A cibersegurança é hoje um tema de destaque na pauta dos conselhos das organizações, mas a maioria dos diretores de segurança da informação (chief information security officers, CISOs) ainda não conquistou um lugar à mesa de discussões. De acordo com um estudo conduzido pela ISACA e a RSA Conference, 82% dos profissionais de cibersegurança e segurança da informação pesquisados informaram que seus conselhos de administração estão preocupados ou muito preocupados com a cibersegurança, mas somente um em cada sete (14%) dos CISOs reporta-se ao diretor executivo.
Essa distância entre crença e ação nos mais elevados níveis de gestão ocorre em um cenário em que 74% dos profissionais de segurança esperam um ciberataque em 2016 e 30% presenciam ataques de phishing diariamente, segundo o estudo “O estado da cibersegurança” da ISACA/RSA Conference.
“Embora existam sinais de que os executivos em nível de diretoria compreendam cada vez mais a importância da cibersegurança, ainda há espaço para melhorias”, comentou Jennifer Lawinski, editora-chefe da RSA Conference. “A maioria dos CISOs ainda se reporta a diretores de informação, o que demonstra que a cibersegurança é vista como um aspecto técnico, e não uma questão de negócios. A pesquisa destaca essa discrepância com o objetivo de proporcionar uma oportunidade de crescimento para a comunidade de segurança da informação no futuro.”
A deficiência de habilidades em cibersegurança representa, em si, uma ameaça à manutenção da segurança empresarial. O ano passado viu uma queda de doze pontos no percentual de profissionais de segurança que confiam na capacidade de suas equipes para detectar e reagir a incidentes, caindo de 87% em 2014 para 75% em 2015. Entre esses 75%, seis em cada dez não acreditam que suas equipes possam lidar com algo mais grave do que um simples incidente de cibersegurança. Além disso, a quantidade de pesquisados que informam que um número inferior à metade dos candidatos a emprego foi considerado “qualificado após a contratação” subiu de 50% para 59% no período de um ano. 27% precisam de seis meses para preencher uma vaga em cibersegurança, uma taxa três pontos superior na comparação com 2014.
“A falta de confiança nos níveis atuais de aptidão em cibersegurança demonstra que as abordagens convencionais de treinamento já não são suficientes”, afirmou Ron Hale, diretor de conhecimento da ISACA. “O treinamento prático e baseado em aptidões é fundamental para suprir a lacuna de habilidades em cibersegurança e desenvolver de forma eficaz uma força de trabalho vigorosa nessa área.”
Consciência situacional
A pesquisa destacou também uma notável falta de consciência situacional entre profissionais que consideram a cibersegurança ou a segurança da informação sua função principal:
– 24% não sabiam se alguma credencial de usuário havia sido roubada em 2015.
– 24% não sabiam quais agentes de ameaça exploraram suas organizações.
– 23% não sabiam se sua organização havia sofrido algum ataque de ameaça persistente avançada (advanced persistent threat, APT).
– 20% não sabiam se algum ativo corporativo havia sido sequestrado para uso de botnet.
Apesar do fato de a maioria dos CISOs reportar-se a uma função de tecnologia na organização, o estudo deste ano mostra sinais encorajadores de que a cibersegurança merece respeito. Entre os pesquisados, 61% esperam que seus orçamentos de cibersegurança aumentem em 2016, e 75% informam que a estratégia de cibersegurança de suas organizações é hoje condizente com os objetivos empresariais.
Lawinski e Hale apresentarão essas conclusões e suas implicações na RSA Conference na quinta-feira, 3 de março. A pesquisa é a segunda edição anual do estudo “O estado da cibersegurança” do Cybersecurity Nexus (CSX), pertencente à RSA Conference e à ISACA. Os resultados podem ser consultados na íntegra no endereço www.isaca.org/state-of-cybersecurity-2016.
A ISACA criou o CSX para ajudar a enfrentar uma crescente crise de aptidões em cibersegurança no mundo todo. O CSX é um local central dedicado a pesquisa, orientação, certificações, capacitação, tutoria e comunidade sobre cibersegurança. A ISACA introduziu recentemente um treinamento baseado em habilidades com avaliações de desempenho e Certificações CSX.