71,5% das violações de segurança na AWS ocorrem devido a erros de Gestão de Identidade, e isso pode ser facilmente evitado!

AGRADEÇA AO AUTOR COMPARTILHE!

Quando falamos em segurança na nuvem, a primeira preocupação que vem a mente são os Cibercriminosos, e isso pode parecer bem sensato, afinal quem proporcionaria mais risco do que aqueles que se dedicam em tempo integral a descobrir novas formas de contornar controles de segurança, obter  acesso ilegal, roubar informações ou abusar de recursos?

Sim, o cibercrime representa uma ameaça significativa a qualquer ambiente que precisa ser combatida constantemente. Em termos de controles de segurança, a nuvem fornece um leque de opções tecnológicas que pode proteger muito bem até mesmo os ambientes que demandam o mais alto nível de cibersegurança, a grande questão é que seguimos deixando de lado um fator essencial a segurança da informação: como o componente humano tem facilitado a vida do cibercrime.

breach

Os números são estarrecedores: Em uma pesquisa realizada pela Netskope junto aos seus clientes que utilizam serviços da AWS (Amazon Web Services) nas modalidades IaaS ou PaaS, foi descoberto que 71,5% das violações de segurança são relacionadas com a gestão de acesso e identidade.  De acordo com o relatório, isso pode indicar que, embora muitas organizações já tenham controles de segurança para seus serviços em nuvem como, por exemplo, autenticação multifator (MFA) e soluções de logon único, as políticas de gestão de acesso e identidade para IaaS e PaaS ainda precisam ser melhoradas.

iam-1

O fato é que, independentemente dos controles de segurança aplicados ao ambiente da nuvem, hackers e crackers já descobriram que explorar o fator humano é muito mais simples:

Boa parte das violações relacionadas com a gestão de acesso e identidade pode ser atribuída ao roubo de senhas, muitas vezes resultados de ataques como phishing, ou praticas inseguras como, por exemplo, usar a mesma senha em múltiplos sites/serviços ou até o velho (e péssimo) hábito de anotar senhas em um post-it e colar no monitor (acredite, isso acontece como bem mais frequência do que o esperado).

Enquanto a pesquisa da Netskope aponta que muitos desses incidentes foram considerados críticos, é necessário entendermos que a maioria poderia ter sido facilmente evitada usando uma combinação dos recursos de proteção fornecidos pela própria AWS e educação/conscientização dos usuários e, especialmente, administradores dos serviços de IaaS ou PaaS.

Estamos vivendo um momento onde cada vez mais empresas caminham rumo a troposfera digital, e sem dúvida a nuvem vai ser o grande habilitador da inovação e transformação digital que viveremos nas próximas décadas. Entretanto, precisamos deixar de lado velhos hábitos e adotar uma postura mais pragmática em relação a cibersegurança, entendendo que proteger uma organização é bem mais do que simplesmente dispor de controles técnicos: sem tratar o fator humano, nenhum ambiente estará adequadamente protegido.

nuvems

Um céu tranquilo ou tempestade: Tudo depende de ter uma boa cibersegurança.

AGRADEÇA AO AUTOR COMPARTILHE!

Cláudio Dodt - claudiododt.com

Mais artigos deste autor »

Evangelista em Segurança da Informação e Cloud, consultor, instrutor e palestrante, atua na área de tecnologia há mais de 15 anos, exercendo atividades como Analista de Suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.

Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participando no Brasil e no exterior em projetos de segurança de diversos segmentos como Educacional, Financeiro, Telecomunicações, Saúde, Agroindústria, Indústria Alimentícia, Naval, Metal-Mecânica e Têxtil.

ITIL® Expert;
Certified Information Systems Security Professional (CISSP®);
Certified Information Security Manager (CISM);
Certified Information Systems Auditor (CISA);
Certified in Risk and Information Systems Control (CRISC);
ISO 27001 Lead Auditor;
ISO/IEC 20000 Foundation;
Information Security Foundation (ISFS) based on ISO/IEC 27002;
Information Security Management Advanced based on ISO/IEC 27002;
CobiT 4 Foundation;
CobiT 5 Foundation;
EXIN Cloud Computing Foundation;
EXIN Certified Integrator Secure Cloud Services;
EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS, Cloud Foundation).

Geek convicto, mergulhador autônomo, amante incondicional da leitura, cinema e dos videogames.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">