CA Technologies alerta para risco nas infra-estruturas virtuais com a adopção de medidas inadequadas na gestão da segurança dos ambientes virtualizados.
A CA Technologies revelou os resultados de um estudo junto de 335 directores de negócio e de TI em 15 países, incluindo Portugal, segundo os quais “as organizações europeias e norte-americanas estão a pôr em risco as suas infra-estruturas virtuais devido à adopção de medidas inadequadas em matéria de gestão de segurança dos ambientes virtualizados”, refere a empresa em comunicado.
Esta “gestão inadequada da segurança” nas organizações passa, por exemplo, por as políticas e tecnologias de segurança utilizadas não estarem “a tratar de forma adequada os privilégios do supervisor e a dispersão de dados nos ambientes virtuais”.
Segundo o estudo “Security – An Essential Prerequisite for Success in Virtualisation” – concretizado pela KuppingerCole, consultora e analista especializada em segurança da informação centrada em identidades -, 81% dos inquiridos consideram a dispersão dos dados como uma ameaça “muito importante” ou “importante”, ao encerrar “o risco de que a informação viaje sem controlo pelos ambientes virtualizados e possa terminar em ambientes menos seguros. A prevenção de fuga de dados (DLP, a sigla em inglês para Data Loss Prevention) mitiga eficazmente este risco; no entanto, apenas 38% das organizações inquiridas têm implementada uma solução de prevenção de fuga de dados”.
73% dos entrevistados afirmam-se preocupados “com os amplos privilégios dos administradores dos supervisores, tendo em conta que poderiam dar lugar a erros ou abusos por parte desses utilizadores privilegiados”. Segundo o comunicado, “isso deve-se ao facto de a conta de administração do supervisor ter amplos privilégios de acesso com muito poucas limitações ou controlos de segurança. O supervisor também introduz uma camada adicional nos ambientes virtualizados, criando novas superfícies de ataque e abrindo a porta aos abusos dos utilizadores com privilégios”. Mas, perante este cenário, quase metade das organizações (49%) “não têm implementadas nem uma solução de gestão de utilizadores privilegiados, nem uma solução de gestão dos registos de segurança”.
Finalmente, “apenas 65% dos entrevistados assegura que obriga a segregar as funções para as tarefas administrativas nas plataformas virtuais, um requisito essencial para as melhores práticas de cumprimento e segurança. Curiosamente, a mostra revela que mais de 40% dos inquiridos não utilizam as ferramentas de software necessárias para automatizar determinadas políticas de cumprimento obrigatório, como a certificação de acesso, a gestão de utilizadores privilegiados ou a gestão dos registos. Mesmo assim, só 42% dos entrevistados realizam certificações regulares de acesso para utilizadores com privilégios ou são capazes de controlar e registar adequadamente os acessos privilegiados”.
Num outro plano, refere a CA, o relatório “revela que a maioria das organizações não tem consciência da importância de integrar a gestão da segurança com a gestão de infra-estruturas e serviços, de forma a alcançar os níveis de automatização necessários em ambientes virtuais. Embora 39% dos participantes acredite que se necessita de mais automatização para assegurar os ambientes virtuais em comparação com os ambientes físicos, a integração entre gestão da segurança, da infra-estrutura e do serviço, considera-se um desafio menos importante na segurança da virtualização (apenas 66% crê que é ‘muito importante’ ou ‘importante’)”.
No entanto, “enquanto 38% dos consultados esperam resolver os problemas de segurança para finais de 2011, apenas 30% crê que acontecerá o mesmo com as questões de privacidade e cumprimento, o que também significa que os utilizadores pensam que ambos os factores poderiam atrasar a evolução das TI rumo ao cloud computing”.
O relatório foi elaborado a partir de um inquérito realizado em Setembro e Outubro deste ano em 15 países(Alemanha, Bélgica, Dinamarca, Espanha, Estados Unidos, Finlândia, França, Holanda, Itália, Luxemburgo, Noruega, Portugal, Reino Unido, Suécia e Suíça), a organizações dos sectores público, farmacêutico, de serviços financeiros e seguros ou de telecomunicações e meios de comunicação.