Accenture Digital Business: Enfrentar o dilema da cibersegurança
Uma em cada três tentativas de ataque cibernético tem sucesso. contudo, a maioria das organizações tem “confiança” na sua capacidade de proteger a empresa.
Reagir a ataques cibernéticos é uma realidade operacional para a maioria das organizações de hoje, e está acompanhada de quantidades cada vez maiores de caos e dissonância. Um recente estudo global da Accenture a dois mil executivos do sector da segurança que representam grandes empresas revelou que praticamente uma em cada três tentativas concertadas e direccionadas tem sucesso, mas os inquiridos permanecem confiantes de que estão a fazer o que está certo em termos de cibersegurança, com 75% a indicarem confiança nas suas estratégias neste âmbito. A dissonância pode resultar parcialmente das tentativas de executar as ordens da empresa, mas revela uma cisão na cibersegurança.
A taxa de fracassos a prever falhas na segurança é assustadoramente alta, mas a questão é amplificada quando compreendemos o volume dos ataques. Além de milhares de milhões de tentativas aleatórias que as redes das empresas repelem, em média, todas as semanas, uma organização enfrentará mais de uma centena de tentativas concertadas e direccionadas todos os anos, e os inquiridos afirmam que uma em cada três resultará num ataque bem-sucedido. São dois ou três ataques eficazes por mês.
O tempo que demora a detectar estas falhas de segurança muitas vezes aumenta o problema. Consistente com outros estudos, 51% dos inquiridos no inquérito da Accenture admitem que são precisos “meses” para detectar ataques bem-sucedidos, enquanto 17% identificam-nos “ao fim de um ano” ou mais.
Adicionalmente, as equipas internas de segurança descobrem apenas 65% dos ataques eficazes, enquanto colaboradores, agentes da lei e “chapéus brancos” (ou seja, piratas informáticos “éticos”) descobrem a maioria dos restantes.
Parte do desafio da segurança é calcular adequadamente onde concentrar recursos para proteger eficazmente a organização. Mais de 50% dos inquiridos afirmaram que os ataques internos feitos por colaboradores maliciosos são os que têm mais impacto na cibersegurança. Ainda assim, dois em cada três inquiridos indicam que têm falta de confiança nas capacidades da organização para controlar internamente actividades de violação da segurança.
Além disso, apesar deste reconhecimento explícito do impacto das ameaças internas, a maioria dos inquiridos continua a concentrar-se nas questões de segurança externas. Por exemplo, 58% dão prioridade ao aumento da capacidade do controlo do perímetro contra agentes externos, em vez de tentarem abordar ameaças internas de alto impacto.
Por fim, muitos continuam inseguros em relação à sua capacidade de gerir as ameaças internas com mais impacto na cibersegurança, à medida que continuam a dar prioridade às iniciativas externas que produzem um menor retorno do investimento.
CONFIANÇA EQUIVOCADA
Um em cada três ataques focados resulta num ataque; os ataques internos têm mais impacto e as equipas de segurança admitem não possuir as ferramentas necessárias para detectar ataques (e, num terço dos casos, nunca chegam a descobri-los). Ainda assim, três em cada quatro inquiridos demonstraram confiança nas suas capacidades para protegerem as suas organizações de ataques cibernéticos. Além disso, 70% afirmam que as suas organizações integraram completamente a cibersegurança nas suas culturas e que é uma preocupação a nível da administração, apoiada pelos executivos de topo.
Um possível contributo para esta dissonância é que ainda se dá muita ênfase à conformidade, em parte porque parece mais tangível e quantificável. Muitos departamentos de cibersegurança avaliam o desempenho com base em objectivos de conformidade e não para mitigarem impactos empresariais negativos. As estruturas de controlo de segurança e os programas de conformidade são extremamente úteis para definir o pensamento fundamental; no entanto, muitas vezes não conseguem reconhecer as dinâmicas do mundo real. Tal como aderir a princípios contabilísticos geralmente aceites não assegura protecção contra a fraude financeira, a conformidade à cibersegurança, por si só, não protege a empresa de incursões bem-sucedidas.
Mais ainda, o sentimento entre os inquiridos sugere que as organizações devem esperar mais do mesmo. Por exemplo, com um orçamento extra, 44 a 54% dos inquiridos duplicariam as suas prioridades actuais na cibersegurança – investimentos que não conseguem impedir ataques. Estas prioridades incluem proteger a reputação da empresa (54%), salvaguardar informações da empresa (47%) e proteger os dados dos clientes (44%). Menos organizações investiriam o orçamento extra em esforços que afectam de forma mais directa as receitas, como mitigar perdas financeiras (28%) ou investir em formação em cibersegurança (17%) – uma área que a investigação da Accenture revela como sendo um pilar cada vez mais importante na cibersegurança. Na nossa pesquisa “Estado da Cibersegurança e Confiança Digital”, publicada em Junho de 2016, 31% dos inquiridos identificaram a falta de formação ou os cortes no pessoal como os maiores inibidores da agilidade da cibersegurança.
Outro exemplo de possível dissonância cognitiva: enquanto três quartos de todos os inquiridos afirmaram terem níveis altos de confiança na cibersegurança, menos indicam confiança semelhante na capacidade da organização para lidar com os ataques. Por exemplo, apenas 37% revelam ter confiança na capacidade da empresa para controlar ataques e 36% dizem o mesmo sobre a minimização de disrupções.
FORÇAR A PERCEPÇÃO A ENFRENTAR A REALIDADE
Para sobreviver neste panorama contraditório e cada vez mais arriscado, as organizações precisam de reformular as suas abordagens para a cibersegurança.
A protecção de uma empresa requer uma abordagem end-to-end que considere as ameaças em todo o espectro da cadeia de valor específica da indústria e do ecossistema da empresa, identificando e minimizando a exposição das empresas e focando-se na protecção de activos prioritários.
As medidas seguintes podem ajudar as organizações a superar as percepções limitadas e lidar eficazmente com as ameaças cibernéticas de alto impacto que enfrentam.
Definir o sucesso da cibersegurança
As organizações precisam de responder a várias questões fundamentais para reestruturar as suas percepções sobre a cibersegurança e criar uma nova definição de sucesso, nomeadamente:
Acreditam ter identificado todos os dados empresariais prioritários e a sua localização?
Conseguem defender a organização de um adversário motivado?
Possuem ferramentas e técnicas para reagirem e responderem a um ataque direccionado?
Sabem do que é que o adversário anda à procura?
Com que frequência “praticam” planos de acção para obterem respostas mais adequadas?
Como é que estes ataques afectam os negócios?
Têm alinhamento, estrutura, equipas e outros recursos que sejam adequados para executarem a missão da cibersegurança?
Acreditamos que as organizações de segurança precisam de melhorar o alinhamento das suas estratégias de cibersegurança com os imperativos dos negócios. E embora muitas empresas estejam claramente a fazer progressos nas conformidades e na gestão de risco, os programas de segurança precisam de continuar a melhorar a sua capacidade de detectar e impedir cenários de ataques avançados.
Testar as capacidades de segurança da mesma forma que os adversários o fazem
As organizações precisam de estabelecer uma avaliação realista das capacidades de se protegerem contra ameaças de alto impacto, internas ou externas. Testar as defesas de uma empresa pode ajudar os líderes a compreender se conseguem aguentar um ataque direccionado e concentrado. Da mesma forma que existem programas de treino militares com fogo real, as organizações podem envolver piratas informáticos externos em simulações com as equipas de cibersegurança, para avaliar a prontidão e a eficácia das respostas.
Proteger de dentro para fora
Muitas organizações conseguem limitar o acesso interno às informações mais pertinentes, controlar actividades invulgares nas redes de colaboradores ou rever regularmente acessos.
Os adversários sabem o que querem, mas não sabem onde estão os activos-chave. Em contraste, os profissionais de cibersegurança têm a vantagem de saberem quais os activos que precisam de ser protegidos.
Ao alocar a energia nestes activos mais pertinentes, as organizações podem desenvolver uma base mais eficaz para a cibersegurança: em vez de tentarem antecipar uma variedade aparentemente infinita de possibilidades de ataques externos, podem concentrar-se nas incursões internas menos frequentes, que têm mais impacto.
Investir para inovar e vencer
No que toca à cibersegurança, estar parado já não é opção. As organizações precisam de inovar continuamente para ficarem à frente de possíveis atacantes, o que pode exigir o redireccionamento de alguns recursos para novas estratégias e programas e não para mais investimentos nos programas actuais.
MAS ONDE INVESTIR?
As organizações que procuram identificar oportunidades para investir na inovação em cibersegurança podem examinar sete domínios-chave. Esse enfoque irá melhorar as capacidades de cibersegurança de uma empresa e melhorar a sua resistência aos ataques, mas pode exigir investimentos em segurança contínuos e sistemáticos.
Apenas um terço dos inquiridos expressou confiança nas suas capacidades em qualquer um dos setes domínios de cibersegurança, o que sublinha a necessidade de tornar prioritário o investimento nessas áreas.
O alinhamento empresarial aborda cenários de incidentes na cibersegurança, para compreender melhor os que podem afectar materialmente o negócio, e identifica os principais drivers, pontos de decisão e barreiras ao desenvolvimento de estratégias de correcção e transformação.
Um contexto de ameaças estratégico explora as ameaças à cibersegurança, incluindo a análise a riscos competitivos e geopolíticos e a monitorização dos pares e outras áreas para alinhar o programa de segurança com a estratégia empresarial.
O ecossistema alargado deve estar pronto a cooperar durante a gestão de crises, desenvolver cláusulas e acordos de cibersegurança com terceiros e focar-se na conformidade regulatória.
A administração e a liderança concentram-se na responsabilidade da cibersegurança, apoiam uma cultura ligada à segurança, avaliam e reportam o desempenho da cibersegurança, desenvolvem incentivos atractivos de cibersegurança para colaboradores e criam uma cadeia de comando simples para a cibersegurança.
A resiliência cibernética é uma excelência operacional perante adversários cibernéticos disruptivos.
Das bases de tecnologia e processos até ao desempenho na recuperação de incidências cibernéticas, a empresa procura compreender o panorama das ameaças, conceber abordagens para proteger os activos principais e utilizar técnicas “desenhadas para a resiliência” de forma a limitar o impacto de um ataque cibernético.
A celeridade de uma resposta cibernética significa ter um plano de resposta consistente e fortes comunicações nos incidentes cibernéticos, testar planos para a protecção e recuperação dos activos principais, ter graus estabelecidos para os incidentes cibernéticos e capacidade para assegurar o envolvimento sólido dos stakeholders em todas as funções empresariais.
A eficiência dos investimentos significa compreender os investimentos nos domínios da cibersegurança e a distribuição de fundos e recursos. Também compara os investimentos organizacionais com os padrões do sector, objectivos organizacionais e tendências na cibersegurança.
Tornar a segurança um objectivo de todos
Os colaboradores têm também um papel essencial para detectar e impedir ataques. Noventa e oito por cento dos inquiridos afirmaram que os ataques que não são detectados pela equipa de segurança, são frequentemente descobertos pelos colaboradores. De facto, as pessoas representam a primeira linha de defesa, e é por isso que a organização precisa de dar prioridade à formação e actualização de talento cibernético em todo o negócio.
Para criar uma cultura de consciencialização da cibersegurança, as organizações devem ver a cibersegurança de topo como uma mentalidade organizacional – capaz de evoluir e de se adaptar às ameaças variáveis.
Para apoiar uma cultura de confiança na cibersegurança e no digital, as organizações devem dar ênfase a uma abordagem adaptável e evolucionária para abordar todos os aspectos de segurança numa base contínua.
Muitas empresas de cibersegurança ainda têm dificuldade em ultrapassar o fosso entre o talento de que precisam e o talento disponível. Num outro inquérito da Accenture sobre confiança digital, 42% dos inquiridos indicaram que possuem orçamentos tecnológicos suficientes, mas que precisam de orçamentos adicionais para contratar talento e para a formação.
Liderar do topo
Enquanto a questão da cibersegurança ganhou toda a atenção dos executivos, muitos chief information security officers (CISO) podem sentir-se fora do grupo dos executivos de topo. Isto não é necessariamente um desprezo consciente por parte das organizações; em vez disso, é uma questão da maturidade da segurança da organização. Para terem sucesso, muitos CISO precisam de sair das suas zonas de conforto (com, por exemplo, auditorias e tecnologia cibernética) e envolverem-se materialmente com a liderança da empresa numa base diária para discutir eficazmente as questões empresariais no centro da cibersegurança.
Fazê-lo exige que falem a linguagem empresarial para defenderem que a equipa da cibersegurança representa um pilar fundamental na batalha pela protecção do valor da empresa. Ao mesmo tempo, o CISO precisa de desenvolver a literacia cibernética do conselho de administração com o objectivo de a tornar uma prioridade igual à avaliação de riscos empresariais.
Aproveitar lições passadas
Uma cibersegurança eficaz exige que as organizações atinjam uma maior maturidade e que melhorem a sua capacidade de proteger o negócio de perdas devastadoras. Felizmente, as organizações já o fizeram antes, com esforços como o enorme impulso pelo aumento da qualidade nas últimas três décadas. Para muitas organizações, a qualidade continuou a ser relegada até surgirem novas concorrentes oferecendo qualidade superior a preços mais baixos. Ao sentirem o impacto desta incursão, as organizações começam rapidamente a agir. Uma reacção semelhante está a começar a surgir com a cibersegurança. À medida que as estratégias de segurança digital e as organizações amadurecem, e emergem novas soluções, as organizações que ligam os esforços da cibersegurança às verdadeiras necessidades do negócio ganharão confiança justificável na sua capacidade de lidar com ameaças cibernéticas.
Estudo publicado na Revista Executive Digest n.º 135 de Junho de 2017