica que a transformação digital e migração para a nuvem é um sinal positivo, mas que deve ser feita de forma responsável, correta e segura, para evitar problemas de segurança no futuro. Afinal, as ferramentas oferecidas pelos provedores de nuvem não são suficientes para garantir a segurança de dados de uma empresa.
Segundo o executivo, as empresas que contratam provedores de nuvem operam em um sistema de “responsabilidade compartilhada”, onde o provedor é responsável pela segurança e integridade de seus sistemas, enquanto a empresa é responsável por seus dados internos. “A adoção da nuvem não é um processo de começo, meio e fim, mas uma instância viva, quer requer verificações e manutenções constantes. Cada empresa deve ser responsável pela proteção de seus dados, exigindo que sua infraestrutura em nuvem seja segura, mesmo no modelo de responsabilidade compartilhada, onde cada parte revisa ciclicamente suas vulnerabilidades exigindo o mesmo dos demais”, explica.
Transformação digital forçada pela pandemia
Segundo a pesquisa, 84% dos chefes de TI do setor público revelaram que a pandemia acelerou a adoção da nuvem. O isolamento e a necessidade de trabalho remoto, acelerada pela pandemia afetou diretamente a transformação digital, forçando empresas a migrarem para ambientes híbridos ou totalmente remotos, o que, consequentemente afeta a segurança desses sistemas, configurados às pressas.
“Obviamente [essa migração foi feita] de forma desorganizada e sem planejamento. Métodos e meios de atuação, ainda em estudo, que eram gradativamente implementados, viraram quase que obrigações e soluções inevitáveis para a continuidade operacional, onde o home office, por exemplo, passou a ser a premissa para qualquer processo de produção.”
CIOs que antes demoraram anos para implementar modelos híbridos ou completamente remotos, tiveram que realizar esse processo em poucos dias. Por esse motivo, “a adoção da nuvem vem (ou deveria vir) acompanhada de uma camada a mais de segurança, para equilibrar os processos acelerados”, recomenda Tocaxelli.
No entanto, mesmo com essa necessidade extra de segurança, o estudo identificou que 82% das empresas públicas acreditam ter total controle de seus ambientes em nuvem, além de 79% dos líderes de TI, que acreditam ser capazes de proteger a empresa no novo ambiente de trabalho híbrido. Mas, a realidade mostra que mesmo com uma nuvem bem configurada, seguindo as melhores práticas e decisões de segurança na fase de implantação, algumas empresas cometem alguns equívocos, que fazem os executivos trabalharem com base em “falsas suposições”.
“A ausência de ferramentas especializadas na proteção dos ambientes de nuvem, por exemplo, ampliou o número de ataques e incidentes de segurança. Configurações incorretas, causados por desconhecimento, ausência de proteções, ausência de verificações cíclicas e falsas promessas compradas no momento da aceleração, também estão entre os principais riscos de um ambiente de nuvem. Cabe ao administrador público equilibrar a atenção e os investimentos entre a adoção da nuvem e as camadas de segurança para esta nova tecnologia e seus ambientes legados, não antecipando fases de estudo, provas de conceito e verificação de compatibilidade entre as soluções, as ferramentas de proteção e o ambiente da organização”, explica Tocaxelli.
A nuvem do governo brasileiro
Tocaxelli explica que, (embora fosse bastante restrita até alguns anos atrás e continua sendo bastante resistente por parte do poder público) a adoção da nuvem e do trabalho remoto pelo governo brasileiro foi rápida, o que resultou em uma integração desorganizada e incompatível. “Temos uma infraestrutura de governo completamente heterogênea e sem padronização, onde cada órgão de um mesmo governo, por exemplo, tem uma arquitetura, um tipo de tecnologia, um modelo de operação e sistema, incluindo bases de softwares livres, que não interagem ou se integram que não seja por uma planilha de dados ou flat file”.
No entanto, com ambientes e soluções de nuvem devidamente configurados e equipados com as tecnologias de segurança adequadas, boa parte dos servidores públicos podem trabalhar de casa (o que é uma das maiores necessidades da pandemia), como já foi feito por alguns órgãos do governo. Além das vantagens de manter seus funcionários seguros, a economia e o corte de gastos também é uma vantagem comprovada do home office.
“Outro fator diferenciado: a pandemia gera uma necessidade quase inevitável do home office, uma prática abominada pelo poder público. Mas com ambientes e soluções em nuvem, 60% ou 70% dos servidores públicos podem trabalhar de forma remota, garantindo sua saúde e bem-estar, mantendo ou melhorando sua produtividade, e mais, podendo modernizar a infraestrutura dos órgãos com jornadas planejada para a Cloud. Além dos aspectos tecnológicos, a economicidade também é um fator comprovado, onde com o planejamento adequado e, reiterando, equilibrado entre Cloud e Segurança, a operação tecnológica passa a ser mais eficiente e estar mais próxima das práticas mais avançadas do mercado”, conclui Tocaxelli.
Confira todos os resultados da pesquisa:
- 99% afirmaram que consideram que os controles de Cloud Service Provider (CSP) deles são suficientes ou mais que suficientes para proteger os dados da nuvem - quando, na verdade, a responsabilidade é somente do cliente.
- 82% sentem que possuem controle total, ou majoritário, sobre a proteção dos ambientes de trabalho remoto.
- 84% dos chefes de TI do setor público revelaram que a pandemia acelerou "um pouco" ou "consideravelmente" a adoção da nuvem.
- 79% acreditam ser capazes de proteger a empresa no novo ambiente de trabalho híbrido, que surgiu após a pandemia.
- 74% afirmaram ter implementado treinamentos de segurança.
- 50% dos entrevistados admitiu que a segurança é uma importante barreira a ser considerada para a adoção da nuvem.
- 54% relataram ter implementado novas políticas sobre tratamento de informações pessoais, com objetivo de mitigar eventuais novos riscos.
- 45% observaram que o aumento da adoção da nuvem, na verdade, colaborou para ampliar o foco nas melhores práticas de segurança do mercado.
- 45% afirmaram que a introdução de ferramentas de segurança em nuvem tornou a segurança geral de TI mais cara.
- 11% afirmaram que a nuvem não representa nenhum obstáculo para os projetos.
- Só no Reino Unido, foram entregues pelas secretarias do governo, 69 novos serviços digitais até o final de maio de 2020.