Estudo da Cisco mostra empresas despreparadas para ataques cibernéticos

Apenas 3% das organizações em todo o mundo têm o nível “maduro” de prontidão necessário para serem resilientes contra os riscos modernos de segurança cibernética. Isso é o que mostra o Cisco Cybersecurity Readiness Index de 2024 (Índice de Prontidão de Segurança Cibernética 2024). O estudo destaca que a prontidão caiu significativamente em relação a um ano atrás, quando 15% das empresas estavam classificadas como maduras.

O Cisco Cybersecurity Readiness Index de 2024 foi desenvolvido em uma era definida pela hiperconectividade e um cenário de ameaças em rápida evolução. As empresas hoje continuam a ser alvo de uma variedade de técnicas que vão desde phishing e ransomware até ataques de cadeia de suprimentos e engenharia social. E enquanto eles estão construindo defesas contra esses ataques, eles ainda lutam para se defender contra eles, retardados por suas próprias posturas de segurança excessivamente complexas que são dominadas por soluções de vários pontos.

Esses desafios são agravados nos ambientes de trabalho distribuídos de hoje, onde os dados podem ser espalhados por serviços, dispositivos, aplicativos e usuários ilimitados. No entanto, 80% das empresas ainda se sentem moderadamente a muito confiantes em sua capacidade de se defender contra um ataque cibernético com sua infraestrutura atual – essa disparidade entre confiança e prontidão sugere que as empresas podem ter confiança perdida em sua capacidade de navegar no cenário de ameaças e podem não estar avaliando adequadamente a verdadeira escala dos desafios que enfrentam.

O estudo avalia a prontidão das empresas em cinco pilares principais: Inteligência de Identidade, Resiliência de Rede, Confiabilidade de Máquinas, Reforço de Nuvem e Fortalecimento de IA, que são compostos por 31 soluções e recursos correspondentes. Ele é baseado em uma pesquisa duplo-cega com mais de 8 mil líderes de segurança e negócios do setor privado em 30 mercados globais conduzida por um terceiro independente. Solicitou-se aos entrevistados que indicassem quais dessas soluções e recursos haviam implementado e o estágio de implementação. As empresas foram então classificadas em quatro estágios de prontidão crescente: Iniciante, Formativa, Progressiva e Madura.

“Não podemos subestimar a ameaça representada por nosso próprio excesso de confiança”, disse Jeetu Patel, vice-presidente executivo e gerente-geral de Segurança e Colaboração da Cisco. “As organizações de hoje precisam priorizar investimentos em plataformas integradas e se enxugar em IA para operar em escala de máquina e, finalmente, inclinar a balança a favor dos defensores”, completou.

Resultados relevantes

No geral, o estudo descobriu que apenas 3% das empresas estão prontas para enfrentar as ameaças atuais, com dois terços das organizações estando nos estágios Iniciante ou Formativo de prontidão. Além disso:

Futuros incidentes cibernéticos esperados: 73% dos entrevistados disseram esperar que um incidente de segurança cibernética interrompa seus negócios nos próximos 12 a 24 meses. O custo de não estar preparado pode ser substancial, já que 54% dos entrevistados disseram que sofreram um incidente de segurança cibernética nos últimos 12 meses, e 52% dos afetados disseram que isso lhes custou pelo menos US$ 300 mil.

Sobrecarga de solução pontual: a abordagem tradicional de adotar várias soluções de ponto de segurança cibernética não produziu resultados efetivos, já que 80% dos entrevistados admitiram que ter soluções de vários pontos diminuiu a capacidade de sua equipe de detectar, responder e se recuperar de incidentes. Isso levanta preocupações significativas, pois 67% das organizações disseram ter implantado dez ou mais soluções pontuais em suas pilhas de segurança, enquanto 25% disseram ter 30 ou mais.

Dispositivos não seguros e não gerenciados adicionam complexidade: 85% das empresas disseram que seus funcionários acessam as plataformas da empresa a partir de dispositivos não gerenciados, e 43% deles gastam um quinto (20%) de seu tempo conectado às redes da empresa a partir de dispositivos não gerenciados.Além disso, 29% relataram que seus funcionários pulam entre pelo menos seis redes ao longo de uma semana.

A lacuna de talentos cibernéticos persiste: o progresso está sendo ainda mais prejudicado pela escassez crítica de talentos, com 87% das empresas destacando isso como um problema. De fato, 46% das empresas disseram que tinham mais de dez funções relacionadas à segurança cibernética não preenchidas em sua organização no momento da pesquisa.

Futuros investimentos cibernéticos aumentando: as empresas estão cientes do desafio e estão aumentando suas defesas, com mais da metade (52%) planejando atualizar significativamente sua infraestrutura de TI nos próximos 12 a 24 meses. Trata-se de um aumento acentuado em relação a apenas um terço (33%) que pretendia fazê-lo no ano passado. Mais proeminentemente, as organizações planejam atualizar as soluções existentes (66%), implantar novas soluções (57%) e investir em tecnologias orientadas por IA (55%). Além disso, 97% das empresas planejam aumentar seu orçamento de segurança cibernética nos próximos 12 meses, e 86% dos entrevistados dizem que seus orçamentos aumentarão em 10% ou mais.

Para superar os desafios do cenário de ameaças atual, as empresas devem acelerar investimentos significativos em segurança, incluindo a adoção de medidas de segurança inovadoras e uma abordagem de plataforma de segurança, fortalecer sua resiliência de rede, estabelecer o uso significativo de IA generativa e aumentar o recrutamento para preencher a lacuna de habilidades de segurança cibernética.