Estudo recente aponta que o grande obstáculo das organizações não é a falta de ferramentas, mas a sua integração com as prioridades da empresa
A Qualys lançou um novo relatório que analisa as declarações de gestão de risco de uma amostra superior a cem líderes de IT e de cibersegurança de todo o mundo. O estudo, intitulado “The State of Cyber Risk 2025”, traça um quadro complexo sobre as principais conclusões, que incluem um ponto interenssante: 71% das organizações declaram que a sua exposição ao ciber-risco permanece igual ou aumentou, apesar dos crescentes orçamentos de segurança.
De acordo com o estudo, 49% das organizações inquiridas já implementaram programas formais de gestão de risco. Destas, 43% implementou-os há menos de dois anos, o que indica uma certa maturidade neste mercado, e mais de metade (51%) refere que a sua exposição ao risco está a aumentar. Apenas 6% afirmam ter diminuído.
A gestão de ativos é considerada um elemento-chave na gestão do risco, como evidenciado pelo facto de oito em cada dez empresas (83%) realizarem inventários regulares, mas apenas 13% o fazerem de forma contínua. Por outro lado, quase metade (47%) ainda depende de processos manuais. Esta falta de automatização leva mais de 40% a identificar os inventários incompletos como um dos principais obstáculos à gestão do risco.
Em termos de métricas de monitorização, 68% das empresas inquiridas já integram fatores como a inteligência de ameaças ou a estimativa de perdas quando dão prioridade aos riscos. Mas quase 20% continuam a classificar as vulnerabilidades exclusivamente com pontuações técnicas como o CVSS.
A comunicação com a direção é uma parte fundamental da gestão do risco, uma vez que é esta que compete aprovar as políticas a seguir. De acordo com o relatório, 97% das organizações inquiridas comunicam os resultados dos riscos à gestão de topo. Por norma, os relatórios incluem o nível de risco organizacional (56%), o plano de cibersegurança atual (54%), as ameaças críticas (48%) e os riscos quantificados ou pontuações de risco (42%). No entanto, apenas 35% incorporam estimativas do custo potencial para a empresa.
“O problema está no foco, não de tecnologia”, explica em comunicado Sumedh Thakar, CEO da Qualys. “Os conselhos de administração já não querem dashboards: querem respostas claras sobre o grau de risco que está a ser reduzido e onde devem concentrar os seus esforços, sem compreender quais os ativos críticos para o negócio ou quais as vulnerabilidades que afetam diretamente os serviços chave. Infelizmente, se assim for, os investimentos continuarão a não dar retorno”.
A este respeito, o relatório conclui que o grande obstáculo não é a falta de ferramentas, mas sim as lacunas e os desafios no alinhamento das políticas de cibersegurança com as prioridades empresariais. Recomenda-se que se avance para cenários integrados com o risco em termos financeiros, de forma a garantir uma tomada de decisões mais alinhada com o valor empresarial.
Fonte: IT Security