Cibersegurança é mais do que apenas proteção?

5 Minutos de leitura 10 out 2018

Nossa Pesquisa Global de Segurança da Informação 2018-19 prevê um aumento nos gastos com segurança cibernética, mas as organizações precisam tomar ainda mais medidas.

Depois de um ano em que as organizações foram abaladas por uma série de violações de segurança cibernética em larga escala, criticas contínuas e pedidos de intervenção por parte dos governos, a EY Global Information Security Survey (GISS)  deste ano mostra que a segurança cibernética tem um destaque ainda maior na agenda dos conselhos das empresas. As organizações estão gastando mais em segurança cibernética, dedicando recursos cada vez maiores para melhorar suas defesas e trabalhando mais para incorporar segurança por projeto.

Não é fácil... reconheces isto?

Scams de e-mail

6.4b

O número de e-mails falsos enviados em todo o mundo – todos os dias [1].

Violações de dados

1.9b

Registros de dados pessoais e confidenciais comprometidos entre janeiro de 2017 e março de 2018 [2].

Software desatualizado

50%

Autoridades locais inglesas confiando em software de servidor não suportado [3].

Erro humano

1,464

Número de funcionários do governo que usam "Password123" como senha em apenas um estado dos EUA [4].

Astroturfing digital

2m

Identidades roubadas usadas para fazer comentários falsos durante um inquérito dos EUA sobre neutralidade da rede [5].

Engenharia social

550m

E-mails de phishing enviados por uma única campanha durante o primeiro trimestre de 2018 [6].

Alto impacto de custo

US$3.62m

Custo médio de uma violação de dados no ano passado [7]

O desafio é que as organizações avancem em três frentes.

No entanto, os resultados da pesquisa também sugerem que as organizações precisam fazer mais. Mais de três quartos (87%) das organizações ainda não têm orçamento suficiente para fornecer os níveis de cibersegurança e resiliência que desejam. As proteções são irregulares, relativamente poucas organizações estão priorizando recursos avançados e a segurança cibernética muitas vezes permanece isolada ou em silos.

1. Proteger a empresa

Nossa análise sugere que números significativos (77%) das organizações ainda estão operando com apenas segurança cibernética e resiliência limitadas. Eles podem nem mesmo ter uma imagem clara de quais e onde estão suas informações e ativos mais críticos - nem ter salvaguardas adequadas para proteger esses ativos.

A prontidão cibernética ainda está atrasada

77%

De organizações que ainda operam com apenas segurança cibernética e resiliência limitadas

É por isso que é importante que a maioria das organizações continue a se concentrar nos fundamentos básicos da segurança cibernética. Eles devem primeiro:

  • Identificar os dados-chave e a propriedade intelectual (as "jóias da coroa")
  • Revisar os recursos de segurança cibernética, processos de gerenciamento de acesso e outras defesas
  • Atualize o escudo que protege a empresa.

2. Otimize a segurança cibernética

O GISS deste ano sugere que 77% das organizações estão buscando ir além da implementação de proteções básicas de segurança cibernética para ajustar suas capacidades. Essas organizações continuam a trabalhar em seus aspectos essenciais de segurança cibernética, mas também estão repensando sua estrutura e arquitetura de segurança cibernética para dar suporte aos negócios de forma mais eficaz e eficiente. Parte desse esforço é considerar e implementar inteligência artificial, automação de processos robóticos, análise e muito mais para aumentar a segurança de seus principais ativos e dados.

No momento, há um espaço significativo para melhorias. Menos de 1 em cada 10 organizações dizem que sua função de segurança da informação atualmente atende plenamente às suas necessidades — e muitas estão preocupadas que melhorias vitais ainda não estejam em andamento. É mais provável que as empresas mais pequenas fiquem para trás. Enquanto 78% das grandes organizações dizem que sua função de segurança da informação está, pelo menos parcialmente, atendendo às suas necessidades, isso cai para apenas 65% entre suas contrapartes menores.

Os cibercriminosos estão a aumentar o seu jogo e o preço do fracasso é elevado. Em um ataque recente, um banco indiano perdeu 944 milhões de rupias (US$ 13,5 milhões) depois que hackers instalaram malware em seu servidor ATM, o que lhes permitiu fazer saques fraudulentos em caixas  eletrônicos. 8

3. Permitir o crescimento

As organizações agora estão convencidas de que cuidar do risco cibernético e construir a segurança cibernética desde o início são fundamentais para o sucesso na era digital. O foco agora também deve estar em como a segurança cibernética apoiará e possibilitará o crescimento empresarial. A mira? Integrar e incorporar a segurança nos processos de negócios desde o início e construir um ambiente de trabalho mais seguro para todos. A segurança por projeto deve ser um princípio fundamental à medida que as tecnologias emergentes passam para o centro das atenções.

As organizações embarcaram em jornadas de transformação digital. A natureza de cada transformação varia dependendo da organização, mas todas elas incluem um ou mais dos seguintes componentes:

Para atingir esses objetivos, as organizações precisarão de uma estratégia inovadora de segurança cibernética em vez de responder de forma fragmentada e reativa. A experiência do cliente deve ser uma consideração fundamental.

Estes três imperativos devem ser prosseguidos em simultâneo e exploramos estes temas mais pormenorizadamente no relatório deste ano.  EY Global Information Security Survey (pdf). A frequência e a escala das violações de segurança em todo o mundo mostram que muito poucas organizações implementaram até mesmo a segurança básica.

No entanto, mesmo quando buscam recuperar o atraso, as organizações também precisam avançar, ajustando as defesas existentes para otimizar a segurança e apoiar seu crescimento. Como o  agenda de transformação digital  força as organizações a adotar tecnologias emergentes e novos modelos de negócios – muitas vezes em ritmo acelerado – a segurança cibernética precisa ser um fator essencial para o crescimento.

  • Metodologia de pesquisa

    A 21ª edição anual da Pesquisa de Segurança da Informação Global da EY captura as respostas de mais de 1.400 líderes da suíte C-suite e executivos/gestores de segurança da informação e TI, representando muitas das maiores e mais reconhecidas organizações globais do mundo. A pesquisa foi realizada de abril a julho de 2018.

    "Organizações maiores" são definidas neste relatório como organizações com receitas anuais de US$1b ou mais. Este grupo representa um terço do total de inquiridos neste inquérito. As "organizações mais pequenas" são definidas neste relatório como organizações com receitas anuais inferiores a US$1b. Este grupo representa dois terços do total dos inquiridos neste inquérito.

  • Mostrar referências de artigos#Ocultar referências de artigos

    1. Dark Reading, 27 de Agosto de 2018. [https://www.darkreading.com/endpoint/64-billion-fake-emails-sent-each-day/d/d-id/1332677]
    2. Chronology of Data Breaches, Março de 2018. [https://www.privacyrights.org/data-breaches]
    3. Informática, 23 de Agosto de 2018. [https://www.computing.co.uk/ctg/news/3061558/fifty-per-cent-of-councils-in-england-rely-on-unsupported-server-software]
    4. The Washington Post, 22 de Agosto de 2018. [https://www.washingtonpost.com/technology/2018/08/22/western-australian-government-officials-used-password-their-password-cool-cool/]
    5. Segurança Nua, 24 de Maio de 2018. [https://nakedsecurity.sophos.com/2018/05/24/2-million-stolen-identities-used-to-make-fake-net-neutrality-comments/]
    6. Dark Reading, 26 de Abril de 2018. [https://www.darkreading.com/vulnerabilities---threats/new-phishing-attack-targets-550m-email-users-worldwide/d/d-id/1331654]
    7. Instituto Ponemon, julho de 2017. [https://www.ponemon.org/blog/2017-cost-of-data-breach-study-united-states]
    8. Segurança de Informação, 16 de Agosto de 2018. [https://www.infosecurity-magazine.com/news/indian-bank-loses-135m-in-global/]

Resumo

A pesquisa revela que a segurança cibernética continua crescendo na agenda dos conselhos, com 7 em cada 10 organizações afirmando que suas equipes de gerenciamento executivo agora têm um entendimento abrangente da segurança cibernética. As organizações também estão gastando mais em segurança cibernética, dedicando cada vez mais recursos para melhorar suas defesas e trabalhando mais para incorporar segurança por projeto.

No entanto, os resultados também sugerem que as organizações precisam fazer mais. 87% das organizações dizem que ainda não têm orçamento suficiente para fornecer os níveis de cibersegurança e resiliência que desejam. As proteções são irregulares, com relativamente poucas organizações priorizando recursos avançados, com a segurança cibernética muitas vezes permanecendo isolada ou em departamentos específicos. 

Sobre este artigo