Vídeo: Fake Hacker Aon España | Simulacro ciberataque 2019 (Outubro 2024)
Quando se trata de segurança, os CEOs não têm idéia do que está acontecendo dentro de suas organizações. Foi encontrado um relatório do Instituto Ponemon divulgado nesta semana, que examinava como as organizações se preparavam e respondiam a incidentes de segurança. 80% dos entrevistados disseram que "não se comunicavam frequentemente" com a gerência executiva sobre possíveis ataques cibernéticos que ameaçavam a organização. Isso se estende para além do CEO e abrange todo o C-suite (CIO, CSO, COO, CTO etc.).
Foi surpreendente que "as informações simplesmente não estão chegando ao nível C", disse Mike Potts, presidente e CEO da Lancope, à Security Watch. "Conversamos sobre isso o tempo todo", acrescentou.
As empresas estão gastando milhões de dólares em produtos e serviços de segurança e continuam sendo violadas, de acordo com Lancope, que encomendou o estudo. De fato, o Gartner disse que US $ 67 bilhões foram gastos em produtos de segurança de TI globalmente em 2013. No entanto, US $ 250 bilhões em propriedade intelectual são roubados de empresas a cada ano. Onde está a desconexão?
Sem atualizações regulares
Muitos executivos podem olhar para todos os gastos com segurança e pensar: "Consegui tudo isso, já acabei", disse Potts. Se eles não estiverem recebendo atualizações e informações regulares sobre a postura geral de segurança da organização, não há motivos para revisar essa visão. Mas não é assim que deve ser. "O cenário atual não está definido e esquecido", afirmou Potts.
Embora a pesquisa não tenha perguntado por que o pessoal de TI não estava levantando os problemas com o C-suite, Potts sugeriu que o problema pode estar relacionado a como a segurança é medida dentro da organização. Metade dos entrevistados disse que não tinha métricas para medir a eficácia de seus recursos de resposta a incidentes. Isso significa que eles são incapazes de traduzir as ameaças e os problemas em um idioma com o qual os executivos seniores - preocupados com o negócio em geral - possam entender ou trabalhar.
Também é muito provável que, mesmo que as discussões sobre segurança acontecessem, os executivos estivessem recebendo uma versão muito "atenuada" dos problemas, disse Potts.
"Agora é a hora de executivos de nível C e tomadores de decisão de TI se unirem e desenvolverem planos mais fortes e abrangentes para a resposta a incidentes. Essa comunicação é crítica se queremos reduzir a frequência impressionante de violações de dados de alto perfil e prejudicar as empresas. perdas que estamos vendo na mídia quase diariamente ", disse Potts.
Dinheiro importa
Parte do problema é uma questão de investimento. Metade dos participantes da pesquisa disse que menos de 10% de seu orçamento geral de segurança está destinado à resposta a incidentes e, apesar do ritmo crescente de ataques e ameaças, a maioria afirmou não ter aumentado essa alocação nos últimos dois anos.
Faz sentido. Se os executivos de nível C não perceberem quais são os riscos e ameaças, não priorizarão o orçamento. Se os executivos souberem que a perda ou dano potencial será bastante grande, poderão agir de acordo para fechar essa lacuna. Os executivos precisam "ter as informações certas para fazer os investimentos certos", disse Potts.
Precisa mudar
Cerca de 68% dos entrevistados disseram que suas organizações sofreram uma violação de dados ou algum outro incidente de segurança nos últimos dois anos. Desse grupo, quase metade, ou 46%, dos entrevistados disse que outro incidente era "iminente" e poderia acontecer nos próximos seis meses. Isso é sério e, claramente, o C-suite deve se preocupar e trabalhar com a TI para garantir que as medidas necessárias sejam tomadas, certo?
Não de acordo com a pesquisa, porque a maioria dos 674 profissionais de TI e segurança da pesquisa alegou que não estava escalando esses problemas ou informando os executivos seniores sobre o que estava se aproximando. Faz você se perguntar o quanto o CEO da Target sabia antes de ser lançado nos holofotes nacionais e pedir para discutir a violação, não é?
Potts esperava que a violação de dados na Target e em outros varejistas funcionasse como um alerta para os outros. Talvez a Target mude a forma como as organizações se comunicam e "facilite a comunicação ao C-suite sobre problemas de segurança", disse Potts.
Clique para ver a imagem completa
