Apenas 40% das organizações sentem-se confiantes na sua capacidade de superar ciberataques sem grande disrupção
De acordo com uma investigação da Palo Alto Networks e da IDC Research, apenas 40% das organizações estão confiantes na sua capacidade de combater ciberataques sem grandes perturbações. A par disto, somente 28% dos CISO testam regularmente os seus planos de recuperação. O estudo revela também que apenas 38% dos CISO em toda a região EMEA consideram que o seu estado de ciber-resiliência é maturo. Em particular, no que diz respeito ao setor bancário, de serviços financeiros e de seguros, somente 21% dos CISO realizam testes dos seus planos de recuperação com regularidade, apesar de este ser um dos setores mais fortemente regulamentados. Atualmente, os CISO enfrentam um conjunto de dificuldades em lidar com o cenário de ameaças, como a contínua escassez de talentos. Segundo a investigação, os principais desafios em assegurar a ciber-resiliência são a falta de competências tecnológicas de segurança emergentes (70%) e a falta de correlação entre vários produtos pontuais (52%). Embora 78% das organizações na EMEA e na LATAM reconheçam a importância da garantia da resiliência cibernética, o estudo da Palo Alto Networks e da IDC Research evidencia que a fragmentação e a procura de recursos são um entrave à sua concretização. “Apesar dos níveis moderados de maturidade na região EMEA e LATAM, é surpreendente como poucos CISO estão preparados para testar regularmente os seus planos de recuperação”, disse Haider Pasha, diretor de segurança EMEA e LATAM da Palo Alto Networks. “Mas os CISO enfrentam uma batalha difícil”, frisa Pasha. “Por um lado, os eventos geopolíticos e as perturbações da cadeia de abastecimento estão a aumentar o nível de ameaça, enquanto, por outro lado, a escassez de talentos e conhecimentos relevantes tornam a implementação de soluções e a preparação para combater futuros ataques cada vez mais desafiantes”. A investigação revela também poucas diferenças entre os mercados da Europa, da América Latina e do Médio Oriente. A importância da ciber-resiliência para as empresas é consensual, sendo que esta é a maior prioridade na Arábia Saudita (48%), em Espanha (44%), no Brasil (43%) e em França (42%). No entanto, mercados europeus como a Alemanha e o Reino Unido são menos propensos a considerá-la uma prioridade empresarial. Além disto, a utilização de controlos de cibersegurança maturos para a ciber-resiliência é de apenas 11%. Segundo o estudo, a maioria das organizações estão fortemente dependentes de planos de continuidade de negócios (74%), planos de recuperação de desastres (72%), planos de recuperação de ransomware (54%) e estratégias de gestão de crises (51%). “O que está claro é que muitas organizações ainda não têm os recursos e a confiança para implementar um conjunto de tecnologia ciber-resiliente projetada para prevenir ataques”, sublinha Pasha. “Em vez disso, têm de confiar fortemente em táticas como a recuperação de desastres, que são concebidas para responder a incidentes, em vez de planear para estes. A falta de visibilidade do impacto das ameaças e o foco na resolução estão a deixar as organizações expostas a mais ameaças e incapazes de planear riscos futuros”. Face às pressões regulamentares, a necessidade do apoio da gestão de topo é essencial para melhorar a ciber-resiliência de uma organização. De acordo com a investigação, 72% dos inquiridos disseram que os membros do conselho são os principais impulsionadores do foco de uma a organização no que diz respeito à resiliência cibernética, estando acima dos imperativos regulatórios (70%). “É vital um compromisso claro da gestão sénior para criar e manter políticas claras de cibersegurança e medir o impacto, bem como capacitar a gestão intermédia para tomar decisões mais rápidas”, explica Pasha. “Sem esta, recai sobre as equipas de cibersegurança a responsabilidade de reagir aos incidentes, em vez de treinar a empresa para desenvolver melhores posturas”. |