Organizações que relatam resiliência cibernética dificilmente são resilientes, diz estudo

Embora a maioria das organizações tenha um programa de resiliência cibernética, mais da metade delas carece de uma abordagem abrangente para avaliar a resiliência, de acordo com um estudo da Immersive Labs.

O estudo com o objetivo de entender a preparação dos negócios em meio a incidentes crescentes encontrou uma forte intenção de fortalecer os recursos de segurança cibernética impulsionados por ameaças externas.

“As regras de engajamento para atores de ameaças cibernéticas estão constantemente inovando para causar situações catastróficas e inevitáveis”, disse Michael Sampson, Analista da Osterman Research e autor do whitepaper da pesquisa. “Portanto, embora a resiliência cibernética seja uma esperança para a maioria das organizações, as práticas de construção, teste e melhoria da resiliência cibernética ainda são imaturas na maioria das organizações”.

O estudo, encomendado pela Osterman Research, entrevistou 570 pessoas em cargos de risco e segurança sênior em organizações com mais de 1.000 funcionários. A pesquisa foi realizada nos Estados Unidos, Reino Unido e Alemanha.

Resiliência cibernética, só que não

Embora a maioria (86%) das organizações tenha um programa de resiliência cibernética, mais da metade (52%) dos entrevistados disse que sua organização carece de uma abordagem abrangente para avaliar a resiliência cibernética.

Esses programas consistem em uma combinação de estratégias, planos e/ou infraestrutura de resiliência cibernética, sendo a maioria gerenciada internamente pelas organizações (51%). Ao mesmo tempo, uma parcela menor é terceirizada, como para consultorias (35%).

As empresas carecem de métricas adequadas para avaliar a resiliência cibernética com quase metade (46%) dos líderes seniores de segurança e risco sem métricas adequadas para mostrar a resiliência de sua força de trabalho contra ataques cibernéticos, e apenas 6% utilizando métricas informativas como tempos de resposta, taxas de intrusão, perda de dados internos, e taxas de incidentes de vários tipos de dados.

“Fiquei desapontado com a falta de força nas métricas que as organizações estavam usando para avaliar os recursos e resiliência de segurança cibernética”, disse Sampson. “A maioria está contando com uma estrutura de avaliação usando indicadores, testes e métricas não relacionadas à resiliência”.

A pesquisa também indicou que menos da metade (46%) das organizações pediram ao conselho que a equipe de segurança demonstrasse a resiliência cibernética da organização nos últimos seis meses. Isso chegou a 51% no que diz respeito à equipe de liderança sênior.

“Também foi surpreendente ver organizações sem métricas sobre resiliência cibernética que ainda relatam, várias vezes ao ano, ao conselho de administração sobre resiliência cibernética”, acrescentou Sampson. “Não sabemos o que está sendo dito nesses casos, mas ofuscar a realidade seria uma má notícia para todos os envolvidos. Seria ótimo se o conselho de administração das organizações começasse a pedir evidências e aprofundar o que está informando essa avaliação de resiliência”.

Ameaças externas e treinamento não confiável estão entre as principais preocupações

Ameaças e problemas de segurança cibernética são os principais impulsionadores da integração de programas de resiliência cibernética. Sessenta e três por cento dos entrevistados disseram estar preocupados com o ransomware, com 51% e 48%, respectivamente, cautelosos com a cadeia de suprimentos e ataques baseados em exploração de código.

“O desafio da resiliência cibernética imatura é reforçado pela natureza caótica das principais preocupações das organizações – ransomware, cadeia de suprimentos e ataques de terceiros e vulnerabilidades de codificação”, disse Sampson. “Existem muitos aspectos desses tipos de ataque que permanecem dinâmicos, caóticos e fora do controle da organização”.

A desconfiança em relação às certificações do setor surgiu como uma das principais preocupações dos entrevistados. Embora quase todas as organizações (96%) incentivem as certificações do setor, apenas 32% disseram que são eficazes na mitigação de ameaças cibernéticas. Além disso, apenas 48% das organizações procuram certificações de cibersegurança nos processos de contratação, apesar de 96% delas indicarem que incentivam as equipes de TI e cibersegurança a obter certificados.

A frequência do treinamento em sala de aula também é insuficiente para abordar com eficácia as ameaças à segurança cibernética, pois apenas aproximadamente 27% dos entrevistados recebem treinamento mensal.

“Embora a certificação e o treinamento tenham um papel a desempenhar no desenvolvimento de competência com um tópico ou produto, eles são menos adequados para avaliar como um indivíduo aplicaria essa competência a um evento ‘in the wild’ e no relacionamento com outras pessoas da equipe”, Sampson acrescentou.

Apesar de passar por treinamento de conscientização de segurança e testes de phishing por vários anos, quase metade dos entrevistados (46%) indicou que seus funcionários teriam dúvidas sobre como lidar com um e-mail de phishing.

O intervalo de tempo entre o desenvolvimento do conteúdo do treinamento de certificação, o aprendizado individual do conteúdo e a avaliação de sua competência não se alinha com o cenário de ameaças em rápida evolução, deixando os indivíduos constantemente desatualizados para lidar com as ameaças cibernéticas atuais, de acordo com Sampson.

O estudo concluiu que as organizações precisam priorizar os esforços de segurança cibernética que se concentram no desenvolvimento de habilidades, conhecimento e julgamento em toda a força de trabalho, avaliando e abordando ativamente os níveis de resiliência e as lacunas de habilidades em segurança cibernética, para enfrentar com eficácia ameaças novas e emergentes em um cenário de segurança cibernética em rápida evolução.