Perfis conflitantes de TI e segurança tornam a gestão difícil
27 de Novembro de 2023

Uma pesquisa global recente feita pela Forrester Consulting a pedido da empresa de segurança cibernética Tenable revela que 54% dos líderes de TI e segurança no Brasil se reúnem com os líderes corporativos apenas uma vez por mês para discutir sobre sistemas críticos para o negócio.

Além disso, 26% das organizações no país realizam essas reuniões somente uma vez por ano, ou até menos.

O estudo, cujo objetivo é fornecer um panorama sobre os desafios relacionados a pessoas, processos e tecnologia, destaca o quanto esse "distanciamento" prejudica os times de segurança e, por associação, a resistência cibernética das empresas no Brasil e no mundo.

Para a pesquisa, foram entrevistados 825 líderes de segurança cibernética e de TI globalmente, incluindo 50 brasileiros.

Para agravar ainda mais a situação, as equipes de TI e segurança cibernética geralmente estão isoladas e seu desempenho é avaliado através de metas e critérios distintos e contraditórias.

A postura interna torna a coordenação entre os times de TI e segurança difícil e demorada.

"Essas duas entidades, por assim dizer, têm perfis relativamente conflitantes e a pesquisa mostra isso claramente conforme as respostas foram sendo apuradas", diz Pedro Eurico, engenheiro de segurança da Tenable no Brasil.



Segundo a pesquisa, 46%, quase metade dos participantes no Brasil, consideram a coordenação entre as equipes de TI e segurança cibernética difícil e demorada.

"A comunicação entre essas equipes não é boa porque existe uma dicotomia entre eles.

Enquanto o time de segurança da informação está preocupado com a segurança do processo, do negócio e da tecnologia como um todo, os times de operações, de infraestrutura e todos os times similares estão mais preocupados com o funcionamento do negócio.

Então a equipe de segurança da informação, muitas vezes, é vista como um obstáculo para esses outros times.

Por isso, essa coordenação é difícil, gera conflitos e é muito demorada", explica Eurico.

Os dados confirmam essa análise.

Sessenta por cento dos entrevistados no Brasil afirmam que as equipes de segurança cibernética estão mais ocupadas com a resposta a incidentes críticos do que propriamente em tratar o ambiente de forma preventiva.

Além disso, 76% dizem que a TI está mais preocupada com o tempo de atividade do que com a aplicação de patches/correções.

"Isso mostra que existe um longo caminho a ser percorrido.

Se pensarmos em qualquer estrutura de segurança, ela trata por exemplo do processo de identificar o ambiente para depois criar controles preventivos, detectar e reagir a problemas e, se necessário, recuperar.

Na prática, o ideal seria que se prevenisse primeiro e remediasse depois.

Mas isso não é o que acontece", observa o engenheiro da Tenable.

Outro aspecto da pesquisa que chama atenção é o fato de os entrevistados alegarem precisar de consideráveis recursos humanos para gerenciar as diversas ferramentas usadas na segurança cibernética preventiva e fornecer relatórios de risco significativos com base nessas fontes de dados discrepantes.

Nada menos que 58% dos entrevistados no Brasil declaram ter 25 ou mais funcionários dedicados à implementação, suporte, manutenção ou ao relacionamento com fornecedores das ferramentas de segurança cibernética preventiva que utilizam.

Só para se ter uma ideia, o tempo gasto pelas organizações por mês gerando relatórios de segurança para líderes corporativos é de 14 horas, em média.

"A pesquisa indica que 62%, quase dois terços dos entrevistados, utilizam dez ou mais ferramentas de segurança cibernética.

Isso da uma noção da falta de recursos humanos e da necessidade de entender melhor esses processos", completa Eurico.

"E quando se tem várias ferramentas que falam diferentes idiomas, que fornecem diferentes métricas de medição, isso dificulta a avaliação de risco."

Talvez o que dê uma ideia mais exata de quão distantes estão os líderes de TI, de segurança e líderes corporativos no Brasil é o fato de que, quando há interesses concorrentes, muitas vezes a segurança cibernética não é consultada com antecedência suficiente, ou nem isso acontece, na implementação de serviços na nuvem.

Trinta e seis por cento dos entrevistados afirmam que suas equipes de negócio e engenharia compram e implementam serviços na nuvem sem informar a equipe de segurança cibernética.

Para completar o quadro, o estudo mostra que os problemas de higiene dos dados impedem uma efetiva definição de prioridades.

No Brasil, 54% dos entrevistados afirmam que a falta de higiene dos dados os impede de obter dados de qualidade dos sistemas de gestão de acesso e privilégios de usuários e dos sistemas de gerenciamento de vulnerabilidades.

"Quando comparado com o índice global, que é de 31%, percebe-se uma grande discrepância.

Enquanto um terço dos entrevistados globais aponta a falta de higiene dos dados, no Brasil esse problema é citado por mais da metade dos participantes.

Então aqui eu vejo uma oportunidade de evoluir muito em relação ao restante do mundo.

Temos uma grande possibilidade de melhorar essa capacidade, de entender o contexto e priorizar isso", enfatiza Artur Capella, diretor geral da Tenable no Brasil.

É praticamente unânime entre os entrevistados no Brasil e no mundo que a falta de contexto e de visibilidade tornam a segurança cibernética preventiva difícil.

Não é à toa que no Brasil 72% acreditam que a sua organização teria mais sucesso na defesa contra ataques cibernéticos se dedicasse mais recursos à segurança cibernética preventiva.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...