Gestão

Metade dos CISOs brasileiros considera segurança como prioridade

Levantamento da F5 aponta que enquanto 53% dos gestores brasileiros dizem que a segurança é prioridade para os negócios da empresa, somente 26% veem as políticas de proteção com força de “compliance”

Em tempos de transformação digital, a influência dos CISOs (Chief Information Security Officer) dentro das empresas aumenta. Mas a estratégia de segurança em diversas organizações segue sendo predominantemente reativa, atuando de forma não alinhada com os outros departamentos da empresa, aponta o relatório “The Evolving Role of CISOs and Their Importance to the Business”, da F5 e realizado pelo Instituto Ponemom com 184 CISOs do Brasil, dos EUA, da UK, Alemanha, México, Índia e China.

85% afirmam que o IoT vai causar mudanças nas práticas e políticas de segurança

“Ainda é raro encontrar uma estratégia de segurança de TI que inclua a empresa toda”, observa Rafael Venâncio, diretor de canais da F5 Brasil. “Isso vale para o quadro global da pesquisa e para as respostas dos gestores brasileiros”.

Do grupo de 184 entrevistados, 20 são executivos brasileiros. 77% afirmam ser parte de corporações passando por grandes transformações – isso explicaria a crescente importância da área de segurança de TI. Um grupo um pouco menor (53%) declara que a empresa onde trabalha considera a segurança digital uma prioridade para a continuidade dos negócios.

Hoje, 59% dos participantes brasileiros apresentam regularmente relatórios sobre segurança digital para o Board de suas empresas. O C-Level da empresa reage especialmente diante de fatos como violações com roubo de dados (53%) e identificação de Exploits (41%) atuando dentro da empresa. Diante desta realidade, 57% dos CISOs mantem, em seus times, profissionais empenhados em disseminar por todos os departamentos da corporação a cultura e as práticas de segurança.

“Considero especialmente expressiva a existência, neste grupo, de diversos comitês multidisciplinares de segurança”, ressalta Venâncio. A outra face desta realidade local é que, segundo a pesquisa da F5, somente em 26% das empresas brasileiras os funcionários são considerados responsáveis, e passiveis de admoestações, no caso de provocarem vulnerabilidades ou tomarem atitudes não alinhadas com a governança corporativa. “Essas contradições retratam uma cultura em transformação, em que ações educativas e de mudança de postura já estão acontecendo mas ainda não ganharam força de “compliance”, diz Venâncio.

Internet das Coisas é uma grande preocupação

Uma das grandes preocupações dos CISOs brasileiros é com a crescente presença de dispositivos IoT em suas empresas. 85% afirmam que o IoT vai causar mudanças nas práticas e políticas de segurança. “Chama a atenção o fato de que 65% dos CISOs entrevistados já estarem realizando testes e simulações para identificar vulnerabilidades e garantir que as redes IoT não representem um risco para a corporação”, aponta Venâncio. O fruto dessas ações é a contínua transformação de políticas – isso está acontecendo em 65% do universo pesquisado. “Não vejo surpresas aqui; o mundo IoT exige que a cultura de segurança passe por mudanças e adaptações”.

A pesquisa da F5 mostrou, ainda, que 32% dos CISOs brasileiros disseram realizar o outsourcing de operações de segurança; essas pessoas valorizam essa opção e afirmam que isso não aumenta os riscos. 46% do total pesquisado, por outro lado, acreditam que os serviços terceirizados não apresentam o mesmo padrão de segurança dos processos internos da corporação usuária de TI.

E, finalmente, os CISOs brasileiros têm plena consciência de que a segurança de perímetro de rede não dá mais conta de proteger as pessoas, informações e processos das corporações. Embora 46% das empresas examinadas continuem com políticas de segurança focadas na rede, o futuro exige outra atitude. Em até dois anos, dizem os CISOs, será ainda mais essencial proteger tanto as aplicações (31%) quanto os endpoints (26%) contra ataques digitais. “Esses índices retratam um mundo em transformação, em que os grandes investimentos em segurança de rede que definiram a face da TI das empresas infelizmente não dão mais conta da era do Ransomware, ataques DDoS, DNS, fishing, etc.”.

“As respostas dadas pelos CISOs dos EUA, UK, Alemanha, China, México e Índia não diferem muito da tendência geral definida pelos CISOs brasileiros”, observa Venâncio. 58% dos entrevistados globais indicam que segurança de TI é um departamento independente e apenas 22% afirmam que a segurança está integrada com outras equipes da empresa, ao passo que 45% declaram que seu departamento de segurança não tem linhas de responsabilidade claramente definidas. 75% dos entrevistados afirmam que, devido à falta de integração com departamentos da empresa, problemas de territorialidade e silos tem influência significativa (36%) ou alguma influência (39%) sobre táticas e estratégias de segurança de TI.

Principais conclusões das respostas globais:

  • Aumento de responsabilidade para os CISOs – Embora o grau de influência dos CISOs sobre o Board das empresas seja variável, a maioria dos CISOs tem influência na administração dos riscos de segurança cibernética das empresas. 68% dos entrevistados afirmam que os CISOs dão a palavra final quando se trata de gastos com segurança de TI, ao passo que um número um pouco menor (64%) afirma que eles têm influência direta e autoridade sobre os gastos gerais de segurança dentro das corporações. 87% dos entrevistados declaram que o orçamento de segurança de TI aumentou significativamente.
  • Falta de alinhamento com a empresa – Ainda é raro encontrar uma estratégia de TI que englobe a empresa toda. 58% dos entrevistados indicam que segurança de TI é um departamento independente e apenas 22% afirmam que a segurança está integrada com outras equipes da empresa, ao passo que 45% declaram que seu departamento de segurança não tem linhas de responsabilidade claramente definidas. 75% dos entrevistados afirmam que a falta de integração com departamentos da empresa, problemas de territorialidade e silos têm influência significativa (36%) ou alguma influência (39%) sobre táticas e estratégias de segurança de TI.
  • Reconhecimento da segurança como prioridade empresarial é reativo – 60% dos entrevistados acreditam que as organizações consideram a segurança uma prioridade para os negócios; contudo, apenas 51% afirmam que sua organização possui uma estratégia de segurança de TI e desses, apenas 43% declaram que a estratégia é revisada, aprovada e suportada por outros executivos da alta administração. Os resultados indicam que a mudança em programas de segurança é predominantemente reativa, com violações de dados relevantes (45%) e exploits (43%) sendo os dois principais eventos que chamam a atenção de outros executivos seniores.
  • Influência orientada por crise entre a liderança executiva – 65% dos entrevistados afirmam que os CISOs se comunicam diretamente com o C-Level, mas raramente trata-se de uma discussão estratégica sobre todas as ameaças da organização. Os entrevistados também reconheceram que a comunicação aos executivos sobre episódios envolvendo segurança é limitada, com 46% afirmando que apenas violações de dados relevantes e ataques cibernéticos são reportados ao CEO e ao conselho de administração. 19%, no entanto, reportam todas as violações de dados ao Board.

A pesquisa mostra, ainda, que a escassez de talentos em segurança de TI continua a ser algo importante para os CISOs. Nas grandes empresas usuárias, o número médio de funcionários de segurança de TI aumentará de 19 para 32 funcionários em tempo integral (ou equivalente) nos próximos dois anos, com aproximadamente a metade (42%) achando que seu pessoal atual não é adequado. 58% afirmam que têm dificuldade em contratar pessoal de segurança qualificado, e os maiores desafios são identificar e recrutar candidatos qualificados (56%). Outro problema é a incapacidade de oferecer salários equiparados ao nível de mercado (48%).

Esses desafios estão pressionando as empresas a procurarem as soluções em outros lugares – metade dos entrevistados (50%) acredita que Machine Learning e inteligência artificial conseguem lidar com a escassez de pessoal. 70% acreditam que essas tecnologias serão importantes para os departamentos de segurança de TI dentro de dois anos. “A transformação digital é um caminho sem volta; a pesquisa da F5 mostra ao mesmo tempo as mudanças que as empresa já estão fazendo e, também, os avanços que ainda terão de acontecer”, resume Venâncio.

Comentar

Clique aqui para comentar

As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou quaisquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.