Maioria dos CISOs brasileiros vê segurança de IoT como desafio

Em tempos de transformação digital, a influência dos CISOs (Chief Information Security Officer) dentro das empresas aumenta. Porém, segundo pesquisa da F5 realizada pelo Instituto Ponemom, a estratégia de segurança em diversas organizações segue sendo predominantemente reativa, atuando de forma não alinhada com os outros departamentos da empresa. O relatório “The Evolving Role of CISOs and Their Importance to the Business” conclui teve a participação de 184 CISOs do Brasil, dos EUA, da UK, Alemanha, México, Índia e China.

“Ainda é raro encontrar uma estratégia de segurança de TI que inclua a empresa toda”, observa Rafael Venâncio, diretor de canais da F5 Brasil. “Isso vale para o quadro global da pesquisa e para as respostas dos gestores brasileiros”.

Do grupo entrevistados, 20 são executivos brasileiros. 77% afirmam ser parte de corporações passando por grandes transformações – isso explicaria a crescente importância da área de segurança de TI. Um grupo um pouco menor (53%) declara que a empresa onde trabalha considera a segurança digital uma prioridade para a continuidade dos negócios.

Hoje, 59% dos participantes brasileiros apresentam regularmente relatórios sobre segurança digital para o Board de suas empresas. O C-Level da empresa reage especialmente diante de fatos como violações com roubo de dados (53%) e identificação de Exploits (41%) atuando dentro da empresa. Diante desta realidade, 57% dos CISOs mantem, em seus times, profissionais empenhados em disseminar por todos os departamentos da corporação a cultura e as práticas de segurança.

“Considero especialmente expressiva a existência, neste grupo, de diversos comitês multidisciplinares de segurança”, ressalta Venâncio. A outra face desta realidade local é que, segundo a pesquisa da F5, somente em 26% das empresas brasileiras os funcionários são considerados responsáveis, e passiveis de admoestações, no caso de provocarem vulnerabilidades ou tomarem atitudes não alinhadas com a governança corporativa. “Essas contradições retratam uma cultura em transformação, em que ações educativas e de mudança de postura já estão acontecendo mas ainda não ganharam força de compliance”, diz Venâncio.

Internet das Coisas é uma grande preocupação

Uma das grandes preocupações dos CISOs brasileiros é com a crescente presença de dispositivos IoT em suas empresas. 85% afirmam que o IoT vai causar mudanças nas práticas e políticas de segurança. “Chama a atenção o fato de que 65% dos CISOs entrevistados já estarem realizando testes e simulações para identificar vulnerabilidades e garantir que as redes IoT não representem um risco para a corporação”, aponta Venâncio.

O fruto dessas ações é a contínua transformação de políticas – isso está acontecendo em 65% do universo pesquisado. “Não vejo surpresas aqui; o mundo IoT exige que a cultura de segurança passe por mudanças e adaptações”.

A pesquisa da F5 mostrou, ainda, que 32% dos CISOs brasileiros disseram realizar o outsourcing de operações de segurança; essas pessoas valorizam essa opção e afirmam que isso não aumenta os riscos. 46% do total pesquisado, por outro lado, acreditam que os serviços terceirizados não apresentam o mesmo padrão de segurança dos processos internos da corporação usuária de TI.

E, finalmente, os CISOs brasileiros têm plena consciência de que a segurança de perímetro de rede não dá mais conta de proteger as pessoas, informações e processos das corporações. Embora 46% das empresas examinadas continuem com políticas de segurança focadas na rede, o futuro exige outra atitude. Em até dois anos, dizem os CISOs, será ainda mais essencial proteger tanto as aplicações (31%) quanto os endpoints (26%) contra ataques digitais. “Esses índices retratam um mundo em transformação, em que os grandes investimentos em segurança de rede que definiram a face da TI das empresas infelizmente não dão mais conta da era do Ransomware, ataques DDoS, DNS, fishing, etc.”.

“As respostas dadas pelos CISOs dos EUA, UK, Alemanha, China, México e Índia não diferem muito da tendência geral definida pelos CISOs brasileiros”, observa Venâncio. 58% dos entrevistados globais indicam que segurança de TI é um departamento independente e apenas 22% afirmam que a segurança está integrada com outras equipes da empresa, ao passo que 45% declaram que seu departamento de segurança não tem linhas de responsabilidade claramente definidas. 75% dos entrevistados afirmam que, devido à falta de integração com departamentos da empresa, problemas de territorialidade e silos tem influência significativa (36%) ou alguma influência (39%) sobre táticas e estratégias de segurança de TI.

Principais conclusões das respostas globais:

• Aumento de responsabilidade para os CISOs – Embora o grau de influência dos CISOs sobre o Board das empresas seja variável, a maioria dos CISOs tem influência na administração dos riscos de segurança cibernética das empresas. 68% dos entrevistados afirmam que os CISOs dão a palavra final quando se trata de gastos com segurança de TI, ao passo que um número um pouco menor (64%) afirma que eles têm influência direta e autoridade sobre os gastos gerais de segurança dentro das corporações. 87% dos entrevistados declaram que o orçamento de segurança de TI aumentou significativamente.
• Falta de alinhamento com a empresa – Ainda é raro encontrar uma estratégia de TI que englobe a empresa toda. 58% dos entrevistados indicam que segurança de TI é um departamento independente e apenas 22% afirmam que a segurança está integrada com outras equipes da empresa, ao passo que 45% declaram que seu departamento de segurança não tem linhas de responsabilidade claramente definidas. 75% dos entrevistados afirmam que a falta de integração com departamentos da empresa, problemas de territorialidade e silos têm influência significativa (36%) ou alguma influência (39%) sobre táticas e estratégias de segurança de TI.
• Reconhecimento da segurança como prioridade empresarial é reativo – 60% dos entrevistados acreditam que as organizações consideram a segurança uma prioridade para os negócios; contudo, apenas 51% afirmam que sua organização possui uma estratégia de segurança de TI e desses, apenas 43% declaram que a estratégia é revisada, aprovada e suportada por outros executivos da alta administração. Os resultados indicam que a mudança em programas de segurança é predominantemente reativa, com violações de dados relevantes (45%) e exploits (43%) sendo os dois principais eventos que chamam a atenção de outros executivos seniores.
• Influência orientada por crise entre a liderança executiva – 65% dos entrevistados afirmam que os CISOs se comunicam diretamente com o C-Level, mas raramente trata-se de uma discussão estratégica sobre todas as ameaças da organização. Os entrevistados também reconheceram que a comunicação aos executivos sobre episódios envolvendo segurança é limitada, com 46% afirmando que apenas violações de dados relevantes e ataques cibernéticos são reportados ao CEO e ao conselho de administração. 19%, no entanto, reportam todas as violações de dados ao Board.

A pesquisa mostra, ainda, que a escassez de talentos em segurança de TI continua a ser algo importante para os CISOs. Nas grandes empresas usuárias, o número médio de funcionários de segurança de TI aumentará de 19 para 32 funcionários em tempo integral (ou equivalente) nos próximos dois anos, com aproximadamente a metade (42%) achando que seu pessoal atual não é adequado. 58% afirmam que têm dificuldade em contratar pessoal de segurança qualificado, e os maiores desafios são identificar e recrutar candidatos qualificados (56%). Outro problema é a incapacidade de oferecer salários equiparados ao nível de mercado (48%).

Esses desafios estão pressionando as empresas a procurarem as soluções em outros lugares – metade dos entrevistados (50%) acredita que Machine Learning e inteligência artificial conseguem lidar com a escassez de pessoal. 70% acreditam que essas tecnologias serão importantes para os departamentos de segurança de TI dentro de dois anos. “A transformação digital é um caminho sem volta; a pesquisa da F5 mostra ao mesmo tempo as mudanças que as empresa já estão fazendo e, também, os avanços que ainda terão de acontecer”, resume Venâncio.