Uma pesquisa global recente realizada pela Forrester Consulting sob encomenda da empresa de cibersegurança Tenable revela que 54% dos líderes de TI e de segurança no Brasil só se reúnem com os líderes corporativos uma vez por mês para discutir sobre sistemas críticos para o negócio. Além disso, 26% das organizações no país realizam essas reuniões apenas uma vez por ano — ou menos.
O estudo, cujo objetivo é traçar um panorama sobre os desafios relacionados a pessoas, processos e tecnologia, expõe de maneira incontestável o quanto esse “distanciamento” prejudica as equipes de segurança e, por tabela, a resiliência cibernética das empresas no Brasil e no mundo. Para o levantamento foram entrevistados 825 líderes de cibersegurança e de TI globalmente, incluindo 50 brasileiros.
Para piorar ainda mais o cenário, as equipes de TI e segurança cibernética costumam ficar isoladas e o desempenho delas é avaliado por meio de metas e critérios distintos e contraditórios. As atitudes internas fazem com que a coordenação entre as equipes de TI e de segurança seja difícil e demorada. “Essas duas entidades, digamos assim, têm perfis relativamente conflitantes e a pesquisa mostra isso claramente conforme as respostas foram sendo apuradas”, diz Pedro Eurico, engenheiro de segurança da Tenable no Brasil.
De acordo com o levantamento, 46% — ou seja, quase a metade dos participantes no Brasil — consideram a coordenação entre as equipes de TI e segurança cibernética difícil e demorada. “A comunicação entre esses times não é boa porque existe uma dicotomia entre eles. Enquanto o time de segurança da informação está preocupado com a segurança do processo, do negócio e da tecnologia como todo, os times de operações, de infraestrutura e todos os times correlatos estão mais preocupados com que o negócio esteja ativo, funcionando. Então a equipe de segurança da informação, muitas vezes, é vista como uma âncora para esses outros times. Por isso, essa coordenação é difícil, gera conflitos e é bastante morosa”, explica Eurico.
Os dados corroboram essa análise. Sessenta por cento dos entrevistados no Brasil afirmam que as equipes de segurança cibernética estão mais ocupadas com resposta incidentes críticos do que propriamente em tratar preventivamente o ambiente. Além disso, 76% dizem que a TI está mais preocupada com o tempo de atividade do que com a aplicação de patches/correções. “Isso mostra que existe um longo caminho a ser percorrido. Se pensarmos em qualquer framework de segurança, ele trata por exemplo do processo de identificar o ambiente para depois criar controles preventivos, detectar e reagir a problemas e, se necessário, recuperar. Na prática, o ideal seria que prevenisse primeiro e remediasse depois. Mas não isso que acontece”, observa o engenheiro da Tenable.
Outro aspecto da pesquisa que chama atenção é o fato de os entrevistados alegarem serem necessários recursos humanos consideráveis para gerenciar as diversas ferramentas usadas na segurança cibernética preventiva e gerar relatórios de risco significativos com base nessas fontes de dados discrepantes. Nada menos que 58% dos entrevistados no Brasil declaram ter 25 ou mais funcionários dedicados à implementação, ao suporte, à manutenção ou ao relacionamento com fornecedores das ferramentas de segurança cibernética preventiva que utilizam. Apenas para se ter uma ideia o tempo gasto pelas organizações por mês gerando relatórios de segurança para líderes corporativos é de 14 horas, em média.
“O levantamento aponta que 62%, ou seja, quase dois terços dos entrevistados, utilizam dez ou mais ferramentas cibersegurança. Isso dá um contexto da falta de recursos humanos e da necessidade de entender melhor esses processos” completa Eurico. “E quando se tem múltiplas ferramentas que falam línguas diferentes, que fornecem métricas de medição distintas, isso dificulta a avaliação de risco.”
Talvez o que dê uma ideia mais precisa do quão distantes estão os líderes de TI, de segurança e líderes corporativos no Brasil é o fato de que quando há interesses concorrentes, muitas vezes a segurança cibernética não é consultada com antecedência suficiente — ou sequer isso ocorre — na implementação de serviços em nuvem. Trinta e seis por cento dos entrevistados afirmam que suas equipes de negócio e engenharia compram e implementam serviços em nuvem sem informar a equipe de segurança cibernética.
Veja isso
Líderes de segurança de OT se unem para combater ameaças
Líderes de segurança dizem que IA tem sido usada em ataques
Para completar o quadro, o estudo mostra que os problemas de higiene dos dados impedem a definição efetiva de prioridades. No Brasil, 54% dos entrevistados afirmam que a falta de higiene dos dados os impede de obter dados de qualidade dos sistemas de gestão de acesso e privilégios de usuários e dos sistemas de gerenciamento de vulnerabilidades.
“Quando comparado com o índice global, que é de 31%, verifica-se que há um descolamento grande. Enquanto um terço dos entrevistados globais aponta a falta de higiene dos dados, no Brasil esse problema é citado por mais da metade dos participantes. Então aqui eu vejo uma oportunidade de evoluir muito em relação ao restante do mundo. Nós temos uma possibilidade grande de melhorar essa capacidade, de entender o contexto e priorizar isso”, enfatiza Artur Capella, diretor geral da Tenable no Brasil.
É praticamente unânime entre os entrevistados no Brasil e no mundo que a falta de contexto e de visibilidade tornam a cibersegurança preventiva difícil. Não é à toa que no Brasil 72% acreditam que a sua organização teria mais sucesso na defesa contra ataques cibernéticos se dedicasse mais recursos à segurança cibernética preventiva.