0
0
Quais são as consequências de operar o seu negócio com dados de risco e conformidade em silos? Acontece que pode ser mais impactante do que você pensa.
Uma pesquisa recente de 2023 com mais de 1.000 profissionais de risco, conformidade e segurança de TI encontrou uma correlação entre silos de dados e violações: ou seja, que as empresas que operam com seus dados de gerenciamento de riscos e operações de conformidade em silos experimentaram uma maior frequência de violações.
Vamos nos aprofundar nos dados.
A confiança no gerenciamento de riscos permanece alta, mas os silos de dados persistem
Primeiro, vamos começar com o risco. Os entrevistados levam o gerenciamento de riscos a sério, com 93% dos entrevistados sentindo que se saíram bem na identificação e avaliação de riscos. Além disso, 56% dos profissionais de infosec estão realizando avaliações anuais de risco de segurança e 27% estão conduzindo avaliações semestrais, o que significa que o gerenciamento de riscos é a principal prioridade para os entrevistados. Em suma, a confiança para lidar com o risco é alta.
_(1).png?width=690&quality=80&format=webply&disable=upscale)
No entanto, embora os entrevistados compreendam a importância do gerenciamento de riscos, de acordo com os dados, seus processos de gerenciamento de riscos de TI ficam aquém de suas intenções. Apesar dessa confiança esmagadora que os entrevistados têm sobre a identificação e avaliação de riscos, 51% disseram que lutam para identificar onde estão os riscos críticos para avaliar quais remediações priorizar. Trinta por cento dos entrevistados disseram que seu processo para identificar controles que podem mitigar riscos não atende aos objetivos de sua empresa, e 39% de todos os entrevistados disseram que lutam para encontrar informações relacionadas ao risco quando precisam.
.png?width=690&quality=80&format=webply&disable=upscale)
Por que os entrevistados estão tão confiantes em sua capacidade de lidar com riscos, mas ainda lutam para identificar tarefas críticas relacionadas ao risco? A resposta é simples: 90% das organizações pesquisadas estão gerenciando atividades de gerenciamento de riscos e operações de conformidade em silos, o que as está abrindo para vulnerabilidades. Trinta e oito por cento dos entrevistados admitiram que alternam entre vários sistemas ao longo do processo de gerenciamento de riscos e que têm locais separados para avaliações de risco versus esforços de correção de rastreamento, como várias planilhas contendo resultados de avaliação de risco ou várias plataformas rastreando riscos.
A conexão entre silos de dados e vulnerabilidades de segurança
A pesquisa descobriu que apenas 10% dos entrevistados têm uma visão integrada sobre como gerenciar seu conjunto exclusivo de riscos e alinharam suas atividades de risco e conformidade, e as organizações que gerenciaram o risco de maneira ad hoc ou apenas quando um evento negativo aconteceu eram mais propensas a sofrer uma violação.
.png?width=690&quality=80&format=webply&disable=upscale)
Vamos detalhar um pouco mais essas métricas:
O gerenciamento de riscos ad hoc ou em departamentos em silos teve impactos negativos sobre os pesquisados: uma em cada duas empresas que gerenciam o risco ad hoc ou em departamentos em silos experimentou uma violação em 2022. Analisando ainda mais esse número, vimos que 61% das empresas que caracterizaram sua abordagem de gerenciamento de riscos como “ad hoc” sofreram uma violação e 46% daquelas que gerenciam riscos em departamentos isolados experimentaram uma violação.
Em contraste, apenas 36% das empresas com uma abordagem integrada e ferramentas manuais experimentaram uma violação. Além disso, apenas 30% das empresas com uma abordagem integrada e ferramentas automatizadas sofreram violações.
O takeaway? As empresas que unificaram suas operações de risco e compliance não sofreram a mesma frequência de violações, indicando que operar em silos abre as empresas para vulnerabilidades.
O poder de unificar os dados de risco e conformidade
Embora o risco e a conformidade continuem a operar em silos, os entrevistados reconhecem os benefícios de mudar essa realidade. Cinquenta e sete por cento dos entrevistados disseram que ter um programa de conformidade sólido os ajuda a mitigar os riscos, embora o gerenciamento de riscos e as atividades de conformidade sejam normalmente conduzidos em resposta a eventos separados.
Adotar uma abordagem integrada às operações de risco e conformidade permite que as organizações se concentrem em seu conjunto exclusivo de riscos, evitando atividades duplicadas em seus processos de gerenciamento de riscos e conformidade. As organizações que adotam essa abordagem normalmente iniciam o processo de gerenciamento de riscos com a realização de uma avaliação de risco. A partir daí, eles criam políticas de segurança e implementam controles internos adaptados aos resultados de sua avaliação de risco. Isso permite um maior alinhamento em toda a organização, permitindo a entrada de todas as partes interessadas, não apenas de algumas selecionadas. Além disso, ajuda a criar um programa de conformidade que se integra diretamente às operações de risco.
Os resultados da pesquisa forneceram evidências de que as organizações que adotam uma abordagem integrada têm uma postura de segurança melhor do que suas contrapartes que veem a conformidade apenas como a função que impõe regras e regulamentos: em média, as organizações que adotam uma abordagem integrada ao gerenciamento de riscos sofreram violações de segurança com menos frequência do que aquelas que veem sua função de conformidade como o aplicador de regras. Além disso, como um grupo, as organizações que adotam uma abordagem integrada gastam menos tempo em tarefas repetitivas e administrativas em comparação com aquelas que acreditam que o objetivo da função de conformidade é aplicar as regras.
Para saber mais, leia o relatório completo da pesquisa aqui.
FONTE: DARK READING