Estratégia de segurança reativa representa um desafio significativo para os CISOs

Nova pesquisa da F5 revela que apenas 51% das empresas têm uma estratégia de segurança de TI estabelecida

CINGAPURA - Hoje, na Semana Cibernética Internacional de Cingapura, a F5 Networks (NASDAQ: FFIV) divulgou um relatório abrangente sobre a natureza evolutiva da função de CISO e as abordagens de segurança de TI que as organizações de todo o mundo estão adotando no atual cenário de ameaças em constante mudança. O relatório conclui que, à medida que a segurança de TI se torna cada vez mais uma prioridade, a influência dos CISOs nas empresas está crescendo; no entanto, a estratégia de segurança em muitas organizações ainda é amplamente reativa e ainda não está alinhada com as funções de negócios.

Conduzidos pelo Ponemon Institute, os resultados são baseados em entrevistas com profissionais de segurança de TI de nível sênior em 184 empresas de sete países: Estados Unidos, Reino Unido, Alemanha, Brasil, México, Índia e China.

"Esta pesquisa fornece uma visão única de como os CISOs estão operando no ambiente desafiador de hoje", disse Mike Convertino, Diretor de Segurança da Informação da F5. "É evidente que os CISOs estão progredindo na forma como conduzem a função de segurança e na função de liderança que estão assumindo nas empresas. Mas, em muitas organizações, a segurança de TI ainda não está desempenhando a função estratégica e proativa necessária para proteger totalmente os ativos e se defender contra ataques cada vez mais sofisticados e frequentes."

Principais conclusões

• Aumento da responsabilidade dos CISOs - Embora os CISOs tenham graus variados de influência entre a alta gerência de suas organizações, a maioria dos CISOs é influente no gerenciamento dos riscos de segurança cibernética de suas empresas, e seu impacto está aumentando. Sessenta e oito por cento dos entrevistados afirmam que os CISOs têm a palavra final em todos os gastos com segurança de TI, enquanto um número um pouco menor (64%) afirma que eles têm influência direta e autoridade sobre todos os gastos com segurança em suas organizações. Oitenta e sete por cento dos entrevistados afirmam que o orçamento de segurança de TI aumentou significativamente (18%), aumentou um pouco (29%) ou não mudou (40%).
   
• Falta de alinhamento com os negócios - Uma estratégia de segurança de TI que abranja toda a empresa ainda é muito rara. Cinquenta e oito por cento dos entrevistados indicam que a segurança de TI é uma função autônoma e apenas 22% afirmam que a segurança está integrada a outras equipes de negócios, enquanto 45% dizem que sua função de segurança não tem linhas de responsabilidade claramente definidas. Setenta e cinco por cento dos entrevistados afirmam que, devido à falta de integração com as funções de negócios, os problemas de território e silos têm uma influência significativa (36%) ou alguma influência (39%) nas táticas e estratégias de segurança de TI.
   
• O reconhecimento da segurança como prioridade de negócios é reativo - Sessenta por cento dos entrevistados acreditam que suas organizações consideram a segurança uma prioridade de negócios, mas apenas 51% afirmam que sua organização tem uma estratégia de segurança de TI e, desses, apenas 43% dizem que essa estratégia é revisada, aprovada e apoiada por outros executivos de nível C. Os resultados indicam que a mudança nos programas de segurança é, em grande parte, reativa, com violações de dados materiais (45%) e explorações de segurança cibernética (43%) como os dois principais eventos que recebem atenção de outros executivos seniores.
   
• Crises que impulsionam a influência da liderança executiva - Sessenta e cinco por cento dos entrevistados afirmam que os CISOs se comunicam diretamente com os executivos seniores, mas raramente se trata de uma discussão estratégica sobre todas as ameaças à organização. Os entrevistados também reconheceram que a comunicação executiva em relação aos eventos de segurança é limitada, com 46% afirmando que apenas violações de dados e ataques cibernéticos relevantes são relatados ao CEO e à diretoria, enquanto apenas 19% relatam todas as violações de dados a esse grupo.
   
• A IA é uma possível solução para as necessidades de pessoal - A escassez de talentos em segurança de TI continua a ser grande para os CISOs. O número médio de funcionários da equipe de segurança de TI aumentará de 19 para 32 funcionários em tempo integral (ou equivalente) nos próximos dois anos, sendo que quase metade (42%) acha que a equipe atual não é adequada. Cinquenta e oito por cento afirmam ter dificuldade para contratar pessoal de segurança qualificado, sendo que os maiores desafios são identificar e recrutar candidatos qualificados (56%) e a incapacidade de oferecer um salário de nível de mercado (48%). Esses desafios estão levando as empresas a buscar soluções em outros lugares - metade dos entrevistados (50%) acredita que o aprendizado por computador e a inteligência artificial podem resolver a escassez de pessoal, e 70% acreditam que essas tecnologias serão importantes para suas funções de segurança de TI em dois anos.
   

Sobre a F5

F5 (NASDAQ: FFIV) torna os aplicativos mais rápidos, inteligentes e seguros para as maiores empresas, provedores de serviços, governos e marcas de consumo do mundo. A F5 oferece soluções de nuvem e segurança que permitem que as organizações adotem a infraestrutura de aplicativos que escolherem sem sacrificar a velocidade e o controle. Para mais informações, acesse f5.com. Você também pode seguir @f5networks no Twitter ou nos visitar no LinkedIn e no Facebook para obter mais informações sobre a F5, seus parceiros e tecnologias.

F5 é uma marca comercial ou marca de serviço da F5 Networks, Inc., nos EUA e em outros países. Todos os outros nomes de produtos e empresas aqui contidos podem ser marcas comerciais de seus respectivos proprietários.

# # #

Este comunicado à imprensa pode conter declarações prospectivas relacionadas a eventos futuros ou desempenho financeiro futuro que envolvem riscos e incertezas. Tais declarações podem ser identificadas por terminologia como "pode", "irá", "deve", "espera", "planeja", "antecipa", "acredita", "estima", "prevê", "potencial" ou "continua", ou a negativa de tais termos ou termos comparáveis. Essas declarações são apenas previsões e os resultados reais podem diferir materialmente daqueles antecipados nessas declarações com base em uma série de fatores, incluindo aqueles identificados nos registros da empresa na SEC.