RSA, divisão de segurança da EMC (NYSE: EMC), divulga seu primeiro “Índice de Deficiências em Segurança Cibernética” – a compilação de respostas da pesquisa de avaliação de maturidade em segurança cibernética, realizada com mais de 400 profissionais de segurança em 61 países. A pesquisa permitiu que os participantes avaliassem a maturidade de seus próprios programas de segurança cibernética utilizando o Cybersecurity Framework (CSF), do NIST, como parâmetro. A pesquisa oferece uma valiosa visão global da maturidade e das práticas de segurança em uma série de regiões, setores e tamanhos de organizações.
Embora geralmente se imagine que as grandes organizações têm os recursos para montar uma defesa cibernética mais substancial, os resultados da pesquisa indicam que o tamanho não é determinante na maturidade em segurança cibernética, e aproximadamente 75% de todos os participantes reportaram níveis insuficientes de maturidade em segurança.
A falta de maturidade geral não surpreende, pois muitas organizações pesquisadas relataram incidentes de segurança que resultaram em perda ou dano em suas operações nos últimos 12 meses. O recurso mais maduro revelado na pesquisa geral estava na área de “Proteção”. Os resultados da pesquisa indicam que os gastos e o foco em segurança continuam desalinhados e orientados por enfoques desatualizados, já que as organizações continuam a se concentrar pesadamente em controles de segurança voltados para prevenção, em vez de detecção e resposta. Além disso, a maior fraqueza das organizações pesquisadas é a capacidade de quantificar, avaliar e minimizar os riscos de segurança cibernética, com 45% delas descrevendo seus recursos nessa área como não existentes ou improvisados e apenas 21% informando que são maduras nessa área. Esse déficit torna difícil ou impossível priorizar a segurança e o investimento, atividades fundamentais para qualquer organização que esteja buscando aprimorar seus recursos de segurança.
Contrariando as expectativas, a pesquisa demonstra que o tamanho de uma organização não é indicador de maturidade. Na verdade, 83% das organizações pesquisadas e que têm mais de 10 mil funcionários, classificaram seus recursos como menos do que “desenvolvidos” em maturidade geral. Esse resultado sugere que, apesar de terem mais recursos, as organizações talvez estejam mais concentradas em amadurecer controles de segurança menos impactantes ou, por serem alvos mais visados, reconhecem mais do que a maioria a necessidade de contar com recursos mais maduros.
Os resultados também foram contrários às expectativas nas organizações de serviços financeiros, um setor frequentemente citado como líder em termos de maturidade em segurança devido ao fato de enfrentar um volume maior, e mais sofisticado, de ataques cibernéticos do que outros setores. No entanto, apesar do senso comum, as organizações de serviços financeiros pesquisadas não se avaliam como o setor mais maduro, com apenas um terço se classificando como bem preparado. Os operadores de infraestrutura essencial, que são o público-alvo original do CSF, precisarão fazer avanços significativos em seus níveis atuais de maturidade. As organizações do setor de telecomunicações relataram o nível de maturidade mais alto, com 50% dos participantes tendo desenvolvido recursos ou se beneficiado deles, enquanto o governo ficou em último lugar entre os setores pesquisados, com apenas 18% dos participantes classificando-se como desenvolvidos ou beneficiados.
Apesar do fato de o CSF ter se originado nos Estados Unidos, a maturidade informada das organizações nas Américas ficou abaixo da das regiões APJ e EMEA. As organizações da região APJ relataram as estratégias de segurança mais maduras, com 39% avaliadas como desenvolvidas ou beneficiadas em maturidade geral, enquanto apenas 26% das organizações da região EMEA e 24% das organizações das Américas se classificaram como tal.
Metodologia
Para avaliar a maturidade em segurança, os participantes autoavaliaram seus recursos comparando-os com uma amostragem doCybersecurity Framework (CSF). O CSF fornece orientação baseada em padrões, diretrizes e práticas existentes para reduzir riscos cibernéticos, e foi criado por colaboração entre o setor e o governo. Embora o CSF tenha sido inicialmente desenvolvido nos Estados Unidos com o objetivo de reduzir riscos cibernéticos para a infraestrutura essencial, organizações de todo o mundo descobriram que ele era uma abordagem hierarquizada, flexível, repetível e econômica para administrar os riscos cibernéticos. Dessa forma, ele serve como um excelente parâmetro para avaliar a segurança cibernética básica e a maturidade da administração dos riscos cibernéticos de qualquer organização.
As organizações classificaram seus próprios recursos em cinco funções principais delineadas pelo CSF: Identificar, Proteger, Detectar, Responder e Recuperar. As classificações usaram uma escala de cinco pontos, com um significando que a organização não tinha recursos em determinada área, e cinco indicando que tinha práticas altamente maduras nessa área.
PALAVRAS DE EXECUTIVOS:
Amit Yoran, presidente da RSA, a divisão de segurança da EMC
“Esta pesquisa demonstra que os profissionais de segurança continuam a despejar grandes volumes de dinheiro em firewalls de última geração, antivírus e proteção sofisticada contra malware, na esperança de bloquear ameaças avançadas. Apesar dos investimentos nessas áreas, contudo, as organizações ainda estão comprometidas, como sempre. Precisamos mudar a forma de pensar em segurança, e isso começa reconhecendo que nenhum produto resolverá tudo, e que é preciso dar mais atenção ao monitoramento e à resposta.”
Stephen T. Whitlock, estrategista-chefe, Information Security, Boeing
“A Boeing deu apoio e contribuição ao Cybersecurity Framework do NIST desde sua formação. Nós o usamos como base para avaliar a segurança geral tanto das organizações internas quanto da relação com os clientes externos. O Framework promove um método abrangente, adaptável e baseado em riscos que independe de tecnologia e de regulamentação. O uso do Framework proporcionou resultados que tiveram impacto significativo na capacidade de explicar os problemas e definir o rumo dos recursos futuros da segurança cibernética.”