Relatório da Intel Security e CSIS sobre segurança cibernética revela que incentivos desalinhados e excesso de confiança das empresas proporcionam vantagens para o cibercriminosos; 93% das organizações pesquisadas possuem uma estratégia de segurança cibernética, mas apenas 49% têm essas estratégias plenamente implementadas.
A Intel Security, em parceria com o Centro de Estudos Estratégicos e Internacionais (CSIS), divulgou o estudo “Tilting the Playing Field: How Misaligned Incentives Work Against Cybersecurity,” (desequilibrando o campo de atuação: como os incentivos desalinhados atuam contra a segurança cibernética”), um relatório global e uma pesquisa revelando três categorias de incentivos desalinhados: estruturas corporativas versus o livre fluxo de empresas criminosas; estratégia versus implementação; e executivos seniores versus profissionais em funções de implementação. O relatório destaca maneiras de como as organizações podem aprender com os criminosos cibernéticos visando corrigir esses desalinhamentos.
Com base em entrevistas e uma pesquisa global com 800 profissionais de segurança cibernética de cinco setores industriais, o relatório descreve como os criminosos cibernéticos estão em vantagem, graças a incentivos para o crime cibernético que geram um grande negócio em um mercado flexível e dinâmico. Os defensores, por outro lado, frequentemente atuam em hierarquias burocráticas, o que os pressiona intensamente para acompanhar a demanda.
Desalinhamentos adicionais ocorrem dentro das organizações dos defensores. Por exemplo, enquanto mais de 90% das organizações relatam possuir uma estratégia de segurança cibernética, menos da metade as implementou integralmente. Além disso, 83% disseram que suas organizações foram afetadas por violações da segurança cibernética, indicando uma desconexão entre estratégia e implementação.
E, embora os criminosos cibernéticos tenham um incentivo direto para sua atuação, a pesquisa não apenas mostra que existem poucos incentivos para os profissionais de segurança cibernética, mas também, que os executivos estavam muito mais confiantes do que a equipe operacional no que diz respeito à eficácia dos incentivos existentes. Por exemplo, 42% dos implementadores de segurança cibernética relataram que não existem incentivos, em comparação com apenas 18% dos tomadores de decisão e 8% dos líderes.
“O mercado de criminosos cibernéticos está preparado para o sucesso por conta de sua própria estrutura, a qual rapidamente recompensa a inovação e promove o compartilhamento das melhores ferramentas”, disse Candace Worley, VP de Enterprise Solutions da Intel Security. “Para que os profissionais cibernéticos e de TI no governo e nas empresas possam competir com os atacantes, eles precisam ser tão perspicazes e ágeis quanto os criminosos que buscam capturar, e ainda oferecer incentivos que valorizem a equipe de TI.”
“É fácil elaborar uma estratégia, mas a execução é difícil”, diz Denise Zheng, diretora e membro sênior do programa de política tecnológica no CSIS. “Como os governos e as empresas abordam e tratam seus incentivos desalinhados irá ditar a eficácia de seus programas de segurança cibernética. Não é uma questão de o ‘quê’ precisa ser feito mas sim, determinar o ‘porquê’ não está sendo feito e ‘como’ fazer isto melhor.”
Outras conclusões decisivas do relatório incluem o seguinte:
· Não executivos têm três vezes mais probabilidade em comparação aos executivos de observar os déficits de recursos financeiros e humanos como causadores de problemas para a implementação da sua estratégia de segurança cibernética.
· Apesar de que incentivos para profissionais segurança cibernética estejam faltando, 65% estão motivados pessoalmente a fortalecer suas organizações de segurança cibernética.
· 95% das organizações já sofreram os efeitos das violações de segurança cibernética, incluindo interrupção das operações, perda de PI, danos à reputação e à marca da empresa, entre outros efeitos. Contudo, apenas 32% relataram experiências de perda de lucros ou receita, o que pode levar a uma falsa sensação de segurança.
· O setor governamental foi o menos susceptível a relatar dispor de uma estratégia de segurança cibernética totalmente implementada (38%). Esse setor também teve uma maior participação de agências com inadequados recursos financeiros (58%) e humanos (63%) em comparação com o setor privado (33% e 43%).
O relatório também sugere maneiras sobre como a comunidade de defesa pode aprender com as comunidades de atacantes. Isso inclui:
· Optar pelo security-as-a-service para combater o modelo de crime cibernético como um serviço do mercado criminoso.
· Usar divulgação pública.
· Aumentar a transparência.
· Reduzir barreiras de entrada para o pool de talentos cibernéticos.
· Alinhar os incentivos de desempenho desde a liderança sênior até os operadores.
A boa notícia, segundo os autores do relatório, é que a maioria das empresas reconhece a gravidade do problema da segurança cibernética está disposta a enfrentá-lo. As organizações necessitam mais do que ferramentas para combater os atacantes cibernéticos; a experimentação é necessária para determinar a combinação certa de métricas e incentivos para cada organização, na medida em que abordam a segurança cibernética como mais do que simplesmente uma estrutura consciente de custos e se tornam mais inovadoras em sua estrutura e processos organizacionais.
Para obter mais informações sobre esses resultados e visualizar o relatório completo, visite: www.mcafee.com/misaligned
Metodologia
A Intel contratou o especialista em pesquisas de mercado de tecnologia independente, Vanson Bourne, para realizar a pesquisa na qual este relatório se baseia. A Intel pesquisou mais de 800 entrevistados de empresas que variam de 500 funcionários a mais de 5 mil de cinco principais setores industriais, incluindo Finanças, Saúde e Setor Público. A pesquisa foi direcionada a entrevistados que tinham responsabilidades de nível executivo para segurança cibernética, assim como a operadores com responsabilidades técnicas e de execução relacionadas à segurança cibernética. Os países representados pelos entrevistados incluem os Estados Unidos, Reino Unido, França, Alemanha, Brasil, Japão, Cingapura, Austrália e México.
Sobre a Intel Security
A Intel Security, com sua linha de produtos McAfee, dedica-se a tornar o mundo digital mais seguro e protegido para todos. A Intel Security é uma divisão da Intel Corporation. Saiba mais em www.intelsecurity.com.