75% das empresas não têm maturidade suficiente para combater ameaças cibernéticas
Grande parte das empresas (75%) não possui maturidade suficiente para enfrentar os riscos de segurança cibernética, de acordo com uma pesquisa realizada pela RSA e divulgada nessa quarta-feira (10/06).
O recurso mais maduro revelado na pesquisa geral estava na área de “Proteção”. Os resultados da pesquisa indicam que os gastos e o foco em segurança continuam desalinhados e orientados por enfoques desatualizados, já que as organizações continuam a se concentrar pesadamente em controles de segurança voltados para prevenção, em vez de detecção e resposta.
Além disso, a maior fraqueza das organizações pesquisadas é a capacidade de quantificar, avaliar e minimizar os riscos de segurança cibernética, com 45% delas descrevendo seus recursos nessa área como não existentes ou improvisados e apenas 21% informando que são maduras nessa área. Esse déficit torna difícil ou impossível priorizar a segurança e o investimento, atividades fundamentais para qualquer organização que esteja buscando aprimorar seus recursos de segurança.
O estudo também aponta que a falta de maturidade não está diretamente relacionada com o tamanho da organização: 83% das empresas de grande porte (com mais de 10 mil funcionários) relataram a escassez de recursos de segurança mais robustos. Esse resultado, de acordo com a RSA, sugere que, apesar de terem mais recursos, as organizações talvez estejam mais concentradas em amadurecer controles de segurança menos impactantes.
De acordo com Amit Yoran, presidente da RSA, essa pesquisa demonstra que os profissionais de segurança continuam a despejar grandes volumes de dinheiro em firewalls de última geração, antivírus e proteção sofisticada contra malware, na esperança de bloquear ameaças avançadas. Segundo ele, apesar dos investimentos nessas áreas, contudo, as organizações ainda estão comprometidas, como sempre. Por isso, prossegue, é preciso mudar a forma de pensar em segurança, e isso começa reconhecendo que nenhum produto resolverá tudo, e que é preciso dar mais atenção ao monitoramento e à resposta.
Os resultados também foram contrários às expectativas nas organizações de serviços financeiros, um setor frequentemente citado como líder em termos de maturidade em segurança devido ao fato de enfrentar um volume maior, e mais sofisticado, de ataques cibernéticos do que outros setores. Apesar do senso comum, as organizações desse ramo não se avaliam como o setor mais maduro, com apenas um terço se classificando como bem preparado.
Os operadores de infraestrutura essencial, que são o público-alvo original do CSF, precisarão fazer avanços significativos em seus níveis atuais de maturidade. As organizações do setor de telecomunicações relataram o nível de maturidade mais alto, com 50% dos participantes tendo desenvolvido recursos ou se beneficiado deles, enquanto o governo ficou em último lugar entre os setores pesquisados, com apenas 18% dos participantes classificando-se como desenvolvidos ou beneficiados.
Apesar do fato de o CSF ter se originado nos Estados Unidos, a maturidade informada das organizações nas Américas ficou abaixo da das regiões APJ e EMEA. As organizações da região APJ relataram as estratégias de segurança mais maduras, com 39% avaliadas como desenvolvidas ou beneficiadas em maturidade geral, enquanto apenas 26% das organizações da região EMEA e 24% das organizações das Américas se classificaram como tal.
O estudo “Índice de Deficiências em Segurança Cibernética” foi realizado com mais de 400 profissionais de segurança em 61 países e tem como objetivo avaliar a maturidade e as práticas de segurança em uma série de regiões, setores e tamanhos de organizações.