מחקר: מרבית מהארגונים משתמשים ביותר מ-50 מוצרי אבטחת מידע שונים

מחקר בינ"ל חדש של אורקל ו-KPMG‎ חושף כי ארגונים משתמשים בעשרות או מאות מוצרי אבט"מ שונים וחווים בעיות קינפוג. כמו גם חושף המחקר כי מנהלי אבטחת מידע רואים בענן תשתית בטוחה יותר מחדר השרתים המקומי בארגון

לארי אליסון, יו"ר וסמנכ"ל טכנולוגיות באורקל. צילום: אורקל

אבטחת מידע מייצרת פחד ובעיות אמון בקרב אנשי IT – כך עולה מדו"ח איומי הענן של אורקל ו-KPMG. המחקר, שנערך בקרב 750 מקצועני IT ואבטחת מידע וסייבר ברחבי העולם מצא כי גישת אבטחת מידע של תיקון והטלאה (Patching), שירותים המוגדרים בצורה שגויה ובלבול סביב מודלים חדשים באבטחת ענן, יצרו משבר אמון שניתן לתקן רק אם ארגונים הופכים את האבטחה לחלק מהתרבות העסקית שלהם. 

מהמחקר עולה כי מקצועני IT חוששים פי 3 מאבטחת הכספים והקניין הרוחני של החברה מאשר מאבטחת הבית שלהם. מקצועני  IT מודאגים מספקי שירותי ענן; 80% מהם חוששים שספקי שרותי הענן איתם הם עושים עסקים יהפכו למתחרים שלהם.

"בשנתיים האחרונות, העברת המידע החיוני לענן (lift-and-shift) נראתה כהבטחה גדולה, אך התיקונים טלאי-על-טלאי של כלי האבטחה והתהליכים כבר מזכירים את פרנקנשטיין והובילו לשורה של הגדרות שגויות ודליפת מידע. עם זאת, נעשתה התקדמות חיובית", אומר סטיב דאהב, סגן נשיא בכיר, ענן אורקל. "אימוץ כלים הממנפים אוטומציה חכמה שיסייעו בסגירת פער המיומנויות נמצאים במפת הדרכים של תקציבי ה-IT לעתיד הקרוב, וההנהלה הבכירה פועלת לאחד בשיטתיות את התחומים העסקיים השונים בארגון תחת התפיסה של "אבטחה לפני הכול" כתרבות ארגונית."

האתגר: הגדרות שגויות

75% מהמשתתפים במחקר רואים בענן הציבורי כבטוח יותר מהדאטה סנטרים שלהם, ובכל זאת 92% מהם סבורים שהארגון שלהם לא ערוך לאבטחת שירותי ענן ציבורי. כמעט 80% מהם אומרים כי פרצות אבטחת המידע שקרו לאחרונה בארגונים אחרים הגבירו את התמקדות הארגון שלהם באבטחת מידע.

אנשי ה-IT עושים שימוש במספר רב של מוצרי אבטחת מידע וסייבר שונים כדי לנסות ולתת מענה לצרכי אבטחת מידע, אך מוצאים עצמם בקרב מתיש, כיוון שמערכות אלו אינן מוגדרות כראוי בדרך כלל. 78% מהארגונים משתמשים ביותר מ-50 מוצרי אבטחת מידע וסייבר שונים כדי לתת מענה לבעיות אבטחה; 37% משתמשים ביותר מ-100 מוצרי אבטחת מיידע וסייבר.

ארגונים שבהם שירותי ענן הוגדרו בתצורה שגויה, (misconfigured) חוו מעל ל 10 אירועים של איבוד מידע בשנה האחרונה. 59% מהארגונים מספרים  שעובדים בעלי חשבונות עם הרשאות לאישורים בענן חוו ממתקפת התחזות. הטעויות הנפוצות ביותר בהגדרות היו בחשבונות בעלי הרשאות מעבר לנדרש (37 אחוזים). חשיפה לאינטרנט של שרתים (35 אחוזים). חוסר הזדהות מרובת אלמנטים (multi-factor authentication) במתן גישה לשירותים מרכזיים (33 אחוזים). 

ארגונים מעבירים לענן עומסי עבודה קריטיים יותר מאי פעם, אבל הגידול בצריכת ענן יצר שטחים "עיוורים" כאשר צוותי IT וספקי שירותי ענן מנסים להבין את תחומי האחריות של כל אחד מהם באבטחת המידע. בלבול זה יוצר משאיר את  צוותי IT להתמודד עם חשיפה לאיומי אבטחת מידע. כמעט 90% מהחברות משתמשות בתוכנה כשירות (SaaS) וכ-76% משתמשות בתשתית כשירות (IaaS); מחציתן צפויות להעביר את כל הדאטה שלהן לענן בשנתיים הקרובות.

מודלים של 'אבטחה עם אחריות משותפת' גורמים לבלבול; רק 8% ממנהלי אבטחת המידע הצהירו כי הם מבינים היטב את מודל האבטחה המשותף. 70% מאנשי ה-IT חושבים שנדרשים יותר מדי כלים ייחודיים כדי לאבטח את פעילותם בענן הציבורי. 75% חוו אובדן דאטה משירות ענן יותר מפעם אחת.

תרבות של אבטחה

כדי להתמודד עם החשש הגובר בנושא אבטחת מידע ועם סוגיות של אמון, על ספקי שירותי ענן וצוותי ה-IT לעבוד יחדיו כדי לבנות תרבות של אבטחה-לפני-הכול (security-first culture). מודל זה כולל את שלב הגיוס, ההכשרה והשימור של אנשי מקצוע מיומנים בתחום אבטחת מידע, תוך שיפור מתמיד של תהליכים וטכנולוגיות במטרה לצמצם את האיומים בעולם הדיגיטלי המתרחב.

69% מהארגונים מדווחים כי מנהל אבטחת המידע הראשי (CISO) שלהם מגיב או מתערב בפרויקטים של ענן ציבורי רק לאחר שכבר התרחש אירוע סייבר. 73% מהארגונים מחזיקים או מתכננים לגייס מנהל אבטחת מידע ראשי (CISO) עם יותר מיומנויות אבטחה בענן; ולמעלה ממחצית מהארגונים (53 אחוזים) הוסיפו תפקיד חדש בשם "מנהל אבטחת מידע עסקי" (BISO) שיעבוד ביחד עם ה-CISO ויסייע להטמיע את תרבות האבטחה בחברה.

88% מאנשי ה-IT סבורים כי בשלוש השנים הקרובות, רוב הסביבות  שלהם בענן יכילו יכולות של תיקונים ועדכונים חכמים ואוטומטיים כדי לשפר את האבטחה. 87% מאנשי ה-IT מציינים שיכולות AI/ML הינם "יכולות חובה" במוצרי אבטחה חדשים שהם מתכננים לרכוש. 

"בתגובה לסביבה המאתגרת כיום, חברות האיצו את תנועת עומסי העבודה שלהם והמידע הרגיש המשויך להם לכיוון הענן וזאת כדי לתמוך בדרך עבודה החדשה, ולייעל את מודלי העלויות. מהלך זה חושף חולשות אבטחה קיימות ויוצר סיכונים חדשים", כך אומר טוני בופומאנטה, מנהל משותף גלובלי וראש צוות ארה"ב בKPMG LLP's  שירותי אבטחת סייבר. "על מנת להצליח לנהל את רמת האיום המוגבר במציאות החדשה הזו, חיוני שמנהלי אבטחת מידע (CISOs) יישמו את האבטחה כחלק מאסטרטגיות התכנון של ההטמעה וההגירה לענן, תוך קשר מתמיד עם הפן העסקי."

אולי יעניין אותך גם