Brak spójności w zabezpieczeniach to coraz poważniejszy problem biznesowy

Niemal 8 na 10 firm korzysta z co najmniej 50 różnych rozwiązań z dziedziny cyberbezpieczeństwa. W co trzeciej organizacji funkcjonuje ponad 100 takich narzędzi. Jednocześnie, tylko co 12 menedżer odpowiedzialny za bezpieczeństwo IT twierdzi, że w pełni rozumie model wspólnej odpowiedzialności za bezpieczeństwo wykorzystywanych w jego firmie rozwiązań chmurowych. Takie wnioski płyną z badania zleconego przez Oracle i KPMG.

Trzecia edycja badania Oracle i KPMG na temat zagrożeń w chmurze na rok 2020 pokazuje, że wobec rosnącej złożoności środowisk informatycznych oraz skali zagrożeń wymierzonych w dane biznesowe, ochrona wrażliwych informacji biznesowych staje się coraz istotniejszym źródłem obaw ze strony osób odpowiedzianych za bezpieczeństwo IT. Przeprowadzona analiza pokazuje bowiem, że punktowe podejście do bezpieczeństwa danych, źle skonfigurowane usługi i brak jednoznacznego określenia odpowiedzialności za ochronę danych w chmurze są źródłem wielu problemów biznesowych. Przykładowo, aż 75% informatyków jest zdania, że chmura publiczna jest bezpieczniejsza od ich centrów przetwarzania danych, którymi dysponuje ich firma. Jednocześnie, aż 92% informatyków nie wierzy w to, że ich firma jest dobrze przygotowana do zapewnienia bezpieczeństwa zasobom IT wykorzystywanym w modelu chmury publicznej. Duży wpływ na tego rodzaju obawy ma fakt, że stosowane w wielu firmach podejście do kwestii ochrony infrastruktury IT w coraz większym stopniu nie przystaje do nowych technologii i obecnych sposobów użytkowania rozwiązań IT.

Co ciekawe, w świecie postępującej cyfryzacji kolejnych procesów biznesowych pojawiają się też obawy nie tylko o nadmierne przywiązanie do jednego dostawcy usług chmury obliczeniowej, ale wręcz nawiązania walki konkurencyjnej z tym dostawcą. Jak pokazuje badanie KPMG i Oracle, aż 80% specjalistów ds. IT dostawcy rozwiązań chmurowych, z którymi współpracują, staną się konkurentami na kluczowych rynkach.

Co za dużo, to niezdrowo

W dzisiejszych czasach tradycyjne metody ochrony firmowych środowisk IT często nie wystarczają. Tymczasem, jak pokazuje badanie Oracle i KPMG, w wielu firmach funkcjonuje bardzo wiele rozwiązań zabezpieczających, jednak zwykle nie są one w odpowiednim stopniu zintegrowane i skonfigurowane. Statystycznie, w 78% przedsiębiorstw wykorzystywane jest ponad 50 różnych rozwiązań z dziedziny cyberbezpieczeństwa. W co trzeciej (37%) firmie, takich rozwiązań jest ponad setka. Z kolei do najczęściej popełniane błędy w konfiguracji systemów ochrony to: przyznawanie użytkownikom nadmiernych uprawnień, niewystarczająca ochrona serwerów oraz uruchomionych w tej warstwie obciążeń, brak stosowania uwierzytelniania wieloskładnikowego przy dostępie do kluczowych usług.

W większych organizacji źródłem dodatkowych problemów jest konieczność zapewnienia ochrony danym migrującym pomiędzy różnymi środowiskami, w tym środowiskami chmury obliczeniowej. Analiza zlecona przez firmy Oracle i KPMG pokazuje, że działy IT w wielu firmach często rozumieją swoje obowiązki w zakresie zapewniania bezpieczeństwa danych inaczej niż wynika to z polityk stosowanych przez dostawców usług chmurowych. Tylko 8% menedżerów odpowiedzialnych za bezpieczeństwo firmowej infrastruktury IT twierdzi, że w pełni rozumie obowiązujące ich firmy zasady wspólnej odpowiedzialności za ochronę danych. Tymczasem, organizacje, które stosowały źle skonfigurowane usługi chmurowe, miały w zeszłym roku do czynienia z co najmniej 10 incydentami w zakresie utraty danych, a w 59% organizacji doszło do naruszenia bezpieczeństwa danych uwierzytelniających pracowników dysponujących uprzywilejowanym dostępem do usług chmurowych. Co ciekawe, aż 75% specjalistów ds. IT podczas korzystania z usług oferowanych w modelu cloud computing więcej niż raz miało do czynienia z utratą danych.

Potrzebne nowe podejście do bezpieczeństwa IT

Eksperci firmy Oracle podkreślają, że zmiany zachodzące powszechnie w firmowych środowiskach IT wymagają radykalnej zmiany do kwestii bezpieczeństwa IT. Zmiany dotyczącej nie tylko narzędzi z zakresu cyberbezpieczeństwa oraz ich integracji, ale też – kultury organizacyjnej firmy. Potrzebna jest także ścisła współpraca pomiędzy użytkownikami rozwiązań chmurowych, a ich dostawcami. „Przenoszenie newralgicznych informacji do chmury w ciągu ostatnich kilku lat dało firmom ogromne możliwości, ale patchworkowe łączenie ze sobą narzędzi i procesów w dziedzinie bezpieczeństwa doprowadziło do szeregu kosztownych wycieków danych i błędów w konfiguracji. Widać jednak zmiany na lepsze” — mówi Steve Daheb, wiceprezes Oracle, szef działu Oracle Cloud. Aż 80% uczestników badania Oracle i KPMG twierdzi, że niedawne przypadki naruszenia ochrony danych, z którymi miały do czynienia inne firmy, zwiększyły nacisk na ochronę danych w ich przedsiębiorstwie.

Niezbędne staje się też podejmowanie działań proaktywnych. Tymczasem obecnie, w większości (69%) firm menedżer ds. bezpieczeństwa informacji (CISO) angażuje się w projekty chmury publicznej dopiero po wystąpieniu incydentu związanego z cyberbezpieczeństwem. W odpowiedzi, w wielu firmach (73%) planowane jest zatrudnienie na to stanowisko osoby o wyższych kompetencjach w zakresie bezpieczeństwa chmury. „W odpowiedzi na obecną trudną sytuację firmy przyspieszyły przenoszenie obciążeń i powiązanych z nimi danych wrażliwych do chmury, aby stosować nowe sposoby pracy i optymalizować koszty. Obnaża to dotychczasowe luki w zabezpieczeniach i generuje nowe czynniki ryzyka. Aby radzić sobie z większą liczbą zagrożeń w tej nowej rzeczywistości, dyrektorzy CISO muszą uwzględnić bezpieczeństwo w swoich strategiach migracji i wdrożenia chmury oraz na bieżąco komunikować się z przedsiębiorstwem” — twierdzi Tony Buffomante, jeden z globalnych szefów działu usług w zakresie cyberbezpieczeństwa w KPMG LLP oraz szef tego działu w USA.

Cała nadzieja w AI

Rozwiązaniem wielu problemów związanych z koniecznością zapewnienia bezpieczeństwa danych przetwarzanych w ramach aplikacji wykorzystujących zasoby bazujące na środowiskach chmury hybrydowej i multi-cloud mają być narzędzia oparte na algorytmach uczenia maszynowego i sztucznej inteligencji. Ogromna większość (87%) specjalistów ds. IT twierdzi, że funkcje oparte na sztucznej inteligencji i uczeniu maszynowym są niezbędne do zapewnienia lepszej ochrony firmowych środowisk IT przed zagrożeniami. „Wdrożenie rozwiązań wykorzystujących inteligentną automatyzację w celu uzupełnienia luk w kwalifikacjach jest uwzględnione w budżetach informatycznych na najbliższą przyszłość, a kadra zarządzająca najwyższego szczebla w sposób metodyczny ujednolica poszczególne działy pod kątem kultury organizacyjnej stawiającej bezpieczeństwo na pierwszym miejscu” – podkreśla Steve Daheb. Dotyczy to również optymalizacji bezpieczeństwa po stronie operatorów usług chmurowych. Aż 88% ankietowanych informatyków uważa, że w ciągu następnych trzech lat większość wykorzystywanych przez nich rozwiązań chmurowych będzie opierać się na zautomatyzowanych procesach m.in. w kontekście aktualizacji oraz wdrażania poprawek bezpieczeństwa.

Badanie ankietowe zostało przeprowadzone przez Enterprise Strategy Group na grupie 750 osób odpowiedzialnych za wybór, zakup lub zarządzanie rozwiązaniami związanymi z bezpieczeństwem IT w firmach ze Stanów Zjednoczonych i Kanady, Wielkiej Brytanii, Francji oraz Australii, Japonii i Singapuru na przełomie 2019 i 2020 roku.