0
0
Um foco em leis de privacidade, ataques de ransomware, sistemas cibernéticos físicos e escrutínio em nível de conselho estão impulsionando as prioridades dos líderes de segurança e risco.
“Como garantir que nossos consumidores não sejam fisicamente prejudicados por agentes desonestos?” Esse é o tipo de questão que os líderes de segurança e risco precisam prever e planejar no futuro.
A proliferação de sistemas cibernéticos – que inclui sistemas que combinam os mundos cibernético e físico para tecnologias como carros autônomos ou gêmeos digitais – representa mais um risco de segurança para as organizações, e como os atores de ameaças atingirão esses sistemas é uma de nossas principais previsões para os próximos anos.
“Estamos caindo nesse velho hábito de tentar tratar tudo da mesma forma que fizemos no passado”, disse Sam Olyaei, analista diretor do Gartner, durante sua apresentação no Gartner IT Symposium/XPO™ 2021. “Isso simplesmente não pode continuar. Precisamos ter certeza de que estamos evoluindo nosso pensamento, nossa filosofia, nosso programa e nossa arquitetura.”
A gestão de segurança e riscos tornou-se um problema de nível de conselho para as organizações. O número e a sofisticação das violações de segurança estão aumentando, estimulando o aumento da legislação para proteger os consumidores e colocando a segurança na vanguarda das decisões comerciais.
Os analistas do Gartner prevêem mais descentralização, regulação e implicações de segurança nos próximos anos. Construa essas premissas de planejamento estratégico em seu roteiro para o próximo ano.
1. Até o final de 2023, as leis modernas de privacidade cobrirão as informações pessoais de 75% da população mundial.
O GDPR foi a primeira grande legislação para a privacidade do consumidor, mas foi rapidamente seguida por outros, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD) e a Lei de Privacidade do Consumidor da Califórnia (CCPA). O escopo dessas leis sugere que você estará gerenciando várias legislações de proteção de dados em várias jurisdições, e os clientes vão querer saber que tipo de dados você está coletando e como ele está sendo usado. Isso também significa que você precisará se concentrar em automatizar seu sistema de gerenciamento de privacidade. Padronize as operações de segurança usando o GDPR como base e, em seguida, ajuste para jurisdições individuais.
2. Até 2024, as organizações que adotam uma arquitetura de malha de segurança cibernética reduzirão o impacto financeiro dos incidentes de segurança em uma média de 90%.
As organizações agora apoiam uma variedade de tecnologias em diferentes lugares, por isso precisam de uma solução de segurança flexível. A malha de segurança cibernética se estende para cobrir identidades fora do perímetro de segurança tradicional e criar uma visão holística da organização. Também ajuda a melhorar a segurança para o trabalho remoto. Essas demandas impulsionarão a adoção nos próximos dois anos.
3. Até 2024, 30% das empresas adotarão recursos de Secure Web Gateway (SWG), Cloud Access Security Brokers (CASB), Zero Trust Network Access (ZTNA) e Firewall As A Service (FWaaS) do mesmo fornecedor.
As organizações estão se inclinando para a otimização e consolidação. Os líderes de segurança geralmente gerenciam dezenas de ferramentas, mas planejam se consolidar para menos de 10. O SaaS se tornará um método de entrega preferido, e a consolidação afetará os prazos de adoção para hardware.
4. Até 2025, 60% das organizações usarão o risco de cibersegurança como principal determinante na realização de transações de terceiros e engajamentos comerciais.
Os investidores, especialmente os capitalistas de risco, estão usando o risco de cibersegurança como fator-chave na avaliação de oportunidades. Cada vez mais, as organizações buscam o risco de cibersegurança durante negócios, incluindo fusões e aquisições e contratos de fornecedores. O resultado são mais solicitações de dados sobre o programa de cibersegurança de um parceiro por meio de questionários ou classificações de segurança.
5. O percentual de estados-nação que aprovam legislação para regulamentar pagamentos de ransomware, multas e negociações aumentará para 30% até o final de 2025, em comparação com menos de 1% em 2021.
Embora regulamentos mais amplos possam atualmente se aplicar a pagamentos de ransomware, especialistas em segurança devem esperar uma repressão mais agressiva aos pagamentos. Dado o mercado de criptomoedas não regulamentado, há implicações éticas, legais e morais no pagamento de resgates, e é vital considerar o impacto de fazê-lo. A decisão de pagar (ou não) deve caber a uma equipe multifuncional que possa resolver todas essas preocupações.
6. Até 2025, 40% dos conselhos de administração terão um comitê dedicado de segurança cibernética supervisionado por um membro qualificado do conselho.
À medida que a segurança cibernética se torna (e permanece) no topo da mente para os conselhos, espere ver um comitê de cibersegurança em nível de conselho e supervisão e escrutínio mais rigorosos. Isso aumenta a visibilidade do risco de cibersegurança em toda a organização e requer uma nova abordagem para relatórios de conselhos, os detalhes dos quais podem depender do histórico e experiência dos membros específicos do conselho. Foco nas mensagens sobre valor, risco e custo.
7. Até 2025, 70% dos CEOs ordenarão uma cultura de resiliência organizacional para sobreviver a ameaças coincidentes de crimes cibernéticos, eventos climáticos severos, agitação civil e instabilidades políticas.
Vá além da segurança cibernética e da resiliência organizacional para dar conta de ambientes de segurança mais amplos. A transformação digital adiciona complexidade ao cenário de ameaças, o que impactará a forma como você produz produtos e serviços. Trabalhar para definir a resiliência organizacional e objetivos, e criar um inventário de riscos cibernéticos que os impactam.
8. Até 2025, os atores de ameaças terão armado ambientes de tecnologia operacional com sucesso suficiente para causar baixas humanas.
À medida que o malware se espalha de TI para OT, ele muda a conversa da interrupção dos negócios para o dano físico com a responsabilidade provavelmente terminando com o CEO. Concentre-se em sistemas cibernéticos centrados em ativos e certifique-se de que existem equipes em vigor para abordar o gerenciamento adequado.
FONTE: GARTNER