Cibersegurança não é mais uma ‘ameaça fantasma’, é um problema de negócios dominante. Itens como cibersegurança, privacidade de dados e regulamentações nacionais e internacionais passaram a fazer parte de um cotidiano da maioria das empresas.
Segundo a Forester, CISOs de hoje e outros líderes de segurança devem traduzir ameaças de segurança cibernética em linguagem do risco empresarial. Vivemos na era do negócio digital, que opera em um matriz complexa, dinâmica e altamente fragmentada de locais, nuvem e infraestrutura híbrida, aplicativos, dados, celular, internet das coisas (IoT) e sistemas convergentes de TI / OT. Cada negócio digital deve proteger essa proliferação de tecnologias interconectadas que tornam a superfície de ataque moderna. No entanto, para toda a segurança cibernética, avanços da indústria e investimentos, há uma grande desconexão em como as empresas entendem e gerenciam o risco cibernético.
A transformação digital teceu os fios da propriedade intelectual e tecnologia juntos. O CISO moderno não consegue mais se concentrar em apenas um segmento; ele / ela deve defender a segurança de ambos os lados de tecnologia e negócios – evoluindo de um especialista em tecnologia para um líder de segurança alinhado aos negócios.
Os líderes empresariais querem uma imagem clara de seus postura de cibersegurança das organizações, mas suas contrapartes de segurança resistem em fornecer um. Apenas quatro de 10 dos líderes de segurança dizem que podem responder à pergunta, “Quão seguros, ou em risco, estamos?” com um alto nível de confiança.
Há uma desconexão em como as empresas entendem e gerenciam o risco cibernético. Menos de 50% dos líderes de segurança conseguem enquadrar o impacto das ameaças à segurança cibernética dentro do contexto de um risco comercial específico. Apenas metade (51%) afirma que sua segurança as organizações trabalham com as partes interessadas das áreas de negócio para alinhar os custos, desempenho e objetivos de redução de risco alinhadas as necessidades de negócios. Quatro em cada 10 (43%) relatam que revisam regularmente as métricas de desempenho da organização de segurança com as áreas de negócios.
A segurança cibernética precisa evoluir como estratégia de negócios. Isto não pode acontecer até que os líderes de segurança tenham melhor visibilidade de suas superfícies de ataque. Pouco mais da metade dos líderes de segurança relatam que suas organizações de segurança tenham um entendimento holístico e avaliação de todas as superfícies de ataque de suas empresas, e menos de 50% afirmam que suas organizações de segurança estão usando métricas de ameaças contextuais para medir o risco cibernético de suas empresas. Isso significa que sua capacidade de analisar riscos cibernéticos, priorizar e executar remediação com base na criticidade de ativos e ameaça do contexto é limitada.
Segundo Craig Jones, diretor de crimes cibernéticos da lnterpol. A segurança cibernética é a maior prioridade para as empresas – perdendo apenas para o impacto do coronavírus – e a maneira mais fácil de se infiltrar em qualquer organização é por meio de alguém que trabalha lá. Jones avisa que se as empresas se concentrarem apenas na tecnologia, elas estão perdendo a parte crítica que é o comportamento humano.
‘‘Precisamos sobrecarregar o firewall humano“, disse Jones como parte de um relatório de pesquisa da BT Security.
Segundo a pesquisa, cerca de 67% dos consumidores consideram a segurança mais importante do que a conveniência ao escolher de quem comprar, enquanto apenas 16% confiam em grandes organizações para proteger seus dados pessoais, de acordo com a nova pesquisa da BT Security em parceria com Davies Hickman Partners. Mais de 7.000 pessoas foram entrevistadas globalmente.
- Cerca de 45% dos funcionários pesquisados disseram que sofreram um incidente de segurança cibernética no trabalho.
- A segurança é uma prioridade para as empresas, especialmente com o ambiente de negócios em rápida mudança e simultaneamente ao aumento das ameaças cibernéticas.
- Como resultado, a função do diretor de informações de segurança expandiu enormemente em seu escopo e responsabilidades.
Cerca de 45% dos funcionários disseram ter sofrido um incidente de segurança no trabalho, mas não o relataram, enquanto 15% dos funcionários disseram ter fornecido seu login e senha de trabalho para outras pessoas na organização. Apenas um em cada três estava totalmente ciente das políticas e procedimentos que deveriam adotar para proteger a segurança dos dados de sua organização. Menos da metade dos entrevistados disse que definitivamente recebeu treinamento em segurança de dados.
A segurança também é a principal prioridade para as empresas, perdendo apenas para as preocupações com o impacto do coronavírus, especialmente com o ambiente de negócios em rápida mudança e concomitante ao aumento das ameaças cibernéticas.
Como resultado direto, a função de diretor de segurança da informações (CISO/CSO) se expandiu enormemente em seu escopo e responsabilidades e sua função nunca foi tão integral para as operações de negócios.
“Segurança não é mais uma ameaça fantasma!”
Cibersegurança, privacidade de dados e regulamentações cibernéticas nacionais e internacionais passaram a fazer parte de um cotidiano da maioria das empresas, cotidiano que antes era restrito somente a CSOs bancos (setor mais regulamentado e exigente com a segurança no Brasil). O universo tratado como segurança se expandiu rapidamente nos últimos anos. Anteriormente tratava-se segurança como regras de firewall e controle de acesso em sistemas e nos diretórios da rede, hoje este universo engloba cloud, leis, segurança física, ambiente e aplicativos de internet, apps de redes sociais e muito mais. Profissionais de TI já não são mais “especialistas de segurança” na maioria das empresas, efetivamente o especialista de segurança ganhou seu espaço, incluindo as discussões de negócios e regulamentações.
Kevin Brown, diretor administrativo da BT Security, explica que os diretores de informações de segurança não precisam mais apenas se proteger contra ameaças e gerenciar riscos, mas desempenham um papel fundamental na percepção da marca, no envolvimento dos funcionários e na adoção estratégica de novas tecnologias pela empresa.
Não é mais uma ‘ameaça fantasma’!
“A segurança cibernética subiu ao topo da agenda de negócios – apenas o coronavírus continua sendo uma preocupação maior. Não é mais uma ameaça fantasma, mas um problema de negócios dominante. À medida que a pandemia acelera a transformação digital em todos os lugares, é o CISO que deverá avançar e fornecer uma liderança essencial”, diz Brown no relatório da pesquisa.
“A notícia não muito boa é que, apesar do investimento e do alto nível de confiança nas medidas de segurança cibernética corporativa, as violações e perdas continuam ocorrendo com frequência alarmante. Se quisermos fazer a transição para um estilo de vida mais digital, então toda empresa deve estar no topo de seu jogo de segurança cibernética, dia após dia.“
Jones explica no relatório da pesquisa que a escala, o ritmo e a variedade das ameaças cibernéticas continuam a crescer a um ritmo alarmante. Para ele, os resultados da pesquisa demonstram que os CISOs agora têm um papel semelhante a um “primeiro a responder” na aplicação da lei para proteger organizações e indivíduos contra danos.
‘‘Suas ações e os planos e estratégias que eles colocaram em prática antes dos ataques cibernéticos, muitas vezes são os principais decisores sobre o sucesso dos ataques criminosos“, acrescenta Jones. “Isso reafirma a importância de uma abordagem colaborativa em todo o ecossistema de segurança cibernética, incluindo a aplicação da lei e o setor privado, como a forma mais eficaz de combater o crime cibernético“. Ele explica que a natureza humana é, portanto, parte do problema – e parte da solução.
Segundo o 2020 Phishing Attack Ladscape Report da Cybersecurity Insiders, a tentativa fraudulenta de obter informações confidenciais, como nomes de usuário, senhas, ou dados de cartão de crédito por meio de spoofing de e-mail estão em alta. A recente pandemia de COVID acelerou ainda mais essa tendência.
A Pesquisa de Ataque de Phishing de 2020 revelou as últimas tendências, desafios e práticas recomendadas para segurança de e-mail. As principais descobertas dizem que:
- Mais de um terço dos entrevistados (36%) não estavam confiantes de que os funcionários de suas organizações seria capaz de detectar e evitar um ataque de phishing de e-mail em tempo real. Além disso, 38% de entrevistados disseram que no ano passado, alguém dentro de sua organização foi vítima a um ataque de phishing.
- 53% dos entrevistados disseram que sua organização viu um aumento nos ataques de phishing de e-mail durante COVID-19. Quase um terço (30%) afirma que os ataques de phishing de e-mail se tornaram mais bem-sucedido durante o COVID-19.
- Em média, as organizações da pesquisa estão reportando 1.185 ataques de phishing todos os meses, uma média de 40 por dia. No entanto, apenas 6% dos ataques de phishing resultam em uma violação.
Quase metade dos entrevistados (49%) achou que o CEO ou o chefe da empresa teria mais probabilidade de ser alvo de um ataque de phishing de e-mail. No entanto, 56% dos entrevistados pensaram que o gerente de nível médio seriam os mais visados e 51% destacaram que os funcionários iniciantes seriam os mais visados. Isso indicou que, novamente, não importa o cargo ou idade da vítima, todos são vulneráveis e alvo de ataques de phishing.
Trinta e oito por cento dos entrevistados disseram que, no ano passado, alguém em sua organização vítima de um ataque de phishing. Trinta e nove por cento dos entrevistados disseram que isso refletiu mal no funcionário que foi vítima, enquanto 29% disseram que isso reflete mal na equipe de segurança de TI.
A pesquisa também relatou que cinquenta e seis por cento dos entrevistados disseram que sua organização aloca orçamento e recursos suficientes rumo à cibersegurança; e 51% dizem que seu orçamento permaneceu o mesmo durante o COVID-19 pandemia.
Hoje, muito mais que antes, é dependente das ações e dos treinamentos dados às pessoas. Se antes os preocupávamos, agora com as recentes regulamentações de privacidade e tendência dos hacker se aproveitarem disto para atacarem e obterem lucro frente às empresas, a preocupação com o comportamento cibernético dos usuários cresceu ainda mais, requerendo não somente ferramentas especializadas nesta monitoria, mas também investimento em treinamento e conscientização constante do profissionais da empresa.
Ref: News24 & "2020 Phishing Attack Ladscape Report" da Cybersecurity Insiders & "The Rise Of The Business-Aligned Security Executive" da Forester.