Um novo relatório que analisa a postura de segurança cibernética nas reuniões entre os conselhos de administração e os diretores de segurança da informação mostra um alinhamento mais próximo entre os membros do board e seus líderes de infosec. No entanto ele deixa claro que que ainda há muito trabalho a ser feito para construir uma política unificada de combate às ameaças cibernéticas.
O segundo relatório anual da Proofpoint Board Perspective, publicado na quarta-feira passada, 6, explora três áreas-chave: as ameaças e riscos de segurança cibernética que os conselhos de administração enfrentam, o nível de preparação para se defender contra essas ameaças e o alinhamento com os CISOs — com base nas impressões descobertas no relatório Voice of the CISO da empresa, divulgado no início deste ano.
Para avaliar as perspectivas do conselho, os pesquisadores da Proofpoint examinaram respostas a pesquisas realizadas em junho com 659 membros de conselhos de administração de organizações com 5 mil ou mais funcionários, de diferentes setores. Mais de 50 conselheiros em cada um dos países — EUA, Canadá, Reino Unido, França, Alemanha, Itália, Espanha, Austrália, Cingapura, Japão, Brasil e México — participaram.
Os membros do conselho citaram preocupações com a volatilidade em curso, incluindo tensões geopolíticas e aumento dos ataques de ransomware. Enquanto 73% relataram ver a segurança cibernética como uma prioridade, 72% indicaram que acreditam que seus conselhos entendem claramente os riscos cibernéticos que suas organizações enfrentam, e 70% disseram acreditar que fizeram investimentos adequados em segurança cibernética.
No entanto, a conscientização e os investimentos não se traduziram em preparação satisfatória, de acordo com a diretoria pesquisada. Os pesquisadores disseram que, apesar de 84% dos membros do conselho terem respondido que acreditavam que seus orçamentos de segurança cibernética aumentariam nos próximos 12 meses, 53% dos diretores de segurança da informação disseram que ainda veem sua organização como despreparada para lidar com um ataque cibernético no próximo ano.
O relatório discute várias outras descobertas importantes, e a principal delas é uma medida de melhoria nas interações e relacionamentos do CISO com os membros dos conselhos de administração. Mais da metade dos conselheiros (53%) disse que interagia com líderes de segurança regularmente, o que representa um aumento de 6% na conexão sólida CISO-C-suite no ano passado. No início de fevereiro, os CISOs tiveram um aumento semelhante em seus relatórios de melhores relacionamentos com o C-suite.
Membros de conselho e CISOs também mostraram ter preocupações semelhantes, classificando o malware como sua principal apreensão (40%), seguido por ameaças internas (36%) e comprometimento de contas na nuvem (36%). No entanto, eles relataram mais confiança nas habilidades organizacionais para proteger dados do que os CISOs — 75% na comparação com 60% dos CISOs entrevistados sobre sua confiança no início deste ano.
Os pesquisadores disseram que algumas das descobertas neste ano, considerando o que pensam os conselheiros e os CISOs em relação à segurança cibernética, podem ser mais preocupantes quando se trata de ataques de terceiros. “Apesar de um aumento acentuado nos ataques à cadeia de suprimentos, apenas 26% dos membros de conselhos citaram a ameaça como uma das principais preocupações”, disseram. Isso também pode ser correlacionado com os achados anteriores.
“Isso pode ser parcialmente explicado pela recente descoberta no relatório Voice of the CISO de 2023 de que 64% dos CISOs acreditavam que sua organização tinha controles apropriados em vigor para mitigar o risco da cadeia de suprimentos”, disseram os pesquisadores.
Veja isso
Principais vulnerabilidades que os CISOs precisam priorizar
C-suite deve saber diferenciar cibersegurança de ciber-resiliência
Eles também citaram as vítimas de ataques que exploram as vulnerabilidades do MOVEit Transfer. O relatório alerta que “não há espaço para complacência” com ataques à cadeia de suprimentos, já que devem somar quase US$ 46 bilhões até o fim deste ano e mais de US$ 80 bilhões até 2026.
Com 72% dos diretores relatando preocupações sobre sua responsabilidade pessoal após um incidente de segurança cibernética, de acordo com a pesquisa, não é surpreendente que os membros de conselhos tenham elencado maiores orçamentos para segurança cibernética e infosec, recursos cibernéticos adicionais e melhor inteligência de ameaças como itens principais em suas listas de prioridades.
O surgimento da inteligência artificial (IA) também aqueceu a intuição dos membros de conselhos de que as novas tecnologias trazem maior risco para suas organizações, com 59% dos entrevistados citando a IA generativa como um risco à segurança da sua organização.
Membros de conselho do Japão, Cingapura e Austrália disseram que estão mais preocupados com a IA generativa, de acordo com o relatório da Proofpoint. “Do jeito que está agora, a maior ameaça de ferramentas como o ChatGPT são os funcionários carregando conteúdo sensível para ajudar na pesquisa ou na redação de relatórios”, observaram os pesquisadores.”Mas problemas maiores estão, sem dúvida, no horizonte. Os criminosos virtuais já usam IA para reduzir os aspectos demorados do phishing e encontrar e explorar vulnerabilidades. A IA também permite que aqueles com limitações técnicas aprimorem seus ataques cibernéticos”, acrescentaram.
