40% dos tomadores de decisão seniores de segurança cibernética priorizam efetivamente os riscos para a conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) 4.0, de acordo com a Titania.
O estudo destaca que as organizações de petróleo e gás, telecomunicações e serviços bancários e financeiros são os principais alvos dos agentes de ameaças que exploram configurações vulneráveis de dispositivos de rede para dimensionar seus ataques. Também revela que apenas 37% poderiam categorizar e priorizar de forma “muito eficaz” os riscos de conformidade que prejudicam a segurança de suas redes.
Erros de configuração de rede não são detectados na maioria das organizações
96% das organizações relataram não analisar switches e roteadores ao verificar se há erros de configuração e que as verificações geralmente são realizadas anualmente. No entanto, a maioria concordou que a avaliação de risco contínua (diária) de cada firewall, roteador e switch é a estratégia mais robusta para proteger as redes e manter a conformidade.
80% também concordaram que sua organização depende da conformidade para oferecer segurança. Especificamente, todos os entrevistados do setor bancário e de serviços financeiros estão confiantes de que estão atendendo aos requisitos de segurança corporativa e conformidade externa, em comparação com a maioria dos entrevistados de petróleo e gás (98%) e telecomunicações (96%).
Esses dados demonstram uma desconexão entre a percepção de segurança e conformidade da rede e a realidade.
“Redes complexas, grandes bases de clientes e longas cadeias de suprimentos tornam esses setores altamente suscetíveis a ataques. O estudo revela que, dadas as abordagens organizacionais atuais para a segurança da rede, as empresas não podem estar continuamente em conformidade e, como resultado, carregam consigo níveis não quantificados de risco para a confidencialidade, integridade e disponibilidade de sistemas e dados”, disse Phil Lewis, CEO da Titania.
“Um invasor determinado tentará uma combinação de abordagens para acessar uma rede até que eles entrem, e vulnerabilidades conhecidas ou configurações incorretas são uma maneira fácil de entrar. As empresas devem adotar uma mentalidade de confiança zero e as melhores práticas de segurança de rede, para minimizar a superfície de ataque, inibir o movimento lateral e impedir que intrusos atinjam seus objetivos”, continuou Lewis.
Desafios para atender aos requisitos de segurança e conformidade
A pesquisa, que perguntou como as organizações atualmente detectam e mitigam vulnerabilidades na parte especificada da rede e quão confiantes elas estão de que os dispositivos mantêm uma configuração segura em todos os momentos, também revelou:
- 100% dos entrevistados relataram categorização e priorização eficazes dos riscos de conformidade com suas ferramentas de segurança de rede
- 74% dos entrevistados de petróleo e gás, 67% das empresas de telecomunicações e 67% dos entrevistados em serviços bancários e financeiros listaram a incapacidade de priorizar a remediação com base no risco como um dos principais desafios para atender aos requisitos de segurança e conformidade
- O aumento dos orçamentos tem pouco ou nenhum impacto no volume de erros críticos de configuração detectados nas redes, com apenas 3,4% dos orçamentos de TI alocados para identificar e corrigir configurações incorretas.
- 45% relataram resposta e resolução de riscos críticos de segurança de configuração de rede dentro de 1-3 dias
- Os serviços bancários e financeiros relataram as verificações mais frequentes entre os entrevistados da CNI Comercial, com 62% na categoria quinzenal a uma vez a cada seis meses.
- O setor de petróleo e gás registrou os maiores erros de configuração detectados nos últimos 12 meses.
- Telecomunicações é o único setor sem 100% de automação de relatórios de segurança de configuração
As organizações lutam para atender aos requisitos do PCI DSS
O PCI Security Standards Council lançou recentemente as mudanças mais significativas em seu padrão desde 2004, promovendo a segmentação de rede eficaz, a segurança como um processo contínuo e a validação aprimorada da conformidade para lidar com os aumentos nos riscos que as empresas comerciais precisam mitigar.
De acordo com o relatório da Verizon, o Requisito 4 do PCI DSS 0.11, que exige que as organizações “testem regularmente sistemas e processos de segurança”, tem sido o requisito individual de pior desempenho para conformidade sustentável nos últimos 10 anos consecutivos. Apenas 60% das organizações são capazes de demonstrar que atendem plenamente a esse requisito.
Isso é consistente com os resultados do estudo de pesquisa, que também indica que a “automação imprecisa” e a “incapacidade de priorizar a correção com base no risco” são os principais desafios para atender aos requisitos de segurança corporativa e conformidade externa para quase metade de todas as organizações.
FONTE: HELPNET SECURITY