Empresas carecem de recursos importantes para a segurança da informação

Sejam as empresas afetadas por requisitos legais como o próximo NIS-2, ou as diretivas DORA, ou pela LGPD no caso do Brasil, um sistema de gerenciamento de segurança da informação (ISMS) é essencial para aumentar a segurança nas empresas. Embora 68% dos especialistas em TI e segurança cibernética pesquisados no estudo “OTRS Spotlight: Corporate Security 2024” já tenham esse sistema em vigor, em muitos casos ferramentas e processos importantes ainda não foram totalmente integrados. Dois terços (66%) não têm integração completa de gerenciamento de ativos e treinamento de conscientização de segurança e relatórios de auditoria e conformidade; o gerenciamento de patches não é totalmente integrado em 70% dos casos.

Para o estudo, a empresa de software OTRS Group, em colaboração com a empresa de pesquisa de mercado Pollfish, entrevistou 476 profissionais de TI e segurança cibernética, incluindo 100 no Brasil.

Procura-se: ferramentas para integração do gerenciamento de ativos mais simples

Com 61%, as equipes de segurança reclamam com mais frequência sobre a complexidade da integração como o maior obstáculo para implementar totalmente o gerenciamento de ativos, que é tão importante para o gerenciamento de riscos, no processo e cenário de ferramentas do ISMS. Inconsistência de dados (42%) e sincronização de dados atrasada (40%) seguem a alguma distância em segundo e terceiro lugar entre os maiores obstáculos.

Há claramente uma grande necessidade de ferramentas que tornem mais fácil para as equipes de segurança integrarem perfeitamente o gerenciamento de ativos no cenário do ISMS. Uma olhada naqueles que já implementaram confirma: eles usam principalmente software de gerenciamento de ativos dedicado (41%), no Brasil são 52%, ou ferramentas de integração especiais (37%), no Brasil são 45%, para essa finalidade. Apenas dez por cento implementam a integração usando seus próprios scripts e APIs ou transferem e sincronizam dados manualmente.

Gerenciamento de dispositivos: não há pessoal suficiente para muitos dispositivos

Outro desafio para as equipes em garantir a segurança das informações em suas empresas e, portanto, também cumprir com os requisitos legais, é impor diretrizes de segurança em todos os dispositivos. Não apenas o número crescente de dispositivos leva a problemas de escalabilidade (33%), a variedade de dispositivos e sistemas operacionais (33%) e o gerenciamento de dispositivos em ambientes de trabalho móvel ou híbrido (32%) apresentam dificuldades às equipes. Isso geralmente é agravado pela equipe ou recursos de TI limitados (39%), que seriam necessários para realizar totalmente essa tarefa.

Além disso, 87% das empresas pesquisadas já estão usando dispositivos habilitados para IA, abrindo novas portas para potenciais riscos de segurança de dados. As equipes de segurança estão tentando combater isso, principalmente treinando os funcionários no manuseio seguro de dados (46%). Quase o mesmo número (43%) usa servidores seguros para processamento de dados para gerenciar os riscos e a conformidade com os regulamentos de proteção de dados ao usa dispositivos habilitados para IA. Quatro em cada dez implementam políticas de uso rigorosas para essa finalidade, enquanto apenas 21% usam gerenciamento de dispositivos móveis (MDM) ou gerenciamento unificado de endpoints (UEM) para desabilitar ou restringir recursos de IA.

Funcionários estão preocupados com a segurança dos dispositivos

Além disso, após preocupações sobre e-mails suspeitos ou possíveis tentativas de phishing, os dispositivos, seu uso e segurança são um dos motivos mais comuns para os funcionários contatarem as equipes de segurança: 38% dos entrevistados recebem perguntas frequentes ou muito frequentes sobre a legitimidade de downloads ou atualizações de software ou aplicativo; 36% dizem que recebem perguntas frequentes ou muito frequentes devido a preocupações sobre a segurança de dispositivos pessoais usados para o trabalho.

Dispositivos causam mais riscos e danos do que phishing de e-mail

Relatos de dispositivos perdidos ou roubados, com dados confidenciais também mantêm as equipes de segurança em alerta: 26% recebem com frequência ou muito frequentes. Nesses casos, as equipes precisam agir de forma particularmente rápida e eficaz porque, de acordo com os entrevistados, a perda do dispositivo também representa um dos problemas de maior risco ou dano para sua organização; 37% dizem que dispositivos perdidos ou roubados com dados confidenciais causaram danos extremos significativos e risco à organização no passado.

Em 38% cada, vulnerabilidades ou arquivos corrompidos em sistemas e dispositivos da empresa, bem como vulnerabilidades, violações de dados ou uso indevido de ferramentas ou serviços de IA, também causaram danos extremos, significativos ou risco com mais frequência no passado do que e-mails de phishing (36%)

“As empresas têm cada vez mais dispositivos e endpoints para gerenciar devido ao home office, trabalho móvel e digitalização crescente em todos os setores. Para as equipes de segurança, isso também significa mais e mais riscos e superfícies de ataque que eles precisam proteger – em muitos casos remotamente”, enfatiza Jens Bothe, vice-presidente de Segurança da Informação do OTRS Group. “Para garantir que eles tenham os recursos necessários – tanto na forma de pessoal quanto em soluções de software de suporte – todos os funcionários, do diretor administrativo ao agente de atendimento ao cliente, devem estar cientes dos riscos econômicos que cada ponto de extremidade adicional traz consigo”, finaliza.