security-2910624_1280.jpg

Cultura de segurança melhora nas empresas, apesar das limitações

Apesar dos orçamentos apertados, prioridades conflitantes e falta de pessoal de segurança, relatório mostra um certo grau de otimismo com a proteção das organizações
Da Redação
18/06/2023

A maioria dos CISOs afirma ter havido uma melhora na cultura de segurança em suas organizações nos últimos 12 meses, apesar dos orçamentos apertados, prioridades conflitantes e pessoal de segurança insuficiente, de acordo com o 10º “Relatório Anual de Maturidade em Segurança da Informação”, publicado pelo ClubCISO e Telstra Purple.

Apesar de uma queda percebida na qualidade da postura geral de segurança, o documento mostra um certo grau de otimismo com a proteção das organizações, com os CISOs relatando uma queda nas violações em relação a um ano antes. Sessenta por cento deles afirmam que o endosso das lideranças tem tido uma grande influência na melhoria da cultura corporativa de segurança.

Para a pesquisa, foram entrevistados 182 membros do ClubCISO, uma comunidade global de líderes de segurança da informação que trabalham em empresas dos setores público e privado.

Mesmo com um cenário mais positivo, vários fatores ainda atrasam os CISOs e suas equipes de segurança, incluindo a falta de recursos, orçamentos de segurança apertados, prioridades concorrentes e pessoal insuficiente, segundo o documento.

A cultura de segurança está caminhando na direção certa na maioria das empresas, ao menos até certo ponto, de acordo com 80% dos entrevistados, com 62% dizendo sentir que a cultura de segurança vem fazendo “um bom progresso” nos últimos 12 meses, na comparação com 57% um ano antes.

Os principais impulsionadores da melhoria da cultura de segurança, de acordo com o relatório, além do endosso das lideranças, são as políticas proativas de “denúncia” (41%), phishing simulado (38%) e treinamento personalizado (37%). Também é observado um alinhamento mais forte entre as equipes de segurança e as lideranças seniores, incluindo a equipe executiva (67% nos últimos 12 meses contra 59% um ano antes) e o conselho de administração (54% contra 49%).

No entanto, listas crescentes de prioridades e recursos limitados estão prejudicando a cultura de segurança, de acordo com os entrevistados. Os três principais fatores que mais impactaram negativamente a cultura de segurança nos últimos 12 meses foram muitas prioridades conflitantes (61%), equipes de segurança sobrecarregadas (44%) e falta de recursos para promover a conscientização, comportamento e cultura (26%).

Além disso, os CISOs ainda sentem que a falta de pessoal está afetando sua capacidade de cumprir os objetivos, embora tenha caído um pouco em relação ao período anterior (50% nos últimos 12 meses contra 57% um ano antes).

Curiosamente, o número de líderes que acreditam que sua cultura de segurança é um exemplo de melhores práticas caiu em relação ao período anterior. “Isso significa que a excelência na cultura de segurança diminuiu? Parece muito mais provável que isso possa ser atribuído a uma compreensão mais profunda do que significa ser um exemplo de melhores práticas e quanto tempo leva para mudar e melhorar a cultura”, escreveu a colaboradora do relatório Jessica Barker, coCEO e cofundadora da Cygenta, empresa especializada em risco humano, incluindo cultura de segurança, engenharia social e ameaças internas.

O relatório mostra ainda uma imagem otimista da resiliência organizacional contra ameaças à segurança: 76% e 60% dos entrevistados disseram que nenhuma violação ou incidente material de segurança cibernética, respectivamente, ocorreu nos últimos 12 meses, na comparação com 68% e 54% no período anterior. Isso apesar de os CISOs classificarem a postura geral de segurança de sua organização como inferior à de um ano antes. Nos 12 meses anteriores, 46% dos entrevistados se autoclassificaram como acima da média (ao menos 4/5 estrelas), enquanto agora apenas 38% se autoclassificaram da mesma forma. Além disso, mais de 13% dos entrevistados não estão confiantes de que sua organização será capaz de atender aos principais objetivos de segurança.

A falta de recursos para as equipes de segurança é um tema comum no relatório e, embora os dados sugiram que os orçamentos de segurança aumentaram, isso pode estar diminuindo. Pouco mais da metade dos entrevistados disse que seus orçamentos aumentaram em relação ao período passado, mas o grau de aumento foi tipicamente menor quando comparado ao relatório anterior.

Os principais fatores que contribuem para o aumento dos gastos incluem a evolução do cenário de ameaças cibernéticas (39%), acompanhar seus pares (21%) e investir em recrutamento e treinamento (18%), enquanto as limitações orçamentárias parecem ser resultado de problemas econômicos: desaceleração (34%), pressão perdas e lucros (30%) e agitação geopolítica (17%).

Veja isso
Faltam ferramentas e pessoal para as organizações
Guerra muda estratégia de cyber em 66% das organizações

As soluções mais comuns no topo da lista dos CISOs são informações de segurança e gerenciamento de eventos (SIEM, 46%), gerenciamento de vulnerabilidades (43%) e gerenciamento de identidade e acesso (IAM, 43%).

O seguro cibernético é um tópico divisivo no relatório deste ano, refletindo um cenário do seguro cibernético em mudança significativa, no qual as apólices estão se tornando mais complexas, caras e diversificadas.

A grande maioria dos entrevistados (72%) possui seguro cibernético, enquanto 15% dos CISOs não o desejam e não acreditam em seus benefícios. Daqueles com seguro cibernético, 18% tentaram fazer uma reclamação, com uma divisão ainda mais evidente em relação aos resultados percebidos das apólices: 29% ficaram satisfeitos com o resultado e o preço de renovação, 38% ficaram satisfeitos com o resultado, mas não com o preço da renovação, e 33% ficaram insatisfeitos com o resultado.

Este último grupo é a única área que demonstra uma clara mudança em relação ao relatório do ano passado, em que nem um único entrevistado disse estar insatisfeito com o resultado de seu seguro. Por fim, metade (54%) dos entrevistados concorda que o seguro cibernético está exacerbando o problema do ransomware até certo ponto, enquanto 14% discordam.

A maioria dos entrevistados acredita que o seguro cibernético tem um papel a desempenhar na proteção das organizações, mas eles argumentam que a clareza sobre os resultados das políticas deve ser melhor, escreveu o colaborador do relatório Stephen Khan, presidente do ClubCISO. “Os membros acreditam que o seguro cibernético deve complementar os recursos internos, com consultoria especializada e suporte de fornecedores confiáveis.”

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)