Apenas um terço das organizações executa segurança cibernética 24 horas por dia

A Trend Micro Incorporated, empresa global de segurança cibernética, publicou nesta quinta-feira (19/9) uma nova pesquisa revelando que as organizações globais carecem de recursos suficientes e adesão da liderança para medir e mitigar riscos em sua superfície de ataque digital. O estudo Underfunded and unaccountable: How a lack of corporate leadership is hurting cybersecurity (Subfinanciado e irresponsável: como a falta de liderança corporativa está prejudicando a segurança cibernética) entrevistou 2,6 mil líderes globais de TI responsáveis pela segurança cibernética em organizações de pequeno, médio e grande porte para entender melhor suas atitudes em relação ao gerenciamento de riscos de superfície de ataque (ASRM).

“A falta de uma liderança clara em segurança cibernética pode ter um efeito paralisante em uma organização, levando a uma tomada de decisão reativa, fragmentada e errática. As empresas precisam que os CISOs se comuniquem claramente em termos de risco de negócios para envolver seus conselhos. Idealmente, eles devem ter uma única fonte de verdade em toda a superfície de ataque para compartilhar atualizações com o conselho, monitorar continuamente o risco e corrigir automaticamente os problemas para aumentar a resiliência cibernética”, disse Bharat Mistry, diretor técnico da Trend

As três principais lacunas na resiliência cibernética reveladas pelos entrevistados foram:

– Pessoal insuficiente para cobertura de segurança cibernética 24x7x365 – que apenas 36% têm
técnicas de gerenciamento para medir o risco da superfície de ataque (usadas por 35%).

– Usando estruturas regulatórias comprovadas e outras, como a Estrutura de Segurança Cibernética do NIST (apenas 34%).

O fracasso da maioria das empresas globais em alcançar esses fundamentos de segurança cibernética pode ser atribuído à falta de liderança e responsabilidade no topo da organização.

– Metade (48%) dos entrevistados afirmou que sua liderança não considera a segurança cibernética como sua responsabilidade. Apenas 17% discordaram fortemente dessa afirmação.

Quando questionados sobre quem é ou deve ser responsável pela mitigação do risco comercial, os entrevistados retornaram uma variedade de respostas, indicando falta de clareza nas linhas de reporte. Quase um terço (31%) disse que a responsabilidade é das equipes organizacionais de TI.

Essa falta de direção clara sobre a estratégia de segurança cibernética pode ser o motivo pelo qual mais da metade (54%) dos entrevistados globais reclamaram que a atitude de sua organização em relação ao risco cibernético é inconsistente e varia de mês para mês.

A liderança necessária para remediar esses problemas não está presente em muitas organizações. Quase todos (96%) dos entrevistados têm preocupações com sua superfície de ataque. Mais de um terço (36%) está preocupado em ter uma maneira de descobrir, avaliar e mitigar áreas de alto risco, e um quinto (19%) não é capaz de trabalhar a partir de uma única fonte de verdade.