O investimento continua longe do desejável para os desafios de segurança cibernética que as empresas enfrentam – Computadores

A pandemia, o fortalecimento da digitalização em setores como indústria, saúde ou infraestrutura crítica e a instabilidade geopolítica, especialmente na Europa, trouxeram novos desafios de cibersegurança para empresas e instituições públicas e nos obrigou a rever a forma de encarar o tema, seu nível de prioridade e o investimento associado. Ou, pelo menos, é assim que deveria ser. Um novo jornal de EY salienta que o nível de O investimento corporativo em segurança cibernética permanece muito abaixo do desejável para responder aos riscos crescentes e cada vez mais sofisticados que as organizações enfrentam no campo da segurança cibernética.

Num documento que avalia a realidade europeia, a EY lembra que empresas aplicam apenas entre 2 e 5% de seu faturamento anual na área de tecnologiaO. Em uma pesquisa também realizada pela consultoria no ano passado (EY Global Information Security Survey 2021), 40% dos entrevistados na Europa Ocidental já admitiram esperar um ataque em grande escala em suas organizações, o que poderia ser evitado com melhor investimento, melhor engajamento (entre diferentes áreas de negócios) e conscientização. Quase 39% dos CISOs alertaram que o orçamento de TI de sua empresa não era suficiente para gerenciar os desafios resultantes de um ataque cibernético.

Um ano depois, a urgência de reforçar os investimentos continua a ser uma das principais recomendações do documento, que se aplica tanto ou mais a Portugal do que ao resto da Europa.

“Portugal continua a investir menos do que a Europa em cibersegurança, mas tem havido progressos”, admite Sérgio Sá, Sócio da EY para a área de Serviços de Consultoria em Cibersegurança, reconhecendo, no entanto, que muito deste progresso não é uma opção.

É mais um obrigação ao abrigo dos vários regulamentos a que as empresas estão sujeitas. Destaque para os requisitos legais que vêm sendo implementados na área de cibersegurança, privacidade e continuidade de negócios. Este reforço tem sido mais expressivo, sublinha também Sérgio Sá, em áreas de serviços essenciais e infraestrutura críticacomo Administração Pública (central e regional), Banca, Energia e Utilidades, Telecomunicações e Transportes.

Nas recomendações da EY para enfrentar os novos desafios de cibersegurança há também uma chamar a atenção para a necessidade de redobrar os esforços na proteção de novas áreas “que estão se tornando cada vez mais vulneráveis ​​e visados”, como reconhece o estudo, que destaca a nuvem e indústria.

“A crescente dependência das organizações dos meios digitais, a introdução de novas tecnologias (como Cloud, RPA, 5G e outras), a necessidade de integração de diferentes ambientes (TI, OT, IoT) introduzem novos riscos que precisam ser avaliados rapidamente e mitigado”.

Por todas estas razões, sublinha-se que as empresas necessitam de fortalecer suas linhas de defesamelhorar a capacidade de antecipar problemas, com serviços de inteligênciamelhorar a capacidade de gestão de crises (planeamento e simulação), de deteção e resposta a problemas, tendo em conta os diferentes tipos de utilizadores nas suas redes e os diferentes parceiros nas respetivas cadeias de valor.

Sobre esse tema, o trabalho também destaca a importância de fortalecer a gestão de riscos com terceiros, não apenas fazer cumprir os requisitos de segurança contratualmente, mas também garantir que a conformidade com esses critérios seja monitorada regularmente.

Estas práticas começam a ser comuns em várias indústrias, como a indústria automóvel, que tem um peso importante em Portugal com fábricas de várias marcas. Sérgio Sá reconhece que a indústria automotiva é um exemplo de percepção rápida do peso dos riscos de TI, que levou à introdução de regulamentos e certificações de segurança em toda a cadeia de valor, uma tendência que a EY espera ver cada vez mais em diversos setores. “Para manter o sucesso e a qualidade, indústrias começarão a ter cada vez mais regulamentação própria. Haverá então a necessidade de conciliar este regulamento específico com outros que possam existir a nível europeu ou nacional”. Sérgio Sá também antecipa uma tendência crescente “para coordenação de incidentes a nível da indústria e nacional, a fim de controlar o impacto mais rapidamente”.

No jornal que marca outubro como o mês da cibersegurança – “Cibersegurança na era das crises geopolíticas e incertezas globais”A EY ainda elege o um quadro regulamentar fragmentado e cada vez mais complexo como obstáculo a uma abordagem mais eficaz à cibersegurança, o que força as equipes a gastar muito tempo em questões de conformidade. Uma situação ainda pior em mercados com regras específicas a este nível.

UMA segurança por design já deveria ser um princípio adotado pelas empresas, sublinha-se, mas a realidade mostra que isso não acontece e que Os CISOs continuam a ter pouca influência e interferência nas decisões de planejamento que condicionará os níveis de risco das empresas.

Um novo papel para os CISOs

O estudo reforça a evolução no papel do diretor de segurança da informação (CISO), desde tarefas técnicas, até um conjunto mais holístico de responsabilidades que se concentram no desenho de estratégias que permitem às empresas continuar o seu caminho de digitalização, gerindo os riscos de forma a manter um caminho para a inovação aberto sem comprometer a segurança.

“O impacto do risco de TI (TI, TO, IoT) em uma organização aumentou substancialmente, por isso precisa estar na agenda habitual dos órgãos decisórios”, enfatiza Sérgio Sá. Com isso, o próprio modelo de governança de segurança cibernética está mudando. “ISSO É [um tema] de toda a organização, desde a gestão, unidades de negócios até funcionários e terceiros” e é cada vez mais essencial que a interação entre os diferentes pilares que sustentam uma organização, numa perspetiva de cibersegurança, melhore.

Nesse universo estão pessoas, processos e tecnologias, em especial, nas seguintes áreas: simulação de crise, engenharia social, avaliação de segurança/mitigação, gerenciamento de identidade, monitoramento e resposta a incidentesestá sublinhado.

Ter o talento certo para responder aos novos desafios de segurança cibernética é outra peça-chave na eficiência das estratégias de defesa das empresas. Nesse sentido, “as organizações devem rever seu perfil de talentos, sem esperar o impossível. A amplitude de habilidades necessárias na função atual está se expandindo em várias direções ao mesmo tempo.” A melhor abordagem será construir uma equipe que equilibre uma combinação de habilidades amplasreconhecendo que cada um terá seus pontos fortes e fracos.

Com um pé no presente e de olho no futuro, a análise da EY destaca que “a O tempo é um luxo que as organizações não podem mais pagar”, lembrando que antes, as empresas começaram a buscar apoio para avaliar infraestrutura e coordenadas de ação para mitigar riscos. Então eles decidiram como responder e de que apoio eles precisavam.

“Hoje, avaliação e mitigação devem ocorrer simultaneamente. Simplesmente não há tempo a perder quando se trata de lidar com vulnerabilidades”, alerta.

ameaças de Ransomware, engenharia social, negação de serviço (DoS) e ameaças internas estão no topo das preocupações, pelas mais diversas razões, mas também porque “em Portugal, como no resto da Europa, houve um aumento dos ataques (em volume e intensidade) devido à situação geopolítica”, admite Sérgio Sá.

O lado positivo desta maior aposta em Portugal é a maior sensibilidade aos temas de Cibersegurança, Privacidade e Continuidade de Negócios nas organizações, atingindo cada vez mais a alta administração.

“As organizações têm reforçado as medidas operacionais, e há maior envolvimento das administrações (e maior responsabilidade) na definição da estratégia e rápida tomada de decisão”, admite a EY Portugal.

Be the first to comment

Leave a Reply

Your email address will not be published.


*