“Estamos na era dos grandes ataques informáticos onde as violações à segurança da informação das empresas e das instituições se estão a tornar um lugar-comum. Para a maioria das organizações, este assunto já não se coloca ao nível da probabilidade ou não da ocorrência de um ataque, mas sim de quando este ataque irá acontecer,’” afirma Vipin Samar, vice president of database security da Oracle. “Este estudo sublinha que são muitas as empresas que não possuem sistemas adequados de controlo de segurança para as suas bases de dados, e perante o elevado nível de ameaça que pauta os ambientes dos nossos dias simplesmente não podem esperar. É mais importante do que nunca que as empresas tenham estratégias de proteção das suas bases de dados implementadas, e que estas lhes permitam gerir e proteger convenientemente informação de negócio crítica, nomeadamente dados relativos aos clientes e informação organizacional.”
“Este estudo é uma ferramenta poderosa tanto para aprender como para ensinar, destacando quais os principais problemas de segurança que estão relacionados com os super-heróis das DBAs e que mantém os gestores das bases de dados acordados durante a noite. Executar testes de segurança máxima e testar situações extremas nas bases de dados, e estar preparado para lidar com a ocorrência dos mesmos já não é opcional, passou antes a ser um custo de negócio,” refere John Matelski, President do IOUG. “O estudo destaca o conhecimento e a profundidade dos contributos dos profissionais da comunidade IOUG para todos os setores de mercado, áreas profissionais e geografias.”
Novos Factos
Para compreender melhor o estado da segurança das bases de dados empresariais, o Independent Oracle Users Group (IOUG) apresentou um novo estudo à escala global intitulado “DBA – Security Superhero: 2014 IOUG Enterprise Data Security Survey.”
O estudo, que foi conduzido pela Unisphere Research e patrocinado pela Oracle, inquiriu 353 gestores de segurança das bases de dados do IOUG, gestores de bases de dados, e diretores ou gestores de TI de empresas de vários setores de atividade, incluindo serviços de TI, administração pública, educação, utilities, transportes e serviços financeiros.
Ainda que os resultados do estudo revelem que as empresas têm um elevado nível de compromisso com a segurança, fica claro que as organizações não estão devidamente preparadas para enfrentar eventuais ameaças, quer estas sejam internas ou externas.
De um modo geral, os resultados do estudo revelam que as empresas possuem níveis de controlo deficientes na prevenção, deteção e gestão da segurança, incluindo níveis limitados de controlo interno sobre os utilizadores privilegiados, falta de conhecimento sobre a localização dos dados críticos, e monitorização deficiente das atividades dos utilizadores privilegiados.
Ao mesmo tempo que 58% dos inquiridos refere que as bases de dados são a parte mais vulnerável do seu ambiente de TI, a maioria revelou que os seus investimentos em segurança privilegiam áreas sujeitas a menos riscos, tais como as redes, os servidores e os desktops.
Principais Conclusões
- Mais de 3/4 dos inquiridos (81%) considera que o erro humano é o maior risco para os dados da sua empresa; logo a seguir surge o receio dos ataques internos (65%). Outros riscos considerados igualmente pertinentes são o abuso de privilégios por parte das equipas de TI (54%), os códigos maliciosos ou vírus nos sistemas (53%).
- Apesar destes riscos humanos, a maioria dos inquiridos revelou que tem poucas ou nenhumas medidas de salvaguarda implementadas contra os abusos acidentais ou intencionais por parte do pessoal. É alarmante verificar que quase 40% dos inquiridos pelo estudo afirmou desconhecer se as suas bases de dados contêm ou não informação crítica ou confidencial. Adicionalmente, 71% revelou ou não possuir quaisquer sistemas de salvaguarda, ou afirmou não ter a certeza de a sua empresa os ter implementados e prontos para combaterem ataques acidentais às suas bases de dados e aplicações. A complexidade que pauta atualmente os ambientes de TI pode estar a afetar em grande parte a capacidade dos inquiridos a nível da implementação de esforços abrangentes de proteção dos dados.
- Apenas 18% dos inquiridos encripta os dados em todas as suas bases de dados. E apenas 46% afirmou condicionar o acesso a dados críticos nas aplicações, deixando a restante informação aberta aos utilizadores ocasionais destas.
- Apesar da boa compreensão que existe acerca dos riscos existentes com a proliferação da produção de dados em ambientes que não são os que os produzem, 45% dos inquiridos revelou que usa cópias de proteção dos dados produzidos para testes e desenvolvimento, e 41% disse possuir três ou mais cópias dos dados produzidos. |