Os calendários para auditorias de segurança e conformidade são em grande parte inalterados, apesar do COVID-19, mas a pandemia está pressionando as equipes enquanto trabalham remotamente, de acordo com Shujinko.
Além disso, os CISOs são encarregados de se preparar para mais de três auditorias em média nos próximos 6-12 meses, mas lutam com ferramentas inadequadas, orçamentos limitados e pessoal e processos manuais ineficientes.
Além disso, os resultados mostram que a migração para a nuvem está aumentando drasticamente o escopo e a complexidade da preparação da auditoria, obsolendo métodos e abordagens antigas.
“Esta pesquisa mostra claramente que os CISOs de grandes empresas estão presos entre uma rocha e um lugar duro quando se trata de auditorias de segurança e conformidade ao longo do segundo semestre de 2020 e querem ferramentas automatizadas para ajudá-los a desenterrá-los. Infelizmente, eles simplesmente não são capazes de encontrá-los”, disse Scott Schwan, CEO da Shujinko.
“As equipes estão reunindo roteiros, planilhas compartilhadas, sistemas de bilhetagem e uma mistura de outros aplicativos para tentar gerenciar, resultando em ineficiência, preparação prolongada e visibilidade limitada. Mais de dois terços dos CISOs estão procurando algo melhor.”
CISOs se preparando para mais de três auditorias
Apesar das mudanças no clima econômico devido ao COVID-19, os CISOs ainda são encarregados de se preparar para mais de três auditorias de conformidade em várias estruturas de segurança (por exemplo, PCI, SOC 2, NIST-CSF, ISO 27001, etc.).
As auditorias mais comuns são para HITRUST, HIPAA e PCI DSS
51% dos CISOs pesquisados indicaram que estão se preparando para uma auditoria hitrust nos próximos seis a doze meses, 45% estão se preparando para o HIPAA, 43% para O PCI DSS, 41% para CCPA e 36% para auditoria interna. Além disso, 77% das empresas que se preparavam para auditorias SOC-2 eram empresas de software.
CISOs estão preocupados em fazer mais com menos
O COVID-19 ampliou as preocupações dos CISOs em fazer mais com menos (tanto pessoas quanto orçamento) com equipes e auditores trabalhando remotamente. Preocupações com prioridades conflitantes, drenando recursos disponíveis e garantindo que as evidências sejam completas para completar suas cinco principais preocupações do CISO.
CISOs querem desesperadamente mais automação
72% dos executivos de segurança dizem que querem melhorar a automação de seu processo de preparação de auditoria, e a automação foi citada como o elemento número um que a maioria dos CISOs mudaria se pudesse. A comunicação e a colaboração da equipe completaram as três melhorias mais desejadas.
Dois terços dos CISOs não gostam do conjunto de ferramentas atuais
A pesquisa constatou que os CISOs estão atualmente usando uma mistura de scripts caseiros, planilhas, sistemas de bilhetagem, documentos compartilhados, Sharepoint e e-mail para se preparar para auditorias. Nenhum CISOs relatou ter uma ferramenta de preparação de auditoria de segurança com a sua relação.
CISOs têm baixa visibilidade no processo de auditoria
Nenhum CISOs classificou a visibilidade nas principais etapas de preparação da auditoria como um sucesso completo e apenas um classificou-o como um 4 de 5 – sugerindo uma linha de visão executiva ruim para atingir prazos de auditoria.
Os processos de auditoria não se encaixam em um modelo de desenvolvimento de nuvem
Apenas 1% dos CISOs disseram que seu processo de preparação de auditoria está completamente alinhado com a velocidade e agilidade necessárias para o rápido desenvolvimento de aplicativos em nuvem e iteração frequente.
FONTE: HELPNET SECURITY