Maioria dos CISOs não se sente confiante com segurança da empresa

Da Redação
05/12/2019

Os atingidos por uma violação nos últimos 12 meses não têm certeza de que poderiam se recuperar de uma violação semelhante novamente

ciso.jpg

Uma pesquisa recente para avaliar o grau de confiança cibernética dos chiefs information security officer (CISOs) na segurança de suas companhias revela que apenas 17% deles disseram que o conjunto de tecnologias que compõem a infraestrutura de segurança corporativa era completamente eficaz, apesar de a maioria delas exaltarem a robustez da cibersegurança.

O Relatório de Confiança Cibernética, elaborado pela empresa de proteção de redes Nominet, também analisou o nível de confiança entre os CISOs cuja organização sofreu apenas uma violação. Embora ter sofrido uma violação nos últimos 12 meses não tenha impactado a percepção de segurança, muitos deles admitiram que isso afeta a confiança se tiverem que lidar com esse tipo de crime cibernético novamente. Dois terços (68%) daqueles atingidos por uma violação nos últimos 12 meses não demonstraram um alto nível de confiança na capacidade de sua organização se defender e se recuperar de um ataque novamente.

O estudo revela ainda que os CISOs estão sendo colocados em uma posição desconfortável, já que são eles os responsáveis pela decisão final na escolha da solução de segurança. “Embora seja natural que os CISOs possam ser um pouco mais cautelosos em defender a eficácia das soluções de segurança que escolheram, porque não há uma bala de prata, mais de um terço não está nem um pouco confortável com o fato de darem a palavra final na escolha da solução de segurança”, disse Stuart Reed, vice-presidente de segurança cibernética da Nominet.

Segundo ele, essa desconexão na confiança deve soar como um alarme para as organizações, que deveriam proceder alguma investigação e análise das suas soluções, em vez de exaltarem a robustez da segurança corporativa.

Recuperação de uma violação

O Relatório de Confiança Cibernética também analisou o nível de confiança entre os CISOs cuja organização sofreu uma violação. Embora sofrer uma violação nos últimos 12 meses não tenha impactado a percepção da postura de segurança, afetou a confiança em lidar com esse tipo de violação novamente. De fato, dois terços (68%) daqueles atingidos por uma violação nos últimos 12 meses não demonstraram um alto nível de confiança na capacidade de sua organização de defender e se recuperar de um ataque semelhante novamente.

O levantamento, que ouviu quase 300 CISOs no Reino Unido e nos Estados Unidos, revela também uma distinção interessante entre os profissionais dos dois países. Os entrevistados dos EUA tiveram duas vezes mais chances de ter muita confiança na capacidade da empresa se defender contra um ataque; uma relação de 40% nos EUA contra 22% no Reino Unido. Isso apesar do fato de que quase o dobro dos entrevistados nos EUA, na comparação com os do Reino Unido, relatarem mais de 30 violações nos últimos 12 meses; 20% nos EUA na comparação com 11% no Reino Unido.

Medição e gerenciamento de terceiros

Em termos de confiança na segurança da organização, 20% dos CISOs não testaram o desempenho de sua infraestrutura de segurança quando estavam no local ou não sabiam se estavam sendo testados. A falta de conhecimento sobre a eficácia da segurança pode estar gerando falta de confiança entre os profissionais.

Também é importante analisar as decisões de investimento e como elas podem estar contribuindo para a confiança virtual entre os CISOs. Com 76% acreditando que a cibersegurança é uma prioridade crescente em sua organização, isso sugere a questão sobre onde o investimento deve ser gasto. As áreas classificadas como prioritárias para investimento nos próximos três anos são monitoramento cibernético (16%), resiliência cibernética (14%) e governança cibernética (12%). Transformação de estratégia e programa (3%), conscientização das partes interessadas (4%) e, finalmente, gerenciamento de terceiros/cadeia de suprimentos (6%).

Existem duas áreas particularmente críticas de robustez cibernética: a infraestrutura de segurança da própria organização e a das organizações às quais ela está conectada. Com o gerenciamento de terceiros e da cadeia de suprimentos vendo esse baixo investimento, combinado com a falta de medição geral, o investimento nessas áreas pode aumentar a confiança sentida pela equipe de segurança.

Compartilhar: