Levantamento realizado com 184 gestores de segurança digital de grandes empresas no Brasil, EUA, UK, Alemanha, México, China e Índia revela um quadro em transformação; se 53% dos gestores brasileiros dizem que a segurança é prioridade para os negócios da empresa, somente 26% veem as políticas de proteção com força de “compliance
São Paulo, 14 de dezembro de 2017 – A F5, líder em soluções que garantem a segurança e a entrega de aplicações corporativas, anuncia os resultados da pesquisa realizada pelo Instituto Ponemom com 184 CISOs do Brasil, dos EUA, da UK, Alemanha, México, Índia e China.
O relatório “The Evolving Role of CISOs and Their Importance to the Business” conclui que, em tempos de transformação digital, a influência dos CISOs dentro das empresas aumenta. Mas a estratégia de segurança em diversas organizações segue sendo predominantemente reativa, atuando de forma não alinhada com os outros departamentos da empresa. “Ainda é raro encontrar uma estratégia de segurança de TI que inclua a empresa toda”, observa Rafael Venâncio, diretor de canais da F5 Brasil. “Isso vale para o quadro global da pesquisa e para as respostas dos gestores brasileiros”.
Do grupo de 184 entrevistados, 20 são executivos brasileiros. 77% afirmam ser parte de corporações passando por grandes transformações – isso explicaria a crescente importância da área de segurança de TI. Um grupo um pouco menor (53%) declara que a empresa onde trabalha considera a segurança digital uma prioridade para a continuidade dos negócios.
Hoje, 59% dos participantes brasileiros apresentam regularmente relatórios sobre segurança digital para o Board de suas empresas. O C-Level da empresa reage especialmente diante de fatos como violações com roubo de dados (53%) e identificação de Exploits (41%) atuando dentro da empresa. Diante desta realidade, 57% dos CISOs mantem, em seus times, profissionais empenhados em disseminar por todos os departamentos da corporação a cultura e as práticas de segurança. “Considero especialmente expressiva a existência, neste grupo, de diversos comitês multidisciplinares de segurança”, ressalta Venâncio. A outra face desta realidade local é que, segundo a pesquisa da F5, somente em 26% das empresas brasileiras os funcionários são considerados responsáveis, e passiveis de admoestações, no caso de provocarem vulnerabilidades ou tomarem atitudes não alinhadas com a governança corporativa. “Essas contradições retratam uma cultura em transformação, em que ações educativas e de mudança de postura já estão acontecendo mas ainda não ganharam força de “compliance”, diz Venâncio.
Internet das Coisas é uma grande preocupação
Uma das grandes preocupações dos CISOs brasileiros é com a crescente presença de dispositivos IoT em suas empresas. 85% afirmam que o IoT vai causar mudanças nas práticas e políticas de segurança. “Chama a atenção o fato de que 65% dos CISOs entrevistados já estarem realizando testes e simulações para identificar vulnerabilidades e garantir que as redes IoT não representem um risco para a corporação”, aponta Venâncio. O fruto dessas ações é a contínua transformação de políticas – isso está acontecendo em 65% do universo pesquisado. “Não vejo surpresas aqui; o mundo IoT exige que a cultura de segurança passe por mudanças e adaptações”.
A pesquisa da F5 mostrou, ainda, que 32% dos CISOs brasileiros disseram realizar o outsourcing de operações de segurança; essas pessoas valorizam essa opção e afirmam que isso não aumenta os riscos. 46% do total pesquisado, por outro lado, acreditam que os serviços terceirizados não apresentam o mesmo padrão de segurança dos processos internos da corporação usuária de TI.
E, finalmente, os CISOs brasileiros têm plena consciência de que a segurança de perímetro de rede não dá mais conta de proteger as pessoas, informações e processos das corporações. Embora 46% das empresas examinadas continuem com políticas de segurança focadas na rede, o futuro exige outra atitude. Em até dois anos, dizem os CISOs, será ainda mais essencial proteger tanto as aplicações (31%) quanto os endpoints (26%) contra ataques digitais.
“Esses índices retratam um mundo em transformação, em que os grandes investimentos em segurança de rede que definiram a face da TI das empresas infelizmente não dão mais conta da era do Ransomware, ataques DDoS, DNS, fishing, etc.”.
Respostas globais e brasileiras retratam o mesmo quadro
“As respostas dadas pelos CISOs dos EUA, UK, Alemanha, China, México e Índia não diferem muito da tendência geral definida pelos CISOs brasileiros”, observa Venâncio. 58% dos entrevistados globais indicam que segurança de TI é um departamento independente e apenas 22% afirmam que a segurança está integrada com outras equipes da empresa, ao passo que 45% declaram que seu departamento de segurança não tem linhas de responsabilidade claramente definidas. 75% dos entrevistados afirmam que, devido à falta de integração com departamentos da empresa, problemas de territorialidade e silos tem influência significativa (36%) ou alguma influência (39%) sobre táticas e estratégias de segurança de TI.
Principais conclusões das respostas globais:
- Aumento de responsabilidade para os CISOs – Embora o grau de influência dos CISOs sobre o Board das empresas seja variável, a maioria dos CISOs tem influência na administração dos riscos de segurança cibernética das empresas. 68% dos entrevistados afirmam que os CISOs dão a palavra final quando se trata de gastos com segurança de TI, ao passo que um número um pouco menor (64%) afirma que eles têm influência direta e autoridade sobre os gastos gerais de segurança dentro das corporações. 87% dos entrevistados declaram que o orçamento de segurança de TI aumentou significativamente.
- Falta de alinhamento com a empresa – Ainda é raro encontrar uma estratégia de TI que englobe a empresa toda. 58% dos entrevistados indicam que segurança de TI é um departamento independente e apenas 22% afirmam que a segurança está integrada com outras equipes da empresa, ao passo que 45% declaram que seu departamento de segurança não tem linhas de responsabilidade claramente definidas. 75% dos entrevistados afirmam que a falta de integração com departamentos da empresa, problemas de territorialidade e silos têm influência significativa (36%) ou alguma influência (39%) sobre táticas e estratégias de segurança de TI.
- Reconhecimento da segurança como prioridade empresarial é reativo – 60% dos entrevistados acreditam que as organizações consideram a segurança uma prioridade para os negócios; contudo, apenas 51% afirmam que sua organização possui uma estratégia de segurança de TI e desses, apenas 43% declaram que a estratégia é revisada, aprovada e suportada por outros executivos da alta administração. Os resultados indicam que a mudança em programas de segurança é predominantemente reativa, com violações de dados relevantes (45%) e exploits (43%) sendo os dois principais eventos que chamam a atenção de outros executivos seniores.
- Influência orientada por crise entre a liderança executiva – 65% dos entrevistados afirmam que os CISOs se comunicam diretamente com o C-Level, mas raramente trata-se de uma discussão estratégica sobre todas as ameaças da organização. Os entrevistados também reconheceram que a comunicação aos executivos sobre episódios envolvendo segurança é limitada, com 46% afirmando que apenas violações de dados relevantes e ataques cibernéticos são reportados ao CEO e ao conselho de administração. 19%, no entanto, reportam todas as violações de dados ao Board.
A pesquisa mostra, ainda, que a escassez de talentos em segurança de TI continua a ser algo importante para os CISOs. Nas grandes empresas usuárias, o número médio de funcionários de segurança de TI aumentará de 19 para 32 funcionários em tempo integral (ou equivalente) nos próximos dois anos, com aproximadamente a metade (42%) achando que seu pessoal atual não é adequado. 58% afirmam que têm dificuldade em contratar pessoal de segurança qualificado, e os maiores desafios são identificar e recrutar candidatos qualificados (56%). Outro problema é a incapacidade de oferecer salários equiparados ao nível de mercado (48%).
Esses desafios estão pressionando as empresas a procurarem as soluções em outros lugares – metade dos entrevistados (50%) acredita que Machine Learning e inteligência artificial conseguem lidar com a escassez de pessoal. 70% acreditam que essas tecnologias serão importantes para os departamentos de segurança de TI dentro de dois anos. “A transformação digital é um caminho sem volta; a pesquisa da F5 mostra ao mesmo tempo as mudanças que as empresa já estão fazendo e, também, os avanços que ainda terão de acontecer”, resume Venâncio.
Sobre a F5
A F5 aumenta a velocidade, a inteligência e a segurança das aplicações de algumas das maiores organizações do mundo: corporações, provedores de serviços de Telecomunicações, órgãos governamentais e grandes empresas consumer. A F5 entrega soluções de nuvem e de segurança que permitem às organizações atender às demandas da sua infraestrutura de aplicações; isso é feito com rapidez e controle.