0
0
À medida que os governos estaduais e locais operam sob crescentes ameaças de ataques de ransomware, ameaças geopolíticas e tentativas de violação de informações de identificação pessoal dos cidadãos, a conscientização sobre segurança cibernética está aumentando no setor público não federal.
De acordo com o Estudo de Segurança Cibernética Deloitte-NASCIO de 2022 , a segurança cibernética em nível estadual está ficando mais madura à medida que legisladores e burocratas começaram a responder seriamente aos riscos em mãos. Hoje, nenhum estado carece de um CISO, os orçamentos estaduais estão aumentando e muitos controles básicos de segurança cibernética estão em vigor.
No entanto, os estados ainda lutam com a lacuna de talentos em segurança cibernética e são perseguidos pela infraestrutura legada que não acompanha as novas tecnologias e ameaças. Além disso, os municípios ainda são muito irregulares em sua estratégia e execução de segurança cibernética, pois há muito pouca orientação coesa no nível estadual sobre os esforços municipais para reforçar a proteção e a resposta.
A seguir estão algumas estatísticas e tendências importantes deste relatório, que é baseado em uma pesquisa de CISOs de 53 estados e territórios dos EUA.
Os legisladores estão percebendo
Os legisladores estaduais estão se sentando e percebendo a ameaça aos recursos do governo representada pelos riscos cibernéticos. Eles estão transformando essa conscientização em ação, codificando e financiando as funções do CISO e exigindo programas de segurança cibernética em nível estadual.
O estudo descobriu que o número de estados que exigem um CISO ou equivalente por estatuto ou lei estadual está aumentando, com 44% dos estados exigindo e financiando um cargo de CISO e 10% mais trabalhando nesse processo.
No entanto, os requisitos programáticos ainda não atingiram um ponto de inflexão na maioria das áreas. Na maioria dos estados, a maioria dos estados não possui programas de compartilhamento de informações sobre ameaças cibernéticas, desenvolvimento e treinamento da força de trabalho cibernética ou um conselho legislativo de segurança cibernética para fazer revisões periódicas da postura de segurança cibernética do estado.
Orçamentos em alta
Os entrevistados de 30 estados relataram que aumentaram seus orçamentos de segurança cibernética no ano passado, com apenas 2% dos estados reduzindo seu orçamento. O estudo mostra que apenas alguns estados estão alocando mais de 10% de seu orçamento de TI para segurança cibernética.
Curiosamente, muitos dos entrevistados não tinham certeza de qual porcentagem de segurança cibernética de seu orçamento de TI compreendia. Isso poderia ser um produto da crescente dissociação da segurança cibernética do item de linha do orçamento de TI.
Os resultados mostraram que a maioria dos estados atualmente tem um item de linha orçamentário dedicado à segurança cibernética, alguns estabelecidos por estatuto, outros por ordens do governador e outros ainda por meio de CIOs ou outros administradores estaduais.
Principais desafios mudando ligeiramente
Os principais desafios enfrentados pelos CISOs estaduais estão mudando à medida que as situações orçamentárias melhoram.
Quando a pesquisa foi realizada pela última vez em 2020, as preocupações orçamentárias incluíam dois dos cinco principais desafios. Agora, a lista adicionou a sofisticação das ameaças e os desafios em torno da infraestrutura descentralizada de TI e segurança como novos pontos problemáticos. As preocupações com a equipe permanecem na lista, assim como o desafio da infraestrutura e das soluções herdadas para dar suporte às ameaças emergentes, que agora passou para o primeiro lugar.
Fortalecimento da Governança Cibernética
O estudo mostrou que todos os estados agora têm um CISO, embora nem todos os territórios dos EUA tenham, e que alguns estados estão agora aprofundando seu banco de liderança de risco cibernético com CPOs, CROs e diretores de programas de identidade .
Esses líderes também estão sendo chamados a prestar contas com relatórios mais regulares a seus governadores, legisladores estaduais e secretários de agências.
Governos locais atrasados
Enquanto as agências estaduais estão reforçando cada vez mais suas capacidades em conscientização de segurança, resposta a incidentes , avaliação de risco e avaliações de vulnerabilidade, monitoramento de ameaças e SOC e gerenciamento de identidade e acesso, os governos locais estão atrasados. Por exemplo, enquanto 67% das agências estaduais estão nos estágios mais maduros do treinamento de conscientização de segurança , apenas 8% dos governos locais podem dizer o mesmo.
FONTE: DARK READING