Grandes empresas não possuem maturidade em segurança, indica pesquisa

Índice elaborado pela RSA revela que capacidade de quantificar, avaliar e minimizar riscos significaram a maior fraqueza entre as consultadas

A RSA consultou mais de 400 profissionais de segurança em 61 países para avaliar a maturidade em segurança cibernética. Utilizando o Cybersecurity Framework do NIST, os participantes avaliaram seus próprios programas em cinco funções: Identificar, Proteger, Detectar, Responder e Recuperar. Reunidos no primeiro “Índice de Deficiências em Segurança Cibernética” da divisão da EMC, os resultados oferecem um panorama global das práticas em diversas regiões, setores e tamanhos de organizações.

Os dados revelaram que grandes volumes de recursos tecnológicos não necessariamente se traduzem em defesas substanciais – cerca de 75% dos participantes reportaram maturidade insuficiente. Oíndice reflete nos casos reportados de perda ou dano nas operações das empresas no último ano.

O relatório indica um desalinho e foco desatualizado entre os gastos em segurança, que se concentram mais substancialmente em controles voltados à prevenção ao invés de detecção e resposta. O recurso mais maduro revelado na pesquisa geral estava na área de “Proteção”.

“Os profissionais de segurança continuam a despejar grandes volumes de dinheiro em firewalls de última geração, antivírus e proteção sofisticada contra malware, na esperança de bloquear ameaças avançadas, mas ainda estão comprometidas, como sempre”, declarou Amit Yoran, presidente da RSA. “Precisamos mudar a forma de pensar em segurança, e isso começa reconhecendo que nenhum produto resolverá tudo, e que é preciso dar mais atenção ao monitoramento e à resposta”, explicou.

A capacidade de quantificar, avaliar e minimizar os riscos de segurança cibernética foi a maior fraqueza entre as empresas consultadas: 45% delas descreveram a inexistência ou improvisação de recursos na área, com meros 21% sinalizando maturidade, déficit que dificulta a priorização da segurança.

Ao contrário do que se esperaria, o estudo constatou que 83% das organizações com mais de 10 mil funcionários classificaram seus recursos como menos do que “desenvolvidos”. O resultado sugere que o tamanho de uma organização não é indicador de maturidade. O resultado pode demonstrar uma concentração maior por parte dessas empresas em amadurecer controles de segurança menos impactantes. Outra possibilidade é que por serem alvos mais visados, eles reconhecem mais a necessidade de recursos mais maduros.

Outra surpresa diz respeito setor financeiro, tido pelo senso comum como modelo de maturidade em segurança por seu volume maior de ataques cibernéticos em comparação a outras áreas. As organizações pesquisadas do setor não se avaliam como mais maduras – somente um terço se classifica como bem preparado.

Em contrapartida, as empresas de Telecom sinalizaram maturidade mais elevada, com metade das consultadas apontando o desenvolvimento ou aproveitamento de recursos. O governo ficou na última posição entre as áreas pesquisadas: somente 18% dos consultados se classificaram como desenvolvidos.

Mesmo com o Cybersecurity Framework originário dos Estados Unidos, a maturidade das organizações nas Américas ficou aquém das regiões APJ e EMEA, com 39% e 24% se avaliando como desenvolvidas, respectivamente.

Fonte: Computer World