0
0
Enquanto aqueles que trabalham na InfoSec e GRC têm altos níveis de confiança em seus sistemas de gerenciamento de riscos cibernéticos / de TI, problemas persistentes podem estar tornando-os menos eficazes do que o percebido, de acordo com a RiskOptics.
Os principais desafios ao implementar um programa eficaz de gerenciamento de riscos cibernéticos / de TI incluem um aumento na quantidade (49%) e gravidade (49%) de ameaças cibernéticas, falta de financiamento (37%) e falta de pessoal / talento de risco cibernético (36%).
Terminologia comum de risco cibernético
O relatório também descobriu que mal-entendidos gerais na terminologia comum de risco cibernético podem ser um impedimento no desenvolvimento de estratégias eficazes e na comunicação de riscos à liderança da empresa.
Os ataques cibernéticos vêm aumentando há vários anos e as violações de dados resultantes custaram às empresas uma média de US $ 4,35 milhões em 2022, de acordo com um relatório da IBM. Dadas as consequências financeiras e de reputação dos ataques cibernéticos, as salas de reuniões corporativas estão pressionando os CISOs a identificar e mitigar o risco cibernético / de TI.
No entanto, apesar da nova ênfase no gerenciamento de riscos, os líderes de negócios ainda não têm uma compreensão firme de como o risco cibernético pode afetar diferentes iniciativas de negócios – ou que ele poderia ser usado como um ativo estratégico e um diferencial de negócios principais.
Para entender melhor os atuais desafios de segurança cibernética e risco de TI que as empresas estão enfrentando, bem como as medidas que os executivos estão tomando para combater o risco, a RiskOptics realizou uma pesquisa com 261 líderes da InfoSec e GRC dos EUA. Os entrevistados variaram em nível de trabalho, do gerente ao C-Suite, e trabalharam em vários setores.
Desafios dos programas de gestão de riscos cibernéticos
Diretores (59%) e gerentes (51%) dizem que o aumento na quantidade de ataques cibernéticos foi seu maior desafio. Alternativamente, os SVPs dizem que seu maior desafio é a falta de compreensão dos riscos cibernéticos / de TI da liderança (52%), enquanto os entrevistados do C-Suite indicam que os principais desafios são a falta de financiamento (42%) e a rotatividade da liderança (40%).
Mais da metade dos entrevistados acha que completar uma avaliação de risco cibernético / de TI é tão difícil ou mais difícil do que se inscrever para o seguro de saúde (54%) ou obter sua licença renovada no RMV / DMV (55%) – ambos os quais são notórios por serem tediosos e demorados.
A lacuna de comunicação na segurança cibernética
Apesar de todos os entrevistados trabalharem na InfoSec ou GRC, muitos deles definem riscos, ameaças e vulnerabilidades de forma diferente, indicando grandes discrepâncias de comunicação entre o que procurar e como desenvolver estratégias eficazes para proteger os sistemas. Se os especialistas não entendem essas questões, quão eficazes eles são na comunicação com a liderança da empresa?
23% dos entrevistados não avaliam fornecedores terceirizados quanto ao risco. A falha em avaliar o risco de terceiros expõe uma organização a ataques à cadeia de suprimentos, violações de dados e danos à reputação. O que é mais preocupante é que isso está acontecendo mais em indústrias altamente regulamentadas que têm grandes ecossistemas de fornecedores e parceiros; 30% dos entrevistados que trabalham na fabricação e 25% daqueles que trabalham na área da saúde dizem que suas empresas não avaliam o risco de fornecedores terceirizados.
As organizações devem reavaliar seus processos e sistemas atuais
30% dos entrevistados de CIO e CISO dizem que não comunicam o risco em torno de iniciativas de negócios específicas a outros líderes da empresa, indicando que podem não saber como compartilhar essas informações de maneira construtiva.
As indústrias de saúde e de manufatura precisam intensificar seu jogo. De todos os setores, os entrevistados de manufatura foram a maior porcentagem a dizer que não comunicam o risco em torno de iniciativas de negócios específicas (36%). Enquanto isso, 20% dos entrevistados de saúde classificam seu software de gerenciamento de riscos como sendo um pouco eficaz ou menos eficaz na mitigação de riscos (o que é mais do que qualquer outro setor).
Os entrevistados da área de saúde também foram mais propensos a expressar níveis mais baixos de confiança de que os líderes de sua organização vinculam o risco cibernético / de TI ao planejamento estratégico, com quase um terço (29%) dizendo que se sentiam um pouco ou menos confiantes.
“Quando se trata de tomada de decisões estratégicas em torno de iniciativas de negócios, o risco cibernético e de TI pode ser uma ferramenta inestimável que não apenas protege melhor uma organização, mas impulsiona o crescimento. No entanto, para poder usar o risco cibernético a seu favor, os conselhos da empresa precisam primeiro entendê-lo”, disse Michael Maggio, CEO da RiskOptics.
“Nosso relatório indica que ainda há grandes obstáculos que as equipes precisam superar ao comunicar riscos e gerenciar cargas de trabalho com mais eficiência. As organizações devem reavaliar seus processos e sistemas atuais, adotar a automação e colocar riscos no contexto do negócio. Só assim os executivos poderão ver a oportunidade que o risco pode oferecer quando gerenciado de forma proativa: uma vantagem estratégica”, concluiu Maggio.
FONTE: HELPNET SECURITY