Empresas falham em seus planos de resiliência cibernética

Da Redação
19/05/2023

Embora a maioria das organizações tenha um programa de resiliência cibernética, mais da metade delas carece de uma abordagem abrangente para avaliar a resiliência, de acordo com um estudo encomendado à Osterman Research pela Immersive Labs. A pesquisa, destinada a entender a preparação dos negócios em meio ao aumento dos incidentes, encontrou uma forte intenção das empresas de fortalecer os recursos de segurança cibernética, impulsionadas pelo crescimento das ameaças externas.

“As regras de engajamento para operadores de ameaças cibernéticas estão constantemente inovando para causar situações catastróficas e inevitáveis”, disse Michael Sampson, analista da Osterman Research e autor do whitepaper da pesquisa. “Portanto, embora a resiliência cibernética seja uma esperança para a maioria das organizações, as práticas de construção, teste e melhoria da resiliência cibernética ainda são imaturas na maioria das organizações.”

Para o levantamento, a Osterman Research entrevistou 570 profissionais em funções de gestão risco e segurança sênior em organizações com mais de mil funcionários. A pesquisa foi realizada nos Estados Unidos, Reino Unido e Alemanha.

Embora a maioria (86%) das organizações tenha um programa de resiliência cibernética, mais da metade (52%) dos entrevistados disse que sua organização carece de uma abordagem abrangente para avaliar a resiliência cibernética. Esses programas consistem em uma combinação de estratégias, planos ou infraestrutura de resiliência cibernética, sendo a maioria gerenciada internamente pelas organizações (51%). Ao mesmo tempo, uma parcela menor é terceirizada para terceiros, como consultorias (35%).

As empresas carecem de métricas adequadas para avaliar a resiliência cibernética com quase metade (46%) dos líderes seniores de segurança e risco sem métricas adequadas para mostrar a resiliência de sua força de trabalho contra ataques cibernéticos e apenas 6% utilizando métricas informativas como tempos de resposta, taxas de intrusão, perda de dados internos, e taxas de incidentes de vários tipos de dados.

“Fiquei desapontado com a falta de consistência das métricas que as organizações estavam usando para avaliar os recursos e resiliência de segurança cibernética”, disse Sampson. “A maioria está contando com uma estrutura de avaliação usando indicadores, testes e métricas não relacionadas à resiliência.”

A pesquisa também indicou que menos da metade (46%) das organizações pediram ao conselho de administração que a equipe de segurança demonstrasse a resiliência cibernética da organização nos últimos seis meses. Isso foi de 51% para a equipe de liderança sênior.

“Também foi surpreendente ver organizações sem métricas sobre resiliência cibernética que ainda relatam várias vezes ao ano ao conselho de administração sobre resiliência cibernética”, acrescentou Sampson. “Não sabemos o que está sendo dito nesses casos, mas ofuscar a realidade seria uma má notícia para todos os envolvidos. Seria ótimo se o conselho de administração das organizações começasse a pedir evidências e aprofundar o que está informando essa avaliação de resiliência.”

Ameaças e problemas de segurança cibernética são os principais impulsionadores da integração de programas resilientes cibernéticos. Sessenta e três por cento dos entrevistados disseram estar preocupados com ransomware, com 51% e 48%, respectivamente, cautelosos com a cadeia de suprimentos e ataques baseados em exploração de código.

“O desafio da resiliência cibernética imatura é reforçado pela natureza caótica das principais preocupações das organizações — ransomware, cadeia de suprimentos e ataques de terceiros e vulnerabilidades de codificação”, disse Sampson. “Existem muitos aspectos desses tipos de ataque que permanecem dinâmicos, caóticos e fora do controle das organizações.”

A desconfiança em relação às certificações do setor surgiu como uma das principais preocupações da pesquisa. Embora quase todas as organizações (96%) incentivem as certificações do setor, apenas 32% disseram que são eficazes na mitigação de ameaças cibernéticas. Além disso, apenas 48% das organizações procuram certificações de cibersegurança nos processos de contratação, apesar de 96% delas indicarem que incentivam as equipes de TI e cibersegurança a obter certificados.

Veja isso
Cibersegurança é componente crítico para resiliência da rede
Como as PMEs podem aumentar a resiliência cibernética

A frequência do treinamento também é insuficiente para abordar com eficácia as ameaças à segurança cibernética, pois apenas aproximadamente 27% dos entrevistados recebem treinamento mensal. “Embora a certificação e o treinamento tenham um papel a desempenhar no desenvolvimento de competência com um tópico ou produto, eles são menos adequados para avaliar como um indivíduo aplicaria essa competência a um evento ‘in the wild’ e no relacionamento com outras pessoas da equipe”, acrescenta Sampson.

Apesar de passar por treinamento de conscientização de segurança e testes de phishing por vários anos, quase metade dos entrevistados (46%) indicou que seus funcionários teriam dúvidas sobre como lidar com um e-mail de phishing.

O intervalo de tempo entre o desenvolvimento do conteúdo do treinamento de certificação, o aprendizado individual do conteúdo e a avaliação de sua competência não se alinha com o cenário de ameaças em rápida evolução, deixando os indivíduos constantemente desatualizados para lidar com as ameaças cibernéticas atuais, de acordo com Sampson.

O estudo concluiu que as organizações precisam priorizar os esforços de segurança cibernética que se concentram no desenvolvimento de habilidades, conhecimento e julgamento em toda a força de trabalho, avaliando e abordando ativamente os níveis de resiliência e as lacunas de habilidades em segurança cibernética, para enfrentar com eficácia ameaças novas e emergentes em um cenário de segurança cibernética em rápida evolução.

Compartilhar: