Kaspersky: 31% dos líderes de segurança não sabem como priorizar investimentos

Parte expressiva das empresas brasileiras tem dificuldade para definir onde aplicar dinheiro para reforçar a própria segurança digital. É o que dizem 31% dos líderes de cibersegurança no País, de acordo com levantamento recente da Kaspersky. Quase metade (48%) das organizações não possuem cronograma regular de avaliações de risco e reagem a incidentes ou notícias externas para revisar a própria segurança.

A pesquisa também indica que a maioria das empresas faz simulações de incidentes – 58% mensalmente e 34% trimestralmente. Uma em cada dez, no entanto, não tem nenhuma rotina de simulações, o que significa “uma lacuna crítica que afeta a preparação real diante de um ataque”, diz a Kaspersky.

Outra parcela significativa (44%) dos entrevistados diz não possuir estratégia de segurança.

Leia mais: Como a ideia de AGI virou a “grande teoria” que domina a tecnologia e por quê

“Quando não há uma visibilidade real sobre o estado da cibersegurança, as decisões de investimento tornam-se incertas, intuitivas e mais difíceis de serem mensuradas corretamente. Como consequência, justificar o investimento torna-se uma tarefa desafiadora”, pondera em comunicado Roberto Rebouças, gerente-executivo da Kaspersky no Brasil.

O executivo recomenda que os líderes de segurança adotem uma abordagem pragmática, baseada em um diagnóstico estruturado da segurança atual e uma análise de riscos baseados em impacto, como o FAIR (Factor Analysis of Information Risk). Isso dá às equipes de segurança um documento objetivo das áreas críticas que precisam ser melhoradas e quais devem ser os primeiros investimentos.

Ciclo de melhoria

Para criar um ciclo de melhoria constante e garantir a mensuração e aprimoramento contínuo, a Kaspersky recomenda as seguintes medidas:

• Criar uma agenda recorrente de avaliações de risco, com periodicidade mínima trimestral ou por semestre;
• Realizar simulações de ataques mensais ou trimestrais, mesmo que em formato simplificado, para medir a melhoria ou uma possível necessidade de mudança de rota nas ações;
• Estabelecer indicadores de risco claros, conectados aos planos de continuidade e impacto operacional;
• Revisar políticas e controles com base em dados de novos ataques ou ameaças (disponíveis via serviços de Threat Intelligence), e não apenas em compliance;
• Alinhar investimento a resultados esperados, priorizando correções que reduzem exposição e fortalecem governança.

A pesquisa da Kaspersky pode ser acessada nessa página.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!