Új tanulmány: Az informatikai szakemberek jobban aggódnak a vállalati adatokért, mint az otthonuk biztonságért

 

Az Oracle és a KPMG 2020-as felhőbiztonsági tanulmánya szerint (Oracle - KPMG Cloud Threat Report 2020) az informatikai szakemberek növekvő aggodalommal és bizalmatlansággal tekintenek az adatbiztonság kérdésére. A világszerte megkérdezett 750 kiberbiztonsági és informatikai vezető válaszai azt mutatták, hogy az számtalan különféle biztonsági termék használata egy cégen belül, a rosszul beállított szolgáltatások és az új felhőalapú biztonsági modellek körüli zűrzavar bizalmi válságot hozott létre. Ezen csak azok a szervezetek tudnak túllépni, ahol a biztonság az üzleti kultúra részévé tud válni.

Az adatbiztonság kérdése álmatlan éjszakák okozója

A tanulmány megállapította, hogy az informatikai szakembereket jobban aggasztja a vállalat adatainak biztonsága, mint a saját otthonuké.

• Az informatikai szakemberek háromszor jobban aggódnak a vállalat pénzügyi és szellemi tulajdonának biztonságáért, mint az otthonuk biztonsága miatt.
• Az informatikai szakemberek aggodalmukat fejezték ki a felhőszolgáltatókkal kapcsolatban; 80 százalékuk attól tart, hogy az általuk igénybe vett felhőszolgáltatók idővel versenytársaikká válnak.
• Az informatikai szakemberek 75 százaléka biztonságosabbnak tartja a nyilvános felhőt a saját adatközpontnál, ám 92 százalékuk nem bízik abban, hogy cégük felkészült a nyilvános felhőszolgáltatások biztonságos használatára.
• A szakemberek közel 80% -a állította, hogy a más vállalkozások adatbiztonsági incidenseiről szóló hírek arra ösztönözték vállalatukat, hogy jobban összpontosítson az adatvédelemre.

Elöregedett biztonsági rendszerek miatt állandóak a tűzoltási feladatok

Az informatikai szakemberek számos, az éves során beszerzett különféle kiberbiztonsági terméket használnak, hogy megfeleljenek az adatbiztonság kihívásoknak, ám ez nagyon nehéz feladat, mivel ezek a rendszerek ritkán vannak megfelelően konfigurálva.

• A szervezetek 78 százaléka több mint 50 különálló kiberbiztonsági terméket használ; 37 százalékuk pedig több mint 100-at.
• Azoknál a szervezeteknél, ahol a felhőszolgáltatások nem voltak megfelelően konfigurálva, 10 vagy több adatvesztési esemény is előfordult az elmúlt egy évben.
• A szervezetek 59%-a nyilatkozta azt, hogy a felhőszolgáltatásokhoz kiemelt hozzáféréssel rendelkező munkatársak hozzáférési adatai célzott adathalász támadás (spear phishing) áldozatául estek.
• A hibás konfigurációk leggyakoribb típusai:
  • Feleslegesen sok hozzáférési jogosultság egyes felhasználók számára (37 százalék)
  • Webszerverek megfelelő védelem nélkül (35 százalék)
  • Több-lépcsős hitelesítés hiánya a kulcsfontosságú szolgáltatásokhoz való hozzáférésben (33%)

Megosztott felelősség: a zűrzavar sok veszély forrása

A vállalatok egyre több üzletileg kritikus adatot telepítenek a felhőbe, ám sok a bizonytalanság azon a területen, hogy ki és meddig felelős az adatok védelméért. A felhőszolgáltatásokra jellemző, a belső informatikai részlegek és a felhőszolgáltatók közötti megosztott felelősségi modellt még nagyon sokan nem értik és nem tudják helyesen alkalmazni. Ez pedig gyakran vakfoltokat hagy a védekezésben.

• A megkérdezett vállalatok közel 90 százaléka használ szoftverszolgáltatást (SaaS), 76 százalékuk pedig infrastruktúra-szolgáltatást (IaaS); 50 százalékuk arra számít, hogy a cég minden adatát a felhőbe viszi a következő két év során.
• Az informatikai biztonsági vezetők mindössze 8 százaléka állítja, hogy teljes mértékben megérti a megosztott felelősségű biztonsági modellt.
• Az informatikai szakemberek 70 százaléka szerint túl sok speciális eszköz szükséges a nyilvános felhő biztonságos használatához.
• Az informatikai szakemberek 75 százaléka többször is veszített adatot a felhőben.

Ideje megteremteni az “Első a biztonság” kultúráját

A növekvő adatbiztonsági aggodalmak és a bizalomvesztés kezelése érdekében a felhőszolgáltatóknak és az informatikai csapatoknak együtt kell működniük egy új biztonsági kultúra kialakításában. Ez magában foglalja képzett informatikai biztonsági szakemberek felvételét, képzését és megtartását, valamint a folyamatok és technológiák folyamatos fejlesztését a fenyegetések enyhítése érdekében.

• A vállalatok 69% -a válaszolta azt, hogy a cég információbiztonsági vezetője (CISO) csak azután foglalkozik a nyilvános felhő projektekkel, miután kiberbiztonsági esemény történik bennük.
• A szervezetek 73 százalékának van, vagy tervez felvenni felhőbiztonsági ismeretekkel rendelkező CISO-t; a cégek több mint fele (53 százalék) új, Business Information Security Officer (BISO) elnevezésű pozíciót hozott létre. Ennek a szakembernek az a feladata, hogy együttműködjön a CISO-val és beépítse a biztonsági kultúrát az üzleti gondolkodásba is.
• Az informatikai szakemberek 88 százaléka szerint a következő három évben a felhők többsége intelligens és automatizált javításokat és frissítéseket fog használni a biztonság javítása érdekében.
• Az informatikai szakemberek 87 százaléka tekinti a mesterséges intelligenciát és a gépi tanulást az új biztonsági beszerzések kötelező elemének, hogy védekezni lehessen a csalások, rosszindulatú programok és a téves konfigurációk következményei ellen.

Szakértői idézetek

„A kritikus információk felhőbe mozgatása nagy lehetőségeket nyitott meg, ám a különféle biztonsági eszközök egymásra halmozása a rossz konfigurációk és adatszivárgások állandó sorához vezet. Ugyanakkor történnek előrelépések is. ”- mondta Steve Daheb, az Oracle Cloud alelnök. "Az intelligens automatizálást alkalmazó eszközök bevezetése segít a készségek és erőforrások hiányának kiküszöbölésében, a menedzsment pedig sok helyen egységes, üzletágakat átfedő biztonsági kultúrát igyekszik kialakítani."

„A jelenlegi kihívást jelentő környezetre reagálva a vállalatok felgyorsították az adatok felhőbe mozgatását, hogy támogassák az újfajta munkamódszereket és optimalizálják költségeiket. Ez feltárja a meglévő sebezhetőségeket és új kockázatokat teremt. ”- mondta Tony Buffomante, globális társigazgató és a KPMG LLP kiberbiztonsági szolgáltatásainak amerikai vezetője. "A megnövekedett fenyegetések kezelése érdekében alapvető fontosságú, hogy a CISO-k beépítsék a biztonsági szempontokat a felhő-migráció és a végrehajtási stratégiák tervezésébe, rendszeresen kommunikálva az üzleti vezetőkkel."

NB: questo è il primo rapporto del 2020 di una serie di 5, i successivi studi offriranno approfondimenti sui risultati della ricerca su argomenti relativi alla sicurezza, tra cui: