Pesquisa com colaboradores de TI e DevOps mostra que 60% dos entrevistados disseram que sua organização lidou com vazamento de dados importantes de infraestrutura pelo menos uma vez. Prejuízo médio anual é de 1,2 milhão de dólares.
A cada ano, empresas ao redor do mundo estão perdendo o equivalente a milhões de dólares em receita devido às vulnerabilidades em código de infraestrutura, credenciais e senhas de acesso, de acordo com pesquisadores de cibersegurança.
O relatório da 1Password, intitulado Hiding in Plain Sight, observa que, em média, as empresas perdem, anualmente, cerca de 1,2 milhão de dólares (equivalente a 6 milhões de reais, aproximadamente) devido a detalhes de sua infraestrutura que vazam ou são expostos online.
Esses detalhes são chamados de “segredos” pelos pesquisadores responsáveis pelo relatório, que descobriram que colaboradores de TI e Desenvolvedores de Operações (DevOps) deixam diversos desses segredos de infraestrutura, como tokens de API, chaves SSH e certificados privados, em arquivos de configuração ou junto ao código-fonte para facilitar o acesso e agilizar os processos – aumentando sua vulnerabilidade.
Segredos à mostra
O relatório combina análises dos pesquisadores da 1Password com uma pesquisa conduzida em abril de 2021 com 500 funcionários de TI e DevOps.
Para 10% dos entrevistados que já tiveram que lidar com vazamento de segredos, o ocorrido custou em torno de 5 milhões de dólares, em média, para suas empresas. Além disso, mais de 60% dos entrevistados disseram que suas organizações já lidaram com vazamento de segredos.
Mais do que o dinheiro perdido, 40% dos entrevistados disseram que suas organizações sofreram danos à reputação da marca e 29% disseram ter perdido clientes como consequência de alguns dos segredos que vazaram.
A pesquisa e a análise que a acompanha mostra que 65% dos colaboradores de TI e Desenvolvedores dizem que sua empresa tem mais de 500 segredos de infraestrutura. Outros 20% dizem que suas empresas têm mais segredos do que conseguem contar.
De modo geral, em média, os colaboradores precisam gastar cerca de 25 minutos todos os dias gerenciando esses segredos. Mais da metade afirma que esse número aumentou significativamente no último ano.
Gerenciamento
Mais de 61% dos colaboradores disseram que vários projetos tiveram que ser atrasados porque a organização não conseguia gerenciar seus segredos com eficácia.
De forma ainda mais alarmante, 77% dos entrevistados disseram que ainda têm acesso parcial aos sistemas de um ex-empregador e 37% disseram que tinham acesso total aos sistemas, o que traz à tona uma das principais razões pelas quais segredos continuam a ser vazados.
Outro fator que contribui para o problema é o uso crescente de aplicativos em nuvem; 52% dos colaboradores de TI afirmam que o uso de apps em cloud dificulta o gerenciamento da infraestrutura e seus segredos.
Mas eles também reconhecem parte da culpa, com 80% dos entrevistados dizendo que não fazem um bom trabalho no gerenciamento de segredos. Cerca de 25% também disseram que os segredos de sua organização estão em 10 ou mais locais, o que torna mais difícil o monitoramento de vulnerabilidades.
Os colaboradores, além disso, admitiram compartilhar informações sobre segredos da empresa em canais menos seguros, como e-mails (59%), ferramentas de integração (40%), planilhas/documentos compartilhados (36%) e mensagens de texto (26%).
Quase todos os entrevistados disseram que sua organização tem uma política de segredos, mas menos de 40% disseram que ela é aplicada, e o problema é particularmente preocupante entre os líderes de organizações.
Mais de 62% dos entrevistados disseram que os líderes de equipe, gerentes, VPs e outros ignoraram as regras de segurança após as atualizações ocorridas em função do COVID-19, colocando dados de alto nível em risco.
“Nossa pesquisa revela que os segredos estão crescendo, mas as equipes de TI e DevOps não estão atendendo a padrões rigorosos para protegê-los – e, no processo, estão colocando as organizações em risco de incorrer em custos enormes”, conclui o relatório.
O vazamento de segredos pode ser o passo inicial para graves ataques por parte de cibercriminosos, elevando ainda mais o prejuízo para as organizações. Se proteger a infraestrutura é fundamental para evitar estar vulnerável ao vazamento de segredos, assegurar que os responsáveis por esses segredos estão na mesma página é tão importante quanto.
A Compugraf oferece soluções completas para proteger a infraestrutura de sua empresa. Consulte nossos especialistas e saiba como podemos ajudar!
